IP-Telefonie (Voice over IP)

Größe: px
Ab Seite anzeigen:

Download "IP-Telefonie (Voice over IP)"

Transkript

1 IP-Telefonie (Voice over IP) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Hinweis: Der vorliegende ISi-L basiert vorrangig auf der 2005 erstellten Studie Voice over IP, Sichere Umstellung der Sprachkommunikation auf IP-Technologie des BSI (http://www.bsi.bund.de/literat/studien/voip/index.htm). Eine eigene Studie ISi-S innerhalb der ISi-Reihe ist in Planung, wird aber nicht vor Ende 2009 vorliegen. Für vertiefende, technische Informationen betrachten Sie daher bitte derzeit die vorgenannte Studie oder den Baustein 4.7 VoIP aus den IT-Grundschutzkatalogen.

2 Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der Isi-Reihe.Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 Bundesamt für Sicherheit in der Informationstechnik 3

4 Inhaltsverzeichnis 1 Leitfaden Sichere IP-Telefonie Management Summary Einführung und Überblick Wie funktioniert IP-Telefonie? Anwendungsszenarien Unterschiede zur herkömmlichen Telefonie Wesentliche Ergebnisse der Gefährdungsanalyse Wesentliche Empfehlungen Fazit Stichwort- und Abkürzungsverzeichnis Bundesamt für Sicherheit in der Informationstechnik

5 1 Leitfaden Sichere IP-Telefonie Neben dem Surfen im Web und dem Versenden von s stellt das Telefonieren über das Internet eine der nächsten großen Anwendung in den Datennetzen dar. Im Folgenden soll ein kurzer Überblick über die neue Technik und deren Sicherheitseigenschaften gegeben werden. 1.1 Management Summary Das Zusammenlegen von Telefon- und Datennetzen verspricht auf den ersten Blick große Einsparungen in Anschaffung und Betrieb. Als gemeinsame technische Infrastruktur werden hierfür die heutigen Netze auf IP-Basis (Internet Protocol) angesehen. Bei der sogenannten IP-Telefonie (Voice over IP) werden die Sprachdaten digitalisiert, in kleine IP-Pakete verpackt und einzeln vom Sprecher zum Hörer transportiert, wo sie wieder zusammengefügt und für den Lautsprecher in ein analoges Signal zurückgewandelt werden. In diesem Szenario gibt es neben den aus der herkömmlichen Telefonie bekannten Gefährdungen, zahlreiche neue Risiken. Schließlich sind bei der IP-Telefonie auch alle aus der IP-Welt bekannten Schwachstellen relevant. Das Abhören von Gesprächen, das Auslesen von Adressbuchdaten, das Stören oder Verhindern von Telefongesprächen, Gebührenbetrug oder das Einschleusen von Sprachdaten in bestehende Gespräche sind mögliche Angriffsszenarien. Hauptproblem ist, dass die für IP-Telefonie benötigten Komponenten (Softphones, IP-Telefone, VoIP-Server usw.) oft auf Standard-Rechner-Architekturen und Standard-Betriebssystemen aufbauen und so sämtliche Schwächen dieser Systeme mitbringen. Um den netztypischen Gefährdungen zu begegnen, ist es wichtig, umfassende Sicherheitsmaßnahmen umzusetzen. Hierzu gehört eine Absicherung der einzelnen Komponenten auf Internet- und Transportschicht, wie sie im ISi-Modul Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) beschrieben ist, genauso wie ein VoIP-fähiges Sicherheits-Gateway. Um sich vor dem Abhören zu schützen, ist es zudem unbedingt empfehlenswert, Sprach- und Signalisierungsdaten konsequent zu verschlüsseln sowie in Administration und Betrieb mit Zertifikaten zur Authentisierung zu arbeiten. IP-Telefonie stellt eine ernst zu nehmende Alternative für den Bereich der Telefonie in internen Netzen (LAN) oder für die Verbindung von mehreren Standorten über, im Idealfall selbst betriebene, Weitverkehrsnetze (WAN) dar. Ob IP-Telefonie über das öffentliche Internet, die sogenannte Internet-Telefonie, aktuell eine immer befriedigender Sprachqualität und Verfügbarkeit bietet, um diese Anwendung von IP-Telefonie auch im geschäftlichen Bereich einzusetzen, muss im Vorfeld einer Einsatzentscheidung vor Ort entschieden werden. Wichtig ist in jedem Fall, dass alle notwendigen Sicherheitsmaßnahmen umgesetzt werden, wodurch die Einsparpotenziale erheblich reduziert werden. 1.2 Einführung und Überblick Aktuell gibt es zahlreiche Bestrebungen, die Telekommunikationsnetze (TK-Netze) und die Datennetze (IT-Netze) zu verschmelzen. Hintergrund ist die Erwartung, durch eine gemeinsame Infrastruktur und eine einheitliche Netztechnik Kosten zu sparen. Dabei zeichnet sich eine starke Tendenz zu einer universellen Nutzung des Internet-Protokolls (IP) ab. Die neuen Techniken zur Übertragung von Sprache über IP-Netze werden unter dem Begriff Voice over IP (VoIP) oder zu deutsch IP-Telefonie zusammengefasst. Bundesamt für Sicherheit in der Informationstechnik 5

6 1.2.1 Wie funktioniert IP-Telefonie? Wie bei der herkömmlichen Telefonie besteht ein IP-Telefongespräch grundsätzlich aus drei unterschiedlichen Phasen, dem Verbindungsaufbau, der Sprachübermittlung und dem Verbindungsabbau. Verbindungsauf- und -abbau (Signalisierung) Bevor ein Gespräch im eigentlichen Sinn beginnen kann, muss die Verbindung zwischen den beiden Teilnehmern aufgebaut werden. Hierbei werden verschiedene Parameter (z. B. das zu verwendende Kodierungsverfahren) ausgetauscht, die für die aufzubauende Kommunikation wichtig sind. Verbreitete Signalisierungsprotokolle sind z. B. SIP (Session Initiation Protocol) und H.323 (ein ITU-T-Standard), wobei sich SIP aktuell durchzusetzen scheint. Im Falle von SIP besitzt jeder Teilnehmer eine IP-Telefonie-Adresse, die ähnlich einer - Adresse aufgebaut ist. Endgeräte müssen sich, nachdem sie an das Internet angeschlossen werden, bei dem für sie zuständigen SIP-Server melden. Im Zuge der Signalisierung kann ein Anrufer dann von diesem Server erfahren, wie der gewünschte Gesprächspartner aktuell zu erreichen ist. Für die eigentliche Sprachübermittlung ist der Server dann nicht mehr erforderlich. Die Endgeräte kommunizieren direkt miteinander. Der Verbindungsabbau erfolgt bei SIP vergleichbar zum Aufbau; nach dem Auflegen erfolgt eine kurze Signalisierung des Gesprächsendes über den SIP- Server. Bei H.323 hingegen ist der Server am Verbindungsabbau nicht mehr beteiligt. Sprachübermittlung Im Unterschied zur klassischen Telefonie wird die Sprache bei VoIP nicht über fest geschaltete Kanäle, sondern in kleinen Paketen transportiert. Für die Übertragung der Sprachdaten, die natürlich auch hier in Echtzeit erfolgen muss, wird üblicherweise das Protokoll RTP (Real-Time Transport Protocol) oder seine sichere Variante SRTP (Secure RTP) eingesetzt. Bevor gesprochene Sprache über IP-Netze verschickt werden kann, müssen die vom Mikrofon aufgezeichneten Signale digitalisiert werden. Eine Kompression verringert darüber hinaus in den meisten Fällen die zu übertragende Datenmenge. Diese Umsetzung erfolgt mithilfe eines Kodierungsverfahren, des sogenannten Codec 1. Bei der Komprimierung gibt es einen Zielkonflikt zwischen erzielbarer Sprachqualität und Kompressionsrate. Für unterschiedliche Ansprüche gibt es daher auch verschiedene Komprimierungsverfahren (Codecs). Um die Daten nach dem Transport wieder korrekt in Sprache umwandeln zu können, muss der Empfänger natürlich das gleiche Verfahren benutzen wie der Sender. Der eigentliche Transport der Daten erfolgt anschließend über das Real-Time Transport Protocol (RTP) auf der Basis des User Datagram Protocols (UDP) mit dem zugehörigen Steuer-Protokoll Real-Time Control Protocol (RTCP). Folgende vier Faktoren sind für die Übertragungsqualität der Sprache bei IP-Telefonie relevant: 1. Laufzeit (Latenz): Als Laufzeit wird die Zeit vom gesprochenen Wort bis zur Wiedergabe beim Gesprächspartner bezeichnet. Diese Zeit sollte 150 Millisekunden nicht überschreiten, um auf die Gesprächspartner nicht störend zu wirken. Neben der reinen Signal-Laufzeit auf der Übertragungsstrecke müssen auch die Zeiten für Komprimierung und Dekomprimierung, für Paket-Erzeugung und -Zusammensetzung sowie die Durchlaufzeiten der anderen auf der Strecke 1 Verbreitete Codecs sind z. B. G.711 (unkomprimiert), G und G.729/G.729A. 6 Bundesamt für Sicherheit in der Informationstechnik

