SIP-Trunk mit E-SBC: Ein Plus an Sicherheit

Foto: © M_a_y_a / Getty Images

Safety und Security bei Voice-over-IP (VoIP) sind derzeit große Themen bei Unternehmen, die ihre Sprachanschlüsse auf All-IP umstellen. Für Firmen mit erhöhtem Sicherheitsbedarf empfiehlt sich gegebenenfalls die Installation eines „Enterprise Session Border Controller“ (E-SBC). Er wird zwischen TK-Anlage und SIP-Trunk installiert, so dass er der VoIP-Verbindung zum öffentlichen Telefonnetz zusätzliche Funktionen hinzufügen kann. Um eine reibungslose Integration der E-SBC in die Kundenlösungen zu ermöglichen, kooperiert QSC mit den führenden Anbietern der in Deutschland frei verkäuflichen E-SBC.

Zwar gibt es IT-Fachleute, die E-SBC für verzichtbar halten, zumal ein zusätzlicher Kosten- und Pflegeaufwand durch diese entsteht. Doch sollte man Unternehmer, die schon ein Risikomanagement gemäß ISO 27001, ISO 31000 oder speziell gemäß dem BSI-Grundschutzkatalog eingeführt haben, nicht als Skeptiker abtun, wenn sie z. B. nach E-SBC oder der SIP-Trunk-Verschlüsselung fragen. Gerade wenn die Geschäftsführung den Sicherheitsbedarf mindestens als hoch eingestuft hat, müssen alle Sicherheitsrisiken oder gar -lücken ermittelt und Gegenmaßnahmen erarbeitet werden.

Bei Voice over IP gilt ja grundsätzlich: Werden auch die externen Sprachverbindungen über das IP-Protokoll oder gar das offene Internet realisiert, sollte man sowohl für „Safety“ (Minimierung von Betriebsausfall und Kostenrisiken) als auch für „Security“ (Internet-Sicherheit und Schutz vor Angriffen auf die Integrität, Authentizität und Vertraulichkeit der Kommunikation) sorgen.

 

Beiträge zu Safety, Compliance und der All-IP-Migration

Für die Ausfallsicherheit der IP-Telefonie sorgt ein Unternehmen vor allem durch ein Stabilitätserhöhendes Systemmanagement und mit durchgängigen Redundanzen auf den Ebenen der IP-Übertragung, der SIP-Protokolle und der TK-Anlagen. Und es sollte eine Passwort-Policy einführen und lückenlos durchsetzen – für alle TK-Anlagenfunktionen und –Rollen sowie die SIP-Trunk-Registrierung. Dies vermeidet den Hauptangriffsvektor für Gebührenbetrugsangriffe („Toll Fraud“). QSC unterstützt hier, indem Fraud-Fälle frühzeitig aufgedeckt und abgewehrt werden und bietet die Möglichkeit, Rufnummernsperren für Service- und Auslandsrufnummern einzurichten.

Ein E-SBC kann diese Safety durch kundenindividuelle Maßnahmen weiter verbessern. Er schützt zum Beispiel gegen automatisch ablaufende SIP-Scanning-Tools im Internet, die gezielt nach anlagenspezifischen Protokollschwächen suchen. Damit kann er helfen, die beiden Hauptziele dieser Angriffe, den Gebührenbetrug und den Zusammenbruch der Sprachkommunikation, zu vermeiden. Derartige Angriffe und auch die Abwehrmaßnahmen erfolgen meist oberhalb der von Firewalls abgedeckten ISO/OSI-Protokollschichten auf der SIP-Protokollebene. Diese können somit nur durch Komponenten abgefangen werden, die das SIP-Protokoll selbst interpretieren können. Greift beispielsweise eine „Telephony Denial of Service“-Attacke (TDoS) an, kann ein E-SBC die Angreiferquellen in eine dynamische Blacklist aufnehmen, so dass die weitere SIP-Kommunikation mit diesen unterbunden wird.

Wird die SIP-Trunk-Redundanz nicht schon durch die angeschlossene TK-Anlage selbst – z. B. mittels redundanter Mediation-Server – unterstützt, können E-SBC eine Redundanz bis hin zum Loadbalancing für die Sprachzuführung auf Kundenseite realisieren. So lassen sich alle „Single Points of Failure“ beim Sprachanschluss vermeiden.

Indirekt können Monitoring-, Logging- und Diagnose-Tools des E-SBC Betriebsstörungen der Sprachkommunikation vermeiden helfen. Um zu verhindern, dass nicht genügend Sprachkanalkapazität – in Form von SIP-Trunk-Sprachkanälen und IP-Zuführungsbandbreite – zur Verfügung steht, können die gleichzeitig aufgebauten Sprachverbindungen samt einiger Qualitätsparameter mitgeloggt und reportet werden. Damit lässt sich eine Ressourcenknappheit bei der Zuführungsbandbreite oder den gebuchten SIP-Trunk-Sprachkanälen erkennen und durch proaktive Nachbestellung und -rüstung vermeiden.

Ein E-SBC wird meist in der DMZ der Unternehmens-Firewall installiert. DMZ steht für „Demilitarisierte Zone“ und bezeichnet das eigenständige Subnetz, das das lokale Netzwerk (LAN) durch Firewall-Router vom Internet trennt. Der E-SBC sollte daher auch zur Erfüllung eventuell vorgeschriebener Compliance-Regeln in der Verwaltungshoheit der Unternehmens-IT liegen. So bildet er nicht nur technisch, sondern auch rechtlich eine undurchlässige „Demarkationslinie“ ab. Niemand darf von der Außenwelt die Innenwelt des E-SBC sehen oder auf diese zugreifen können – außer der eigenen Unternehmens-IT.

