All Ip SecurIty 2.0 IT-SIcherheIT: herausforderungen unserer Kunden bei der VoIP-IP MIgraTIon lead: MArtIn lutz
Welche herausforderungen habe Ich In SAchen SIcherheIt bei der MIgrAtIon Auf All-Ip? client centricity
Welche VoIp-AnSchlüSSe bieten WIr unseren Kunden An? fokus-anschlüsse der TeleKoM deutschland deutschlandlan Ip StArt Voice & Internet Dynamische IP-Adresse 2 Sprachkanäle 3 Rufnummern Optional erweiterbar bis zu 10 Rufnummern SLA 8h deutschlandlan Ip VoIce* Nur Voice Dynamische IP-Adresse 2 Sprachkanäle Optional erweiterbar bis zu 8 Sprachkanäle 3 Rufnummern Optional erweiterbar bis zu 10 Rufnummern SLA 8h deutschlandlan Ip VoIce/dAtA* Voice & Internet Statische IP-Adresse 2 Sprachkanäle Optional erweiterbar bis zu 8 Sprachkanäle 3 Rufnummern Optional erweiterbar bis zu 10 Rufnummern SLA 8h (optional 4h) deutschlandlan SIp trunk* Voice & Internet Statische IP-Adresse 2 Sprachkanäle Optional erweiterbar bis zu u 162 Sprachkanäle Durchwahlfähige Rufnummern SLA 8h (optional 4h) WIe SIeht die Kunden-ArchIteKtur (exemplarisch) Vor MIgrAtIon Auf die neuen VoIp-AnSchlüSSe AuS? * Bei T-Systems auch im TDN unter folgender Namensgebung möglich: Corporate IP Voice, Corporate IP Voice/Data, Corporate SIP Trunk
Kunden ArchIteKtur VoIce- und daten-access SInd PhySIKalISch getrennt Vor VoIp-MIgrAtIon der geschäftskunden exemplarische Kunden-ArchIteKtur Außenstandort 1 tk AnlAge WAnrouter WAnrouter zentrale SecurIty hub Internet ISDN Internetzugang: Es gibt einen Internetzugang (z.b. DCIP) in der Zentrale, der mittels eines Security Hubs abgesichert ist. Die Anbindung der Außenstandorte erfolgt über VPN oder MPLS. Jeder Standort kann ausschließlich über die Zentrale mit dem Internet kommunizieren. Voice-Zugang: Jeder Außenstandort hat einen eigenen ISDN-Zugang für Telefonie / Fax. eine eigene TK Anlage die dezentral administriert wird. Außenstandort 2 WAnrouter tk AnlAge WIe SIeht die ArchIteKtur nach MIgrAtIon Auf einen VoIp-AnSchluSS AuS?
neue AuSgAngSlAge STandorTe MIT direktem KonTaKT zum InTerneT Vor VoIp-MIgrAtIon der geschäftskunden exemplarische Kunden-ArchIteKtur Außenstandort 1 WAnrouter WAnroute r neu zentrale SecurIty hub neu Telekom VoIP-Netz Internet Internetzugang: Keine Veränderung für den Internetzugang. Voice-Zugang: Voice-Traffic wird nun auf Basis des IP-Protokolls geroutet. TK-Anlagen müssen VoIP-fähig sein. Die Telekom empfiehlt an jedem VoIP-Anschluss einen Router* mit grundlegenden Sicherheitsfunktionen** einzusetzen. Datentrennung: Im Telekom Netz sind Voice-Traffic und Daten-Traffic konsequent getrennt. deutschlandlan Ip VoIce deutschlandlan Ip VoIce/dAtA deutschlandlan SIp trunk Außenstandort 2 WAnroute r *Lancom, Cisco, Audio Codes neu **SPI-Firewall, Session Border Controller (SBC), Network Address Translation (NAT) Welche herausforderungen bringt die neue AuSgAngSlAge MIt SIch?
neue herausforderungen der Kunden erhöhte angriffsfläche nach VoIp-MIgrAtIon der geschäftskunden exemplarische Kunden-ArchIteKtur WAnrouter zentrale SecurIty hub SzenArIo 3 SzenArIo 1: Alle VoIP-Anschlüsse der Telekom haben eine öffentliche IP-Adresse. Damit bilden Sie einen Angriffspunkt aus dem Internet. SzenArIo 2: Telefoniert ein Kunde mit einem von Malware infizierten Telefon, kann sich die Malware über die Telefonverbindung ausbreiten. deutschlandlan Ip VoIce deutschlandlan Ip VoIce/dAtA deutschlandlan SIp trunk Außenstandort 1 WAnroute r public Ip AddreSS SzenArIo 1 Telekom VoIP-Netz Internet Neue Sprach-Anwendungen erhöhen zusätzlich das Risiko: SzenArIo 3: Unabhängig der VoIP-Migration entsteht bei der Nutzung von z.b. Skype, WebEx oder WhatsApp Call über das Internet (http) eine weitere Angriffsfläche. Außenstandort 2 WAnroute r SzenArIo 2 InfIzIerteS Soft-phone die grundlegenden SIcherheItSMechAnISMen der router reichen oftmals nicht AuS, um AngrIffe AbzuWehren.