7 liegenden Komponenten (Router, Sicherheits-Gateways,...) bei der Bestimmung der Gesamt- Laufzeit von IP-Telefonie-Paketen berücksichtigt werden. 2. Jitter: Nicht jedes Paket kommt nach der gleichen Laufzeit am Ziel an. Um dennoch möglichst viele Pakete wieder zum Ausgabestrom zusammensetzen zu können, führt man eine künstliche Ausgabe-Verzögerung von etwa 10 bis 30 Millisekunden ein, den sogenannten Jitter. Alle Pakete, die innerhalb dieser Zeitspanne ankommen, können korrekt am Hörer ausgegeben werden. Über die Größe des Jitters kann man einstellen, ob man eher eine höhere Ausgabeverzögerung (Laufzeit plus Jitter) oder einen höheren Paketverlust akzeptieren möchte. 3. Paketverlust: Pakete, die nicht oder nicht rechtzeitig vor der Sprachwiedergabe beim Empfänger ankommen, gehen in die sogenannte packet loss rate ein. Diese sollte nach allgemeinen Empfehlungen 5% nicht deutlich überschreiten, um eine qualitativ hochwertige Wiedergabe zu ermöglichen. 4. Durchsatz: Für IP-Telefonie wird in beide Richtungen in der Regel eine Bandbreite von mindestens 80 bis 100 kbit/s benötigt. Die genaue Größe hängt von der gewählten Kodierung ab. Durch den hohen Anteil an Protokoll-Overhead lässt sich die Bandbreite aber nicht beliebig reduzieren. Der Einsatz des Protokolls UDP auf der Transportschicht bedeutet, dass der Empfang der Sprachpakete gegenüber dem Absender nicht bestätigt wird, also keine Übertragungsgarantie besteht. Dies ist jedoch unkritisch, da eine korrekte Wiedergabe auch bei einer gewissen Zahl von Übertragungsfehlern noch gewährleistet ist. Für ein flüssiges Gespräch ist eine geringere Verzögerung hingegen deutlich wichtiger, wie sie durch den Einsatz von UDP im Vergleich zu TCP entsteht. Benötigte Geräte Um IP-Telefonie verwenden zu können, benötigt man ein geeignetes Endgerät. Hier gibt es grundsätzlich drei Möglichkeiten: Sehr häufig eingesetzt werden die sogenannten Softphones, eine Software, die auf dem normalen PC läuft, kombiniert mit Kopfhörer und Mikrofon, z. B. in Form eines Headsets. Alternativ können auch spezielle IP-Telefone verwendet werden, also Hardware-Komponenten, die wie ein PC an das LAN oder WLAN angeschlossen werden. In diesem Fall wird kein PC zum Telefonieren benötigt. Eine dritte Möglichkeit besteht in der Verwendung herkömmlicher Telefone, die über einen Adapter an das LAN angeschlossen werden. Viele preiswerte LAN-Router bieten inzwischen die Möglichkeit, normale Telefone für IP-Telefonie direkt anzuschließen. Um Verbindungen zu herkömmlichen Telefonen oder Telefonnetzen herstellen zu können, werden neben den zuvor beschriebenen Endgeräten sogenannte Gateways benötigt. Diese sind einerseits mit dem IP-Telefon bzw. dem IP-Telefonie-Netz im LAN verbunden und andererseits mit dem herkömmlichen lokalen Telefonnetz oder dem öffentlichen Telefonanschluss. Die Gateways können also zwischen den beiden Welten vermitteln. In komplexen Aufbauten werden zudem diverse Server (z. B. VoIP-, Konfigurations-, Abrechnungs-Server) benötigt. Integriert werden diese Komponenten in die Grundarchitektur, die im ISi-Modul Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) vorgestellt wurde, mit den dort enthaltenen Routern, Switches und Sicherheits-Gateway-Komponenten. Bundesamt für Sicherheit in der Informationstechnik 7

8 1.2.2 Anwendungsszenarien Welche Anwendungsszenarien sind im Rahmen der ISi-Reihe von Interesse? Anschluss von Endgeräten im internen Netz (Intranet-Telefonie) VoIP wird heute vermehrt für die Sprachkommunikation innerhalb von lokalen Netzen (LAN) eines Unternehmens oder einer Behörde genutzt. Der Transport der Signalisierungs- und Sprachdaten erfolgt dabei in der Regel über das bestehende Datennetz. Klares Ziel ist die vollständige Kombination von Daten- und Telefonienetz im LAN um einerseits Einsparungen bei Leitungen, Netzkomponenten, Management, Administration und Wartung zu erzielen und andererseits die Telefonie enger mit den vorhandenen Daten (Kundendaten, Telefonverzeichnisse usw.) zu verknüpfen. Anlagen-Kopplung über ein WAN (Trunking) Zunehmend werden auch an verschiedenen Standorten aufgebaute, lokale TK-Anlagen über IPbasierte Verbindungen mit Kapazitätsreserven gekoppelt. Hier spricht man von Trunking. Das Zusammenführen von Telefonie- und Datennetz in der Standortvernetzung über ein WAN bietet dabei erhebliche Flexibilität, eine effizientere Bandbreitennutzung und damit auch gewisse Einsparpotenziale. Übertragung von Sprache über öffentliche Netze (Internet-Telefonie) Eine dritte Möglichkeit ist die Sprachübertragung über öffentliche IP-Netze, also über das Internet. Dies erfreut sich im privaten Bereich immer größerer Beliebtheit. Dabei werden vornehmlich Softphone-Clients oder kompakte preiswerte VoIP-Gateways eingesetzt, die es erlauben mit herkömmlichen Telefonen Voice over IP zu nutzen. Eine Sprachübertragung über das Internet wird in der Praxis im professionellen Einsatz aufgrund nicht immer ausreichend zuverlässiger Verfügbarkeit (Sprachqualität,...) derzeit nur selten realisiert. Darüber hinaus wird IP-Telefonie zunehmend auch von Providern im Backbone-Bereich der Festnetz-Telefonie eingesetzt, also zwischen den Vermittlungsstellen, ohne dass die Kunden hiervon etwas merken würden. Dieses Einsatzszenario wird im Rahmen des vorliegenden Textes jedoch nicht betrachtet, da es sich aus Kundensicht weiter um Festnetz-Telefonie handelt Unterschiede zur herkömmlichen Telefonie VoIP unterscheidet sich von der heute noch vorherrschenden Sprachtelefonie in vielerlei Hinsicht. Wesentliche Aspekte sind z. B.: 1. Teilnehmerzuordnung: Im herkömmlichen Telefonnetz ist die Teilnehmerzuordnung portgebunden, d. h. jeder Teilnehmeranschluss ist physisch mit einem Anschluss in der Vermittlungsstelle verbunden. Eine zusätzliche Authentifizierung findet nicht statt. In IP-Netzen hingegen erfolgt die Teilnehmerzuordnung ausschließlich über beliebig fälschbare IP- bzw. MAC-Adressen; die authentische Zuordnung muss über zusätzliche Mechanismen vorgenommen werden, wie z. B. über zertifikatsbasierte Methoden. 2. Signalisierung und Vermittlung der Sprachdaten: Bei ISDN erfolgt die Signalisierung außerhalb des normalen Sprachkanals (out-band) über den sogenannten D-Kanal. Das Telefonienetz stellt den Endgeräten daraufhin einen festen Kanal zur Sprachübertragung zwischen den Teilnehmer- Ports zur Verfügung. 8 Bundesamt für Sicherheit in der Informationstechnik

9 Bei VoIP hingegen erfolgt im Rahmen der Signalisierung lediglich ein Austausch der IP- Adressen der Gesprächsteilnehmer, und zwar im selben Netz wie die spätere Übermittlung der Sprachdaten (also in-band). Anschließend können die Telefone über das IP-Netz auf beliebigen Wegen kommunizieren. Jedes einzelne Sprachpaket wird dabei anhand der enthaltenen Adressangaben separat vermittelt. Die Vermittlung der Sprachdaten erfolgt in der bisherigen Telefonie also verbindungsorientiert, bei IP-Telefonie paketorientiert. 3. Protokoll-Overhead: Bei VoIP werden die Sprachdaten in der Regel in Form von RTP-Paketen verschickt. RTP baut als Protokoll auf UDP und IP auf. Der Protokoll-Overhead ist durch die mehreren Protokollschichten bei VoIP sehr hoch, typischerweise beträgt er etwa 60 Byte bei einer Nutzdatengröße von etwa 20 bis 40 Byte (abhängig von der verwendeten Sprachkodierung). 4. Endgeräte: Herkömmliche Telefone sind technisch häufig stark eingeschränkt auf die eigentliche Telefonie-Funktion. Dies gilt insbesondere für analoge Geräte. Heutige VoIP-Endgeräte (insbesondere Softphones) und sonstige VoIP-Komponenten (z. B. VoIP-Server) basieren hingegen auf herkömmlichen Rechnerplattformen, meist mit Standard-Betriebssystemen und Standard-Management-Mechanismen. Dies führt zu einem höheren Gefährdungspotenzial, z. B. durch die Ausnutzung von bekannten Fehlern im Programmcode oder durch Ausnutzung von Fehlkonfigurationen. 1.3 Wesentliche Ergebnisse der Gefährdungsanalyse Bei der IP-Telefonie bestehen die Gefährdungen der klassischen Telefonie weitgehend fort. Hinzu kommen jedoch alle Schwachstellen auf den unteren Schichten (IP, TCP/UDP) eines Datennetzes. Schließlich werden Signalisierungs- und Sprachdaten über IP-Netze übertragen und auf ihrem Weg von zahlreichen IP-Komponenten (Router, Gateways, PC-basierte Server) verarbeitet, die häufig nicht sicher implementiert oder konfiguriert sind. Im Vergleich zur klassischen Telefonie ist die IP-Telefonie folglich mit zusätzlichen Gefährdungen verbunden. Hierauf soll im Folgenden eingegangen werden. Kernbedrohung: Eindringen in eine VoIP-Komponente Stellten in der klassischen Telefonie die separat verlegten Leitungen, die proprietären Protokolle und die komplexen Anlagen in den zentralen Vermittlungsstellen eine ausreichende Hürde dar, um normale Hacker von einem Eindringen abzuhalten, so liegt diese Hürde in IP-Netzen deutlich niedriger. Die wichtigste Bedrohung für die IP-Telefonie ist daher das Eindringen in eine der am Datenverkehr beteiligten Komponenten, sei es ein Server, ein Gateway, ein PC, auf dem ein Softphone betrieben wird, oder womöglich das VoIP-fähige Sicherheits-Gateway. Hat ein Angreifer eine dieser Komponenten übernommen, so kann er diese vollständig umkonfigurieren und so beliebige Schäden anrichten: vom Abrechnungsbetrug über das Mithören von Gesprächen, vom Denial-of-Service bis hin zum Auslesen aller auf der Komponente gespeicherten Daten wie Telefonbücher, Anruflisten oder Verbindungsdaten. Da der Fokus bei neuen Techniken wie VoIP fast immer auf den funktionalen Eigenschaften liegt, lässt die Sicherheit von Hardware und Software oft zu wünschen übrig. Dadurch hat es ein Angreifer im VoIP-Umfeld derzeit noch besonders leicht: Viele Komponenten basieren auf nicht Bundesamt für Sicherheit in der Informationstechnik 9

