Softphones erschließen dem mobilen Anwender die nahtlose Sprachkommunikation im Unternehmensnetz, im Home- Office und im WLAN-Hotspot.

Die Besucher der diesjährigen Cebit konnten sich in Hannover vor Ort davon überzeugen: die Telekommunikations- und Datennetzwerke wachsen weiter zusammen, mobile Dienste und das Internet verschmelzen zu einer Kommunikationseinheit. Drahtlose Netzwerke nach den IEEE-802.11-Standards durchdringen fast alle Bereiche des (Netzwerk-)Lebens und Voice-over-WLAN (VoWLAN), basierend auf Voice-over-Wireless-IP (VoWIP), sind en vogue.

Schon zu Beginn der Einführung von VoIP-Telephonie-Systemen gab es ein heftiges für und wider dahingehend, ob ein herkömmliches Datennetzwerk überhaupt für gemischten Sprach- und Datenbetrieb geeignet ist. Mit der Einführung geeigneter Quality-of-Service-Mechanismen für LAN-Switches und WAN-Router sind die verdrahteten Netzwerke mittlerweile in der Lage, für integrierte Sprach-, Daten- und Video-Anwendungen genutzt zu werden. Delay und Jitter müssen innerhalb entsprechender Grenzen bleiben, damit die Sprachkommunikation für die Anwender akzeptabel bleibt. Gemäß den Richtlinien der International Telecommunications Union (ITU) sollte der Delay geringer als 150 ms sein, Verzögerungen zwischen 150 ms und 400 ms können bei geringeren Ansprüchen an die Sprachqualität noch als akzeptabel gelten. Die Sprachqualität wird oft über eine subjektiv ermittelte Größe, den Mean-Opinion-Score oder kurz MOS, dargestellt. Werte zwischen vier und fünf sind die allgemein anerkannte Meßlatte für die zu erreichende Sprachqualität. Ein wichtiger Faktor zur effizienten Ausnutzung der genutzten Übertragungsmedien ist der für die digitale Übertragung verwendete Codec. Übliche Verfahren sind G.711 (PCM, 64 kBit/s, MOS 4,4), G.726 (ADPCM, 16 – 40 kBit/s) sowie G.729(a)/G.723.1 (CS-ACELP, 5,3 – 8 kBit/s, MOS 3,98 – 4,2). Komplexe Codecs bringen eine sehr hohe Kompressionsrate und erlauben so eine bessere Ausnutzung von Datenleitungen mit geringen Bandbreiten, dieser Vorteil wird allerdings durch höhere Delays erkauft, weiterhin steigt die Anzahl der Samples pro Paket, was die Empfindlichkeit gegenüber Paketverlusten erhöht. Im LAN-Bereich ist die Verwendung des G.711-Codecs üblich. Eine weitere, nicht zu vernachlässigende Größe ist der sogenannte Jitter, Varianzen innerhalb des Delays von Datenpaketen. Sprachpakete sind in der Regel nicht besonders groß, müssen jedoch auf Grund der vorab genannten Randbedingungen regelmäßig geliefert werden, um eine vernünftige Sprachqualität zu gewährleisten.

Eine Vielzahl von QoS-Mechanismen ermöglichen einen reibungslosen Mischbetrieb von Sprache und Daten innerhalb eines geswitchten Netzwerkes. Im Gegensatz zu einem verdrahteten Netzwerk handelt es sich bei einem WLAN um ein gesharetes Medium, das heißt die Nutzer eine Funkzelle teilen sich die Bandbreite untereinander. Wird gerade ein Frame im gewählten Funkkanal übertragen, müssen die übrigen WLAN-Teilnehmer warten. Trivial ausgedrückt, verhält sich ein WLAN-Access-Point in dieser Hinsicht wie ein Ethernet-Hub.

Um diese und weitere Problematiken im Zusammenhang mit der Konzeption und dem Betrieb von Unternehmens-WLANs, wie Secure-Fast-Handover, QoS, zentrales RF-Management (Kapazitäts- und Funkzellenplanung) und zentrale Security in den Griff zu bekommen, hat man WLAN-Switching-Systeme entwickelt und auf den Markt gebracht. Derartige Systeme erfreuen sich bei den Anwendern einer stark wachsenden Beliebtheit, sie bestehen in der Regel aus folgenden Komponenten:

• Einer WLAN-Management-Software für Design/Planung, Deployment und Betrieb.

