IP-Telefonie (Voice over IP)

Größe: px
Ab Seite anzeigen:

Download "IP-Telefonie (Voice over IP)"

Transkript

1 IP-Telefonie (Voice over IP) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Hinweis: Der vorliegende ISi-L basiert vorrangig auf der 2005 erstellten Studie Voice over IP, Sichere Umstellung der Sprachkommunikation auf IP-Technologie des BSI (http://www.bsi.bund.de/literat/studien/voip/index.htm). Eine eigene Studie ISi-S innerhalb der ISi-Reihe ist in Planung, wird aber nicht vor Ende 2009 vorliegen. Für vertiefende, technische Informationen betrachten Sie daher bitte derzeit die vorgenannte Studie oder den Baustein 4.7 VoIP aus den IT-Grundschutzkatalogen.

2 Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der Isi-Reihe.Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 Bundesamt für Sicherheit in der Informationstechnik 3

4 Inhaltsverzeichnis 1 Leitfaden Sichere IP-Telefonie Management Summary Einführung und Überblick Wie funktioniert IP-Telefonie? Anwendungsszenarien Unterschiede zur herkömmlichen Telefonie Wesentliche Ergebnisse der Gefährdungsanalyse Wesentliche Empfehlungen Fazit Stichwort- und Abkürzungsverzeichnis Bundesamt für Sicherheit in der Informationstechnik

5 1 Leitfaden Sichere IP-Telefonie Neben dem Surfen im Web und dem Versenden von s stellt das Telefonieren über das Internet eine der nächsten großen Anwendung in den Datennetzen dar. Im Folgenden soll ein kurzer Überblick über die neue Technik und deren Sicherheitseigenschaften gegeben werden. 1.1 Management Summary Das Zusammenlegen von Telefon- und Datennetzen verspricht auf den ersten Blick große Einsparungen in Anschaffung und Betrieb. Als gemeinsame technische Infrastruktur werden hierfür die heutigen Netze auf IP-Basis (Internet Protocol) angesehen. Bei der sogenannten IP-Telefonie (Voice over IP) werden die Sprachdaten digitalisiert, in kleine IP-Pakete verpackt und einzeln vom Sprecher zum Hörer transportiert, wo sie wieder zusammengefügt und für den Lautsprecher in ein analoges Signal zurückgewandelt werden. In diesem Szenario gibt es neben den aus der herkömmlichen Telefonie bekannten Gefährdungen, zahlreiche neue Risiken. Schließlich sind bei der IP-Telefonie auch alle aus der IP-Welt bekannten Schwachstellen relevant. Das Abhören von Gesprächen, das Auslesen von Adressbuchdaten, das Stören oder Verhindern von Telefongesprächen, Gebührenbetrug oder das Einschleusen von Sprachdaten in bestehende Gespräche sind mögliche Angriffsszenarien. Hauptproblem ist, dass die für IP-Telefonie benötigten Komponenten (Softphones, IP-Telefone, VoIP-Server usw.) oft auf Standard-Rechner-Architekturen und Standard-Betriebssystemen aufbauen und so sämtliche Schwächen dieser Systeme mitbringen. Um den netztypischen Gefährdungen zu begegnen, ist es wichtig, umfassende Sicherheitsmaßnahmen umzusetzen. Hierzu gehört eine Absicherung der einzelnen Komponenten auf Internet- und Transportschicht, wie sie im ISi-Modul Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) beschrieben ist, genauso wie ein VoIP-fähiges Sicherheits-Gateway. Um sich vor dem Abhören zu schützen, ist es zudem unbedingt empfehlenswert, Sprach- und Signalisierungsdaten konsequent zu verschlüsseln sowie in Administration und Betrieb mit Zertifikaten zur Authentisierung zu arbeiten. IP-Telefonie stellt eine ernst zu nehmende Alternative für den Bereich der Telefonie in internen Netzen (LAN) oder für die Verbindung von mehreren Standorten über, im Idealfall selbst betriebene, Weitverkehrsnetze (WAN) dar. Ob IP-Telefonie über das öffentliche Internet, die sogenannte Internet-Telefonie, aktuell eine immer befriedigender Sprachqualität und Verfügbarkeit bietet, um diese Anwendung von IP-Telefonie auch im geschäftlichen Bereich einzusetzen, muss im Vorfeld einer Einsatzentscheidung vor Ort entschieden werden. Wichtig ist in jedem Fall, dass alle notwendigen Sicherheitsmaßnahmen umgesetzt werden, wodurch die Einsparpotenziale erheblich reduziert werden. 1.2 Einführung und Überblick Aktuell gibt es zahlreiche Bestrebungen, die Telekommunikationsnetze (TK-Netze) und die Datennetze (IT-Netze) zu verschmelzen. Hintergrund ist die Erwartung, durch eine gemeinsame Infrastruktur und eine einheitliche Netztechnik Kosten zu sparen. Dabei zeichnet sich eine starke Tendenz zu einer universellen Nutzung des Internet-Protokolls (IP) ab. Die neuen Techniken zur Übertragung von Sprache über IP-Netze werden unter dem Begriff Voice over IP (VoIP) oder zu deutsch IP-Telefonie zusammengefasst. Bundesamt für Sicherheit in der Informationstechnik 5

6 1.2.1 Wie funktioniert IP-Telefonie? Wie bei der herkömmlichen Telefonie besteht ein IP-Telefongespräch grundsätzlich aus drei unterschiedlichen Phasen, dem Verbindungsaufbau, der Sprachübermittlung und dem Verbindungsabbau. Verbindungsauf- und -abbau (Signalisierung) Bevor ein Gespräch im eigentlichen Sinn beginnen kann, muss die Verbindung zwischen den beiden Teilnehmern aufgebaut werden. Hierbei werden verschiedene Parameter (z. B. das zu verwendende Kodierungsverfahren) ausgetauscht, die für die aufzubauende Kommunikation wichtig sind. Verbreitete Signalisierungsprotokolle sind z. B. SIP (Session Initiation Protocol) und H.323 (ein ITU-T-Standard), wobei sich SIP aktuell durchzusetzen scheint. Im Falle von SIP besitzt jeder Teilnehmer eine IP-Telefonie-Adresse, die ähnlich einer - Adresse aufgebaut ist. Endgeräte müssen sich, nachdem sie an das Internet angeschlossen werden, bei dem für sie zuständigen SIP-Server melden. Im Zuge der Signalisierung kann ein Anrufer dann von diesem Server erfahren, wie der gewünschte Gesprächspartner aktuell zu erreichen ist. Für die eigentliche Sprachübermittlung ist der Server dann nicht mehr erforderlich. Die Endgeräte kommunizieren direkt miteinander. Der Verbindungsabbau erfolgt bei SIP vergleichbar zum Aufbau; nach dem Auflegen erfolgt eine kurze Signalisierung des Gesprächsendes über den SIP- Server. Bei H.323 hingegen ist der Server am Verbindungsabbau nicht mehr beteiligt. Sprachübermittlung Im Unterschied zur klassischen Telefonie wird die Sprache bei VoIP nicht über fest geschaltete Kanäle, sondern in kleinen Paketen transportiert. Für die Übertragung der Sprachdaten, die natürlich auch hier in Echtzeit erfolgen muss, wird üblicherweise das Protokoll RTP (Real-Time Transport Protocol) oder seine sichere Variante SRTP (Secure RTP) eingesetzt. Bevor gesprochene Sprache über IP-Netze verschickt werden kann, müssen die vom Mikrofon aufgezeichneten Signale digitalisiert werden. Eine Kompression verringert darüber hinaus in den meisten Fällen die zu übertragende Datenmenge. Diese Umsetzung erfolgt mithilfe eines Kodierungsverfahren, des sogenannten Codec 1. Bei der Komprimierung gibt es einen Zielkonflikt zwischen erzielbarer Sprachqualität und Kompressionsrate. Für unterschiedliche Ansprüche gibt es daher auch verschiedene Komprimierungsverfahren (Codecs). Um die Daten nach dem Transport wieder korrekt in Sprache umwandeln zu können, muss der Empfänger natürlich das gleiche Verfahren benutzen wie der Sender. Der eigentliche Transport der Daten erfolgt anschließend über das Real-Time Transport Protocol (RTP) auf der Basis des User Datagram Protocols (UDP) mit dem zugehörigen Steuer-Protokoll Real-Time Control Protocol (RTCP). Folgende vier Faktoren sind für die Übertragungsqualität der Sprache bei IP-Telefonie relevant: 1. Laufzeit (Latenz): Als Laufzeit wird die Zeit vom gesprochenen Wort bis zur Wiedergabe beim Gesprächspartner bezeichnet. Diese Zeit sollte 150 Millisekunden nicht überschreiten, um auf die Gesprächspartner nicht störend zu wirken. Neben der reinen Signal-Laufzeit auf der Übertragungsstrecke müssen auch die Zeiten für Komprimierung und Dekomprimierung, für Paket-Erzeugung und -Zusammensetzung sowie die Durchlaufzeiten der anderen auf der Strecke 1 Verbreitete Codecs sind z. B. G.711 (unkomprimiert), G und G.729/G.729A. 6 Bundesamt für Sicherheit in der Informationstechnik