10 gehärteten, d. h. nicht speziell abgesicherten, Standard-Betriebssystemen. Diese Systeme sind zudem nicht immer aktuell gepatcht, sodass verbreitete Schadprogramme (Viren, Würmer, Trojanische Pferde) recht einfach in die Systeme eindringen können. Trojanische Pferde können z. B. Anrufe ohne Wissen des Anwenders tätigen, lokale Informationen (Telefonbuch,...) ausspähen und an den Angreifer weiterleiten oder Gespräche belauschen. Auch das Umfunktionieren eines IP-Telefons in eine Wanze, das sogenannte Raumabhören, ist ein denkbares Angriffsszenario. Generell lässt sich sagen, dass Softphones besonders anfällig sind für Angriffe von Programmen mit Schadfunktion; Softphones dürfen in Sicherheitszonen mit hohem Schutzbedarf auf keinen Fall verwendet werden. Besser geeignet sind IP-Telefone; diese haben eine eigene Netzschnittstelle und basieren fast immer auf proprietären Betriebssystemen, deren Einstellungen auf die geforderte Funktionalität zugeschnitten sind. Ein Sicherheitsproblem entsteht bei den IP-Telefonen jedoch, wenn die integrierten Mini-Switches genutzt werden, um einen Computer über den selben Port an das LAN anzuschließen wie das IP-Telefon. Wird in diesem Fall das IP-Telefon übernommen, so kann auch der gesamte Datenverkehr zum PC abgehört werden. Die auf proprietären, gehärteten Betriebssystemen basierenden VoIP-Middleware-Komponenten haben, statistisch gesehen, eine bessere Resistenz gegen Schadprogramme. Aber auch hier ist eine Übernahme durch Angreifer möglich, wenn Sicherheits-Patches nicht umgehend eingespielt werden. Bedrohungen der Sicherheitsgrundwerte Nachfolgend sind einige Beispiele für konkrete Bedrohungen bei der IP-Telefonie aufgeführt, gegliedert nach den drei elementaren Sicherheitsgrundwerte Verfügbarkeit, Vertraulichkeit und Integrität: Bedroht ist die Verfügbarkeit des Telefoniedienstes an sich sowie die Verfügbarkeit von Abrechnungs-Informationen. Bedroht ist die Vertraulichkeit der Sprachdaten und der Verbindungsdaten, aber auch aller im Telefon gespeicherter weiterer Daten wie z. B. Telefonbücher, Anruflisten usw. Bedroht ist auch die Integrität und Authentizität der Sprachdaten sowie der zugehörigen Metadaten wie Sendezeitpunkt der Sprachdaten, Identität des Anrufers und des gerufenen Benutzers, Status von Endgeräten bzw. eines Rufes u. v. m. Was kann konkret passieren? VoIP-Systeme sind IP-basierte Anwendungen und erben als solche alle Schwachstellen und Bedrohungen des zugrunde liegenden IP-Netzes (bis hoch zur Transportschicht), also insbesondere die Schwachstellen und Bedrohungen der Protokolle IP, TCP, UDP, ICMP. Eine umfassende Gefährdungsanalyse für ein LAN findet sich in ISi-LANA. Alle dort aufgelisteten Gefährdungen gelten auch für die IP-Telefonie. Alle dort gegebenen Empfehlungen müssen demnach auch hier umgesetzt werden. Darüber hinaus gibt es bei VoIP, wie bei anderen Diensten und Anwendungen auch, weitere Schwachstellen auf der Anwendungsschicht, die Angreifer gezielt ausnutzen können. So ist der Datenverkehr in den Standard-Implementierungen stets unverschlüsselt. Wurde die Sprache bei der klassischen Telefonie i. d. R. über separate Netze übertragen, die nicht so ohne Weiteres anzuzapfen waren, so sendet VoIP seine Sprachdaten-Pakete über die normalen 10 Bundesamt für Sicherheit in der Informationstechnik

11 Datennetze und die darin enthaltenen Rechner. Wie einfach VoIP-Gespräche abgehört werden können, wenn physischer Zugang zu einer Komponente im Datenverkehr besteht, zeigen weit verbreitete Werkzeuge wie Vomit. Auch für das häufig genutzte Sniffing-Programm Ethereal gibt es inzwischen Plugins zum Auswerten der Signalisierung und somit zum Abhören des gesamten Gesprächs die Vertraulichkeit der Daten ist somit nicht gewahrt. Hier könnte eine korrekt implementierte Verschlüsselung Abhilfe schaffen. Aber Vorsicht: nicht jede Implementierung tut, was sie soll: zwischen manchen Endgeräten wird der Schlüssel im Klartext ausgetauscht, unmittelbar vor der Verschlüsselung der Sprachdaten. Hier hat ein Angreifer leichtes Spiel. Angriffe auf die Verfügbarkeit setzen häufig auf den unteren Protokollschichten an, wie sie in ISi- LANA beschrieben sind. Diese Angriffe können einen Totalausfall der IP-Telefonie herbeiführen oder auch nur eine sehr schlechte Gesprächsqualität verursachen. Dabei müssen oft nicht einmal Sicherheitshürden überwunden werden. Ein Beispiel: Eine Überflutung mit UDP-Datenpaketen (UDP Packet Storm) kann dazu führen, dass die Sprachqualität deutlich absinkt. Eine anwendungsspezifische Gefährdung der Verfügbarkeit stellt SPIT (Spam over Internet Telephony) dar, die IP-Telefonie-Variante von Spam. Aufgrund der geringen Kosten für IP-basierte Telefonate ist zu befürchten, dass SPIT zu einer ähnlichen Belästigung wird wie Spam, sobald Internet-Telefonie eine ausreichend große Verbreitung erreicht hat. Eine Schwachstelle stellen auch die häufig von Providern betriebenen zentralen Server dar, die durch gezielte Angriffe außer Betrieb gesetzt werden oder schlichtweg durch technische Defekte ausfallen können. Sind diese VoIP-Server nicht mehr verfügbar, so wird das Telefonieren über IP für die angeschlossenen Teilnehmer komplett unmöglich. Ein weiterer Schwachpunkt ist, dass die Integrität und die Authentizität der ausgetauschten Daten häufig nicht geschützt ist. So ist es z. B. möglich, fremde Gespräche abzubrechen oder Sprachinformationen in ein Gespräch einzuschleusen. Deutlich einfacher als bei der klassischen Telefonie ist es auch, mitgeschnittene Sprachnachrichten ein zweites Mal zu senden (sogenannter Replay-Angriff). Die fehlende Authentifizierung von Signalisierungsnachrichten ermöglicht zudem das Sich- Ausgeben als VoIP-Server bzw. das Vortäuschen einer falschen Identität als Anrufer (URI- Spoofing). Werden auf diese Weise Gateways zu anderen VoIP-Inseln oder zum ISDN-Netz getäuscht, kann Gebührenbetrug begangen werden. Die genaue Gefährdungssituation hängt jedoch vom eingesetzten Protokoll ab. Ein weiteres, konkretes Angriffsszenario wäre das sogenannte Vishing als Pendant zum Phishing. Hierbei leiten Angreifer ahnungslose Kunden auf gefälschte Hotlines weiter, um sich auf diese Weise deren Zugangsdaten zu Bankkonten o. Ä. zu erschleichen. Der Fantasie der Angreifer sind keine Grenzen gesetzt. 1.4 Wesentliche Empfehlungen Zahlreiche Empfehlungen und Maßnahmen müssen umgesetzt werden, um IP-Telefonie sicher betreiben zu können. Bevor im Folgenden auf die VoIP-spezifischen Empfehlungen eingegangen wird, ein allgemeiner Hinweis: Bundesamt für Sicherheit in der Informationstechnik 11

