Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.289 Einschränkung der Erreichbarkeit über VoIP - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.289 Einschränkung der Erreichbarkeit über VoIP

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

In den wenigsten Fällen ist es ratsam, dass direkt aus dem Internet auf die VoIP-Komponenten einer Behörde beziehungsweise eines Unternehmens zugegriffen werden kann. Ein direkter Zugriff, beispielsweise durch den Verbindungsaufbau auf eine interne IP-Adresse, kann einem Angreifer zahlreiche Möglichkeiten eröffnen. Daher ist zu entscheiden, wie externen Gesprächspartnern die Kontaktaufnahme über die VoIP-Architektur ermöglicht werden soll.

Zunächst ist zu prüfen, ob überhaupt der direkte Aufbau einer VoIP-Verbindung von außerhalb unterstützt werden soll. Oft ist es ausreichend, dass die Kontaktaufnahme über ein leitungsvermittelndes Telefonnetz stattfindet. In diesem Fall dürfen keine internen VoIP-Komponenten aus dem öffentlichen Datennetz erreichbar sein. Auf das Gateway, das zwischen dem öffentlichen, leitungsvermittelnden Telefonnetz und dem lokalen VoIP-Netz betrieben wird, sollte vom öffentlichen Datennetz ebenfalls kein Zugriff möglich sein. Bei einem generellen Verzicht auf die Erreichbarkeit über VoIP von außen ergeben sich aber Nachteile für externe Gesprächspartner. Besitzen diese einen Anschluss an ein öffentliches Datennetz, müssen sie dennoch über das öffentliche, leitungsvermittelnde Telefonnetz eine Verbindung aufbauen. Die hierfür anfallenden Kosten sind in der Regel höher als die für ein direkter Verbindungsaufbau zu einer VoIP-Adresse, wie einer SIP-URL. Da diesem Nachteil jedoch viele Vorteile, besonders bei sicherheitskritischen Anwendungsfällen, gegenüberstehen, sollte die Erreichbarkeit über VoIP von außen kritisch betrachtet werden.

Werden Verbindungen von außen nur über das öffentliche, leitungsvermittelnde Telefonnetz zugelassen, so kann auch SPIT (Spam over IP-Telephone) vermieden werden. Da SPIT dann nicht kostengünstig über das Datennetz übermittelt werden kann, fallen die gleichen Kosten wie bei einem Anruf bei einem Benutzer an, der nicht VoIP einsetzt.

Soll dennoch ein Verbindungsaufbau von oder in das öffentliche Datennetz gewünscht werden, ist die Entscheidung inklusive der Restrisiken zu dokumentieren. Außerdem müssen entsprechende Sicherheitsmaßnahmen ergriffen werden. Beispielsweise kann der gesamte Datenverkehr über einen Konzentrator geleitet werden, der wie ein Proxy-Server Verbindungsanfragen annimmt und an das nächste System, wie beispielsweise einen weiteren Server oder direkt an ein Endgerät, weiterleitet. Bei dem Einsatz eines Konzentrators sollten folgende Punkte beachtet werden:

Viele Hersteller bieten hierfür teilweise proprietäre Systeme an. Als Alternative im Open-Source-Umfeld erfüllt die Software-Telefonanlage Asterisk, die als Appliance betrieben kann, viele diese Anforderungen. Ein weiterer Vorteil beim Einsatz eines Konzentrators ist die Vermeidung der Probleme, die bei der Verwendung von NAT (Network Adress Translation) auftreten.