Communication Networks and Computer Engineering Report No. 99 Sebastian Kiesel Architekturen verteilter Firewalls für IP-Telefonie-Plattformen Universität Stuttgart Institut für Kommunikationsnetze und Rechnersysteme Prof. Dr.-Ing. Dr. h. c. mult. R J. Kühn
Inhaltsverzeichnis Abstract Kurzfassung Inhaltsverzeichnis Abbildungsverzeichnis iii vii xiii xvii Tabellenverzeichnis, xix Abkürzungen und Symbole xxi 1 Einleitung. 1 1.1 Umfeld und Motivation 1 1.2 Gliederung der Arbeit ^.. 3 2 Grundlagen 5 2.1 VoIP und IP-Telefonie 5 2.1.1 Begriffsdefinitionen, Einordnung und Abgrenzung 5 2.1.2 Sprach-/Ton-Übertragung über IP-basierte Netze 6 2.1.3 Signalisierung 7 2.1.4 Innenband-und Außenband-Signalisierung 8 2.1.5 Session Initiation Protocol (SIP) 10 2.1.6 Alternative Signalisierprotokolle für IP-Telefonie 23 2.2 Sicherheit in Kommunikationsnetzen 26 2.2.1 Grundbegriffe der Netzsicherheit 26 2.2.2 Separation und Mediation 27 2.2.3 Zugriffskontrolle 28 2.2.4 Vertrauensdomänen und Platzierung von Zugriffskontroll-Mechanismen 29 2.3 Firewalls. 31 2.3.1 Begriffsdefinition und grundsätzliche Aufgaben 31 2.3.2 Prinzipieller Aufbau eines Firewall-Elements 32 2.3.3 Klassifikation von Firewall-Elementen 33 2.3.4 Mehrstufige Firewall-Systeme :.. 37 2.3.5 Spezifikation der Zugriffskontroll-Regeln für Firewalls 38 2.4 Zusammenfassung 42
xiv INHALTSVERZEICHNIS 3 Schutz von IP-Telefonie durch Zugriffskontrolle am Netzübergang 43 3.1 Bedrohungsszenarien für IP-Telefonie 43 3.1.1 Allgemeine Gefährdungen für VoIP 43 3.1.2 Die SPIT-Problematik 44 3.1.3 Besondere Anforderungen in öffentlichen IP-Telefonie-Netzen 46 3.2 Horizontaler Freiheitsgrad der Allokation von Sicherheitsfunktionen 47 3.3 Netzarchitekturen SIP-basierter Netze 49 3.3.1 Die offene", Internet-basierte Architektur 49 3.3.2 IP-Telefonie-Plattformen 51 3.4 Grundzüge der IMS- und TISPAN-Architektur 52 3.4.1 Die Control Plane im IMS 53 3.4.2 Die TISPAN-Funktionen am Netzübergang 54 3.5 Konzepte für die Netzzusammenschaltung 55 3.6 Zusammenfassung und Fazit 57 4 Architekturen verteilter Firewalls 59 4.1 Klassifikation grundsätzlicher Architekturen 59 4.1.1 Signalisier-und Medienkomponente in einem Netzelement 60 4.1.2 Signalisier-und Medienkomponente in getrennten Netzelementen... 61 4.2 Pfad-entkoppelte Firewall-Signalisierung 62 4.3 Pfad-gekoppelte Firewall-Signalisierung / 63 4.4 Die IETF MIDCOM-Architektur 66 4.4.1 Vorgehensweise der Arbeitsgruppe 66 4.4.2 Protokollinstanzen 67 4.4.3 Protokollsemantik 68 4.4.4 Grundsätzliches Zusammenspiel mit SIP 69 4.5 SIMCO 72 4.6 Die IETF NSIS-Architektur 74 4.6.1 Grundsätzliche Architektur 74 4.6.2 Protokollinstanzen 74 4.6.3 Der NSIS Messaging Layer" GIST 75 4.6.4 Steuerung von Paketfiltern mit NSIS 76 4.6.5 Integration von NSIS- und SIP-Signalisierung 77 4.7 Zusammenfassung und Fazit 78 5 Untersuchung eines