12 Standard-Sicherheitsmaßnahmen auf unteren Schichten Die allgemein auf IP- und Ethernet-Netze zutreffenden Empfehlungen sowie die Standard- Empfehlungen für Server und Clients (z. B. minimales, gehärtetes System, aktueller Patch-Stand) gelten auch für VoIP-Umgebungen und müssen auch hier auf allen eingesetzten Komponenten im vollen Umfang umgesetzt werden. Siehe hierzu das ISi-Modul Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA). Wichtig ist dabei auch der Schutz vor physikalischem Zugriff auf die Netzkomponenten und eine Absicherung gegen Strom- und Geräteausfall. Konkret sollten die wichtigen Komponenten durch unterbrechungsfreie Stromversorgung (USV) abgesichert werden. Außerdem sollten die Endgeräte über Power-over-Ethernet (PoE) versorgt werden, da individuelle Steckernetzteile von IP- Telefonen häufige Quellen für Ausfälle und unnötige Brandgefahren darstellen. Entscheidend ist aber auch die redundante Auslegung, insbesondere der Middleware-Komponenten. Hierbei sollten die Zweitgeräte ebenfalls jederzeit im Einsatz sein (hot standby oder im Rahmen einer Lastverteilung parallel genutzt), um die üblicherweise sehr hohen Ansprüche an die Verfügbarkeit erfüllen zu können, wie man sie aus der klassischen Telefonie kennt. Maßnahmen gegen das Eindringen in VoIP-Komponenten Um Hackern ein Eindringen in die VoIP-Komponenten weiter zu erschweren, sollte bei Endgeräten eine starke Authentifizierung umgesetzt werden, idealerweise auf der Basis von Zertifikaten. Zudem sollte die Switch-Funktionalität der VoIP-Endgeräte deaktiviert werden, da die integrierten Mini-Switches i. d. R. nicht ausreichend konfiguriert werden können und so zum Sicherheitsrisiko werden. Nachteil ist allerdings, dass dann pro Arbeitsplatz zwei Ports und zwei getrennte Kabel benötigt werden. Dieser Nachteil sollte aus Sicherheitssicht jedoch in Kauf genommen werden. Leider gibt es eine Vielzahl von VoIP-Komponenten auf dem Markt, die keinen verschlüsselten Remote-Zugang für die Administration bieten. Es ist daher besonders wichtig, schon bei der Produktauswahl darauf zu achten, dass nur VoIP-Komponenten beschafft werden, die über verschlüsselte Protokolle administriert werden können, idealerweise unter Nutzung von Zertifikaten zur Authentisierung. Häufig wird auch eine strikte Trennung von Sprach- und Datennetz empfohlen. Dies ist jedoch zweischneidig. Eigentlich wäre eine physikalische Trennung der beiden Funktionalitäten sinnvoll und diese sollte man in Bereichen mit hohem Schutzbedarf auch fordern andererseits basieren viele der funktionalen Vorteile von IP-Telefonie gerade auf der Integration von Daten- und Telekommunikations-Netzen, so z. B. das direkte Anwählen im -Adressbuch gespeicherter Kontakte oder der Zugriff von Telefonie-Komponenten auf LDAP-Server. Insofern müssen die Vor- und Nachteile hier sorgfältig abgewogen werden. Ist der Einsatz von Softphones gewünscht, ist eine Netztrennung schon prinzipiell nicht möglich. Zur Trennung von Daten- und Sprachnetz können Paketfilter als Sicherheits-Gateway eingesetzt werden; möglichst sollten hierfür dann zustandsbasierte Paketfilter verwendet werden (stateful packet inspection). Sicherheits-Gateway und IP-Telefonie Soll IP-Telefonie über die Netzgrenze zum Internet hinweg genutzt werden, so muss das in der ISi- LANA-Grundarchitektur empfohlene, aus Paketfilter, Application-Level Gateway (ALG) und Paketfilter (PAP) bestehende Sicherheits-Gateway in der Lage sein, die verwendeten Signalisierungsprotokolle mit dem gesamten Verbindungsaufbau zu analysieren und die jeweiligen Zustände zu speichern. 12 Bundesamt für Sicherheit in der Informationstechnik

13 Der Vorteil eines solchen VoIP-fähigen Sicherheits-Gateways macht sich gerade bei der Übertragung von RTP-Paketen bemerkbar. Die für die RTP-Übertragung zu verwendenden UDP- Ports werden im Rahmen der Signalisierung zwischen den Endpunkten vereinbart. Da das VoIPfähige ALG den Austausch der Protokollnachrichten verfolgt, in denen die IP-Adressen und die UDP-Ports vereinbart werden, kann es dynamisch Filter setzen, die den betreffenden RTP-Strom passieren lassen. Beim Einsatz eines reinen Paketfilters müssten hingegen große UDP-Port-Bereiche (z. B. von ) dauerhaft geöffnet werden, um eingehenden RTP-Datenverkehr zu ermöglichen 2. Solche Konfigurationen würden ein erhebliches Sicherheitsrisiko darstellen, da sie eine große Angriffsfläche für DoS-Angriffe (UDP Flooding) u. a. böten. ALGs mit Proxy-Funktionalität (SIPbewusstes ALG, SIP-Proxy-Server) für VoIP-Protokolle wie SIP und RTP hingegen öffnen nur die im Rahmen der SIP-Signalisierung mitgeteilten und somit tatsächlich benötigten UDP-Ports für die Dauer der Kommunikation und bieten daher weniger Angriffsmöglichkeiten. Am Sicherheits-Gateway wird häufig eine Adress-Umsetzung mithilfe von NAT (Network Address Translation) vorgenommen. Dies kann bei IP-Telefonie zum Problem werden. Bei den Signalisierungsprotokollen werden die IP-Adressen und Portnummern der Kommunikationspartner nicht nur auf Transportschicht, sondern auch innerhalb des Nachrichtenteils der Pakete zwischen den Endsystemen ausgetauscht, also auf Anwendungsschicht. Bei der Adress-Umsetzung mit NAT werden die IP-Adressen und Ports aber nur im UDP- bzw. TCP-Header modifiziert. Die entsprechenden Angaben im Nachrichtenteil bleiben hingegen unverändert. Ohne weitere Maßnahmen können daher keine Sprachdaten zwischen den VoIP-Telefonen ausgetauscht werden. Für dieses Problem gibt es inzwischen einige Lösungsmöglichkeiten namens MIDCOM, STUN, TURN oder ICE. Diese Verfahren ermitteln z. B. die öffentliche Adresse, unter der ein SIP-Telefon gerade über eine NAT-Grenze hinweg telefonieren möchte, und teilen diese dem SIP-Telefon mit, sodass die Adresse auch auf Anwendungsschicht verwendet werden kann. Es ist wichtig, dass einer dieser Ansätze angewendet wird, wenn IP-Telefonie über ein Sicherheits-Gateway mit NAT erfolgen soll. Abschließend noch zwei wichtige Punkte für Auswahl und Einsatz des Sicherheits-Gateways: Die CPU der Komponenten des Sicherheits-Gateways wird aufgrund der vielen kleinen Datenpakete sehr stark belastet. Sie muss daher ausreichend leistungsstark ausgelegt werden. Das Sicherheits- Gateway muss zudem so eingerichtet werden, dass eingebaute IDS-Mechanismen diese vielen Pakete nicht fälschlicherweise als DoS-Angriff (UDP Flooding) werten. Sicherstellung der Verfügbarkeit: Dienstgüte und Netzmanagement Wesentliche Empfehlungen zur Sicherstellung einer hohen Verfügbarkeit wurden schon weiter oben gegeben. Häufig muss darüber hinaus nichts unternommen werden, da die verfügbaren Bandbreiten weit über der Auslastung des Netzes liegen, sodass Sprach-Datenpakete in aller Regel ausreichend schnell ihr Ziel erreichen. Diese Strategie wird Overprovisioning genannt. Wichtig ist es jedoch, die Auslastung des Netzes sowie der CPUs der aktiven Komponenten permanent zu überwachen und die zuständigen Administratoren bei auftretenden Problemen umgehend automatisiert zu alarmieren. Und selbst dann kann die Strategie des Overprovisioning durch gezielte Angriffe überlistet werden. Ein anderer Ansatz besteht darin, die Dienstgüte jedes einzelnen Pakets individuell vorzugeben, also z. B. Sprach-Pakete höher zu priorisieren als normale Daten-Pakete. Man spricht hier von Differentiated Services (DiffServ) oder Class of Services (CoS). Sollen Differentiated Services 2 Bei Verwendung des in diesem Text nicht weiter betrachteten Protokolls IAX wird immer nur ein Port benötigt, was aus Sicherheitssicht besser ist. Bundesamt für Sicherheit in der Informationstechnik 13

14 eingesetzt werden, so muss dies jedoch lückenlos implementiert werden. Leider missachten viele Router im Internet eine entsprechende Angabe, sodass sich der Ansatz bisher nur für den Einsatz im Intranet eignet. Eine einfacher umzusetzende Maßnahme besteht im Traffic Shaping, also der gezielten Vorgabe von Maximal-Bandbreiten für bestimmte Arten von Daten. Auch diese Maßnahme kann jedoch gezielt umgangen werden, indem z. B. andere Port-Adressen verwendet werden. Trotz hochredundanter Ausführung wird eine VoIP-Installation immer anfällig sein für DoS- Angriffe; das Restrisiko kann nicht auf Null reduziert werden. Ziel muss es daher sein, dass die Systeme eventuelle Angriffe unbeschadet überstehen und nach Abschluss des Angriffs sehr schnell wieder einsatzfähig sind. Neben den beschriebenen Maßnahmen im lokalen Netz sollte bei Nutzung eines VoIP-Providers dieser im Hinblick auf die benötigte Verfügbarkeit sorgfältig ausgewählt werden. Nur so kann sichergestellt werden, dass ein Ausfall eines einzelnen Servers nicht die gesamte, Internet-Telefonie einer Institution lahmlegt. Sicherstellung der Vertraulichkeit und Integrität: Verschlüsselung und Hash-Werte Betrachtet man die beiden Sicherheitsgrundwerte Vertraulichkeit und Integrität, so muss zwischen den eigentlichen Sprachdaten und den Signalisierungsdaten unterschieden werden. Betrachten wir zunächst die Sprachdaten. Bei hohem Schutzbedarf ist es zwingend erforderlich, die Sprachdaten verschlüsselt zu übertragen. Aber auch bei normalem Schutzbedarf sollte man diesen Schutz ernsthaft in Erwägung ziehen. Denn ein Abhören der Sprachdaten ist im Vergleich zur klassischen Telefonie deutlich einfacher. Zur Verschlüsselung eignen sich grundsätzlich zwei Verfahren: Sollen zwei VoIP-Inseln über ein unsicheres Netz miteinander verbunden werden, bietet sich in erster Linie die Nutzung eines VPN- Tunnels an, der i. d. R. mithilfe von IPSec realisiert wird. Ein Abhören auf der Übertragungsstrecke ist damit quasi unmöglich. Diese Empfehlung kommt insbesondere zum Tragen, wenn ein solches VPN bereits besteht, weil es z. B. für die Datenkommunikation zwischen den beiden zu verbindenden Inseln bereits genutzt wird. Für die Verschlüsselung von Sprachdaten, insbesondere innerhalb eines lokalen Netzes, bietet sich darüber hinaus SRTP an, die verschlüsselte Übertragungsvariante des Anwendungsprotokolls RTP. SRTP bietet neben Verschlüsselung auch noch die Authentifizierung des Absenders, die Überprüfung der Integrität und einen Schutz gegen das Wiedereinspielen von Nachrichten. Es sichert damit hinreichend gegen das Abhören und Manipulieren von Datenströmen. Gleichzeitig muss dann jedoch auch das sichere Steuerungsprotokoll SRTCP statt RTCP zum Einsatz kommen. Ein geeignetes Schlüsselmanagement ist hierfür zusätzlich erforderlich. Zur Gewährleistung von Senderauthentizität und Nicht-Abstreitbarkeit wird in der SRTP- Spezifikation auf Hash-Werte zurückgegriffen, und nicht etwa auf elektronische Signaturen, da letztere zu hohen Effizienz-Verlusten führen könnten. Ohnehin können die bei VoIP übertragenen Sprachdaten oft ohne Authentifizierung und Integritätsschutz auskommen, nämlich immer dann, wenn die Stimme des Gesprächspartners und der Gesprächsinhalt über die Richtigkeit der übertragenen Daten Aufschluss geben. Auf eine Authentifizierung der RTCP-Nachrichten sollte jedoch auch in diesem Fall nicht verzichtet werden. 14 Bundesamt für Sicherheit in der Informationstechnik