• Einer WLAN-Switching-Appliance, die die Steuerung der Access-Points und der angeschlossenen Nutzer hinsichtlich Funk-Management, Sicherheit, QoS, VLAN-Zugehörigkeit und Zugrifssrechte steuern. Weiterhin sorgen diese für die (logische) Anbindung an die verdrahtete Infrastruktur.

• Access-Points mit einem gewissen Maß an »Intelligenz«, die direkt oder indirekt über eine IP-Strecke an die WLAN-Switches angebunden werden.

Access-Control-Listen (ACLs) sorgen für eine sinnvolle Eingangsfilterung der VoIP-Pakete, entsprechende Authentifizierungsmechanismen und eine Multi-SSID-Fähigkeit der Systeme ermöglichen es, die VoIP-Pakete in ein eigenes

Voice-VLAN zu schleusen. Die IEEE-802.11-Taskgroup E hat sich der Forderung nach entsprechenden QoS-Mechanismen für WLANs gewidmet, eine Ratifizierung des Standards wird innerhalb der kommenden sechs Monate erwartet. Innerhalb der vorliegenden Drafts wird der MAC-Layer um QoS-Mechanismen erweitert. Das MAC-Protokoll wird zusätzlich zu den existierenden Koordinationsfunktionen Distributed-Coordination-Funktion (DCF) und Point-Coordination-Funktion (PCF) um zwei weitere Modi erweitert: Enhanced-DCF (EDCF) und Hybrid-Coordination-Function (HCF).

IEEE-802.11e-Erweiterungen

Die unter 802.11e neu definierten Modi EDCF und HCF unterstützen bis zu acht priorisierte Verkehrsklassen (Traffic-Classes, kurz TC), die beispielsweise direkt auf RSVP oder andere Mechanismen abgebildet werden können.

EDCF ist im Prinzip wie das DCF-Verfahren, bei welchem einige Elemente des MAC-Layers per Traffic-Class parametrisiert sind, für jede TC wird ein eigener Backoff-Vorgang gestartet. Einfach ausgedrückt, kann für jede Traffic-Class ein eigener Parametersatz für den Backoff gewählt werden, so dass ein deterministischer Prioritätsmechanismus zwischen den einzelnen Klassen entsteht. Jede der acht Verkehrsklassen (TC) hat eine eigene Warteschlange, so dass diese sich im Prinzip wie virtuelle Einzelstationen verhalten, wollen mehrere TCs gleichzeitig übertragen, entsteht eine virtuelle Kollision. Die sogenannte Transmit-Opportunity (TXOP) wird der TC zugeordnet, die die höchste Priorität der kollidierenden TCs hat. Die QoS-Parameter können über Beacon-Frames von der Basisstation adaptiert werden.

HCF ist eine Erweiterung des Polling-Mechanismus, welcher in der PCF-Methode verwendet wird. HCF erweitert die EDCF-Zugriffsregeln und kann sich während bestimmter Zeitpunkte eine TXOP selbst zuordnen und das Versenden von MAC-Service-Data-Units (MSDUs) initiieren. Während dieser Perioden werden einzelne Stationen nicht versuchen, auf das Medium zuzugreifen, nur der sogenannte Hybrid-Coordinator (HC) kann TXOPs über das Aussenden von QoS-Poll-Frames an einzelne Stationen verteilen. HCF ermöglicht es damit, QoS zu garantieren. Für die Medien-Effizienz bei den verschiedenen MAC-Verfahren gilt folgendes:

• DCF und EDCF limitieren die Kapazität auf rund 37 Prozent der möglichen Peak-Datenrate und bieten keine Möglichkeit, Latenzen effektiv zu managen, wenn das Kapazitätslimit erreicht ist.

• HCF kann theoretisch eine maximale Auslastung von 90 Prozent ermöglichen, unter voller Last sind rund 75 Prozent möglich. HCF kann Latenzzeiten auch bei voller Last über Queuing-Algorithmen steuern.HCF bietet also deutliche Vorteile bei einem Einsatz für VoWLAN.