Netzübergangs mit Pfad-entkoppelter Firewall-Steuerung 81 5.1 Kriterien und Methoden zum Vergleich von Firewall-Architekturen 81 5.2 Implementierung eines SIMCO-Prototypen 83 5.2.1 Auswahl von SIMCO 83 5.2.2 Anforderungen an den SIMCO-Prototypen und implementierte Module 83 5.2.3 SIMCO-Server 84 5.2.4 SIMCO-Client im SIP B2BUA 89 5.2.5 SIMCO-Lastgenerator 90 5.2.6 Übersicht über die Testumgebung 93 5.3 SIMCO Interop-Event 94 5.4 Untersuchung des Zusammenspiels von MIDCOM und SIP 94 5.4.1 Behandlung von MIDCOM-Fehlerfällen in SIP 95
INHALTSVERZEICHNIS xv 5.4.2 Behandlung von SIP-Fehlerfällen in MIDCOM 97 5.5 Bestimmung der Leistungsfähigkeit des Linux Netfilter-Moduls 99 5.5.1 Wesentliche Kenngrößen 99 5.5.2 Beeinflussende Parameter 99 5.5.3 Messungen an Linux/Netfilter 101 5.6 Zusammenfassung und Fazit 103 6 Optimierter Transport von Signalisiernachrichten über IP 105 6.1 Transportschichtprotokolle 105 6.1.1 User Datagram Protocol (UDP) 106 6.1.2 Transmission Control Protocol (TCP) 107 6.1.3 Stream Control Transmission Protocol (SCTP) 107 6.2 Head-of-Line Blocking in Transportschichtprotokollen 108 6.3 Konfigurationsvarianten für den Transport von Signalisiernachrichten über IP. 109 6.3.1 Anforderungen von SIMCO bezüglich Reihenfolgesicherung 109 6.3.2 TCP-basierter Transport 111 6.3.3 UDP-basierter Transport 112 6.3.4 SCTP-basierter Transport 112 6.4 Anpassung von SIMCO an SCTP-basierten Transport 114 6.5 Modellierung von Verzögerungen in der Transportschicht 115 6.5.1 Annahmen Bei der Modellierung 115 6.5.2 Modellierung der Signalisierlast 116 6.5.3 Mechanismen zur Fehlererkennung bei SCTP 116 6.5.4 Reihenfolgesicherung bei SCTP < 119 6.5.5 Optimale Anzahl von SCTP Streams 119 6.5.6 Übertragung mit SCTP ohne Reihenfolgesicherung 119 6.5.7 Anpassung des Modells an TCP 120 6.5.8 Modell für UDP 120 6.6 Vergleich verschiedener Transport-Konfigurationen 121 6.6.1 Einfluss von Paketverlusten auf SCTP 122 6.6.2 Einfluss von Paketverlusten auf TCP 123 6.6.3 Variable Last 125 6.6.4 Hypothetischer UDP-Transport 126 6.7 Zusammenfassung und Fazit 127 7 Netzweite Sicht - Vergleich der Architekturen zur Firewall-Steuerung 129 7.1 Funktionale und sicherheitsrelevante Eigenschaften 129 7.1.1 Einfluss von Netztopologie und Verkehrslenkung 129 7.1.2 Authentisierung & Autorisierung, Selbstschutz der Firewall-Steuerung. 135 7.1.3 Zusammenspiel mit der Sitzungs-Signalisierung 139 7.1.4 Konfiguration, Verwaltung, Erweiterbarkeit 141 7.1.5 Zusammenfassung 143 7.2 Einfluss auf Dienstgüte und Ressourcenverbrauch 144 7.2.1 Betrachtete Szenarien 144 7.2.2 Beeinflusste Parameter 145 7.2.3 Annahmen bei der Modellierung 148 7.2.4 Bestimmung von Ruf-und Meldeverzug sowie Ressourcenverbrauch. 150
xvi INHALTSVERZEICHNIS 7.2.5 Bewertung 156 7.3 Zusammenfassung und Fazit 159 8 Zusammenfassung und Ausblick 161 Literatur 165