15 Schutz der Signalisierungsdaten Neben der sicheren Sprachübertragung ist auch eine Absicherung der Signalisierung notwendig, um z. B. Gebührenbetrug vorzubeugen. Zu diesem Zweck gibt es verschiedene Möglichkeiten, die insbesondere auch vom verwendeten Signalisierungsprotokoll abhängen. Beispielhaft betrachten wir im Folgenden SIP. Ein grundlegendes Problem in der Absicherung von Signalisierungsprotokollen besteht darin, dass i. d. R. mehrere Komponenten (Endgeräte und Server) involviert sind, die jeweils Teile der Signalisierungsnachrichten lesen oder sogar verändern müssen. Daher befürwortet der SIP-Standard für die Signalisierung Hop-to-Hop-Sicherheit unterhalb der Anwendungsschicht. In diesem Fall liegt zwar keine echte Ende-zu-Ende-Sicherheit mehr vor, der Sicherheitsverlust ist jedoch gering, da den an der Kommunikation beteiligten Servern ohnehin vertraut werden muss. Zum Schutz ganzer SIP-Nachrichten (inklusive Header) gibt es darüber hinaus das SIP Tunneling: Die zu schützende SIP-Nachricht wird vollständig als Body einer zweiten, sogenannten äußeren SIP-Nachricht behandelt, signiert und verschlüsselt, und mit einem identischen SIP-Header versehen an den SIP-Proxy gesendet. Zur Verschlüsselung der SIP-Nachrichten können S/MIME oder TLS genutzt werden. Da S/MIME aber leider nur als optional spezifiziert ist, bleibt es fraglich, ob und wann S/MIME in VoIP- Komponenten auch wirklich nutzbar sein wird. Alle konformen SIP-Server müssen hingegen schon heute das TLS-Protokoll sowohl mit gegenseitiger Authentifizierung als auch mit Einweg-Authentifizierung unterstützen. Beim Einsatz von TLS muss auf der Transportschicht dann allerdings TCP statt UDP verwendet werden, was zusätzlichen Protokoll-Overhead erzeugt. Der SIP-Standard scheint TLS auch gegenüber IPSec zu bevorzugen und sieht die Unterstützung von IPSec daher nur optional vor. Er lässt notwendige Details offen. Voraussetzung für den breiten Einsatz von IPSec in SIP-Systemen wäre somit die Spezifikation eines entsprechenden IPSec- Profils, was derzeit jedoch nicht existiert. 1.5 Fazit Telefonie über IP-Netze verspricht Kosteneinsparungen und einen Gewinn an Komfort, die Verschmelzung bisher getrennter Netze ist daher ein beliebtes Feld für technische Innovationsbestrebungen. Gerade diese Verschmelzung bringt es aber mit sich, dass bei IP- Telefonie deutlich mehr Gefährdungen bestehen als in der klassischen Telefonie. Dennoch: VoIP stellt eine ernsthafte Alternative zur klassischen Telefonie dar, sofern systematisch Sicherheitsmaßnahmen umgesetzt werden, um den Gefahren aus IP- und TK-Welt ausreichend zu begegnen. Die zukünftige Entwicklung von VoIP wird wesentlich davon abhängen, ob es gelingt die VoIP- Systeme mit der gleichen Verlässlichkeit zu betreiben, die Anwender von ihrem bisherigen Telefoniesystem gewohnt sind. Hierzu gehört neben einer hohen Verfügbarkeit, einer verlässlichen Funktionalität vor allem eine einwandfreie Sprach- und Verbindungsqualität. Geeignete Sicherheitsmaßnahmen sind heute technisch und organisatorisch realisierbar. Allerdings unterstützt nur ein kleiner Teil der aktuell auf dem Markt befindlichen Systeme die erforderlichen Sicherheitsmaßnahmen im erforderlichen Umfang. Die Auswahl sicherer Komponenten ist daher im VoIP-Umfeld derzeit noch besonders wichtig. Bundesamt für Sicherheit in der Informationstechnik 15

16 Ob VoIP aber tatsächlich zu nennenswerten Einsparungen führt, sei dahingestellt. Denn die für einen verlässlichen Betrieb von VoIP-Systemen notwendigen Sicherheitsmaßnahmen sind mit einem ernst zu nehmenden technischen und finanziellen Aufwand verbunden. Innovation hat ihren Preis, wenn man sie sicher gestalten will, um nicht unberechenbare Risiken einzugehen. 16 Bundesamt für Sicherheit in der Informationstechnik

17 2 Stichwort- und Abkürzungsverzeichnis Administrator...13 ALG (Application-Level Gateway)...12, 13 Anwendungsschicht...10, 13, 15 Authentifizierung...8, 11, 12, 14, 15 Authentisierung...5, 12 Authentizität...10, 11 Backbone...8 Baustein...1 Bedrohung...9, 10 Betriebssystem...5, 9, 10 Codec...6 CoS (Class of Services)...13 CPU (Central Processor Unit)...13 DiffServ (Differentiated Service)...13 DoS (Denial of Service)...13, 14 (Electronic Mail)...2, 5, 6, 12 Ethernet...12 Gefährdung...5, 9-11, 15 DoS (Denial of Service)...13, 14 Phishing...11 Sniffing...11 Spam...11 Spoofing...11 Gefährdungsanalyse...4, 9, 10 Grundarchitektur...7, 12 H Hardware...7, 9 Hash...14 ICE (Information and Content Exchange)...13 ICMP (Internet Control Message Protocol)...10 IDS (Intrusion Detection System)...13 Integrität...10, 11, 14 Intranet...8, 14 IP (Internet Protocol)...1, 4-13, 15 IPSec (Internet Protocol Security)...14, 15 ISDN (Integrated Services Digital Network)...8, 11 ISi (Internet-Sicherheit)... ISi-L (ISi-Leitfaden)...1 ISi-Reihe...1, 8 ISi-S (ISi-Studie)...1 IT-Sicherheit... Authentizität...10, 11 Integrität...10, 11, 14 Verfügbarkeit...5, 8, Vertraulichkeit...10, 11, 14 ITU (International Telecommunication Union)...6 ITU-T (Telecommunication Standardization Sector)...6 Bundesamt für Sicherheit in der Informationstechnik 17

18 Jitter...7 LAN (Local Area Network)...5, 7, 8, 10 Latenz...6 LDAP (Lightweight Directory Access Protocol)...12 MAC (Media Access Control)...8 MIDCOM (Middlebox Commmunication)...13 Middleware...10, 12 MIME (Multipurpose Internet Mail Extensions)...15 NAT (Network Address Translation)...13 Overprovisioning...13 Paketfilter...12, 13 PAP (Paketfilter - Application-Level Gateway - Paketfilter)...12 Patch...10, 12 PC (Personal Computer)...7, 9, 10 Phishing...11 PoE (Power over Ethernet)...12 Protokoll... H ICE (Information and Content Exchange)...13 ICMP (Internet Control Message Protocol)...10 IP (Internet Protocol)...1, 4-13, 15 IPSec (Internet Protocol Security)...14, 15 LDAP (Lightweight Directory Access Protocol)...12 RTCP (Real Time Control Protocol)...6, 14 RTP (Realtime Transport Protocol)...6, 9, 13, 14 SIP (Session Initiation Protocol)...6, 13, 15 SRTCP (Secure Real Time Control Protocol)...14 TCP (Transmission Control Protocol)...7, 9, 10, 13, 15 TLS (Transport Layer Security)...15 UDP (User Datagram Protocol)...6, 7, 9-11, 13, 15 VoIP (Voice over IP)...1, 5-16 Proxy...13, 15 Restrisiko...14 Risiko...5, 16 Router...7, 9, 14 RTCP (Real Time Control Protocol)...6, 14 RTP (Realtime Transport Protocol)...6, 9, 13, 14 Schadprogramm...10 Trojanisches Pferd...10 Virus...10 Wurm...10 Schlüsselmanagement...14 Schutzbedarf...10, 12, 14 Schwachstelle...5, 9-11 Sicherheits-Gateway...5, 7, 9, 12, 13 ALG (Application-Level Gateway)...12, 13 Paketfilter...12, 13 PAP (Paketfilter - Application-Level Gateway - Paketfilter)...12 Sicherheitsgrundwerte...10, 14 Sicherheitsmaßnahme...5, 12, 15, Bundesamt für Sicherheit in der Informationstechnik