Unterschiedliche Protokolle für Packet-Voice

Innerhalb der verschiedenen Standardisierungsgremien haben sich unterschiedliche Protokolle für Signalisierung, Anrufauf- und -abbau herauskristallisiert, hierbei lässt sich auch zwischen zentralisierten und dezentralisierten Techniken unterscheiden, diese Protokolle sind unter anderem H.323, MGCP (Media Gateway Control Protocol, RFC 2705), H.248/Megaco (RFC 2885) und SIP (Session Initiation Protocol, RFC 2543/RFC 3261).

Historisch gesehen hat H.323 eine größere Verbreitung und Marktakzeptanz, da Definitionen und damit Produkte schon relativ frühzeitig auf dem Markt verfügbar waren. Bedeutung und Nachfrage nach SIP haben allerdings in den vergangenen Jahren auf Grund einer Menge von immanenten Vorteilen stark zugenommen.

VoIP, VoWLAN und Sicherheit

Mit der zunehmenden Ausbreitung von VoIP-Technologien werden auch die Stimmen lauter, die die mit der Konvergenz der Netzwerke verbundenen Gefahren anmahnen, auch hat sich das amerikanische NIST (National Institute of Standards and Technology) in einer im Januar 2005 veröffentlichten Publikation mit diesem Thema sehr detailliert auseinandergesetzt.

In diesem Zusammenhang muss allerdings angemerkt werden, dass die herkömmlichen Circuit-Switched-TDM-Voice-Netzwerke per se auch nicht als sicher zu bezeichnen sind. Richtfunkstrecken lassen sich sogar noch einfacher kompromittieren. Dabei sollte man allerdings nicht vergessen, dass in den genannten Bereichen Spezialwissen und entsprechend teures Equipment benötigt wird, um an die Sprachinformationen heranzukommen.

Ein IP-Netzwerk ist hingegen von den unterschiedlichsten Orten der Welt aus erreichbar, Sprachdaten lassen sich anhand der Paket-Header erkennen und ausfiltern, die dafür benötigten Werkzeuge können kostenlos aus dem Internet geladen werden (TCPDump, Ethereal, Vomit). Weiterhin gibt es natürlich sehr ausgefeilte kommerzielle Software, mit welcher man gezielt einzelne Sprachströme isolieren, mitschneiden und nach Schlüsselwörtern durchsuchen kann. VoIP hat in diesem Zusammenhang den großen Vorteil, dass Hin- und Rückkanal sauber voneinander getrennt sind.

VoIP-Angriffspunkte

Die Möglichkeiten, die Sicherheit von VoIP-Systemen zu gefährden, lassen sich folgendermaßen klassifizieren:

• Angriffe auf die Betriebssysteme der VoIP-Geräte (Softswitches,

• Media-Gateways, Gatekeeper, Endgeräte, wie Handapparate und PCs/PDAs mit Softphone-Software,

• Ausnutzung offener Lücken in der VoIP-Software (wie TFTP, SNMP oder SMTP-Attacken),

• Schwächen in den VoIP-Protokollen (Buffer-Overflows bei H.323- und SIP-Implementierungen),

• Denial-of-Service-Attacken und Layer-7-Attacken (allgemeine DDoS-Attacken auf die IP-Infrastruktur, VoIP-Application-Level-Attacken, wie DoS, Call-Hijacking, Resource-Exhaustion oder Abhören/Mitschneiden von Gesprächen).

Gegen diese Gefahren gibt es ein ganzes Arsenal von Gegenmaßnahmen, auch werden die Voice-Standards in Richtung Sicherheitsmerkmale weiterentwickelt, beispielsweise für den Bereich der SIP-Systeme Secure-RTP für Absicherung der Media-Datenströme und abgesicherte Authentifizierungsmaßnahmen zwischen User-Agent und Proxy. Sicherheitsmechanismen wie TLS und IPSec können ebenfalls zur Steigerung der Abhörsicherheit verwendet werden. Auch Intrusion-Prevention-Systeme können zur Gefahrenabwehr eingesetzt werden.