7 liegenden Komponenten (Router, Sicherheits-Gateways,...) bei der Bestimmung der Gesamt- Laufzeit von IP-Telefonie-Paketen berücksichtigt werden. 2. Jitter: Nicht jedes Paket kommt nach der gleichen Laufzeit am Ziel an. Um dennoch möglichst viele Pakete wieder zum Ausgabestrom zusammensetzen zu können, führt man eine künstliche Ausgabe-Verzögerung von etwa 10 bis 30 Millisekunden ein, den sogenannten Jitter. Alle Pakete, die innerhalb dieser Zeitspanne ankommen, können korrekt am Hörer ausgegeben werden. Über die Größe des Jitters kann man einstellen, ob man eher eine höhere Ausgabeverzögerung (Laufzeit plus Jitter) oder einen höheren Paketverlust akzeptieren möchte. 3. Paketverlust: Pakete, die nicht oder nicht rechtzeitig vor der Sprachwiedergabe beim Empfänger ankommen, gehen in die sogenannte packet loss rate ein. Diese sollte nach allgemeinen Empfehlungen 5% nicht deutlich überschreiten, um eine qualitativ hochwertige Wiedergabe zu ermöglichen. 4. Durchsatz: Für IP-Telefonie wird in beide Richtungen in der Regel eine Bandbreite von mindestens 80 bis 100 kbit/s benötigt. Die genaue Größe hängt von der gewählten Kodierung ab. Durch den hohen Anteil an Protokoll-Overhead lässt sich die Bandbreite aber nicht beliebig reduzieren. Der Einsatz des Protokolls UDP auf der Transportschicht bedeutet, dass der Empfang der Sprachpakete gegenüber dem Absender nicht bestätigt wird, also keine Übertragungsgarantie besteht. Dies ist jedoch unkritisch, da eine korrekte Wiedergabe auch bei einer gewissen Zahl von Übertragungsfehlern noch gewährleistet ist. Für ein flüssiges Gespräch ist eine geringere Verzögerung hingegen deutlich wichtiger, wie sie durch den Einsatz von UDP im Vergleich zu TCP entsteht. Benötigte Geräte Um IP-Telefonie verwenden zu können, benötigt man ein geeignetes Endgerät. Hier gibt es grundsätzlich drei Möglichkeiten: Sehr häufig eingesetzt werden die sogenannten Softphones, eine Software, die auf dem normalen PC läuft, kombiniert mit Kopfhörer und Mikrofon, z. B. in Form eines Headsets. Alternativ können auch spezielle IP-Telefone verwendet werden, also Hardware-Komponenten, die wie ein PC an das LAN oder WLAN angeschlossen werden. In diesem Fall wird kein PC zum Telefonieren benötigt. Eine dritte Möglichkeit besteht in der Verwendung herkömmlicher Telefone, die über einen Adapter an das LAN angeschlossen werden. Viele preiswerte LAN-Router bieten inzwischen die Möglichkeit, normale Telefone für IP-Telefonie direkt anzuschließen. Um Verbindungen zu herkömmlichen Telefonen oder Telefonnetzen herstellen zu können, werden neben den zuvor beschriebenen Endgeräten sogenannte Gateways benötigt. Diese sind einerseits mit dem IP-Telefon bzw. dem IP-Telefonie-Netz im LAN verbunden und andererseits mit dem herkömmlichen lokalen Telefonnetz oder dem öffentlichen Telefonanschluss. Die Gateways können also zwischen den beiden Welten vermitteln. In komplexen Aufbauten werden zudem diverse Server (z. B. VoIP-, Konfigurations-, Abrechnungs-Server) benötigt. Integriert werden diese Komponenten in die Grundarchitektur, die im ISi-Modul Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) vorgestellt wurde, mit den dort enthaltenen Routern, Switches und Sicherheits-Gateway-Komponenten. Bundesamt für Sicherheit in der Informationstechnik 7

8 1.2.2 Anwendungsszenarien Welche Anwendungsszenarien sind im Rahmen der ISi-Reihe von Interesse? Anschluss von Endgeräten im internen Netz (Intranet-Telefonie) VoIP wird heute vermehrt für die Sprachkommunikation innerhalb von lokalen Netzen (LAN) eines Unternehmens oder einer Behörde genutzt. Der Transport der Signalisierungs- und Sprachdaten erfolgt dabei in der Regel über das bestehende Datennetz. Klares Ziel ist die vollständige Kombination von Daten- und Telefonienetz im LAN um einerseits Einsparungen bei Leitungen, Netzkomponenten, Management, Administration und Wartung zu erzielen und andererseits die Telefonie enger mit den vorhandenen Daten (Kundendaten, Telefonverzeichnisse usw.) zu verknüpfen. Anlagen-Kopplung über ein WAN (Trunking) Zunehmend werden auch an verschiedenen Standorten aufgebaute, lokale TK-Anlagen über IPbasierte Verbindungen mit Kapazitätsreserven gekoppelt. Hier spricht man von Trunking. Das Zusammenführen von Telefonie- und Datennetz in der Standortvernetzung über ein WAN bietet dabei erhebliche Flexibilität, eine effizientere Bandbreitennutzung und damit auch gewisse Einsparpotenziale. Übertragung von Sprache über öffentliche Netze (Internet-Telefonie) Eine dritte Möglichkeit ist die Sprachübertragung über öffentliche IP-Netze, also über das Internet. Dies erfreut sich im privaten Bereich immer größerer Beliebtheit. Dabei werden vornehmlich Softphone-Clients oder kompakte preiswerte VoIP-Gateways eingesetzt, die es erlauben mit herkömmlichen Telefonen Voice over IP zu nutzen. Eine Sprachübertragung über das Internet wird in der Praxis im professionellen Einsatz aufgrund nicht immer ausreichend zuverlässiger Verfügbarkeit (Sprachqualität,...) derzeit nur selten realisiert. Darüber hinaus wird IP-Telefonie zunehmend auch von Providern im Backbone-Bereich der Festnetz-Telefonie eingesetzt, also zwischen den Vermittlungsstellen, ohne dass die Kunden hiervon etwas merken würden. Dieses Einsatzszenario wird im Rahmen des vorliegenden Textes jedoch nicht betrachtet, da es sich aus Kundensicht weiter um Festnetz-Telefonie handelt Unterschiede zur herkömmlichen Telefonie VoIP unterscheidet sich von der heute noch vorherrschenden Sprachtelefonie in vielerlei Hinsicht. Wesentliche Aspekte sind z. B.: 1. Teilnehmerzuordnung: Im herkömmlichen Telefonnetz ist die Teilnehmerzuordnung portgebunden, d. h. jeder Teilnehmeranschluss ist physisch mit einem Anschluss in der Vermittlungsstelle verbunden. Eine zusätzliche Authentifizierung findet nicht statt. In IP-Netzen hingegen erfolgt die Teilnehmerzuordnung ausschließlich über beliebig fälschbare IP- bzw. MAC-Adressen; die authentische Zuordnung muss über zusätzliche Mechanismen vorgenommen werden, wie z. B. über zertifikatsbasierte Methoden. 2. Signalisierung und Vermittlung der Sprachdaten: Bei ISDN erfolgt die Signalisierung außerhalb des normalen Sprachkanals (out-band) über den sogenannten D-Kanal. Das Telefonienetz stellt den Endgeräten daraufhin einen festen Kanal zur Sprachübertragung zwischen den Teilnehmer- Ports zur Verfügung. 8 Bundesamt für Sicherheit in der Informationstechnik

9 Bei VoIP hingegen erfolgt im Rahmen der Signalisierung lediglich ein Austausch der IP- Adressen der Gesprächsteilnehmer, und zwar im selben Netz wie die spätere Übermittlung der Sprachdaten (also in-band). Anschließend können die Telefone über das IP-Netz auf beliebigen Wegen kommunizieren. Jedes einzelne Sprachpaket wird dabei anhand der enthaltenen Adressangaben separat vermittelt. Die Vermittlung der Sprachdaten erfolgt in der bisherigen Telefonie also verbindungsorientiert, bei IP-Telefonie paketorientiert. 3. Protokoll-Overhead: Bei VoIP werden die Sprachdaten in der Regel in Form von RTP-Paketen verschickt. RTP baut als Protokoll auf UDP und IP auf. Der Protokoll-Overhead ist durch die mehreren Protokollschichten bei VoIP sehr hoch, typischerweise beträgt er etwa 60 Byte bei einer Nutzdatengröße von etwa 20 bis 40 Byte (abhängig von der verwendeten Sprachkodierung). 4. Endgeräte: Herkömmliche Telefone sind technisch häufig stark eingeschränkt auf die eigentliche Telefonie-Funktion. Dies gilt insbesondere für analoge Geräte. Heutige VoIP-Endgeräte (insbesondere Softphones) und sonstige VoIP-Komponenten (z. B. VoIP-Server) basieren hingegen auf herkömmlichen Rechnerplattformen, meist mit Standard-Betriebssystemen und Standard-Management-Mechanismen. Dies führt zu einem höheren Gefährdungspotenzial, z. B. durch die Ausnutzung von bekannten Fehlern im Programmcode oder durch Ausnutzung von Fehlkonfigurationen. 1.3 Wesentliche Ergebnisse der Gefährdungsanalyse Bei der IP-Telefonie bestehen die Gefährdungen der klassischen Telefonie weitgehend fort. Hinzu kommen jedoch alle Schwachstellen auf den unteren Schichten (IP, TCP/UDP) eines Datennetzes. Schließlich werden Signalisierungs- und Sprachdaten über IP-Netze übertragen und auf ihrem Weg von zahlreichen IP-Komponenten (Router, Gateways, PC-basierte Server) verarbeitet, die häufig nicht sicher implementiert oder konfiguriert sind. Im Vergleich zur klassischen Telefonie ist die IP-Telefonie folglich mit zusätzlichen Gefährdungen verbunden. Hierauf soll im Folgenden eingegangen werden. Kernbedrohung: Eindringen in eine VoIP-Komponente Stellten in der klassischen Telefonie die separat verlegten Leitungen, die proprietären Protokolle und die komplexen Anlagen in den zentralen Vermittlungsstellen eine ausreichende Hürde dar, um normale Hacker von einem Eindringen abzuhalten, so liegt diese Hürde in IP-Netzen deutlich niedriger. Die wichtigste Bedrohung für die IP-Telefonie ist daher das Eindringen in eine der am Datenverkehr beteiligten Komponenten, sei es ein Server, ein Gateway, ein PC, auf dem ein Softphone betrieben wird, oder womöglich das VoIP-fähige Sicherheits-Gateway. Hat ein Angreifer eine dieser Komponenten übernommen, so kann er diese vollständig umkonfigurieren und so beliebige Schäden anrichten: vom Abrechnungsbetrug über das Mithören von Gesprächen, vom Denial-of-Service bis hin zum Auslesen aller auf der Komponente gespeicherten Daten wie Telefonbücher, Anruflisten oder Verbindungsdaten. Da der Fokus bei neuen Techniken wie VoIP fast immer auf den funktionalen Eigenschaften liegt, lässt die Sicherheit von Hardware und Software oft zu wünschen übrig. Dadurch hat es ein Angreifer im VoIP-Umfeld derzeit noch besonders leicht: Viele Komponenten basieren auf nicht Bundesamt für Sicherheit in der Informationstechnik 9

