SIP-Trunk mit E-SBC:
Ein Plus an Sicherheit

Safety und Security bei Voice-over-IP (VoIP) sind wichtige Themen bei Unternehmen, die ihre Sprachanschlüsse auf All-IP-Basis betreiben. Für Firmen mit erhöhtem Sicherheitsbedarf empfiehlt sich gegebenenfalls die Installation eines Enterprise Session Border Controllers (E-SBC). Er wird zwischen TK-Anlage und SIP-Trunk installiert, so dass er der VoIP-Verbindung zum öffentlichen Telefonnetz zusätzliche Funktionen hinzufügen kann. Um eine reibungslose Integration der E-SBC in die Kundenlösungen zu ermöglichen, kooperiert Plusnet mit den führenden Anbietern der in Deutschland frei verkäuflichen E-SBC.

Zwar gibt es IT-Fachleute, die E-SBC für verzichtbar halten, zumal sie zusätzlichen Kosten- und Pflegeaufwand verursachen. Doch sollte man Unternehmer, die schon ein Risikomanagement gemäß ISO 27001, ISO 31000 oder speziell gemäß dem BSI-Grundschutzkatalog eingeführt haben, nicht als Skeptiker abtun, wenn sie z. B. nach E-SBC oder der SIP-Trunk-Verschlüsselung fragen. Gerade wenn die Geschäftsführung den Sicherheitsbedarf mindestens als hoch eingestuft hat, müssen alle Sicherheitsrisiken oder gar -lücken ermittelt und Gegenmaßnahmen erarbeitet werden.
Bei Voice over IP gilt grundsätzlich: Werden auch die externen Sprachverbindungen über das IP-Protokoll oder gar das offene Internet realisiert, sollte man sowohl für Safety (Minimierung von Betriebsausfall und Kostenrisiken) als auch für Security (Internet-Sicherheit und Schutz vor Angriffen auf die Integrität, Authentizität und Vertraulichkeit der Kommunikation) sorgen.

Für die Ausfallsicherheit der IP-Telefonie sorgt ein Unternehmen vor allem durch ein stabilitätserhöhendes Systemmanagement und mit durchgängigen Redundanzen auf den Ebenen der IP-Übertragung, der SIP-Protokolle und der TK-Anlagen. Und es sollte eine Passwort-Policy einführen und lückenlos durchsetzen – für alle TK-Anlagenfunktionen und -Rollen sowie die SIP-Trunk-Registrierung. Dies vermeidet den Hauptangriffsvektor für Gebührenbetrugsangriffe („Toll Fraud“). Plusnet unterstützt hier, indem Fraud-Fälle frühzeitig aufgedeckt und abgewehrt werden und bietet die Möglichkeit, Rufnummernsperren für Service- und Auslandsrufnummern einzurichten.

Ein E-SBC kann diese Safety durch kundenindividuelle Maßnahmen weiter verbessern. Er schützt zum Beispiel gegen automatisch ablaufende SIP-Scanning-Tools im Internet, die gezielt nach anlagenspezifischen Protokollschwächen suchen. Damit kann er helfen, die beiden Hauptziele dieser Angriffe, den Gebührenbetrug und den Zusammenbruch der Sprachkommunikation, zu vermeiden.
Derartige Angriffe und auch die Abwehrmaßnahmen erfolgen meist oberhalb der von Firewalls abgedeckten ISO/OSI-Protokollschichten auf der SIP-Protokollebene. Diese können somit nur durch Komponenten abgefangen werden, die das SIP-Protokoll selbst interpretieren können. Greift beispielsweise eine „Telephony Denial of Service“-Attacke (TDoS) an, kann ein E-SBC die Angreiferquellen in eine dynamische Blacklist aufnehmen, so dass die weitere SIP-Kommunikation mit diesen unterbunden wird.

Wird die SIP-Trunk-Redundanz nicht schon durch die angeschlossene TK-Anlage selbst – z. B. mittels redundanter Mediation-Server – unterstützt, können E-SBC eine Redundanz bis hin zum Loadbalancing für die Sprachzuführung auf Kundenseite realisieren. So lassen sich alle „Single Points of Failure“ beim Sprachanschluss vermeiden.