19 Signalisierung...6, 8, 9, 11, 13, 15 SIP (Session Initiation Protocol)...6, 13, 15 Sniffing...11 Softphone...5, 7-10, 12 Spam...11 SPIT (Spam over Internet Telephony)...11 Spoofing...11 SRTCP (Secure Real Time Control Protocol)...14 SRTP (Secure Real-Time Transport Protocol)...6, 14 STUN (Simple Traversal of UDP through NAT)...13 Switch...7, 10, 12 TCP (Transmission Control Protocol)...7, 9, 10, 13, 15 TCP/IP-Referenzmodell... Anwendungsschicht...10, 13, 15 Transportschicht...5, 7, 10, 13, 15 TK (Telekommunikation)...5, 8, 15 TLS (Transport Layer Security)...15 Traffic Shaping...14 Transportschicht...5, 7, 10, 13, 15 Trojanisches Pferd...10 Trunking...8 TURN (Traversal Using Relay NAT)...13 UDP (User Datagram Protocol)...6, 7, 9-11, 13, 15 URI (Universal/Uniform Resource Identifier)...11 USV (Unterbrechungsfreie Stromversorgung)...12 Verfügbarkeit...5, 8, Vertraulichkeit...10, 11, 14 Virus...10 Vishing...11 VoIP (Voice over IP)...1, 5-16 VPN (Virtual Private Network)...14 WAN (Wide Area Network)...5, 8 WLAN (Wireless Local Area Network)...7 Wurm...10 Zertifikat...5, 12 Bundesamt für Sicherheit in der Informationstechnik 19

VoIP Grundlagen und Risiken

VoIP Grundlagen und Risiken VoIP Grundlagen und Risiken Hochschule Bremen Fakultät Elektrotechnik und Informatik 1 Zu meiner Person Informatik-Professor an der Hochschule Bremen Aktuelle Lehrgebiete: Rechnernetze Informationssicherheit

Mehr

Geschichte und Anwendungsgebiete

Geschichte und Anwendungsgebiete VoIP Geschichte und Anwendungsgebiete Sehr geehrter Herr Schmid, liebe Mitschüler, wir möchte euch heute die Geschichte und die Anwendungsgebiete von Voice over IP etwas näher bringen. 1 Inhaltsangabe

Mehr

Kurzbericht: Sicherheit bei der Voice over IP Telefonie (VoIP)

Kurzbericht: Sicherheit bei der Voice over IP Telefonie (VoIP) Der Diözesandatenschutzbeauftragte der Erzbistümer Berlin und Hamburg der Bistümer Hildesheim, Magdeburg, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.o. Kurzbericht: Sicherheit bei

Mehr

VoIP Ekiga.net. Was Ist VoIP Definition

VoIP Ekiga.net. Was Ist VoIP Definition Telefonie & VoIP VoIP PSTN Telefonie & Datennetz Einordnung ins OSI-7-Schichtenmodell Ekiga.net Vermittlungsdienst Ekiga - Kamailio Ekiga Softphone Was Ist VoIP Definition Internet-Telefonie oder Voice

Mehr

2M05: Sicherheit von IP-Telefonie

2M05: Sicherheit von IP-Telefonie 2M05: Sicherheit von IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2006 BKM Dienstleistungs GmbH Bedrohungen und Angriffe auf IP-Telefonie Systeme Sicherheitsmaßnahmen für IP-Telefonie

Mehr

Was ist VoIP. Nachteile: - Sicherheitsfragen müssen stärker betrachtet werden

Was ist VoIP. Nachteile: - Sicherheitsfragen müssen stärker betrachtet werden Was ist VoIP Unter Internet-Telefonie bzw. IP-Telefonie (Internet Protokoll-Telefonie; auch Voice over IP (VoIP)) versteht man das Telefonieren über Computernetzwerke, die nach Internet-Standards aufgebaut

Mehr

Was ist VoIP. Ist-Zustand

Was ist VoIP. Ist-Zustand Was ist VoIP Unter Internet-Telefonie bzw. IP-Telefonie (Internet Protokoll-Telefonie; auch Voice over IP (VoIP)) versteht man das Telefonieren über e, die nach Internet-Standards aufgebaut sind. Dabei

Mehr

VoIP Security. Konzepte und Lösungen für sichere VoIP-Kommunikation. von Evren Eren, Kai-Oliver Detken. 1. Auflage. Hanser München 2007

VoIP Security. Konzepte und Lösungen für sichere VoIP-Kommunikation. von Evren Eren, Kai-Oliver Detken. 1. Auflage. Hanser München 2007 VoIP Security Konzepte und Lösungen für sichere VoIP-Kommunikation von Evren Eren, Kai-Oliver Detken 1. Auflage Hanser München 2007 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 446 41086 2 Zu Leseprobe

Mehr

Voice over IP. Sicherheitsbetrachtung

Voice over IP. Sicherheitsbetrachtung Voice over IP Sicherheitsbetrachtung Agenda Motivation VoIP Sicherheitsanforderungen von VoIP Technische Grundlagen VoIP H.323 Motivation VoIP Integration von Sprach und Datennetzen ermöglicht neue Services

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Voice over IP (VoIP) PING e.v. Weiterbildung Dennis Heitmann 13.08.2009

Voice over IP (VoIP) PING e.v. Weiterbildung Dennis Heitmann 13.08.2009 Voice over IP (VoIP) PING e.v. Weiterbildung Dennis Heitmann 13.08.2009 Gliederung Was ist VoIP? Unterschiede zum herkömmlichen Telefonnetz Vorteile und Nachteile Was gibt es denn da so? Kosten VoIP-Praxisvorführung

Mehr

Verschlüsselung von VoIP Telefonie

Verschlüsselung von VoIP Telefonie Verschlüsselung von VoIP Telefonie Agenda» VoIP-Grundlagen» Gefahren bei VoIP» Sicherheitskonzepte 2 VoIP-Grundlagen Im Unterschied zur klassischen Telefonie werden bei VoIP keine dedizierten Leitungen

Mehr

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg.

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg. VRRP Virtual Router Redundancy Protocol Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3824540662 Netzwerke auf Basis des Internet Protocol (IP)

Mehr

Sicherheit bei VoIP - Ein Überblick

Sicherheit bei VoIP - Ein Überblick - Ein Überblick Christian Louis christian@kuechenserver.org 29. Dezember 2004 Überblick Grundlagen von IP-Telefonie Gefahren bei IP-Telefonie Standards VoIP-Sicherheit Status Quo Ausblick 29. Dezember

Mehr

Voice over IP. Sprache und Daten in einem gemeinsamen Netz. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Voice over IP. Sprache und Daten in einem gemeinsamen Netz. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Voice over IP Sprache und Daten in einem gemeinsamen Netz Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Normen Ablauf und Einzelheiten Verbindungsaufbau und Verbindungsverwaltung

Mehr

2 Typische VoIP-Umgebungen

2 Typische VoIP-Umgebungen 2 Typische VoIP-Umgebungen Die Architekturen für den Dienst VoIP stehen fest. Hierbei wird zwischen H.323- und SIP-Architektur unterschieden. Sie sind in Abb. 2-1 und Abb. 2-2 dargestellt. Abb. 2-1: H.323-Architektur

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

IT-Sicherheit im Handwerk

IT-Sicherheit im Handwerk DECT / VoIP Michael Burzywoda 15. Mai 2014 > Inhaltsübersicht Teil 1 Wie es begann (vom CT1(+) + 2 zum DECT) Einsatz und Anwendung Technik Sicherheit bei DECT Risiken Quelle: /www.gigaset.de > DECT Wie

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Seite i Inhaltsverzeichnis INHALTSVERZEICHNIS I 1 VORWORT 1-1 2 MOTIVATION 2-3 2.1 Sicherheitsrelevante Unterschiede zwischen TDM und VoIP

Mehr

VoIP-Konferenz. Security Aspekte bei VoIP. Dr. I. ROMAN. Donnerstag, 30. März 2006, Technopark Zürich

VoIP-Konferenz. Security Aspekte bei VoIP. Dr. I. ROMAN. Donnerstag, 30. März 2006, Technopark Zürich VoIP-Konferenz Security Aspekte bei VoIP Dr. I. ROMAN Donnerstag, 30. März 2006, Technopark Zürich VoIP-Konferenz, 30. März 2006, Technopark Zürich Security Aspekte bei VoIP, 1 Agenda VoIP Security Challenges

Mehr

Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag. Dennis Heitmann 07.08.2010

Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag. Dennis Heitmann 07.08.2010 Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag Dennis Heitmann 07.08.2010 Was ist das? VoIP = Voice over IP (Sprache über Internet Protokoll) Sprachdaten werden digital über das Internet übertragen

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Grundlagen der. Videokommunikation

Grundlagen der. Videokommunikation Grundlagen der Videokommunikation Netzwerke: Qualitäts- und Leistungserwartungen Netzwerke: Qualitäts- und Leistungserwartungen Netzwerke: über DFN X-WiN-Anbindung X-WiN ist im DFN-Verein technische Basis

Mehr

Auerswald GmbH & Co. KG 2013

Auerswald GmbH & Co. KG 2013 Angriffsflächen bei Voice over IP (VoIP) im Unternehmen Lauschen und Kapern Was ist schützenswert? Mögliche Angriffsszenarien, Motivation des Bösewichts"? Wie kann man sich schützen? 3 Im System gespeicherte

Mehr

Voice over IP. Internet Telefonie

Voice over IP. Internet Telefonie VoIP SIP-Telefonie Voice over IP IP-Telefonie Internet Telefonie Agenda Was ist VoIP Geschichte Allgemeines H.323 SIP RTP / RTCP Skype Sicherheitsaspekte Quellenangaben VoIP? Voice over IP ist die Übertragung