10 gehärteten, d. h. nicht speziell abgesicherten, Standard-Betriebssystemen. Diese Systeme sind zudem nicht immer aktuell gepatcht, sodass verbreitete Schadprogramme (Viren, Würmer, Trojanische Pferde) recht einfach in die Systeme eindringen können. Trojanische Pferde können z. B. Anrufe ohne Wissen des Anwenders tätigen, lokale Informationen (Telefonbuch,...) ausspähen und an den Angreifer weiterleiten oder Gespräche belauschen. Auch das Umfunktionieren eines IP-Telefons in eine Wanze, das sogenannte Raumabhören, ist ein denkbares Angriffsszenario. Generell lässt sich sagen, dass Softphones besonders anfällig sind für Angriffe von Programmen mit Schadfunktion; Softphones dürfen in Sicherheitszonen mit hohem Schutzbedarf auf keinen Fall verwendet werden. Besser geeignet sind IP-Telefone; diese haben eine eigene Netzschnittstelle und basieren fast immer auf proprietären Betriebssystemen, deren Einstellungen auf die geforderte Funktionalität zugeschnitten sind. Ein Sicherheitsproblem entsteht bei den IP-Telefonen jedoch, wenn die integrierten Mini-Switches genutzt werden, um einen Computer über den selben Port an das LAN anzuschließen wie das IP-Telefon. Wird in diesem Fall das IP-Telefon übernommen, so kann auch der gesamte Datenverkehr zum PC abgehört werden. Die auf proprietären, gehärteten Betriebssystemen basierenden VoIP-Middleware-Komponenten haben, statistisch gesehen, eine bessere Resistenz gegen Schadprogramme. Aber auch hier ist eine Übernahme durch Angreifer möglich, wenn Sicherheits-Patches nicht umgehend eingespielt werden. Bedrohungen der Sicherheitsgrundwerte Nachfolgend sind einige Beispiele für konkrete Bedrohungen bei der IP-Telefonie aufgeführt, gegliedert nach den drei elementaren Sicherheitsgrundwerte Verfügbarkeit, Vertraulichkeit und Integrität: Bedroht ist die Verfügbarkeit des Telefoniedienstes an sich sowie die Verfügbarkeit von Abrechnungs-Informationen. Bedroht ist die Vertraulichkeit der Sprachdaten und der Verbindungsdaten, aber auch aller im Telefon gespeicherter weiterer Daten wie z. B. Telefonbücher, Anruflisten usw. Bedroht ist auch die Integrität und Authentizität der Sprachdaten sowie der zugehörigen Metadaten wie Sendezeitpunkt der Sprachdaten, Identität des Anrufers und des gerufenen Benutzers, Status von Endgeräten bzw. eines Rufes u. v. m. Was kann konkret passieren? VoIP-Systeme sind IP-basierte Anwendungen und erben als solche alle Schwachstellen und Bedrohungen des zugrunde liegenden IP-Netzes (bis hoch zur Transportschicht), also insbesondere die Schwachstellen und Bedrohungen der Protokolle IP, TCP, UDP, ICMP. Eine umfassende Gefährdungsanalyse für ein LAN findet sich in ISi-LANA. Alle dort aufgelisteten Gefährdungen gelten auch für die IP-Telefonie. Alle dort gegebenen Empfehlungen müssen demnach auch hier umgesetzt werden. Darüber hinaus gibt es bei VoIP, wie bei anderen Diensten und Anwendungen auch, weitere Schwachstellen auf der Anwendungsschicht, die Angreifer gezielt ausnutzen können. So ist der Datenverkehr in den Standard-Implementierungen stets unverschlüsselt. Wurde die Sprache bei der klassischen Telefonie i. d. R. über separate Netze übertragen, die nicht so ohne Weiteres anzuzapfen waren, so sendet VoIP seine Sprachdaten-Pakete über die normalen 10 Bundesamt für Sicherheit in der Informationstechnik

11 Datennetze und die darin enthaltenen Rechner. Wie einfach VoIP-Gespräche abgehört werden können, wenn physischer Zugang zu einer Komponente im Datenverkehr besteht, zeigen weit verbreitete Werkzeuge wie Vomit. Auch für das häufig genutzte Sniffing-Programm Ethereal gibt es inzwischen Plugins zum Auswerten der Signalisierung und somit zum Abhören des gesamten Gesprächs die Vertraulichkeit der Daten ist somit nicht gewahrt. Hier könnte eine korrekt implementierte Verschlüsselung Abhilfe schaffen. Aber Vorsicht: nicht jede Implementierung tut, was sie soll: zwischen manchen Endgeräten wird der Schlüssel im Klartext ausgetauscht, unmittelbar vor der Verschlüsselung der Sprachdaten. Hier hat ein Angreifer leichtes Spiel. Angriffe auf die Verfügbarkeit setzen häufig auf den unteren Protokollschichten an, wie sie in ISi- LANA beschrieben sind. Diese Angriffe können einen Totalausfall der IP-Telefonie herbeiführen oder auch nur eine sehr schlechte Gesprächsqualität verursachen. Dabei müssen oft nicht einmal Sicherheitshürden überwunden werden. Ein Beispiel: Eine Überflutung mit UDP-Datenpaketen (UDP Packet Storm) kann dazu führen, dass die Sprachqualität deutlich absinkt. Eine anwendungsspezifische Gefährdung der Verfügbarkeit stellt SPIT (Spam over Internet Telephony) dar, die IP-Telefonie-Variante von Spam. Aufgrund der geringen Kosten für IP-basierte Telefonate ist zu befürchten, dass SPIT zu einer ähnlichen Belästigung wird wie Spam, sobald Internet-Telefonie eine ausreichend große Verbreitung erreicht hat. Eine Schwachstelle stellen auch die häufig von Providern betriebenen zentralen Server dar, die durch gezielte Angriffe außer Betrieb gesetzt werden oder schlichtweg durch technische Defekte ausfallen können. Sind diese VoIP-Server nicht mehr verfügbar, so wird das Telefonieren über IP für die angeschlossenen Teilnehmer komplett unmöglich. Ein weiterer Schwachpunkt ist, dass die Integrität und die Authentizität der ausgetauschten Daten häufig nicht geschützt ist. So ist es z. B. möglich, fremde Gespräche abzubrechen oder Sprachinformationen in ein Gespräch einzuschleusen. Deutlich einfacher als bei der klassischen Telefonie ist es auch, mitgeschnittene Sprachnachrichten ein zweites Mal zu senden (sogenannter Replay-Angriff). Die fehlende Authentifizierung von Signalisierungsnachrichten ermöglicht zudem das Sich- Ausgeben als VoIP-Server bzw. das Vortäuschen einer falschen Identität als Anrufer (URI- Spoofing). Werden auf diese Weise Gateways zu anderen VoIP-Inseln oder zum ISDN-Netz getäuscht, kann Gebührenbetrug begangen werden. Die genaue Gefährdungssituation hängt jedoch vom eingesetzten Protokoll ab. Ein weiteres, konkretes Angriffsszenario wäre das sogenannte Vishing als Pendant zum Phishing. Hierbei leiten Angreifer ahnungslose Kunden auf gefälschte Hotlines weiter, um sich auf diese Weise deren Zugangsdaten zu Bankkonten o. Ä. zu erschleichen. Der Fantasie der Angreifer sind keine Grenzen gesetzt. 1.4 Wesentliche Empfehlungen Zahlreiche Empfehlungen und Maßnahmen müssen umgesetzt werden, um IP-Telefonie sicher betreiben zu können. Bevor im Folgenden auf die VoIP-spezifischen Empfehlungen eingegangen wird, ein allgemeiner Hinweis: Bundesamt für Sicherheit in der Informationstechnik 11

12 Standard-Sicherheitsmaßnahmen auf unteren Schichten Die allgemein auf IP- und Ethernet-Netze zutreffenden Empfehlungen sowie die Standard- Empfehlungen für Server und Clients (z. B. minimales, gehärtetes System, aktueller Patch-Stand) gelten auch für VoIP-Umgebungen und müssen auch hier auf allen eingesetzten Komponenten im vollen Umfang umgesetzt werden. Siehe hierzu das ISi-Modul Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA). Wichtig ist dabei auch der Schutz vor physikalischem Zugriff auf die Netzkomponenten und eine Absicherung gegen Strom- und Geräteausfall. Konkret sollten die wichtigen Komponenten durch unterbrechungsfreie Stromversorgung (USV) abgesichert werden. Außerdem sollten die Endgeräte über Power-over-Ethernet (PoE) versorgt werden, da individuelle Steckernetzteile von IP- Telefonen häufige Quellen für Ausfälle und unnötige Brandgefahren darstellen. Entscheidend ist aber auch die redundante Auslegung, insbesondere der Middleware-Komponenten. Hierbei sollten die Zweitgeräte ebenfalls jederzeit im Einsatz sein (hot standby oder im Rahmen einer Lastverteilung parallel genutzt), um die üblicherweise sehr hohen Ansprüche an die Verfügbarkeit erfüllen zu können, wie man sie aus der klassischen Telefonie kennt. Maßnahmen gegen das Eindringen in VoIP-Komponenten Um Hackern ein Eindringen in die VoIP-Komponenten weiter zu erschweren, sollte bei Endgeräten eine starke Authentifizierung umgesetzt werden, idealerweise auf der Basis von Zertifikaten. Zudem sollte die Switch-Funktionalität der VoIP-Endgeräte deaktiviert werden, da die integrierten Mini-Switches i. d. R. nicht ausreichend konfiguriert werden können und so zum Sicherheitsrisiko werden. Nachteil ist allerdings, dass dann pro Arbeitsplatz zwei Ports und zwei getrennte Kabel benötigt werden. Dieser Nachteil sollte aus Sicherheitssicht jedoch in Kauf genommen werden. Leider gibt es eine Vielzahl von VoIP-Komponenten auf dem Markt, die keinen verschlüsselten Remote-Zugang für die Administration bieten. Es ist daher besonders wichtig, schon bei der Produktauswahl darauf zu achten, dass nur VoIP-Komponenten beschafft werden, die über verschlüsselte Protokolle administriert werden können, idealerweise unter Nutzung von Zertifikaten zur Authentisierung. Häufig wird auch eine strikte Trennung von Sprach- und Datennetz empfohlen. Dies ist jedoch zweischneidig. Eigentlich wäre eine physikalische Trennung der beiden Funktionalitäten sinnvoll und diese sollte man in Bereichen mit hohem Schutzbedarf auch fordern andererseits basieren viele der funktionalen Vorteile von IP-Telefonie gerade auf der Integration von Daten- und Telekommunikations-Netzen, so z. B. das direkte Anwählen im -Adressbuch gespeicherter Kontakte oder der Zugriff von Telefonie-Komponenten auf LDAP-Server. Insofern müssen die Vor- und Nachteile hier sorgfältig abgewogen werden. Ist der Einsatz von Softphones gewünscht, ist eine Netztrennung schon prinzipiell nicht möglich. Zur Trennung von Daten- und Sprachnetz können Paketfilter als Sicherheits-Gateway eingesetzt werden; möglichst sollten hierfür dann zustandsbasierte Paketfilter verwendet werden (stateful packet inspection). Sicherheits-Gateway und IP-Telefonie Soll IP-Telefonie über die Netzgrenze zum Internet hinweg genutzt werden, so muss das in der ISi- LANA-Grundarchitektur empfohlene, aus Paketfilter, Application-Level Gateway (ALG) und Paketfilter (PAP) bestehende Sicherheits-Gateway in der Lage sein, die verwendeten Signalisierungsprotokolle mit dem gesamten Verbindungsaufbau zu analysieren und die jeweiligen Zustände zu speichern. 12 Bundesamt für Sicherheit in der Informationstechnik