Indirekt können Monitoring-, Logging- und Diagnose-Tools des E-SBC Betriebsstörungen der Sprachkommunikationvermeiden helfen. Um zu verhindern, dass nicht genügend Sprachkanalkapazität – in Form von SIP-Trunk-Sprachkanälen und IP-Zuführungsbandbreite – zur Verfügung steht, können die gleichzeitig aufgebauten Sprachverbindungen nicht nur generell begrenzt, sondern samt einiger Qualitätsparameter mitgeloggt und reportet werden. Damit lässt sich eine Ressourcenknappheit bei der Zuführungsbandbreite oder den gebuchten SIP-Trunk-Sprachkanälen erkennen und durch proaktive Nachbestellung und -rüstung vermeiden.

Ein E-SBC wird meist in der DMZ der Unternehmens-Firewall installiert. DMZ steht für „Demilitarisierte Zone“ und bezeichnet das eigenständige Subnetz, das das lokale Netzwerk (LAN) durch Firewall-Router vom Internet trennt. Der E-SBC sollte daher auch zur Erfüllung eventuell vorgeschriebener Compliance-Regeln in der Verwaltungshoheit der Unternehmens-IT liegen. So bildet er nicht nur technisch, sondern auch rechtlich eine undurchlässige „Demarkationslinie“ ab. Niemand darf von der Außenwelt die Innenwelt des E-SBC sehen oder auf diese zugreifen können – außer die eigene Unternehmens-IT.
Da alle externen Sprachverbindungen über den E-SBC geleitet werden und er bei Nutzung der SIP-Trunk-Verschlüsselung die Sprachdaten entschlüsselt, kann er eine weitere Funktion übernehmen, die auf der Seite des Internet Telephony Service Providers (ITSP) schwieriger zu realisieren ist: der Gesprächsmittschnitt, wie er z. B. innerhalb der Regulierung der Finanzmärkte als „MiFID II“ seit Januar 2018 für Finanzdienstleister vorgeschrieben ist.

Last, but not least ergeben sich bei der All-IP-Telefonie immer noch spezielle Wünsche, wie bisherige Analog- oder ISDN-Sonderdienste weiter betrieben werden können. Diese Migrationsszenarien kann Plusnet oft durch den Schwenk einzelner Rufnummern auf andere Sprachdienste, wie dem UMS-Optionspaket, realisieren. Hier können beim Kunden installierte E-SBC eine zusätzliche Migrationsunterstützung bieten. Beispielsweise werden die Durchwahlrufnummern eines SIP-Trunks auf eine analoge a/b- oder ISDN-Schnittstelle eines E-SBC-integrierten oder E-SBC-gesteuerten Gateways umgeleitet, um ein lokales Faxgerät anzuschließen.

In der ITK-Security ist die – zumindest logische – Trennung von Computer- und VoIP-Netzwerk sowie der Einsatz einer Firewall und bei Mehrstandortunternehmen eine Standortvernetzung mittels IP-VPN Konsens und üblich. IT- und TK-Datenpakete werden vor allem deswegen getrennt, damit ein Angriff oder Virenausbruch auf die Unternehmens-Computer nicht gleichzeitig die Sprachkommunikation beeinträchtigt.

Um zu verhindern, dass fremde und gefährliche SIP-Protokollelemente zur TK-Anlage gelangen, kann der SIP-Trunk zusätzlich verschlüsselt oder genauer die SIP-Signalisierung mit TLS (Transport Layer Security) abgesichert werden. Dieses im Webbrowser als SSL gut bekannte Verfahren stellt über eine Kette vertrauenswürdiger Zertifikate sicher, dass der SIP-Trunk tatsächlich zu einem SBC der Plusnet – und nicht etwa zu einem „Man-in-the-Middle“ – aufgebaut und die Signalisierung unverfälscht übertragen wird.

Um auch die Vertraulichkeit der externen Sprachkommunikation gerade über unsichere Übertragungswege zu erreichen, muss zusätzlich das eigentliche Gespräch, sprich die IP-Datenpakete mit den Mediendaten, verschlüsselt werden. Diesen Abhörschutz erreicht man im SIP-Umfeld mit dem SRTP-Protokoll (Secure Real-Time-Protocol).