Im Zusammenhang mit der Verschlüsselung wird derzeit darüber diskutiert, ob die Verschlüsselung der Sprachströme Ende-zu-Ende erfolgen soll, also die Verschlüsselung zwischen den Endgeräten aufgebaut wird; entsprechende Geräte sind auf dem Markt verfügbar. Bedenken in Bezug auf die Verschlüsselung werden sicherlich im Zusammenhang mit den Regelungen im §88 TKG erörtert werden müssen, sofern es zu staatlich verordneten Abhörmaßnahmen kommen soll. Bei einer Verschlüsselung der Daten ist allerdings auch auf die Auswirkungen auf die QoS (Latenz, Jitter) zu achten – entsprechend leistungsfähige Hardware und eine sorgfältige Auswahl der Algorithmen sollte hier vorausgesetzt werden.

VoWLAN heute und morgen

Bereits seit längerer Zeit gibt es Hersteller, die proprietäre QoS-Mechanismen in ihre WLAN-Infrastrukturen integriert haben. Diese erfordern eine homogene Landschaft hinsichtlich der verwendeten Handsets und WLAN-Infrastrukturelemente. Der Durchbruch für die flächendeckende VoWLAN-Anwendung wird erfolgen, wenn der IEEE-802.11e-Standard ratifiziert und entsprechende Systeme implementiert werden. Ein wichtiges Kaufkriterium für aktuelle WLAN-Installationen sollte daher natürlich die 802.11e-»Readiness« der avisierten Systeme sein. Im Bereich der Endgeräte zeichnen sich ebenfalls sehr interessante Entwicklungen ab, vermehrt bieten Hersteller SIP-fähige WLAN-Telephone an, die sich in die zunehmende Anzahl an SIP-fähigen Softswitches integrieren lässt, weiterhin gibt es auch WLAN-Telephone, die sich über H.323 implementieren lassen. Üblicherweise haben die verfügbaren WLAN-Telephone WEP-40- oder WEP-128-Verschlüsselung implementiert, was für überschaubare Installationen mit Pilot-Charakter akzeptiert werden kann, nicht jedoch für große Rollouts. Einige Systeme besitzen bereits proprietäre Mechanismen für eine dynamische Security. Auf der Cebit wurden erste Systeme mit WPA-Security-Funktionen gezeigt, dynamische Schlüsselvergabe und flexible Authentifizierungsmechanismen sind wichtige Elemente für eine VoWLAN-Integration, die aktuellen Sicherheitsanforderungen entsprechen soll.

Sehr vielversprechend ist auch die Entwicklung im Bereich der Softphones, speziell der SIP-fähigen Softphones, da sich hiermit für den mobilen Anwender die nahtlose Sprachkommunikation im Unternehmensnetz, im Home-Office oder im WLAN-Hotspot erschließt. Ein Notebook oder einen PDA hat der heutige Geschäftsmann immer dabei – man ist somit immer über seine Büro-Nummer erreichbar und kann zugleich über die VPN-Anbindung noch Telephonkosten sparen, da im Normalfall die internationalen Roaming-Kosten einen Großteil der Mobiltelefon-Rechnung ausmachen.

Hybrid-Phones weisen den Weg in die Zukunft

Die Verfügbarkeit – wie auch auf der Cebit 2005 gesehen – von hybriden Cellular/WLAN-Telephonen bedeutet einen weiteren Schritt in Richtung einer erfolgreichen Zukunft für drahtlose konvergente Netzwerke, obwohl sich die Begeisterung der 2G- und 3G-Mobilfunknetz-Betreiber für derartige Hybrid-Technologien – sicherlich aus Gründen der Bestandssicherung – in Grenzen hält. Die Entbündelung der Breitband-Internet-Anschlüsse von den TDM-Sprachdiensten und die Entwicklung von »Triple-Play«-fähigen Integrated-Access-Devices (IADs) werden allerdings den Nachfragedruck in naher Zukunft stark erhöhen, zumal die Deutschen im internationalen Vergleich noch zu viel für Mobilfunk und Festnetz bezahlen.

Thomas Boele, Dipl.-Wirtsch.-Ing./ET (TU)