13 Der Vorteil eines solchen VoIP-fähigen Sicherheits-Gateways macht sich gerade bei der Übertragung von RTP-Paketen bemerkbar. Die für die RTP-Übertragung zu verwendenden UDP- Ports werden im Rahmen der Signalisierung zwischen den Endpunkten vereinbart. Da das VoIPfähige ALG den Austausch der Protokollnachrichten verfolgt, in denen die IP-Adressen und die UDP-Ports vereinbart werden, kann es dynamisch Filter setzen, die den betreffenden RTP-Strom passieren lassen. Beim Einsatz eines reinen Paketfilters müssten hingegen große UDP-Port-Bereiche (z. B. von ) dauerhaft geöffnet werden, um eingehenden RTP-Datenverkehr zu ermöglichen 2. Solche Konfigurationen würden ein erhebliches Sicherheitsrisiko darstellen, da sie eine große Angriffsfläche für DoS-Angriffe (UDP Flooding) u. a. böten. ALGs mit Proxy-Funktionalität (SIPbewusstes ALG, SIP-Proxy-Server) für VoIP-Protokolle wie SIP und RTP hingegen öffnen nur die im Rahmen der SIP-Signalisierung mitgeteilten und somit tatsächlich benötigten UDP-Ports für die Dauer der Kommunikation und bieten daher weniger Angriffsmöglichkeiten. Am Sicherheits-Gateway wird häufig eine Adress-Umsetzung mithilfe von NAT (Network Address Translation) vorgenommen. Dies kann bei IP-Telefonie zum Problem werden. Bei den Signalisierungsprotokollen werden die IP-Adressen und Portnummern der Kommunikationspartner nicht nur auf Transportschicht, sondern auch innerhalb des Nachrichtenteils der Pakete zwischen den Endsystemen ausgetauscht, also auf Anwendungsschicht. Bei der Adress-Umsetzung mit NAT werden die IP-Adressen und Ports aber nur im UDP- bzw. TCP-Header modifiziert. Die entsprechenden Angaben im Nachrichtenteil bleiben hingegen unverändert. Ohne weitere Maßnahmen können daher keine Sprachdaten zwischen den VoIP-Telefonen ausgetauscht werden. Für dieses Problem gibt es inzwischen einige Lösungsmöglichkeiten namens MIDCOM, STUN, TURN oder ICE. Diese Verfahren ermitteln z. B. die öffentliche Adresse, unter der ein SIP-Telefon gerade über eine NAT-Grenze hinweg telefonieren möchte, und teilen diese dem SIP-Telefon mit, sodass die Adresse auch auf Anwendungsschicht verwendet werden kann. Es ist wichtig, dass einer dieser Ansätze angewendet wird, wenn IP-Telefonie über ein Sicherheits-Gateway mit NAT erfolgen soll. Abschließend noch zwei wichtige Punkte für Auswahl und Einsatz des Sicherheits-Gateways: Die CPU der Komponenten des Sicherheits-Gateways wird aufgrund der vielen kleinen Datenpakete sehr stark belastet. Sie muss daher ausreichend leistungsstark ausgelegt werden. Das Sicherheits- Gateway muss zudem so eingerichtet werden, dass eingebaute IDS-Mechanismen diese vielen Pakete nicht fälschlicherweise als DoS-Angriff (UDP Flooding) werten. Sicherstellung der Verfügbarkeit: Dienstgüte und Netzmanagement Wesentliche Empfehlungen zur Sicherstellung einer hohen Verfügbarkeit wurden schon weiter oben gegeben. Häufig muss darüber hinaus nichts unternommen werden, da die verfügbaren Bandbreiten weit über der Auslastung des Netzes liegen, sodass Sprach-Datenpakete in aller Regel ausreichend schnell ihr Ziel erreichen. Diese Strategie wird Overprovisioning genannt. Wichtig ist es jedoch, die Auslastung des Netzes sowie der CPUs der aktiven Komponenten permanent zu überwachen und die zuständigen Administratoren bei auftretenden Problemen umgehend automatisiert zu alarmieren. Und selbst dann kann die Strategie des Overprovisioning durch gezielte Angriffe überlistet werden. Ein anderer Ansatz besteht darin, die Dienstgüte jedes einzelnen Pakets individuell vorzugeben, also z. B. Sprach-Pakete höher zu priorisieren als normale Daten-Pakete. Man spricht hier von Differentiated Services (DiffServ) oder Class of Services (CoS). Sollen Differentiated Services 2 Bei Verwendung des in diesem Text nicht weiter betrachteten Protokolls IAX wird immer nur ein Port benötigt, was aus Sicherheitssicht besser ist. Bundesamt für Sicherheit in der Informationstechnik 13

14 eingesetzt werden, so muss dies jedoch lückenlos implementiert werden. Leider missachten viele Router im Internet eine entsprechende Angabe, sodass sich der Ansatz bisher nur für den Einsatz im Intranet eignet. Eine einfacher umzusetzende Maßnahme besteht im Traffic Shaping, also der gezielten Vorgabe von Maximal-Bandbreiten für bestimmte Arten von Daten. Auch diese Maßnahme kann jedoch gezielt umgangen werden, indem z. B. andere Port-Adressen verwendet werden. Trotz hochredundanter Ausführung wird eine VoIP-Installation immer anfällig sein für DoS- Angriffe; das Restrisiko kann nicht auf Null reduziert werden. Ziel muss es daher sein, dass die Systeme eventuelle Angriffe unbeschadet überstehen und nach Abschluss des Angriffs sehr schnell wieder einsatzfähig sind. Neben den beschriebenen Maßnahmen im lokalen Netz sollte bei Nutzung eines VoIP-Providers dieser im Hinblick auf die benötigte Verfügbarkeit sorgfältig ausgewählt werden. Nur so kann sichergestellt werden, dass ein Ausfall eines einzelnen Servers nicht die gesamte, Internet-Telefonie einer Institution lahmlegt. Sicherstellung der Vertraulichkeit und Integrität: Verschlüsselung und Hash-Werte Betrachtet man die beiden Sicherheitsgrundwerte Vertraulichkeit und Integrität, so muss zwischen den eigentlichen Sprachdaten und den Signalisierungsdaten unterschieden werden. Betrachten wir zunächst die Sprachdaten. Bei hohem Schutzbedarf ist es zwingend erforderlich, die Sprachdaten verschlüsselt zu übertragen. Aber auch bei normalem Schutzbedarf sollte man diesen Schutz ernsthaft in Erwägung ziehen. Denn ein Abhören der Sprachdaten ist im Vergleich zur klassischen Telefonie deutlich einfacher. Zur Verschlüsselung eignen sich grundsätzlich zwei Verfahren: Sollen zwei VoIP-Inseln über ein unsicheres Netz miteinander verbunden werden, bietet sich in erster Linie die Nutzung eines VPN- Tunnels an, der i. d. R. mithilfe von IPSec realisiert wird. Ein Abhören auf der Übertragungsstrecke ist damit quasi unmöglich. Diese Empfehlung kommt insbesondere zum Tragen, wenn ein solches VPN bereits besteht, weil es z. B. für die Datenkommunikation zwischen den beiden zu verbindenden Inseln bereits genutzt wird. Für die Verschlüsselung von Sprachdaten, insbesondere innerhalb eines lokalen Netzes, bietet sich darüber hinaus SRTP an, die verschlüsselte Übertragungsvariante des Anwendungsprotokolls RTP. SRTP bietet neben Verschlüsselung auch noch die Authentifizierung des Absenders, die Überprüfung der Integrität und einen Schutz gegen das Wiedereinspielen von Nachrichten. Es sichert damit hinreichend gegen das Abhören und Manipulieren von Datenströmen. Gleichzeitig muss dann jedoch auch das sichere Steuerungsprotokoll SRTCP statt RTCP zum Einsatz kommen. Ein geeignetes Schlüsselmanagement ist hierfür zusätzlich erforderlich. Zur Gewährleistung von Senderauthentizität und Nicht-Abstreitbarkeit wird in der SRTP- Spezifikation auf Hash-Werte zurückgegriffen, und nicht etwa auf elektronische Signaturen, da letztere zu hohen Effizienz-Verlusten führen könnten. Ohnehin können die bei VoIP übertragenen Sprachdaten oft ohne Authentifizierung und Integritätsschutz auskommen, nämlich immer dann, wenn die Stimme des Gesprächspartners und der Gesprächsinhalt über die Richtigkeit der übertragenen Daten Aufschluss geben. Auf eine Authentifizierung der RTCP-Nachrichten sollte jedoch auch in diesem Fall nicht verzichtet werden. 14 Bundesamt für Sicherheit in der Informationstechnik

