Sicherheit und Quality of Service
Voice over IPSec- Infrastrukturen
Viele Unternehmen stehen heute vor der Aufgabe, sämtliche Kommunikationsprozesse und damit auch die Sprache in einem IP-basierten unternehmensübergreifenden Datennetz (Intranet) via Internet abzubilden. Wenn es um Voice over IP geht, sind dabei Sicherheit und Quality of Service (QoS) die zentralen Themen.
Seitdem Technik und Qualität von VoIP-Lösungen in den letzten Jahren stetig verbessert wurden
und die Nutzung anwenderfreundlicher geworden ist ("Usability"), gilt nun die mangelnde Sicherheit
im Internet als Bremsklotz für die Einführung von VoIP. Während in herkömmlichen Public Switched
Telephone Networks (PSTN) ein Gespräch in einem dedizierten Kanal von Ende-zu-Ende über ein
Kupferkabel übertragen wird, nutzt Voice over IP Medien, auf die viele Anwender gleichzeitigen
Zugriff haben. Damit steht man den gleichen Sicherheitsproblemen öffentlicher IP-basierter
Netzwerke, LANs und WLANs (Hotspots) gegenüber, mit denen Anwender bereits beim Remote Access
beziehungsweise Mobile Computing konfrontiert sind.
VoiP wandelt analoge Sprachsignale für die Übertragung im Internet in digitale Datenpakete um,
versieht sie mit einer eindeutigen Absender- und Zieladresse – die so genannte IP-Adresse – und
überträgt sie anschließend über das Internet zum Empfänger. Hier werden die digitalen Datenpakete
wieder in analoge Sprachdaten zurückverwandelt. Da die Sprachdatenpakete heute in der Regel
unverschlüsselt unterwegs sind, besteht die Gefahr, das sich Hacker Zugriff verschaffen.
Es sind bereits Tools frei erhältlich, die unverschlüsselte Sprachdatenpakete mitschneiden und
in ein Audioformat umwandeln. Werkzeuge, die einem Angreifer unberechtigten Zugang zum Computer
eines VoiP-Nutzers verschaffen, sind ebenfalls hinreichend bekannt. Darüber hinaus denkbar sind
Backdoor-Angriffe auf das Unternehmensnetz in Verbindung mit Remote-Access-Anwendungen. Der
gleichen Gefährdung unterliegen übrigens die Daten zur Verbindungssteuerung, da diese ebenfalls
unverschlüsselt übertragen werden.
Grundsätzlich ist festzustellen, dass jede heutige und auch künftige Angriffsform, die auf dem
Internet-Protokoll basiert und Datennetze bedroht, auf VoIP übertragbar ist. Deshalb müssen bei der
Internet-Telefonie die gleichen Schutzmaßnahmen wie bei der üblichen Datenfernübertragung greifen.
Die Praxis hat gezeigt, dass singuläre Sicherheitsvorkehrungen nicht ausreichen. Nur die
Kombination verschiedener Sicherheitsmechanismen garantiert einen umfassenden Schutz vor jedweden
Angriffen auf das Endgerät und das Firmennetz. Stand heute gibt es jedoch seitens der Hersteller
von VoIP-TK-Anlagen und auch Provider keine übergreifende Sicherheitslösung für VoIP.
VoIP-Sicherheit kann sich auf VPN-Technik stützen
Eine praktikable Sicherheitslösung steht allerdings bereits mit der Tunneling-Technologie in
einem Virtual Private Network (VPN) zur Verfügung. Die zugehörigen Schlagwörter lauten VoIPSec
(Voice over IPSec) oder VoVPN (Voice over VPN) im Intranet. Auf der Basis einer leistungsfähigen
Datenverschlüsselung können Unternehmen ihre VoIP-Infrastruktur intern und extern nachhaltig gegen
Attacken absichern. Bei der IPSec-basierten VPN-Lösung werden alle Datenpakete sicher Ende-zu-Ende
zwischen den Kommunikationsteilnehmern übertragen. Von entscheidender Bedeutung ist hierbei die Art
und Weise, wie das IPSec-Protokoll seitens der Hersteller in die VPN-Client-Software implementiert
wurde. Alle Applikationen – also auch die für "Internet-Telefonie" – müssen für den User
transparent zur Verfügung stehen. Dies gilt übrigens nicht für SSL-VPNs, da diese VoIP nicht
unterstützen.
Ein generelles Problem bei der Datenübertragung via Internet ist, dass die einzelnen Datenpakete
üblicherweise nicht in der richtigen Reihenfolge beim Empfänger ankommen. Gehen Daten unterwegs gar
verloren, werden sie erneut angefordert, bis beispielsweise eine Website komplett geladen ist.
