Session Border Controller – Grenzpatrouille und Doppelagent
Quelle: © iStock.com/anouchka Posted on von Netze/All-IP | Sicherheit

Session Border Controller – Grenzpatrouille und Doppelagent

Mit der deutschlandweit laufenden All-IP-Umstellung stellt sich immer mehr Unternehmen die Frage, wie sie ihre Telefonanlagen vor unbefugten Zugriffen aus dem Internet schützen können. Eine zentrale Rolle beim Aufbau eines sicheren Gesprächs spielt hier der Session Border Controller.

Dem deutschen Mittelstand steht eine IP-Umstellungswelle bevor: Laut einer Umfrage des Dienstleisters IDG telefonieren 70 Prozent der Unternehmen noch mit analogen Telefonanlagen via ISDN. Spätestens ab 2019 wird das Telefonnetz allerdings nur noch IP verstehen – dann sind TK-Anlagen mit IP-Anschluss gefragt. Die Kommunikation über das IP-Netz stellt allerdings neue Sicherheitsanforderungen an die Unternehmen, denn ein IP-basierter SIP-Trunk zur Anbindung der Telefonanlage ans weltweite Sprachnetz muss vor Angriffen aus dem Internet geschützt werden.

Digitale Grenzkontrolle

Die Standardschutzmaßnahmen wie Firewall, sichere Passwörter und regelmäßige Software-Updates reichen nicht aus. Das interne Firmennetz muss zuverlässig vom potenziell unsicheren externen Netz getrennt bleiben. Diese Aufgabe übernimmt ein speziell dafür geschulter „Mitarbeiter“: Der Session Border Controller (SBC) des Providers. Er kontrolliert an der Grenze (engl. „Border“) des Netzwerks den Auf- und Abbau der Sitzungen (engl. „Sessions“). Der SBC kann außerdem, im Gegensatz zu einer Firewall, die Echtzeit-SIP-Kommunikation von Signalisierungs-, Sprach- und Mediendaten untersuchen und steuern. Er analysiert die verschiedenen Datenströme und filtert alle ungültigen VoIP-Pakete aus.

Unternehmen mit erhöhtem Sicherheitsbedarf empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), einen eigenen Enterprise Session Border Controller (E-SBC) einzusetzen. Dieser trennt Sprachdaten intern und extern, schützt den Datenverkehr vor Schadsoftware und Bespitzelung und unterbindet betrügerische Anrufe. E-SBCs sind sowohl hardware- als auch softwarebasiert bei verschiedenen Herstellern erhältlich. Auch einige Provider stellen Unternehmen E-SBCs, die vor den SIP-Trunk geschaltet werden.

Agent zwischen zwei Fronten

Der E-SBC ist ein Back-to-Back User Agent. Er stellt sich dem Provider gegenüber wie ein TK-Anlagenserver dar, also ein User Agent Client. Nach innen zur TK-Anlage baut er jedoch eine komplett neue SIP-Verbindung auf – so als sei er der SIP-Server des Providers. Der E-SBC fungiert hier also wie ein Doppelagent. Dazwischen ist reine Übersetzungssoftware des Herstellers geschaltet.

Allerdings ist die Anschaffung eines Enterprise Session Border Controllers mit relativ hohen Kosten verbunden. Für kleine und mittlere Unternehmen (KMU) mit normalem Sicherheitsbedarf bietet sich als Alternative eine Remote-E-SBC-Lösung an. Hier wird einem Sprachanschluss im Router des Unternehmens eine direkte Verbindung zum SBC des Providers zugewiesen. Eine Access Control List (ACL) hält fest, mit welchen IP-Adressen der Voice-Port kommunizieren darf – in diesem Fall also ausschließlich mit dem SBC des Providers. Dessen Managementsystem sollte dementsprechend nach ISO27001 zertifiziert sein, um einen angemessenen Schutz vor Angriffen aus dem Internet zu gewährleisten.

Sicherheit per Handschlag

Andreas Steinkopf, Produktmanager IP-Telefonie, gibt Tipps für eine hohe IT-Sicherheit.

Neben dieser Sicherung empfiehlt das BSI außerdem die Verschlüsselung der Daten. „Viele Unternehmen sind immer noch der Meinung, dass ISDN-Telefonie sicherer sei als IP-Telefonie. Dieser Mythos lässt sich leicht entkräften“, sagt Andreas Steinkopf, Produktmanager IP-Telefonie bei der QSC AG in Köln. „Für die IP-Telefonie steht ein breites Spektrum von in der Praxis bereits bewährten Best Practices bereit, um eine sehr hohe IT-Sicherheit zu erreichen. Zwei Punkte sind dabei besonders zu betonen: Erstens lässt sich mit SIP-Trunk-Sprachanschlüssen eine durchgängigere Redundanz der Telefoniekomponenten erreichen als es mit der ISDN-Technologie möglich war. Und zweitens konnte der ISDN-Sprachverkehr nicht verschlüsselt werden, bei der IP-Telefonie geht das sehr wohl.“

Der Session Border Controller schützt die Sprachdaten vor unbefugtem Abhören und Mitschneiden per SRTP. Das Secure Real-Time Transport Protocol verpackt die Sprache in verschlüsselte Datenpakete inklusive Prüfsumme und schickt sie von der Telefonanlage über den IP-Anschluss zum SBC des Anbieters. Dieser authentifiziert sich bei der TK-Anlage per Handshake mit einem öffentlichen Zertifikat und die Sprachverbindung, also die SIP-Signalisierung, wird über das Transport Layer Security Protocol (TLS) verschlüsselt. Die Kombination dieser beiden Methoden garantiert eine sichere Verbindung zwischen den beiden Gesprächsteilnehmern bereits ab dem Verbindungssaufbau.

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.