Zur Kommunikation mit dem öffentlichen Sprachnetz werden bei Teams nicht nur zwingend die richtigen Microsoft-Lizenzen wie insbesondere „Teams Telefon Standard“, sondern ein von Microsoft für Teams freigegebener SBC beim ITSP oder E-SBC beim Kunden benötigt.

Da KMU die Investition in die Anschaffung und besonders die Pflege eines E-SBC tendenziell eher vermeiden wollen, liefert Plusnet seit Anfang 2022 den Teams-spezifischen SIP-Trunk„IPfonie Extended Team“. Für diesen baut Plusnet eine hoch-performante Verbindung per Microsoft-spezifischem „Direct Routing“ zu den „Phone System“-Rechenzentren der Microsoft auf. Und nutzt dazu redundante, von Microsoft für das „Partner Hosted Scenario“ freigegebene, Multimandanten-Carrier-SBC. Auf Kundenseite werden so nur Teams-Clients oder Teams-kompatible Telefone und natürlich eine Internetverbindung benötigt, was den günstigsten Einstieg in die Teams-Telefonie darstellt. Nur pro SIP-Trunk-Sprachkanal fällt bei IPfonie Extended Team eine geringe monatliche Grundgebühr an.

Mit wachsender Organisationsgröße fallen bei Endkunden vermehrt „Individual“-Wünsche an, die nur mit einem eigenen E-SBC im „Customer Hosted Scenario“ realisiert werden können. Diese Wünsche können mit speziellen Voice-Routing- und SIP-Signalisierungs-Einstellungen in einen individuellen, in der Cloud oder am Kundenstandort installierten E-SBC erfüllt werden. Da Microsoft die gleichen frei verkäuflichen E-SBC für Teams zertifiziert hat, die auch den Plusnet IPfonie Extended Connect zertifiziert haben, kann Plusnet diese Szenarien auch bestens unterstützen.

Vertiefende Einblicke in die Funktionsweise der öffentlichen Sprachtelefonie bei Teams geben u. a. diese Beiträge zu MS Teams im Plusnet-Whitepaper und im VAF-Report (2021-01).

Eine kombinierte TLS/SRTP-Verschlüsselung liefert Plusnet seit einigen Jahren als kostenpflichtige Option und hat hierfür die Freigabe durch führende TK-Anlagen- und E-SBC-Hersteller bewirkt. Bemerkenswert ist hierbei, dass die E-SBC-Hersteller die Freigabe jeweils zügig erteilen konnten, die TK-Anlagenhersteller deutlich langsamer.

Hier scheinen E-SBC-Hersteller die deutlich größere Verschlüsselungserfahrung zu haben. Das lässt darauf schließen, dass Kunden mit erhöhtem Sicherheitsbedarf – bei gleichzeitiger Nutzung einer eher unsicheren IP-Zuführung – lieber nur die Kombination aus E-SBC und SIP-Trunk-Verschlüsselung einsetzen.

SIP-Trunks und E-SBC sollten optimal miteinander funktionieren. Plusnet sorgt dafür, indem sie mit den in Deutschland führenden Anbietern frei verkäuflicher E-SBC – AudioCodes, Cisco, Ekinops, Ferrari Electronic, Oracle, Patton, Ribbon Communications und TE-SYSYTEMS – kooperiert und diese den Plusnet-SIP-Trunk „IPfonie Extended Connect“ freigegeben haben.

Doch für welchen Kunden eignen sich diese E-SBC?Wie unterscheiden sich die Angebote? Um diese Fragen zu klären, haben wir die Verantwortlichen von fünf dieser Anbieter gebeten, uns einige Fragen zu ihren Produkten zu beantworten. Das Ergebnis lesen Sie in unserer Anbieterübersicht.

• VAF-Report, Artikel von Andreas Steinkopf: Sicherheitsbetrachtungen zum SIP-Trunking (PDF)
• News zum Thema SIP-Trunk sowie SIP-Trunk-Safety

Zuletzt aktualisiert am 02. Dezember 2022