Fragen Sie unsFragen Sie uns
Plusnet Standard-Keyvisual ist Welle aus farbigen Streifen vor grauem Hintergrund
SIP-Trunk

SIP-Trunks schützen: Safety und Security bei All-IP

Porträt Andreas Steinkopf

Autor des Beitrags

Andreas Steinkopf war bis zu seinem Ruhestand im November 2022 als Produktmanager für Voice-Produkte der Plusnet GmbH tätig. Nach 20 Jahren Erfahrung im Hardwarebereich ging der Elektroingenieur 2001 zur QSC AG, aus der 2018 die Plusnet GmbH hervorging. Dort integrierte er zunächst die zugekauften Töchter Ginko AG und ISB. Ab 2005 widmete er sich der neuen IP-Telefonie und führte neben SIP-Trunks erste gehostete und Software-basierte TK-Anlagen im Markt ein. Er engagierte sich in SIP-Protokoll-Gremien und machte sich besonders für das Thema Qualität stark, weshalb er zum Beispiel in IP-VPNs QoS-Mechanismen mit bis zu sechs Class of Services einführte.

Autorenprofil anschauen
Digital encrypted Lock with data multilayers. Internet Security. Bild: © Andriy Onufriyenko / Getty Images
Für Voice-over-IP steht ein breites Spektrum bewährter Techniken bereit, um eine sehr hohe IT-Sicherheit zu erreichen. Bild: © Andriy Onufriyenko / Getty Images

Viele Unternehmen sind noch immer der Meinung, ISDN-Telefonie sei sicherer als IP-Telefonie gewesen. Dass dies ein falscher Mythos ist, lässt sich mit einer genaueren Betrachtung aufzeigen. Für Voice-over-IP steht ein breites Spektrum bewährter Techniken bereit, um eine sehr hohe IT-Sicherheit zu erreichen. Zum Beispiel ist es bei IP-Telefonie möglich, den Sprachverkehr zu verschlüsseln – was bei ISDN nicht ging. Hier ein Überblick darüber, wie SIP-Trunks sicher werden.

Bevor ich in die Details der Best-Practices eingehe, möchte ich auf die allgemeinere Ebene des Risikomanagements kommen. Nur wer sich hier grundlegende Gedanken macht, wird auch im speziellen Fall der IP-Telefonie zielgerichtet vorgehen. Zunächst einmal ist zu fragen:

  • Welche Sicherheitsrisiken gibt es überhaupt im Zusammenhang mit IP-Telefonie?
  • Und welche Management-Normen müssen die IT-Verantwortlichen beachten, die sich mit diesem Thema beschäftigen und Risiken identifizieren, analysieren und bewerten müssen?

Am Anfang steht das Risikomanagement

Zum allgemeinen Risikomanagement gibt die ISO 31000 ein Regelwerk vor, an dem sich Geschäftsleitungen orientieren, um allen Anforderungen an Compliance-Regeln und -Normen gerecht zu werden.

Bei IP-Telefonie greifen allerdings weitere Normen: Da Telefonie insbesondere durch die Computer-Telefonie-Integration (CTI) in die Welt der Informationstechnologie (IT) gehört – genauso wie das IP-Protokoll und somit auch ein darauf aufbauender SIP-Trunk – handelt es sich dabei stets um IT-Sicherheit.

Maßgeblich ist somit auch die ISO-27000-Normenreihe, die ein Informationssicherheits-Managementsystem (ISMS) empfiehlt, sowie der „IT-Grundschutzkatalog“, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben hat. Er ist kompatibel zur ISO 27001, die ganz ähnliche Anforderungen beschreibt. Zusätzlich bietet der IT-Grundschutzkatalog aber einen guten Leitfaden für das Vorgehen und die Entwicklung des IT-Sicherheitsplans.

In der Praxis kommt es dann darauf an, die Eintrittswahrscheinlichkeit einer Sicherheitslücke und den potenziellen Schaden, der daraus entstehen kann, realistisch zu schätzen. Können beide als hoch angenommen werden, sollten Unternehmen Maßnahmen entwickeln und umsetzen: Es geht dabei darum, zu akzeptablen Kosten ein vertretbares Restrisiko zu erreichen.

IT-Risiken identifizieren und managen: Dabei helfen ISO-Normen und der IT-Grundschutzkatalog des BSI. Grafik: Plusnet GmbH.
IT-Risiken identifizieren und managen: Dabei helfen ISO-Normen und der IT-Grundschutzkatalog des BSI. Grafik: Plusnet GmbH.

Safety und Security: Beides wichtig für die Sicherheit

Die Kommunikations- beziehungsweise die Informationssicherheit lässt sich mit zwei Begriffen näher beschreiben:

  • Safety umfasst die Betriebssicherheit im Sinne der Verfügbarkeit sowie finanzieller Schadensvermeidung.
  • Security beschreibt die Sicherheit vor Angriffen. Dabei geht es um den Schutz aller IP-Komponenten vor Internetangriffen und um die Integrität, Authentizität und Vertraulichkeit der Kommunikation.