15 Schutz der Signalisierungsdaten Neben der sicheren Sprachübertragung ist auch eine Absicherung der Signalisierung notwendig, um z. B. Gebührenbetrug vorzubeugen. Zu diesem Zweck gibt es verschiedene Möglichkeiten, die insbesondere auch vom verwendeten Signalisierungsprotokoll abhängen. Beispielhaft betrachten wir im Folgenden SIP. Ein grundlegendes Problem in der Absicherung von Signalisierungsprotokollen besteht darin, dass i. d. R. mehrere Komponenten (Endgeräte und Server) involviert sind, die jeweils Teile der Signalisierungsnachrichten lesen oder sogar verändern müssen. Daher befürwortet der SIP-Standard für die Signalisierung Hop-to-Hop-Sicherheit unterhalb der Anwendungsschicht. In diesem Fall liegt zwar keine echte Ende-zu-Ende-Sicherheit mehr vor, der Sicherheitsverlust ist jedoch gering, da den an der Kommunikation beteiligten Servern ohnehin vertraut werden muss. Zum Schutz ganzer SIP-Nachrichten (inklusive Header) gibt es darüber hinaus das SIP Tunneling: Die zu schützende SIP-Nachricht wird vollständig als Body einer zweiten, sogenannten äußeren SIP-Nachricht behandelt, signiert und verschlüsselt, und mit einem identischen SIP-Header versehen an den SIP-Proxy gesendet. Zur Verschlüsselung der SIP-Nachrichten können S/MIME oder TLS genutzt werden. Da S/MIME aber leider nur als optional spezifiziert ist, bleibt es fraglich, ob und wann S/MIME in VoIP- Komponenten auch wirklich nutzbar sein wird. Alle konformen SIP-Server müssen hingegen schon heute das TLS-Protokoll sowohl mit gegenseitiger Authentifizierung als auch mit Einweg-Authentifizierung unterstützen. Beim Einsatz von TLS muss auf der Transportschicht dann allerdings TCP statt UDP verwendet werden, was zusätzlichen Protokoll-Overhead erzeugt. Der SIP-Standard scheint TLS auch gegenüber IPSec zu bevorzugen und sieht die Unterstützung von IPSec daher nur optional vor. Er lässt notwendige Details offen. Voraussetzung für den breiten Einsatz von IPSec in SIP-Systemen wäre somit die Spezifikation eines entsprechenden IPSec- Profils, was derzeit jedoch nicht existiert. 1.5 Fazit Telefonie über IP-Netze verspricht Kosteneinsparungen und einen Gewinn an Komfort, die Verschmelzung bisher getrennter Netze ist daher ein beliebtes Feld für technische Innovationsbestrebungen. Gerade diese Verschmelzung bringt es aber mit sich, dass bei IP- Telefonie deutlich mehr Gefährdungen bestehen als in der klassischen Telefonie. Dennoch: VoIP stellt eine ernsthafte Alternative zur klassischen Telefonie dar, sofern systematisch Sicherheitsmaßnahmen umgesetzt werden, um den Gefahren aus IP- und TK-Welt ausreichend zu begegnen. Die zukünftige Entwicklung von VoIP wird wesentlich davon abhängen, ob es gelingt die VoIP- Systeme mit der gleichen Verlässlichkeit zu betreiben, die Anwender von ihrem bisherigen Telefoniesystem gewohnt sind. Hierzu gehört neben einer hohen Verfügbarkeit, einer verlässlichen Funktionalität vor allem eine einwandfreie Sprach- und Verbindungsqualität. Geeignete Sicherheitsmaßnahmen sind heute technisch und organisatorisch realisierbar. Allerdings unterstützt nur ein kleiner Teil der aktuell auf dem Markt befindlichen Systeme die erforderlichen Sicherheitsmaßnahmen im erforderlichen Umfang. Die Auswahl sicherer Komponenten ist daher im VoIP-Umfeld derzeit noch besonders wichtig. Bundesamt für Sicherheit in der Informationstechnik 15

16 Ob VoIP aber tatsächlich zu nennenswerten Einsparungen führt, sei dahingestellt. Denn die für einen verlässlichen Betrieb von VoIP-Systemen notwendigen Sicherheitsmaßnahmen sind mit einem ernst zu nehmenden technischen und finanziellen Aufwand verbunden. Innovation hat ihren Preis, wenn man sie sicher gestalten will, um nicht unberechenbare Risiken einzugehen. 16 Bundesamt für Sicherheit in der Informationstechnik

17 2 Stichwort- und Abkürzungsverzeichnis Administrator...13 ALG (Application-Level Gateway)...12, 13 Anwendungsschicht...10, 13, 15 Authentifizierung...8, 11, 12, 14, 15 Authentisierung...5, 12 Authentizität...10, 11 Backbone...8 Baustein...1 Bedrohung...9, 10 Betriebssystem...5, 9, 10 Codec...6 CoS (Class of Services)...13 CPU (Central Processor Unit)...13 DiffServ (Differentiated Service)...13 DoS (Denial of Service)...13, 14 (Electronic Mail)...2, 5, 6, 12 Ethernet...12 Gefährdung...5, 9-11, 15 DoS (Denial of Service)...13, 14 Phishing...11 Sniffing...11 Spam...11 Spoofing...11 Gefährdungsanalyse...4, 9, 10 Grundarchitektur...7, 12 H Hardware...7, 9 Hash...14 ICE (Information and Content Exchange)...13 ICMP (Internet Control Message Protocol)...10 IDS (Intrusion Detection System)...13 Integrität...10, 11, 14 Intranet...8, 14 IP (Internet Protocol)...1, 4-13, 15 IPSec (Internet Protocol Security)...14, 15 ISDN (Integrated Services Digital Network)...8, 11 ISi (Internet-Sicherheit)... ISi-L (ISi-Leitfaden)...1 ISi-Reihe...1, 8 ISi-S (ISi-Studie)...1 IT-Sicherheit... Authentizität...10, 11 Integrität...10, 11, 14 Verfügbarkeit...5, 8, Vertraulichkeit...10, 11, 14 ITU (International Telecommunication Union)...6 ITU-T (Telecommunication Standardization Sector)...6 Bundesamt für Sicherheit in der Informationstechnik 17

18 Jitter...7 LAN (Local Area Network)...5, 7, 8, 10 Latenz...6 LDAP (Lightweight Directory Access Protocol)...12 MAC (Media Access Control)...8 MIDCOM (Middlebox Commmunication)...13 Middleware...10, 12 MIME (Multipurpose Internet Mail Extensions)...15 NAT (Network Address Translation)...13 Overprovisioning...13 Paketfilter...12, 13 PAP (Paketfilter - Application-Level Gateway - Paketfilter)...12 Patch...10, 12 PC (Personal Computer)...7, 9, 10 Phishing...11 PoE (Power over Ethernet)...12 Protokoll... H ICE (Information and Content Exchange)...13 ICMP (Internet Control Message Protocol)...10 IP (Internet Protocol)...1, 4-13, 15 IPSec (Internet Protocol Security)...14, 15 LDAP (Lightweight Directory Access Protocol)...12 RTCP (Real Time Control Protocol)...6, 14 RTP (Realtime Transport Protocol)...6, 9, 13, 14 SIP (Session Initiation Protocol)...6, 13, 15 SRTCP (Secure Real Time Control Protocol)...14 TCP (Transmission Control Protocol)...7, 9, 10, 13, 15 TLS (Transport Layer Security)...15 UDP (User Datagram Protocol)...6, 7, 9-11, 13, 15 VoIP (Voice over IP)...1, 5-16 Proxy...13, 15 Restrisiko...14 Risiko...5, 16 Router...7, 9, 14 RTCP (Real Time Control Protocol)...6, 14 RTP (Realtime Transport Protocol)...6, 9, 13, 14 Schadprogramm...10 Trojanisches Pferd...10 Virus...10 Wurm...10 Schlüsselmanagement...14 Schutzbedarf...10, 12, 14 Schwachstelle...5, 9-11 Sicherheits-Gateway...5, 7, 9, 12, 13 ALG (Application-Level Gateway)...12, 13 Paketfilter...12, 13 PAP (Paketfilter - Application-Level Gateway - Paketfilter)...12 Sicherheitsgrundwerte...10, 14 Sicherheitsmaßnahme...5, 12, 15, Bundesamt für Sicherheit in der Informationstechnik

19 Signalisierung...6, 8, 9, 11, 13, 15 SIP (Session Initiation Protocol)...6, 13, 15 Sniffing...11 Softphone...5, 7-10, 12 Spam...11 SPIT (Spam over Internet Telephony)...11 Spoofing...11 SRTCP (Secure Real Time Control Protocol)...14 SRTP (Secure Real-Time Transport Protocol)...6, 14 STUN (Simple Traversal of UDP through NAT)...13 Switch...7, 10, 12 TCP (Transmission Control Protocol)...7, 9, 10, 13, 15 TCP/IP-Referenzmodell... Anwendungsschicht...10, 13, 15 Transportschicht...5, 7, 10, 13, 15 TK (Telekommunikation)...5, 8, 15 TLS (Transport Layer Security)...15 Traffic Shaping...14 Transportschicht...5, 7, 10, 13, 15 Trojanisches Pferd...10 Trunking...8 TURN (Traversal Using Relay NAT)...13 UDP (User Datagram Protocol)...6, 7, 9-11, 13, 15 URI (Universal/Uniform Resource Identifier)...11 USV (Unterbrechungsfreie Stromversorgung)...12 Verfügbarkeit...5, 8, Vertraulichkeit...10, 11, 14 Virus...10 Vishing...11 VoIP (Voice over IP)...1, 5-16 VPN (Virtual Private Network)...14 WAN (Wide Area Network)...5, 8 WLAN (Wireless Local Area Network)...7 Wurm...10 Zertifikat...5, 12 Bundesamt für Sicherheit in der Informationstechnik 19