Da alle externen Sprachverbindungen über den E-SBC geleitet werden und er bei Nutzung der SIP-Trunk-Verschlüsselung die Sprachdaten entschlüsselt, kann er eine weitere Funktion übernehmen, die auf der Seite des Internet Telephony Service Providers (ITSP) schwieriger zu realisieren ist: der Gesprächsmittschnitt, wie er z. B. innerhalb der Regulierung der Finanzmärkte als „MiFID II“ ab dem 03. Januar 2018 für Finanzdienstleister vorgeschrieben sein wird.

Last but not least ergeben sich bei der All-IP-Migration immer wieder spezielle Wünsche, wie bestehende ISDN-Sonderdienste weiter betrieben werden können. Diese Migrationsszenarien kann QSC oft durch den Schwenk einzelner Rufnummern auf andere Sprachdienste, wie QSC-Cospace business, realisieren. Hier können E-SBC eine zusätzliche Migrationsunterstützung bieten. Beispielsweise werden die Durchwahlrufnummern eines SIP-Trunks auf eine analoge a/b- oder ISDN-Schnittstelle eines E-SBC-integrierten oder E-SBC-gesteuerten Gateways umgeleitet, um ein lokales Faxgerät anzuschließen.

Ebenen der Verschlüsselung: Ein E-SBC kann einen verschlüsselten SIP-Trunk auf Kundenseite terminieren: auf dem Transport-Layer mit TLS die SIP-Signalisierung und auf dem Session-Layer mit SRTP die Mediendaten wie insbesondere das Telefongespräch. Dies kann mit einer sicheren Standortvernetzung per IPSec oder besser noch per MPLS-VPN kombiniert werden. Grafik: QSC AG.

 

Beiträge zur Kommunikationssicherheit

In der ITK-Security ist die – zumindest logische – Trennung von Computer- und VoIP-Netzwerk sowie der Einsatz einer Firewall und bei Mehrstandortunternehmen eine Standortvernetzung mittels IP-VPN Konsens und üblich. IT- und TK-Datenpakete werden vor allem deswegen getrennt, damit ein Angriff oder Virenausbruch auf die Unternehmens-Computer nicht gleichzeitig die Sprachkommunikation beeinträchtigt.

Um zu verhindern, dass fremde und gefährliche SIP-Protokollelemente zur TK-Anlage gelangen, kann der SIP-Trunk zusätzlich verschlüsselt oder genauer die SIP-Signalisierung mit TLS (Transport Layer Security) abgesichert werden. Dieses im Webbrowser als SSL gut bekannte Verfahren stellt über eine Kette vertrauenswürdiger Zertifikate sicher, dass der SIP-Trunk tatsächlich zu einem SBC der QSC AG – und nicht etwa zu einem „Man-in-the-Middle“ – aufgebaut und die Signalisierung unverfälscht übertragen wird.

Um auch die Vertraulichkeit der externen Sprachkommunikation gerade über unsichere Übertragungswege zu erreichen, muss zusätzlich das eigentliche Gespräch, sprich die IP-Datenpakete mit den Mediendaten, verschlüsselt werden. Diesen Abhörschutz erreicht man im SIP-Umfeld mit dem SRTP-Protokoll (Secure Real-Time-Protocol).

 

Kombinierter Schutz

Eine kombinierte TLS/SRTP-Verschlüsselung liefert QSC seit Mitte 2016 als kostenpflichtige Option und bemüht sich um eine Freigabe durch führende TK-Anlagen- und E-SBC-Hersteller. Bemerkenswert ist hierbei, dass die E-SBC-Hersteller die Freigabe jeweils zügig erteilen konnten, die TK-Anlagenhersteller jedoch nicht.

Hier scheinen E-SBC-Hersteller die deutlich größere Verschlüsselungserfahrung zu haben. Das lässt darauf schließen, dass Kunden mit erhöhtem Sicherheitsbedarf – bei gleichzeitiger Nutzung einer eher unsicheren IP-Zuführung – lieber nur die Kombination aus E-SBC und SIP-Trunk-Verschlüsselung einsetzen.

 

SIP-Trunk und E-SBC: Bei QSC aufeinander abgestimmt

SIP-Trunks und E-SBC sollten optimal miteinander funktionieren. QSC sorgt dafür, indem sie mit den vier in Deutschland führenden Anbietern frei verkäuflicher E-SBC – AudioCodes, Ferrari Electronic, Patton und TE-SYSYTEMS – kooperiert und diese den QSC-SIP-Trunk „IPfonie extended connect“ freigegeben haben.

Doch für welchen Kunden eignen sich diese E-SBC? Wie unterscheiden sich die Angebote? Um diese Fragen zu klären, haben wir die Verantwortlichen dieser vier Anbieter gebeten, uns einige Fragen zu ihren Produkten zu beantworten. Die Interviews lesen Sie in der aktuellen Ausgabe des QSC-Partnermagazins Qontact auf den Seiten 20 bis 23. Klicken Sie hier zum PDF.

 

Weitere Informationen:

SIP-Trunk mit E-SBC: Ein Plus an Sicherheit
3.6 (71.43%) 7 Bewertung[en]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse. Bitte beachten Sie zudem unsere Social Media Guidelines.