 

Mit einigen Maßnahmen lassen sich Safety und Security deutlich erhöhen. Wichtig sind für Unternehmen:

  • Ein umfassendes Systemmanagement
  • Ausschließliche Nutzung sicherer Passwörter
  • Schutzmaßnahmen gegen Betrug (Phone-Fraud)
  • Trennung von Sprach- und Datennetz
  • SIP-Trunk-Signalisierung zusätzlich mit TLS absichern
  • Sprachdaten mit SRTP verschlüsseln.
Safety und Security: Sicherheitsfachleute unterscheiden zwischen Kosten- und Betriebssicherheit sowie Internet- und Kommunikationssicherheit: Für alle diese Bereiche sollten Unternehmen sorgen. Grafik: © Plusnet GmbH.
Safety und Security: Sicherheitsfachleute unterscheiden zwischen Kosten- und Betriebssicherheit sowie Internet- und Kommunikationssicherheit: Für alle diese Bereiche sollten Unternehmen sorgen. Grafik: © Plusnet GmbH.

Umfassendes Systemmanagement begrenzt Ausfallrisiko

Um die Safety zu erhöhen, also die Betriebssicherheit, empfiehlt sich ein umfassendes System- und Change-Management. Damit kann im Notfall für eine schnelle Reaktion gesorgt werden. Ziel ist es, mit geeigneten organisatorischen und technischen Maßnahmen die Ausfallwahrscheinlichkeit und -dauer zu reduzieren. Alle Systemkomponenten der IT-Telefonie-Infrastruktur sollten dabei im Detail aufeinander abgestimmt sein.
Ist eine hohe oder gar sehr hohe Verfügbarkeit erforderlich, geht es darum, alternative Systeme zur Verfügung zu stellen, die einspringen, wenn das eigentliche System ausfällt. Eine solche redundante Auslegung, die das Ausfallrisiko senkt, besteht bei SIP-Trunks sinnvollerweise aus drei Komponenten:

  1. Der Provider liefert den SIP-Trunk mit ortsredundanten Abschlusskomponenten, zum Beispiel Session Border Controller (SBC).
  2. IP-Standort­anbindung: Der Kundenstandort wird mit einer zusätzlichen IP-Backup-Leitung angebunden.
  3. TK-Anlage des Kunden: Sie terminiert den SIP-Trunk mit mehr als einem Anlagenserver.

Mit dieser Dreifach-Redundanz lässt sich eine höhere und durchgängigere Redundanz des Sprachanschlusses erreichen, als es mit ISDN-Sprachanschlüssen möglich war.

Sichere Passwörter und Schutzmaßnahmen gegen Phone-Fraud

Die gefährlichsten Sicherheitslücken entstehen durch schlecht gesicherte TK-Anlagen beziehungsweise SIP-Trunks – insbesondere dadurch, dass voreingestellte Passwörter nicht geändert, oder schwache Passwörter gewählt wurden. Damit können Hacker Zugang zu TK-Anlagen erhalten und hohe Telefonkosten – zum Beispiel durch Verbindungen zu ausländischen Servicenummern – verursachen.
Die einfachsten Maßnahmen gegen solchen Phone-Fraud bestehen darin, Auslandsrufnummern weitgehend zu sperren, regelmäßige Betriebssystem-Updates der TK-Anlage durchzuführen und vor allem sichere Passwörter – insbesondere für die Administration – zu etablieren. Darüber hinaus kann es erforderlich sein, spezifische Gefahrenmuster zu überwachen und Schwellwerte zu implementieren und unerwartete Ereignisse sofort zu melden.

Sprach- und Datennetz trennen

Im Voice-over-IP-Umfeld empfiehlt es sich, zusätzlich zur Implementierung von Firewalls und anderen standardmäßigen IT-Sicherheits­maßnahmen, den Sprach- und Datenverkehr zu separieren.
Im Netzwerk eines Unternehmens erfolgt dies am besten auf Layer 2 per VLAN (Virtual Local Area Network)-Technologie im Ethernet-Switch. In Unternehmen mit einem sehr hohen Schutzbedarf können die Sprach- und Datennetze sogar physikalisch getrennt werden.

SIP-Trunks verschlüsseln

Bekanntermaßen können die Daten eines ISDN-Anschlusses nicht verschlüsselt werden. In der Welt der IP-Telefonie dagegen ist dies möglich, nämlich mit Hilfe von TLS (Transport Layer Security) sowie SRTP (Secure Real Time Protocol).
Verschlüsselt wird dabei die Kommunikation zwischen einer TK-Anlage und dem Next Generation Network (NGN) des IP-Telefonie-Providers. Das gilt sowohl für die Signalisierungs- als auch für die Sprachdaten.