All-Ip erfordert neues SIcherheItSKonzept KoMbInaTIon MIT weiteren SIcherheITS-leISTungen MIt zusätzlichen SIcherheItSfunKtIonen der telekom SecurIty exemplarische Kunden-ArchIteKtur Außenstandort 1 WAnroute r WAnrouter zentrale SecurIty hub Telekom VoIP-Netz Internet SecurIty hub SchuTz Von daten und SPrache: Erweiterung des Security Hubs* Absicherung von Sprach- und Datenschlüssen und zur Eliminierung des Risikos neuer Sprach-Anwendungen (Szenario 3). telekom SecurIty bietet VolluMfänglIchen Schutz für die zentrale und die AußenStAndorte deutschlandlan Ip VoIce deutschlandlan Ip VoIce/dAtA deutschlandlan SIp trunk Außenstandort 2 WAnroute r utm firewall dedizierte SPrach-anSchlüSSe: Erweiterung der Sicherheitsfunktionen der Routern zum Schutz vor Schadcode (Szenario 2) und direkten Angriffen aus dem Internet (Szenario 1). *Z.B. durch ALG (Application Layer Gateway) für SIP und VoIP-Applikationen (z.b. Skype) **Z.B. Intrusion Prevention System (IPS), Botnet Detection, Default Packet Handling (DDoS Schutz), Application Layer Gateway
risiken ohne erweiterten Schutz Verändern Von SprAch- InforMAtIonen erpressung Abhören Von gesprächen unbefugtes MItnutzen des AnSchluSSeS Die Grundsicherheit ist durch das Telekom-Netz und die Router gegeben. Jedoch bleibt ein Risiko auf Anwendungsebene und durch direkte Attacken auf die IP-Adressen der Kunden. daher ISt ein ModerneS SIcherheItSKonzept unabdingbar. übernahme Von daten diensten VertrAulIchKeIt VerfügbArKeIt IntegrItät nutzung der endgeräte AlS raum- MIKrophon
Aber WIeSo reicht der Schutz MeIneS MultIfunKtIonS-routerS nicht AuS? eine hütte Schützt Vor dem regen, jedoch nicht Vor jedem SturM.
Aber WIeSo reicht der Schutz MeIneS MultIfunKtIonS-routerS nicht AuS? AlternAtIVe, MüSSte noch gekauft Werden eine hütte Schützt Vor dem regen, jedoch nicht Vor jedem SturM.
All Ip SecurIty MAtrIx
übersicht: SchutzMechAnISMen bei VoIp 3. Stufe einbruchsicherheit Die utm-firewall überwacht den Sprach-Verkehr aktiv mittels verschiedener Funktionen (z.b. SIP-ALG 1) oder IPS 2) ). Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten. 2. Stufe netzwerk-trennung 3) Die Firewall des b-routers entscheidet anhand mehrerer Kriterien, ob ein eingehendes Datenpaket weitergeleitet oder verworfen wird. Damit werden nicht gewollte Verbindung (z.b. von anderen Plattformen) abgelehnt. Zudem trennt die NAT-Funktion das öffentliches Internet vom Kunden- LAN. Damit können interne Geräte nicht direkt angegriffen werden. Ein Angreifer hat keine Transparenz über interne Geräte. Zusätzlich bietet die SBC 5) - Funktion Schutz speziell für VoIP-TK- Anlagen oder VoIP-Clients. 1. Stufe KoMMunIKAtIonSSIcherheIt Das telekom VoIp-netz schützt mittels verschiedener Mechanismen die Telefonverbindung zwischen dem Anrufer und dem B-Router des Kunden vor Lauschangriffen und Manipulation des Sprach-Verkehrs. Aus Datenschutzgründen werden keine Sprach-Verbindungen inhaltlich bewertet bzw. nach Malware durchsucht. telekom Kunde 100010101010101010110 public Ip AddreSS telekom VoIp-netz 4) Anrufer 1) Spezielles Application Level Gateway das mit dem SIP-Protokoll kompatibel ist. 2) IPS = Intrusion Prevention System 3)Die im Kontext empfohlenen B-Router der Telekom haben eine eigene Firewall und einen SBC 5) 4) Das Telekom VoIP-Netz ist physikalisch getrennt vom Internet. 5) SBC steht für Session Border Controller
übersicht: SchutzMechAnISMen bei VoIp 3. Stufe einbruchsicherheit Durch den AIrbAg wird verhindert, dass die Insassen bei Unfällen gegen harte Teile des Innenraumes wie Lenkrad oder Armaturenbrett prallen. Auslösen nur bei Extremsituationen (d.h. starke negative Beschleunigungswerte) ausgelöst 2. Stufe der SIcherheItSgurt Der SIcherheItSgurt stell sicher, dass bei starken Bremsungen oder Unfall-Situationen die Insassen nicht durch das Fahrzeug oder gar aus dem Fenster hinaus geschleudert werden. 1. Stufe das transportmittel Ein transportmittel (z.b. Auto) bringt Insassen zuverlässig von A nach B. Grundlegende Sicherheitsmechanismen sind vorhanden. Z.B. B-Säule zum Schutz der Insasse bei Überschlägen. Alarmanlage zum Schutz gegen Diebstahl. B A
VIelen dank!