Mehr

VoIP Messung. Voice-Readiness Test. Beschreibung

VoIP Messung. Voice-Readiness Test. Beschreibung VoIP Messung Voice-Readiness Test Beschreibung Inhaltsverzeichnis Grund der Messung 3 Grundlagen zur Messung.. 3 Analyse Tool Metari. 3 Wichtige Parameter. 3 Verzögerung (Delay) 3 Paketverluste (Paket

Mehr

Netzwerke 2 Asterisk. Merkle, Matthias Prösl, Johannes Schätzle, Nicolas Weng, Daniel Wolf, David

Netzwerke 2 Asterisk. Merkle, Matthias Prösl, Johannes Schätzle, Nicolas Weng, Daniel Wolf, David Netzwerke 2 Asterisk Merkle, Matthias Prösl, Johannes Schätzle, Nicolas Weng, Daniel Wolf, David Inhalt Was ist Asterisk? Funktionsweise/Ablauf SIP H.323 Protokoll Versuchsaufbau Vor-/Nachteile Zukunftsaussichten

Mehr

clever clienting Doppelt sparen mit Voice over IP und Server Based Computing IGEL Clever Clients und VoIP-Technologie: Grundlagen und Funktionsweise

clever clienting Doppelt sparen mit Voice over IP und Server Based Computing IGEL Clever Clients und VoIP-Technologie: Grundlagen und Funktionsweise Doppelt sparen mit Voice over IP und Server Based Computing IGEL Clever Clients und VoIP-Technologie: Grundlagen und Funktionsweise In der IT-Welt prägen derzeit zwei populäre Technologietrends die Suche

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

VOIP Basics 14.11.2005

VOIP Basics 14.11.2005 VOIP Basics 14.11.2005 VoIP! Voice over IP! VOIP V o i c e Skypen! Voipen! DSL-Telefonie! Internettelefonie! IP-Telefonie! Billig! Was ist VOIP -Voice over Internet Protokoll = Stimmenübertragung über

Mehr

Grundlagen der. Videokommunikation

Grundlagen der. Videokommunikation Grundlagen der Videokommunikation Netzwerke: Qualitäts- und Leistungserwartungen Netzwerke: Qualitäts- und Leistungserwartungen Bandbreite Kenngrößen Firewall NAT Netzwerke: über DFN X-WiN-Anbindung X-WiN

Mehr

E-Mail-Verschlüsselung viel einfacher als Sie denken!

E-Mail-Verschlüsselung viel einfacher als Sie denken! E-Mail-Verschlüsselung viel einfacher als Sie denken! Stefan Cink Produktmanager stefan.cink@netatwork.de Seite 1 Welche Anforderungen haben Sie an eine E-Mail? Seite 2 Anforderungen an die E-Mail Datenschutz

Mehr

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum Regelwerk für die Planung und Konzipierung sicherer Datennetze Dr. Herbert Blum 12. Deutscher IT-Sicherheitskongress Bonn, 7 Anwendung 6 Darstellung 5 Sitzung Anwendung Datensicherheit in Netzen 3 Vermittlung

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

SIRTCP/IP und Telekommunikations netze

SIRTCP/IP und Telekommunikations netze SIRTCP/IP und Telekommunikations netze Next Generation Networks und VolP - konkret von Ulrich Trick und Frank Weber 2., erweiterte und aktualisierte Auflage Oldenbourg Verlag München Wien Inhalt Inhalt

Mehr

ISDN-TelefonAnlage tiptel 6000 business. Installationsanleitung tiptel 64 VoIP. tiptel

ISDN-TelefonAnlage tiptel 6000 business. Installationsanleitung tiptel 64 VoIP. tiptel ISDN-TelefonAnlage tiptel 6000 business (D) Installationsanleitung tiptel 64 VoIP tiptel Inhaltsverzeichnis Inhaltsverzeichnis...3 1. Einführung...3 2. tiptel 64 VoIP per Internet an den tiptel 6000 business

Mehr

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch Unified Communications Security Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch 2 Geschäftseinheiten CASSARiUS Fortune Business und Informatik im Einklang. CASSARiUS

Mehr

IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DrayTek Vigor 2600 Vi

IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DrayTek Vigor 2600 Vi IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DrayTek Vigor 2600 Vi Seite 1 / 5 DrayTek Vigor 2600 Vi Nicht-Neu Auf das Gerät wurde die aktuelle Firmware Version 2.5.7 gespielt (siehe Bildschirmfoto)

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

Szenarien & Sicherheit

Szenarien & Sicherheit HOB Desktop Based Telephony: Asterisk Server Szenarien & Sicherheit Heinrich Fau, Leiter HOB Networking Technology You don t see wissen Sie von welchem Hersteller der Stromverteiler in Ihrem Haus kommt?

Mehr

Voice over IP. Innovative Kommunikationstechnologien für Ihr Unternehmen

Voice over IP. Innovative Kommunikationstechnologien für Ihr Unternehmen Voice over IP Innovative Kommunikationstechnologien für Ihr Unternehmen Bildungszentrum des Hessischen Handels ggmbh Westendstraße 70 60325 Frankfurt am Main Beauftragte für Innovation und Technologie

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Buchner Roland, Günther Markus, Fischer Oliver

Buchner Roland, Günther Markus, Fischer Oliver Buchner Roland, Günther Markus, Fischer Oliver Telefonieren über das Datennetz Erster Hype schon in den 90ern seit CeBIT 2004 wieder im Gespräch Erobert Telekommunikationsmarkt Alle großen Telekom Anbieter

Mehr

CSD: Dr. Neuhaus Telekommunikationals Lösungspartner. Ihr Partner für drahtlose und drahtgebundene M2M-Kommunikation

CSD: Dr. Neuhaus Telekommunikationals Lösungspartner. Ihr Partner für drahtlose und drahtgebundene M2M-Kommunikation CSD: Dr. Neuhaus Telekommunikationals Lösungspartner Ihr Partner für drahtlose und drahtgebundene M2M-Kommunikation 2 Einleitung In der Vergangenheit wurden für die direkte Telefonverbindung meist Wählverbindungen

Mehr

Neue Dienste und Anwendungen für private, intelligente Kommunikationsnetzwerke

Neue Dienste und Anwendungen für private, intelligente Kommunikationsnetzwerke . Neue Dienste und Anwendungen für private, intelligente Kommunikationsnetzwerke (Next Generation Service Capabilities for private intelligent Networks) Übersicht des Vortrags Kommunikationsnetzwerk der

Mehr

Anlagenkopplung mit VPN-Tunnel via dyndns

Anlagenkopplung mit VPN-Tunnel via dyndns Anlagenkopplung mit VPN-Tunnel via dyndns VPN Internet VPN Öffentl. Netz ISDN ISDN Öffentl. Netz ICT & Gateway ICT & Gateway IP-S400 CA50 IP290 CS 410 Funkwerk Enterprise Communications GmbH Seite 1 von

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Voice over IP VOICE OVER IP - EIN ÜBERBLICK

Voice over IP VOICE OVER IP - EIN ÜBERBLICK Voice over IP VOICE OVER IP - EIN ÜBERBLICK Inhalt 2 Was ist VOIP Definition Funktionsprinzip Signalisierungsprotokolle Rufnummernsysteme Gesprächsübertragung Digitale Verarbeitung analoger Signale Codec

Mehr

Halle 2007-05-08 Oliver Göbel

Halle 2007-05-08 Oliver Göbel RUS CERT Sicherheit und Sprach-dienste (VoIP) 8. Tagung der DFN-Nutzergruppe Hochschulverwaltung Halle 2007-05-08 http://cert.uni-stuttgart.de/ Das RUS-CERT Folie: 2 Stabsstelle DV-Sicherheit der Universität

Mehr

Goodbye ISDN Hello ALL-IP Wissenswerte für den Unternehmer

Goodbye ISDN Hello ALL-IP Wissenswerte für den Unternehmer Goodbye ISDN Hello ALL-IP Wissenswerte für den Unternehmer ALL IP Warum? Zusammenfassung bisher getrennter Netze Vermittlungsstellen sind veraltet Einheitliches Netz für Sprache, Daten und Videolösungen

Mehr

Vorwort zur fünften Auflage

Vorwort zur fünften Auflage Inhalt Vorwort zur fünften Auflage XIII 1 Anforderungen an die Telekommunikationsinfrastruktur der Zukunft 1 1.1 Telekommunikationsinfrastruktur 3 1.2 Kommunikationsdienste und Nutzerverhalten 6 1.3 Applikationen

Mehr

Gefährdungen, Sicherheitsmaßnahmen und Projekterfahrung

Gefährdungen, Sicherheitsmaßnahmen und Projekterfahrung BremSec-Forum VoIP-Security Gefährdungen, Sicherheitsmaßnahmen und Projekterfahrung Prof. Dr.-Ing. Kai-Oliver Detken URL: http://www.decoit.de URL2: http://www.detken.net E-Mail: detken@decoit.de Foliennr.:

Mehr

Was ist VoIP Grundlagen RTP, SIP und H3.23 Schwachstellen und Angriffsszenarien

Was ist VoIP Grundlagen RTP, SIP und H3.23 Schwachstellen und Angriffsszenarien VoIP und Sicherheit Wie sicher kann VoIP sein? Welche Schwachstellen gibt es? Netzwerksicherheit CNB 4 SS 2008 Patrick.Schuetzeberg@hs-furtwangen.de Philipp.Wielatt@hs-furtwangen.de Patrick Schützeberg,

Mehr

Sichere Installation von VoIP-Telefonanlagen

Sichere Installation von VoIP-Telefonanlagen Sichere Installation von VoIP-Telefonanlagen Bachelorarbeit-Verteidigung GEORG LIMBACH Universität Rostock, Institut für Informatik 14. April 2011 c 2011 UNIVERSITÄT ROSTOCK FAKULTÄT FÜR INFORMATIK UND

Mehr

OpenChaos-Reihe Digitale VerhütungTeil 2: Sichere Kommunikation

OpenChaos-Reihe Digitale VerhütungTeil 2: Sichere Kommunikation OpenChaos-Reihe Digitale Verhütung Teil 2: Sichere Kommunikation Chaos Computer Club Cologne e.v. http://koeln.ccc.de Köln 25.10.2007 Gliederung 1 Warum Kommunikationsverschlüsselung? 2 Praxis 3 Letzte

Mehr

Die Next Generation Networks im Hochschullabor

Die Next Generation Networks im Hochschullabor Die Next Generation Networks im Hochschullabor Prof. Dr. Ulrich Trick, am Main, Fachbereich Informatik und Ingenieurwissenschaften,, Kleiststr. 3, 60318 Frankfurt, Tel. 06196/641127, E-Mail: trick@e-technik.org,

Mehr

S Sparkasse. UnnaKamen. Secure Mail Notwendigkeit?