VoIP Grundlagen und Risiken

VoIP Grundlagen und Risiken VoIP Grundlagen und Risiken Hochschule Bremen Fakultät Elektrotechnik und Informatik 1 Zu meiner Person Informatik-Professor an der Hochschule Bremen Aktuelle Lehrgebiete: Rechnernetze Informationssicherheit

Mehr

Kurzbericht: Sicherheit bei der Voice over IP Telefonie (VoIP)

Kurzbericht: Sicherheit bei der Voice over IP Telefonie (VoIP) Der Diözesandatenschutzbeauftragte der Erzbistümer Berlin und Hamburg der Bistümer Hildesheim, Magdeburg, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.o. Kurzbericht: Sicherheit bei

Mehr

VoIP Ekiga.net. Was Ist VoIP Definition

VoIP Ekiga.net. Was Ist VoIP Definition Telefonie & VoIP VoIP PSTN Telefonie & Datennetz Einordnung ins OSI-7-Schichtenmodell Ekiga.net Vermittlungsdienst Ekiga - Kamailio Ekiga Softphone Was Ist VoIP Definition Internet-Telefonie oder Voice

Mehr

Geschichte und Anwendungsgebiete

Geschichte und Anwendungsgebiete VoIP Geschichte und Anwendungsgebiete Sehr geehrter Herr Schmid, liebe Mitschüler, wir möchte euch heute die Geschichte und die Anwendungsgebiete von Voice over IP etwas näher bringen. 1 Inhaltsangabe

Mehr

VoIP Security. Konzepte und Lösungen für sichere VoIP-Kommunikation. von Evren Eren, Kai-Oliver Detken. 1. Auflage. Hanser München 2007

VoIP Security. Konzepte und Lösungen für sichere VoIP-Kommunikation. von Evren Eren, Kai-Oliver Detken. 1. Auflage. Hanser München 2007 VoIP Security Konzepte und Lösungen für sichere VoIP-Kommunikation von Evren Eren, Kai-Oliver Detken 1. Auflage Hanser München 2007 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 446 41086 2 Zu Leseprobe

Mehr

Voice over IP. Sicherheitsbetrachtung

Voice over IP. Sicherheitsbetrachtung Voice over IP Sicherheitsbetrachtung Agenda Motivation VoIP Sicherheitsanforderungen von VoIP Technische Grundlagen VoIP H.323 Motivation VoIP Integration von Sprach und Datennetzen ermöglicht neue Services

Mehr

Voice over IP (VoIP) PING e.v. Weiterbildung Dennis Heitmann 13.08.2009

Voice over IP (VoIP) PING e.v. Weiterbildung Dennis Heitmann 13.08.2009 Voice over IP (VoIP) PING e.v. Weiterbildung Dennis Heitmann 13.08.2009 Gliederung Was ist VoIP? Unterschiede zum herkömmlichen Telefonnetz Vorteile und Nachteile Was gibt es denn da so? Kosten VoIP-Praxisvorführung

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Seite i Inhaltsverzeichnis INHALTSVERZEICHNIS I 1 VORWORT 1-1 2 MOTIVATION 2-3 2.1 Sicherheitsrelevante Unterschiede zwischen TDM und VoIP

Mehr

Sicherheit bei VoIP - Ein Überblick

Sicherheit bei VoIP - Ein Überblick - Ein Überblick Christian Louis christian@kuechenserver.org 29. Dezember 2004 Überblick Grundlagen von IP-Telefonie Gefahren bei IP-Telefonie Standards VoIP-Sicherheit Status Quo Ausblick 29. Dezember

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Verschlüsselung von VoIP Telefonie

Verschlüsselung von VoIP Telefonie Verschlüsselung von VoIP Telefonie Agenda» VoIP-Grundlagen» Gefahren bei VoIP» Sicherheitskonzepte 2 VoIP-Grundlagen Im Unterschied zur klassischen Telefonie werden bei VoIP keine dedizierten Leitungen

Mehr

Voice over IP. Sprache und Daten in einem gemeinsamen Netz. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Voice over IP. Sprache und Daten in einem gemeinsamen Netz. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Voice over IP Sprache und Daten in einem gemeinsamen Netz Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Normen Ablauf und Einzelheiten Verbindungsaufbau und Verbindungsverwaltung

Mehr

Was ist VoIP. Ist-Zustand

Was ist VoIP. Ist-Zustand Was ist VoIP Unter Internet-Telefonie bzw. IP-Telefonie (Internet Protokoll-Telefonie; auch Voice over IP (VoIP)) versteht man das Telefonieren über e, die nach Internet-Standards aufgebaut sind. Dabei

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

VoIP-Konferenz. Security Aspekte bei VoIP. Dr. I. ROMAN. Donnerstag, 30. März 2006, Technopark Zürich

VoIP-Konferenz. Security Aspekte bei VoIP. Dr. I. ROMAN. Donnerstag, 30. März 2006, Technopark Zürich VoIP-Konferenz Security Aspekte bei VoIP Dr. I. ROMAN Donnerstag, 30. März 2006, Technopark Zürich VoIP-Konferenz, 30. März 2006, Technopark Zürich Security Aspekte bei VoIP, 1 Agenda VoIP Security Challenges

Mehr

clever clienting Doppelt sparen mit Voice over IP und Server Based Computing IGEL Clever Clients und VoIP-Technologie: Grundlagen und Funktionsweise

clever clienting Doppelt sparen mit Voice over IP und Server Based Computing IGEL Clever Clients und VoIP-Technologie: Grundlagen und Funktionsweise Doppelt sparen mit Voice over IP und Server Based Computing IGEL Clever Clients und VoIP-Technologie: Grundlagen und Funktionsweise In der IT-Welt prägen derzeit zwei populäre Technologietrends die Suche

Mehr

VOIP Basics 14.11.2005

VOIP Basics 14.11.2005 VOIP Basics 14.11.2005 VoIP! Voice over IP! VOIP V o i c e Skypen! Voipen! DSL-Telefonie! Internettelefonie! IP-Telefonie! Billig! Was ist VOIP -Voice over Internet Protokoll = Stimmenübertragung über

Mehr

Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag. Dennis Heitmann 07.08.2010

Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag. Dennis Heitmann 07.08.2010 Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag Dennis Heitmann 07.08.2010 Was ist das? VoIP = Voice over IP (Sprache über Internet Protokoll) Sprachdaten werden digital über das Internet übertragen

Mehr

Voice over IP. Internet Telefonie

Voice over IP. Internet Telefonie VoIP SIP-Telefonie Voice over IP IP-Telefonie Internet Telefonie Agenda Was ist VoIP Geschichte Allgemeines H.323 SIP RTP / RTCP Skype Sicherheitsaspekte Quellenangaben VoIP? Voice over IP ist die Übertragung

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

2 Typische VoIP-Umgebungen

2 Typische VoIP-Umgebungen 2 Typische VoIP-Umgebungen Die Architekturen für den Dienst VoIP stehen fest. Hierbei wird zwischen H.323- und SIP-Architektur unterschieden. Sie sind in Abb. 2-1 und Abb. 2-2 dargestellt. Abb. 2-1: H.323-Architektur

Mehr

Voice over IP. Innovative Kommunikationstechnologien für Ihr Unternehmen

Voice over IP. Innovative Kommunikationstechnologien für Ihr Unternehmen Voice over IP Innovative Kommunikationstechnologien für Ihr Unternehmen Bildungszentrum des Hessischen Handels ggmbh Westendstraße 70 60325 Frankfurt am Main Beauftragte für Innovation und Technologie

Mehr

Entscheidend ist das Netz

Entscheidend ist das Netz Entscheidend ist das Netz Autor: Uwe Becker, Manager Professional Services, Equant Die andauernde Diskussion um Voice-over-IP (VoIP) bezieht sich hauptsächlich auf den Einsatz der Technologie in lokalen

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Voice over IP VOICE OVER IP - EIN ÜBERBLICK

Voice over IP VOICE OVER IP - EIN ÜBERBLICK Voice over IP VOICE OVER IP - EIN ÜBERBLICK Inhalt 2 Was ist VOIP Definition Funktionsprinzip Signalisierungsprotokolle Rufnummernsysteme Gesprächsübertragung Digitale Verarbeitung analoger Signale Codec

Mehr

Grundlagen der. Videokommunikation

Grundlagen der. Videokommunikation Grundlagen der Videokommunikation Netzwerke: Qualitäts- und Leistungserwartungen Netzwerke: Qualitäts- und Leistungserwartungen Netzwerke: über DFN X-WiN-Anbindung X-WiN ist im DFN-Verein technische Basis

Mehr

Halle 2007-05-08 Oliver Göbel

Halle 2007-05-08 Oliver Göbel RUS CERT Sicherheit und Sprach-dienste (VoIP) 8. Tagung der DFN-Nutzergruppe Hochschulverwaltung Halle 2007-05-08 http://cert.uni-stuttgart.de/ Das RUS-CERT Folie: 2 Stabsstelle DV-Sicherheit der Universität

Mehr

SIRTCP/IP und Telekommunikations netze

SIRTCP/IP und Telekommunikations netze SIRTCP/IP und Telekommunikations netze Next Generation Networks und VolP - konkret von Ulrich Trick und Frank Weber 2., erweiterte und aktualisierte Auflage Oldenbourg Verlag München Wien Inhalt Inhalt

Mehr

Planung für Voice over IP

Planung für Voice over IP Planung für Voice over IP Evaluierung von Architekturen und Details zur Realisierung von Dr.-Ing. Behrooz Moayeri Seite i Inhaltsverzeichnis INHALTSVERZEICHNIS I VORWORT 1 1 UNTERNEHMENSSTANDARD FÜR SPRACHKOMMUNIKATION

