Voip «sicher» im Griff
IT-SECURITY: Voip «sicher» im Griff
Das NAT-Problem
Mit Network Address Translation (NAT) stellt eine der geläufigsten Sicherheitsmassnahmen für Voip ein besonderes Problem dar. NAT wird häufig in Perimeter-Firewalls zum Schutz von IP-Adressen und zum Tarnen der internen Netzwerkstruktur eingesetzt. Dabei ordnet NAT interne/private IP-Adressen, die nicht über das Internet geroutet werden können, externen IP-Adressen zu, um auf Internet-Ressourcen zuzugreifen. Im Verlauf des Prozesses ändert die NAT-aktivierte Firewall die Adresse auf der Netzwerkschicht (Schicht 3) eines Pakets, um die Zuordnung zu reflektieren. Für die meisten Anwendungen stellt dies kein Prob-lem dar. Zu den Ausnahmen zählt die Unix Remote Shell (RSH).
Voip-Protokolle betten jedoch die IP-Adressen sowohl auf der Anwendungsschicht als auch der Netzwerkschicht ein. Wenn ein Voip-Endpunkt Signalisierungs- oder Medienverkehr von einem Endpunkt hinter einem NAT-Gateway feststellt, wird die interne, nicht routingfähige IP-Adresse als die korrekte IP-Adresse gelesen, und es wird vergeblich versucht, Verkehr an diese Stelle zurückzuleiten. Für eingehende Gespräche besteht das Problem sogar verstärkt, da die externen routingfähigen IP-Adressen gemeinsam von Hunderten oder Tausenden von Endpunkten verwendet werden.
Die Koexistenz vorhandener Netzwerk-architekturen mit Voip ist daher gefragt. Darauf abgestimmte Lösungen greifen etwa auf eine Voip-Benutzerdatenbank zu, die mit den in einem Signal-Router-Gerät gefundenen Informationen synchronisiert wird. Bevor ein Gespräch angemeldet wird, muss ein IP-Telefon sich bei einem Signalgerät registrieren. Wenn das geschieht, wird die Registrierungsanforderung erkannt und die erforderlichen Informationen werden in einer internen Datenbank aufgezeichnet. Durch die Registrierung ist es möglich, Gespräche von ausserhalb des geschützten Netzwerks mit Telefonen einzuleiten, deren Adressen mit Hide NAT (n:1-NAT) übersetzt werden.
Voip-Protokolle betten jedoch die IP-Adressen sowohl auf der Anwendungsschicht als auch der Netzwerkschicht ein. Wenn ein Voip-Endpunkt Signalisierungs- oder Medienverkehr von einem Endpunkt hinter einem NAT-Gateway feststellt, wird die interne, nicht routingfähige IP-Adresse als die korrekte IP-Adresse gelesen, und es wird vergeblich versucht, Verkehr an diese Stelle zurückzuleiten. Für eingehende Gespräche besteht das Problem sogar verstärkt, da die externen routingfähigen IP-Adressen gemeinsam von Hunderten oder Tausenden von Endpunkten verwendet werden.
Die Koexistenz vorhandener Netzwerk-architekturen mit Voip ist daher gefragt. Darauf abgestimmte Lösungen greifen etwa auf eine Voip-Benutzerdatenbank zu, die mit den in einem Signal-Router-Gerät gefundenen Informationen synchronisiert wird. Bevor ein Gespräch angemeldet wird, muss ein IP-Telefon sich bei einem Signalgerät registrieren. Wenn das geschieht, wird die Registrierungsanforderung erkannt und die erforderlichen Informationen werden in einer internen Datenbank aufgezeichnet. Durch die Registrierung ist es möglich, Gespräche von ausserhalb des geschützten Netzwerks mit Telefonen einzuleiten, deren Adressen mit Hide NAT (n:1-NAT) übersetzt werden.
Probleme beherrschbar
Die Integration von Sprache und Daten im Netzwerk schreitet unaufhaltsam voran. Unternehmen, die auf Internet-Telefonie umsteigen wollen, sollten sich durch Sicherheitsfragen nicht abschrecken lassen. Gerade im Unternehmensumfeld lässt sich das Thema mit entsprechender Einstellung gut kontrollieren.
* Martin Blattmann ist Security Engineer bei Check Point Software Technologies Schweiz.
Martin Blattmann *