S Sparkasse. UnnaKamen. Secure Mail Notwendigkeit? S Sparkasse UnnaKamen Secure Mail Notwendigkeit? Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungsdateien sowie das E-Mail Spoofing, das Erstellen einer E-Mail mit gefälschtem

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

EP 1 912 405 A1 (19) (11) EP 1 912 405 A1 (12) EUROPÄISCHE PATENTANMELDUNG. (43) Veröffentlichungstag: 16.04.2008 Patentblatt 2008/16

EP 1 912 405 A1 (19) (11) EP 1 912 405 A1 (12) EUROPÄISCHE PATENTANMELDUNG. (43) Veröffentlichungstag: 16.04.2008 Patentblatt 2008/16 (19) (12) EUROPÄISCHE PATENTANMELDUNG (11) EP 1 912 40 A1 (43) Veröffentlichungstag: 16.04.2008 Patentblatt 2008/16 (1) Int Cl.: H04L 29/06 (2006.01) (21) Anmeldenummer: 0701934.3 (22) Anmeldetag: 02..2007

Mehr

IP- und Bild-Telefonie. Uwe Berger Michael Kürschner

IP- und Bild-Telefonie. Uwe Berger Michael Kürschner Uwe Berger Michael Kürschner Heute schon ge skyp t? ;-) 04/2008 2 Inhalt Motivation Allgemeines Protokollfamilien H.323 SIP proprietäre/andere Lösungen Programme Weiterführende Informationen 04/2008 3

Mehr

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein VoIP-Verschlüsselung Verschlüsselung im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein Einordnung VoIP in DFNFernsprechen VoIP seit 5 Jahren im DFN verfügbar VoIP ist Teil des Fernsprechdienstes DFNFernsprechen

Mehr

Michael Uhl, Vortrag VoIP Freitag, 16.06.2006

Michael Uhl, Vortrag VoIP Freitag, 16.06.2006 VoIP Voice over IP Dieser Vortrag stellt das Funktionsprinzip und einige einfache Anwendungen für VoIP vor. mu21.de Letzter Vortrag: GSM UMTS B3G ####################################################################

Mehr

VoIP. Gliederung. 1. Einführung. 3.2Anforderungen 3.3Stand Dinge. 3.3Wie geht es Dinge weiter?

VoIP. Gliederung. 1. Einführung. 3.2Anforderungen 3.3Stand Dinge. 3.3Wie geht es Dinge weiter? Sicherheit Ruhr-Universität Voice over IP Thomas WS Seminar (VoIP 2004/2005 VoIP) Eisenbarth ITS Bochum 1. Einführung 1.1 1.2 1.3 Was Bisherige Die Zukunft ist VoIP? Telefonie Gliederung 10.02.2005 - Folie

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

bla bla Open-Xchange Server VoipNow Benutzeranleitung

bla bla Open-Xchange Server VoipNow Benutzeranleitung bla bla Open-Xchange Server VoipNow Benutzeranleitung Open-Xchange Server Open-Xchange Server: VoipNow Benutzeranleitung Veröffentlicht Dienstag, 17. Juli 2012 Version 6.20.6 Copyright 2006-2012 OPEN-XCHANGE

Mehr

Herzlich willkommen! 16.05. Bad Homburg 18.05. Hamburg 24.05. München

Herzlich willkommen! 16.05. Bad Homburg 18.05. Hamburg 24.05. München Herzlich willkommen! 16.05. Bad Homburg 18.05. Hamburg 24.05. München Organigramm Corpus Immobiliengruppe Geschäftsbereich Private Anleger Geschäftsbereich Institutionelle Anleger Corpus Immobilien Makler

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

Client-Server-Prinzip

Client-Server-Prinzip Client-Server-Prinzip Kommunikation im Internet erfolgt nach dem Client-Server-Prinzip: Client sendet eine Anfrage (fordert eine Dienstleistung an) Server sendet die Antwort (bietet eine Dienstleistung

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Sicherheitsaspekte beim Zusammenwachsen konvergenter Anwendungen

Sicherheitsaspekte beim Zusammenwachsen konvergenter Anwendungen R IBM Global Services Sicherheitsaspekte beim Zusammenwachsen konvergenter Anwendungen Sicherheitsaspekte bei der paketvermittelnden Sprachübertragung Antonius Klein, Senior IT Architect Infrastructure

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Thema: Anforderungen zum Betrieb eines AIN s

Thema: Anforderungen zum Betrieb eines AIN s Hard- und Software Aastra 415/430/470 Treiber und Applikationen Autor Anforderungen für ein Aastra Intelligate Network (AIN) PBX Vernetzung Manuel Paulus, Aastra Certified Professional Thema: Anforderungen

Mehr

Beispiel einer WebRTC-Lösung Kerninfrastrukturstandards (DTLS, ICE, Turn etc.) Lars Dietrichkeit innovaphone AG Head of Business Development

Beispiel einer WebRTC-Lösung Kerninfrastrukturstandards (DTLS, ICE, Turn etc.) Lars Dietrichkeit innovaphone AG Head of Business Development Beispiel einer WebRTC-Lösung Kerninfrastrukturstandards (DTLS, ICE, Turn etc.) Lars Dietrichkeit innovaphone AG Head of Business Development innovaphone AG Eigenständiger und mittelständischer deutscher

Mehr

Entscheidend ist das Netz

Entscheidend ist das Netz Entscheidend ist das Netz Autor: Uwe Becker, Manager Professional Services, Equant Die andauernde Diskussion um Voice-over-IP (VoIP) bezieht sich hauptsächlich auf den Einsatz der Technologie in lokalen

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Institut für Telematik, Leitung Prof. Dr. sc. nat. Christoph Meinel,

Mehr

Kundeninformation zur Sicheren E-Mail

Kundeninformation zur Sicheren E-Mail Kreissparkasse Saarpfalz Kundeninformation zur Sicheren E-Mail Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Technologie Report: Sicherheitsmechanismen für VoIP Seite 6-138 6.2 Schutz für Quality of Service (QoS) Dieser Abschnitt befasst sich mit

Mehr

(Voice-over IP / VoIP) aus der Sicht des Fernmeldegeheimnisses ( 85 TKG)

(Voice-over IP / VoIP) aus der Sicht des Fernmeldegeheimnisses ( 85 TKG) (Voice-over IP / VoIP) aus der Sicht des Fernmeldegeheimnisses ( 85 TKG) Peter Blauth, Sebastian Fandrich, Patrick Fröger, Daniel Renoth, Tobias Schnetzer und Uwe Weissenbacher FH Furtwangen 20.01.2006

Mehr

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014 Technical Paper Filialvernetzung Filialvernetzung Stand August 2014 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung

Mehr

Sparkasse Gießen. Seite 1 von 11. 1 Götz Schartner, 8com GmbH,,,Sicherheit im Internet.

Sparkasse Gießen. Seite 1 von 11. 1 Götz Schartner, 8com GmbH,,,Sicherheit im Internet. Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen oft keinen ausreichenden Schutz, denn

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Kundeninformation zu Secure Email. Secure Email Notwendigkeit?

Kundeninformation zu Secure Email. Secure Email Notwendigkeit? Kundeninformation zu Secure Email Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen

Mehr

Häufig gestellte Fragen zum Tarif VR-Web komplett

Häufig gestellte Fragen zum Tarif VR-Web komplett Häufig gestellte Fragen zum Tarif VR-Web komplett Inhaltsverzeichnis 1 Installationshilfen... 1 2 Allgemeine Informationen und Voraussetzungen... 2 2.1 Was ist Internet-Telefonie (VoIP)?... 2 2.2 Welchen

Mehr

Umstieg auf eine All-IP Lösung in Unternehmen

Umstieg auf eine All-IP Lösung in Unternehmen Umstieg auf eine All-IP Lösung in Unternehmen Hans-Jürgen Jobst November 2015 Managementforum Digital Agenda Umstellung auf ALL-IP Wie (S)IP die Kommunikationswelt weiter verändert Chancen und Herausforderungen

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DFL-800 Small Business Firewall

IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DFL-800 Small Business Firewall IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DFL-800 Small Business Firewall Seite 1 / 5 DFL-800 Small Business Firewall Diese Firewall eignet sich besonders für kleine und mittelständische Unternehmen.

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

DECT-over-SIP Basisstation singlecell elmeg DECT150

DECT-over-SIP Basisstation singlecell elmeg DECT150 DECT-over-SIP Basisstation singlecell DECT-over-SIP-Basisstation für hybird Anbindung Globales Telefonbuch der elmeg hybird an den Mobilteilen MWI-Anzeige für Sprachnachrichten Taste zur einfachen Sprachnachrichtenabfrage

Mehr