Mehr

Thema: Anforderungen zum Betrieb eines AIN s

Thema: Anforderungen zum Betrieb eines AIN s Hard- und Software Aastra 415/430/470 Treiber und Applikationen Autor Anforderungen für ein Aastra Intelligate Network (AIN) PBX Vernetzung Manuel Paulus, Aastra Certified Professional Thema: Anforderungen

Mehr

Was ist VoIP Grundlagen RTP, SIP und H3.23 Schwachstellen und Angriffsszenarien

Was ist VoIP Grundlagen RTP, SIP und H3.23 Schwachstellen und Angriffsszenarien VoIP und Sicherheit Wie sicher kann VoIP sein? Welche Schwachstellen gibt es? Netzwerksicherheit CNB 4 SS 2008 Patrick.Schuetzeberg@hs-furtwangen.de Philipp.Wielatt@hs-furtwangen.de Patrick Schützeberg,

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Gefährdungen, Sicherheitsmaßnahmen und Projekterfahrung

Gefährdungen, Sicherheitsmaßnahmen und Projekterfahrung BremSec-Forum VoIP-Security Gefährdungen, Sicherheitsmaßnahmen und Projekterfahrung Prof. Dr.-Ing. Kai-Oliver Detken URL: http://www.decoit.de URL2: http://www.detken.net E-Mail: detken@decoit.de Foliennr.:

Mehr

Auerswald GmbH & Co. KG 2013

Auerswald GmbH & Co. KG 2013 Angriffsflächen bei Voice over IP (VoIP) im Unternehmen Lauschen und Kapern Was ist schützenswert? Mögliche Angriffsszenarien, Motivation des Bösewichts"? Wie kann man sich schützen? 3 Im System gespeicherte

Mehr

Die Next Generation Networks im Hochschullabor

Die Next Generation Networks im Hochschullabor Die Next Generation Networks im Hochschullabor Prof. Dr. Ulrich Trick, am Main, Fachbereich Informatik und Ingenieurwissenschaften,, Kleiststr. 3, 60318 Frankfurt, Tel. 06196/641127, E-Mail: trick@e-technik.org,

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

(Voice-over IP / VoIP) aus der Sicht des Fernmeldegeheimnisses ( 85 TKG)

(Voice-over IP / VoIP) aus der Sicht des Fernmeldegeheimnisses ( 85 TKG) (Voice-over IP / VoIP) aus der Sicht des Fernmeldegeheimnisses ( 85 TKG) Peter Blauth, Sebastian Fandrich, Patrick Fröger, Daniel Renoth, Tobias Schnetzer und Uwe Weissenbacher FH Furtwangen 20.01.2006

Mehr

Sicherheitsaspekte beim Zusammenwachsen konvergenter Anwendungen

Sicherheitsaspekte beim Zusammenwachsen konvergenter Anwendungen R IBM Global Services Sicherheitsaspekte beim Zusammenwachsen konvergenter Anwendungen Sicherheitsaspekte bei der paketvermittelnden Sprachübertragung Antonius Klein, Senior IT Architect Infrastructure

Mehr

IP- und Bild-Telefonie. Uwe Berger Michael Kürschner

IP- und Bild-Telefonie. Uwe Berger Michael Kürschner Uwe Berger Michael Kürschner Heute schon ge skyp t? ;-) 04/2008 2 Inhalt Motivation Allgemeines Protokollfamilien H.323 SIP proprietäre/andere Lösungen Programme Weiterführende Informationen 04/2008 3

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014 Technical Paper Filialvernetzung Filialvernetzung Stand August 2014 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung

Mehr

Grundlagen der. Videokommunikation

Grundlagen der. Videokommunikation Grundlagen der Videokommunikation Netzwerke: Qualitäts- und Leistungserwartungen Netzwerke: Qualitäts- und Leistungserwartungen Bandbreite Kenngrößen Firewall NAT Netzwerke: über DFN X-WiN-Anbindung X-WiN

Mehr

Leitfaden VoIP-Security

Leitfaden VoIP-Security Leitfaden VoIP-Security Inhalt Voice over IP gehört die Zukunft S. 2 Schwachstellen der VoIP-Infrastruktur S. 3 Angriffsarten auf VoIP-Systeme S. 5 IntraPROTECTOR VoIP-Analyzers S. 6 Security-Sensibilitätscheck

Mehr

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein VoIP-Verschlüsselung Verschlüsselung im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein Einordnung VoIP in DFNFernsprechen VoIP seit 5 Jahren im DFN verfügbar VoIP ist Teil des Fernsprechdienstes DFNFernsprechen

Mehr

VoIP. Gliederung. 1. Einführung. 3.2Anforderungen 3.3Stand Dinge. 3.3Wie geht es Dinge weiter?

VoIP. Gliederung. 1. Einführung. 3.2Anforderungen 3.3Stand Dinge. 3.3Wie geht es Dinge weiter? Sicherheit Ruhr-Universität Voice over IP Thomas WS Seminar (VoIP 2004/2005 VoIP) Eisenbarth ITS Bochum 1. Einführung 1.1 1.2 1.3 Was Bisherige Die Zukunft ist VoIP? Telefonie Gliederung 10.02.2005 - Folie

Mehr

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2013/14 Übung 11 zum 30. Januar 2014 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 SSL/TLS in VoIP In Voice-over-IP (VoIP) Kommunikation

Mehr

Was nicht erlaubt ist, ist verboten

Was nicht erlaubt ist, ist verboten Was nicht erlaubt ist, ist verboten E-Government-Initiativen und Investitionen in Netzwerktechnologie setzen das Thema IT-Sicherheit ganz oben auf die Agenda der öffentlichen Verwaltung. Moderne Informationstechnologie

Mehr

Standortvernetzung: Erreichen Sie Security Compliance einfach und effizient durch Ethernet- Verschlüsselung

Standortvernetzung: Erreichen Sie Security Compliance einfach und effizient durch Ethernet- Verschlüsselung Standortvernetzung: Erreichen Sie Security Compliance einfach und effizient durch Ethernet- Verschlüsselung Dipl.-Betriebswirt(FH) Stephan Lehmann Produktmanager Tel. 030/65884-265 Stephan.Lehmann@rohde-schwarz.com

Mehr

VoIP Potentielle Sicherheitsprobleme

VoIP Potentielle Sicherheitsprobleme VoIP Potentielle Sicherheitsprobleme Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Übersicht Kurzeinführung VoIP Allgemeine Sicherheitsbetrachtungen

Mehr

Workshop Herbst 2008 VoIP Schulung

Workshop Herbst 2008 VoIP Schulung Workshop Herbst 2008 VoIP Schulung Tiptel.com GmbH Business Solutions Halskestr. 1 40880 Ratingen Tel: 02102-428 - 0 Fax: 02102-428 - 10 www.tiptel.com Referent: Carsten Stumkat Vielfalt im Netz! Analog-ISDN-VoIP-

Mehr

Buchner Roland, Günther Markus, Fischer Oliver

Buchner Roland, Günther Markus, Fischer Oliver Buchner Roland, Günther Markus, Fischer Oliver Telefonieren über das Datennetz Erster Hype schon in den 90ern seit CeBIT 2004 wieder im Gespräch Erobert Telekommunikationsmarkt Alle großen Telekom Anbieter

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Quelle: www.roewaplan.de. Stand September 2006 RÖWAPLAN

Quelle: www.roewaplan.de. Stand September 2006 RÖWAPLAN Quelle: www.roewaplan.de Stand September 2006 Aktives Datennetz Durchblick für jeden RÖWAPLANER RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke Kolloquium der Sicherheitslösungen für VoIP Netzwerke 28.06.2006 Paul-Silberbach-Saal der FH Köln Dipl.- Ing. 2006 Überblick des heutigen Abends Gefahren für VoIP-fähige Netzwerke Ansätze zur Netzwerksicherheit

Mehr

innovaphone Wer sind wir?

innovaphone Wer sind wir? innovaphone Wer sind wir? Heiko Abmeyer Vertriebsleiter Nord- und Ostdeutschland Büro Hannover +49 7031 73009 49 habmeyer@innovaphone.com Torsten Schulz Produktmarketing Büro Berlin +49 7031 73009 172

Mehr

Netzmodellierung und ISDN-NGN-Migration

Netzmodellierung und ISDN-NGN-Migration Netzmodellierung und ISDN-NGN-Migration IP-Netzmanagement, Netzplanung und Optimierung Workshop am 18. und 19. Juli 2005 an der Universität Würzburg Dipl.-Ing. Soulaimane El Bouarfati Dipl.-Ing. Frank

Mehr

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1 Telekommunikationsnetze 2 Breitband ISDN Lokale Netze Internet Martin Werner WS 2009/10 Martin Werner, November 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

VoIP bei einem Netzwerkbetreiber November 2005

VoIP bei einem Netzwerkbetreiber November 2005 VoIP bei einem Netzwerkbetreiber November 2005 Übersicht VoIP Einführung Verbindungsaufbau Gesprächsübertragung Übertragung von nicht Sprachdaten über VoIP Faxe Modem (Alarm, und Meldeleitungen) Kopplung

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Sichere Installation von VoIP-Telefonanlagen

Sichere Installation von VoIP-Telefonanlagen Sichere Installation von VoIP-Telefonanlagen Bachelorarbeit-Verteidigung GEORG LIMBACH Universität Rostock, Institut für Informatik 14. April 2011 c 2011 UNIVERSITÄT ROSTOCK FAKULTÄT FÜR INFORMATIK UND

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Institut für Telematik, Leitung Prof. Dr. sc. nat. Christoph Meinel,

Mehr

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration...

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration... Inhaltsverzeichnis 1. Wireless Switching... 2 1.1 Einleitung... 2 1.2 Voraussetzungen... 2 1.3 Konfiguration... 2 2. Wireless Switch Konfiguration... 3 2.1 Zugriff auf den Switch... 3 2.2 IP Adresse ändern...