Modell der Transport- und Anschluss-Ebenen: Um die Verfahren besser zu verstehen, kann man sich das zugrunde liegende Modell gemäß nachfolgendem Bild vergegenwärtigen.

  • Zu unterscheiden sind grundsätzlich die vier Transport- bzw. Anschluss-Ebenen (Schichten, Englisch: Layer): Physik (Layer 1, z. B. DSL oder WLL), Daten-Link (2, z. B. Ethernet), Netzwerk (3, IP-Protokoll) und Transport (4, z. B. TCP und UDP) und darüber die drei Dienst-Ebenen: Sitzung (5, z. B. SIP und RTP), Präsentation (6, z. B. Codec G.711) und Applikation (7, hier Audio).
  • Bei der Verschlüsselung der Sprachdaten wird auf dem ISO/OSI-Layer 5 das Standard RTP- (Real Time Protocol) durch das abgesicherte SRTP-Protokoll (Secure Real Time Protocol) ersetzt – im Bild mit der grünen 1 markiert.
  • Bei der SIP-Signalisierung wird auf dem ISO/OSI-Layer 4 das Standard-TCP (Transmission Control Protocol) durch das TLS-(Transport Layer Security)-Protokoll ersetzt – im Bild mit der grünen 2 markiert.
  • Damit wird die Sprachverbindung zum eigenen Provider geschützt. Sind beide Voice-Teilnehmer beim selben Provider – das gilt beispielsweise auch für ein standortübergreifendes Firmennetzwerk – ist sogar die gesamte Kommunikation verschlüsselt.
  • Für ein Unternehmen mit mehreren Standorten bietet sich darüber hinaus an, ein geschlossenes Firmennetzwerk zu etablieren. Dazu wird die VPN-Technologie IP-MPLS genutzt (im Bild mit der grünen 3 markiert). Dieses schottet die gesamte IP-Kommunikation zwischen den Unternehmensstandorten gegen das Internet ab. Besteht ein sehr hoher Schutzbedarf, ist dabei eine zusätzliche Verschlüsselung nach dem IPsec-Standard möglich (im Bild mit der grünen 4 markiert).
  • Auf dem gleichen Layer 3 wirkt auch die neuere SD-WAN-Technologie, die Plusnet wie alle anderen hier genannten Security- und Safety-Verfahren liefern kann.
Die Verschlüsselung findet auf verschiedenen der vier Transport- bzw. Anschluss-Ebenen statt. Grafik: © Plusnet GmbH.
Die Verschlüsselung findet auf verschiedenen der vier Transport- bzw. Anschluss-Ebenen statt. Grafik: © Plusnet GmbH.

Zuletzt aktualisiert am 1. Juli 2021

Sie haben
Fragen?

Ob es um Produkte, Partnermodelle oder Karriere geht – hier finden Sie den passenden Ansprechpartner.

Sprechen Sie uns an:

Prüfen Sie die Verfügbarkeit für Ihre Adresse:
Wir informieren Sie, sobald Ihre Adresse im Ausbaugebiet für Glasfaser liegt.
Bitte füllen Sie dazu das Formular möglichst vollständig aus.

Tipp

Schon jetzt vormerken lassen

Ich habe die aktuellen Datenschutzbestimmungen gelesen und akzeptiere diese. Ich stimme zu, dass mich die Plusnet GmbH zum Zwecke der Beratung hinsichtlich des Glasfaserausbaus an meiner Anschlussadresse und den verfügbaren Plusnet Glasfaser Home / Office Produkten persönlich, telefonisch, per E-Mail oder per anderer Textform unter Nutzung meiner Bestandsdaten (z.B. Name und Adresse) kontaktiert und die dabei gewonnenen Daten zu vorstehendem Zwecke verarbeitet und nutzt.

Vielen Dank für Ihre Anfrage. Wir werden Ihre Anfrage schnellstmöglich bearbeiten.Das Formular konnte nicht verarbeitet werden. Bitte prüfen Sie Ihre Eingaben und versuchen es erneut.

Ich habe die aktuellen Datenschutzbestimmungen gelesen und akzeptiere diese. Ich stimme zu, dass mich die Plusnet GmbH zum Zwecke der Beratung hinsichtlich des Glasfaserausbaus an meiner Anschlussadresse und den verfügbaren Plusnet Glasfaser Home / Office Produkten persönlich, telefonisch, per E-Mail oder per anderer Textform unter Nutzung meiner Bestandsdaten (z.B. Name und Adresse) kontaktiert und die dabei gewonnenen Daten zu vorstehendem Zwecke verarbeitet und nutzt.

Vielen Dank für Ihre Anfrage. Wir werden Ihre Anfrage schnellstmöglich bearbeiten.Das Formular konnte nicht verarbeitet werden. Bitte prüfen Sie Ihre Eingaben und versuchen es erneut.