Diese Zeitverzögerungen haben zum Beispiel beim Surfen für den Nutzer keine merkbaren Auswirkungen.
Als problematischer erweist sich das Prinzip aber bei VoIP. Kommen manche Datenpakete nämlich zu
spät oder gar nicht beim Empfänger an, führt dies unmittelbar zu einer merklichen Verschlechterung
der Gesprächsqualität, etwa in Form von Verzögerungen von mehreren Sekunden ("Latency") oder
abgehackten Sprachfetzen. Besonders nachteilig wirken sich Schwankungen der Verzögerungsdauer ("
Jitter") aus.
Wer störungsfrei via Internet telefonieren will, benötigt ein bestimmtes "Quality of Service"
-Level. Grundvoraussetzung hierfür ist, dass VoIP-Datenpaketen eine höhere Übertragungspriorität
eingeräumt wird als anderen Datenpaketen, um Audio-Verzögerungen auszuschließen. Eine wesentliche
Funktionalität ist demnach das Bandbreitenmanagement. Darunter sind alle Maßnahmen in Wide Area
Networks (WAN) zu verstehen, die jedem Dienst eine optimale Bandbreite zur Verfügung stellen. Es
gilt also, die Zuteilung einer bestimmten, verfügbaren Bandbreite unter Berücksichtigung der
Dienstgüte (QoS) und der vereinbarten Service Level Agreements (SLA) zu optimieren. Entsprechende
Systeme sind an beiden Endpunkten des IP-Netzes vom Betreiber zu platzieren. Im Falle eines Virtual
Private Networks müssen diese Funktionen durch die Client- und Serverkomponenten bereitgestellt
beziehungsweise unterstützt werden.
Ein weiterer Aspekt ist das "Traffic Shaping", die künstliche Begrenzung der vorhandenen
Bandbreite zur Regulierung des Traffics. Zielsetzung ist es auch hier, die zur Verfügung gestellte
Bandbreite optimal zu nutzen. Dabei geht es um die Frage, mit welcher Priorität die Datenpakte auf
dem eigenen PC verarbeitet werden (Bandbreitenmanagement) und nicht – wie beim QoS – darum, wie die
Datenpakete nach ihrer Versendung im Internet zu handhaben sind.
Zur Verfügung gestellt werden all dies Funktionen durch entsprechend optimierte VPN-Clients, die
sowohl über alle erforderlichen Sicherheitsmechanismen als auch QoS-Features verfügen: Personal
Firewall, Datenverschlüsselung, Unterstützung von Zertifikaten, VPN-Tunneling,
Bandbreitenmanagement und Traffic Shaping. Die IPSec-Protokolle müssen so implementiert sein, dass
alle Applikationen in jeder Kommunikationsumgebung vom Teleworker transparent genutzt werden
können. Der PC ist dann bereits vor und während des Aufbaus einer VPN-Verbindung in das Firmennetz
geschützt.
Optimierte VPN-Clients als Lösung
Sobald bei einer bestehenden VPN-Verbindung VoIP-Datenpakete anstehen, wird beispielsweise beim
NCP-Client die Bandbreite für die laufenden Anwendungen reduziert. Gleichzeitig verringert das
System deren Datenpaketgröße, um die Verzögerungszeit von Voice-Datenpaketen möglichst gering zu
halten (das heißt Erhöhung der Sprachqualität). Nach Beendigung des Telefonats wird die
Datenverbindung automatisch in den ursprünglichen Zustand zurückversetzt, das heißt Bandbreite und
Datenpaketgröße werden erhöht. Um die Administration der oft weltweit verteilten Telearbeitsplätze
für den VPN-Betreiber einfach zu gestalten, sorgt möglichst ein zentrales Management für die
erforderliche Transparenz in allen Betriebssituationen wie Rollout, Zertifikatsverwaltung,
Software-Updates und Endpoint-Security.
Fazit
Bei VoIP via Internet muss sich jeder Anwender selbst um die Sicherheit seiner Sprachdaten
kümmern. Neben herstellerspezifischen Lösungen, die allerdings wenig interoperabel sind, bietet der
IPSec-Standard neben einer starken Authentisierung auch die Ende-zu-Ende-Verschlüsselung aller
IP-Datenpakete. Dieser ganzheitliche Ansatz ist unabhängig von der Applikation und ermöglicht die
transparente Integration mobiler Mitarbeiter in das Firmennetz. Voraussetzung ist, dass die
VPN-Client-Software über die erforderlichen Sicherheits- und Kommunikations-Features für Quality of
Service verfügt. Die VPN-Infrastruktur kann als universelle Plattform für alle künftigen
IP-basierten Kommunikationslösungen wie etwa Video-Telefonie (Video over IP) genutzt werden.
Lesen Sie mehr zum Thema