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Internet-Telefonie - Technik und Möglichkeiten -

Internet-Telefonie - Technik und Möglichkeiten - Internet-Telefonie - Technik und Möglichkeiten - Dipl-Ing. Ekkehard Valta, RD Referent beim Bundesbeauftragten für den Datenschutz Seite 1 Bundesbeauftragter für den Datenschutz Ekkehard Valta http://www.bfd.bund.de

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Einführung in Voice over IP (VoIP) für IT-Techniker

Einführung in Voice over IP (VoIP) für IT-Techniker Einführung in Voice over IP (VoIP) für IT-Techniker VoIP ändert drastisch die Arbeitsumgebung der Netzwerktechniker, erfordert neues Wissen und Tools zur Installation und Diagnose von IP-Telefonen. Dieser

Mehr

Auerswald Whitepaper: VoIP-Security

Auerswald Whitepaper: VoIP-Security Gefahren drohen auch aus dem eigenen lokalen Netzwerk: Auerswald Whitepaper: VoIP-Security Mit Voice-over-IP sicher telefonieren Dank wachsender Bandbreiten und moderner Quality-of-Service-Mechanismen

Mehr

Digitale Sprache und Video im Internet

Digitale Sprache und Video im Internet Digitale Sprache und Video im Internet Kapitel 6.4 SIP 1 SIP (1) SIP (Session Initiation Protocol), dient als reines Steuerungsprotokoll (RFC 3261-3265) für MM-Kommunikation Weiterentwicklung des MBONE-SIP.

Mehr

Quality of Service. Motivation, Standards, Architektur. von. Dr. Frank Imhoff. mit Beiträgen von:

Quality of Service. Motivation, Standards, Architektur. von. Dr. Frank Imhoff. mit Beiträgen von: Quality of Service Motivation, Standards, Architektur von Dr. Frank Imhoff mit Beiträgen von: Dr. Simon Hoff Hartmut Kell Dr. Behrooz Moayeri Dr. Joachim Wetzlar Technologie Report: Quality of Service

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

Knowledge Base SIP-Konfiguration auf der Fortigate

Knowledge Base SIP-Konfiguration auf der Fortigate Datum 05/01/2011 09:21:00 Hersteller Fortinet Modell Type(n) Fortigate Firmware v4.2 Copyright Boll Engineering AG, Wettingen Autor Sy Dokument-Version 1.0 Situation: SIP-Traffic auf einer Firewall zuzulassen

Mehr

Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch. You are Skyping - But How Does it Work!?

Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch. You are Skyping - But How Does it Work!? Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch You are Skyping - But How Does it Work!? 1 Gliederung You are Skyping - But How Does it Work!? Probleme

Mehr

Daniel Schieber Technical Consultant

Daniel Schieber Technical Consultant Aktueller Status Unternehmensprofil Daniel Schieber Technical Consultant COMCO Fakten: Gründung 1998 als Systemhaus Firmensitz in Dortmund, NRW 42 Mitarbeiter Umsatzerwartung 10 Mio. in 2006 Entwicklung

Mehr

Modul 12: 12.1 Vertiefung Paket- u. Leitungsvermittlung 12.2 Voice over IP, Next Generation Networks

Modul 12: 12.1 Vertiefung Paket- u. Leitungsvermittlung 12.2 Voice over IP, Next Generation Networks Modul 12: 12.1 Vertiefung Paket- u. Leitungsvermittlung 12.2 Voice over IP, Next Generation Networks 17.06.2014 16:57:15 Folie 1 12.1 Vertiefung Paketund Leitungsvermittlung 17.06.2014 16:57:16 Folie 2

Mehr

VoIP und Videolösungen bei der GWDG sowie im MPI-Umfeld

VoIP und Videolösungen bei der GWDG sowie im MPI-Umfeld VoIP und Videolösungen bei der GWDG sowie im MPI-Umfeld Andreas Ißleiber Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Die GWDG betreibt und bewertet die Einsatzfähigkeit von VoIP-Systemen

Mehr

Voice over IP Die Technik

Voice over IP Die Technik Anatol Badach Voice over IP Die Technik Grundlagen und Protokolle für Multimedia-Kommunikation 2., überarbeitete und erweiterte Auflage HANSER Vom einfachen Telefon bis zu Next Generation Networks 1 1.1

Mehr

10. WCI-Konferenz in Berlin

10. WCI-Konferenz in Berlin 10 WCI-Konferenz in Berlin Ende-zu-Ende-Sicherheit bei Long Term Evolution (LTE) Foliennr: 1 Prof- Dr-Ing Kai-Oliver Detken DECOIT GmbH Fahrenheitstraße 9 D-28359 Bremen URL: http://wwwdecoitde E-Mail:

Mehr

Voice-over-IP: Zusammenwachsen von Telekommunikation und IT. Dipl.-Ing. Kai-Oliver Detken WWL vision2_market GmbH, Bremen, 14.

Voice-over-IP: Zusammenwachsen von Telekommunikation und IT. Dipl.-Ing. Kai-Oliver Detken WWL vision2_market GmbH, Bremen, 14. Voice-over-IP: Zusammenwachsen von Telekommunikation und IT Dipl.-Ing. Kai-Oliver Detken WWL vision2_market GmbH, Bremen, 14. Dezember 2000 Inhalt des Vortrags Anforderung an heutige Netze Funktionalität

Mehr

Datenschutz bei der Internet-Telefonie. Moderne Technik mit Risiken

Datenschutz bei der Internet-Telefonie. Moderne Technik mit Risiken Datenschutz bei der Internet-Telefonie Moderne Technik mit Risiken Inhalt Internet-Telefonie Was ist das eigentlich? 4 Wie stehts mit der Sicherheit? 7 Verschlüsselung 8 Kann ich meinem Netz vertrauen?

Mehr

Voice over IP: Neue Wege für Sprache im Intranet

Voice over IP: Neue Wege für Sprache im Intranet Voice over IP: Neue Wege für Sprache im Intranet Inhaltsverzeichnis INHALTSVERZEICHNIS...2 VOICE OVER IP: NEUE WEGE FÜR SPRACHE IM INTRANETERSCHRIFT...3 CISCO VOICE OVER IP-LÖSUNG MIT 36XX ROUTERN...3

Mehr

SIRTCP/IP und Telekommunikations netze

SIRTCP/IP und Telekommunikations netze SIRTCP/IP und Telekommunikations netze Anforderungen - Protokolle -Architekturen Von Ulrich Trick und Frank Weber Oldenbourg Verlag München Wien Inhalt Vorwort IX 1 Anforderungen an die Telekommunikationsinfrastruktur

Mehr

Security und VoIP. Ing. Herbert Putz

Security und VoIP. Ing. Herbert Putz Security und VoIP Ing. Herbert Putz Ing. Herbert Putz Security und VoIP Kapsch BusinessCom AG Systems Engineer bei techcom IT-solutions Consultant Entwicklung von IT- Sicherheitsstrategien, Planung und

Mehr

Internet-Telefonie Voice over IP (VoIP) Horst Härtel. prowww. RMTS Gerd Rimner. Markus Kammann. Thomas Oehring

Internet-Telefonie Voice over IP (VoIP) Horst Härtel. prowww. RMTS Gerd Rimner. Markus Kammann. Thomas Oehring Internet-Telefonie Voice over IP (VoIP) Horst Härtel RMTS Gerd Rimner Thomas Oehring prowww Markus Kammann Agenda Grundlagen von VoIP Wie steige ich ein? Was kostet der Einstieg? Einsatzszenarien ?? Akustikkoppler

Mehr

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat?

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? 1 / 32 Veranstaltungsreihe Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? Veranstalter sind: 15. Mai bis 3. Juli 2008 der Arbeitskreis Vorratsdatenspeicherung

Mehr

HST Greenfield. Session Border Controler (SBC) im Unternehmenseinsatz. Henning Schaefer, Rolf Hunziker 25. August 2014

HST Greenfield. Session Border Controler (SBC) im Unternehmenseinsatz. Henning Schaefer, Rolf Hunziker 25. August 2014 HST Greenfield Session Border Controler (SBC) im Unternehmenseinsatz Henning Schaefer, Rolf Hunziker 25. August 2014 Vorsprung auf den Punkt gebracht. Praxiserfahrung. Über uns HST Greenfield auf den Punkt.

Mehr

SwyxConnect Neue Verbindungen für Ihr Unternehmen

SwyxConnect Neue Verbindungen für Ihr Unternehmen SwyxConnect Neue Verbindungen für Ihr Unternehmen Verfügt Ihr Unternehmen über mehrere Zweigstellen oder Filialen, die häufig mit Ihrer Hauptverwaltung sowie mit Kunden und Partnern/Lieferanten kommunizieren?

Mehr

SIP - Multimediale Dienste in Internet

SIP - Multimediale Dienste in Internet SIP - Multimediale Dienste in Internet Grundlagen, Architektur, Anwendungen von Stephan Rupp, Gerd Siegmund, Wolfgang Lautenschläger 1. Auflage SIP - Multimediale Dienste in Internet Rupp / Siegmund /

Mehr

Anlagenkopplung mit VPN-Tunnel via dyndns

Anlagenkopplung mit VPN-Tunnel via dyndns Anlagenkopplung mit VPN-Tunnel via dyndns VPN Internet VPN Öffentl. Netz ISDN ISDN Öffentl. Netz ICT & Gateway ICT & Gateway IP-S400 CA50 IP290 CS 410 Funkwerk Enterprise Communications GmbH Seite 1 von

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Business Voice SIP. Leistungsbeschreibung

Business Voice SIP. Leistungsbeschreibung Business Voice SIP Leistungsbeschreibung Stand April 2014 Inhaltsverzeichnis 1. Einleitung... 3 2. Beschreibung... 3 2.1. Rufnummern... 6 2.2. Online Einzelgesprächsnachweis /VoIP Portal... 6 3. Features...

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Peer-to-Peer Internet Telephony using the Session Initiation Protocol (SIP)

Peer-to-Peer Internet Telephony using the Session Initiation Protocol (SIP) Seite - 1 - HAW Hamburg Anwendungen I Nico Manske Peer-to-Peer Internet Telephony using the Session Initiation Protocol (SIP) Seite - 2 - Seite - 3 - reines P2P System für IP Telefonie bei SIP Client Server

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr