IT-SECURITY: Voip «sicher» im Griff

Die Anzahl der Varianten und Versionen für jedes Protokoll kompliziert die Sache noch weiter. Dabei geht die Komplexität von Voip noch weit über die Vielfältigkeit der Protokolle hinaus und erstreckt sich bis hin zu ihrer Interaktion mit den Sicherheitsfunktionen. H.323 ist ein Paradebeispiel, warum es schwierig ist, Voip zu sichern. Eine herkömmliche Firewall sichert den Perimeter durch die Definition spezifischer Ports, durch die Datenverkehr in das Netzwerk gelangen darf. So wird etwa der Web-Datenverkehr über Port 80 geleitet, das heisst Perimeter-Firewalls lassen zu, dass Datenverkehr über Port 80 eingelassen wird. H.323 verwendet jedoch sowohl statische Ports wie Port 1720 für die Gesprächseinrichtung als auch zufällig gewählte dynamische Ports. Damit eine herkömmliche Perimeter-Firewall H.323 durch die Firewall passieren lässt, müssten Tausende dynamischer und statischer Ports für den Sprachverkehr offen gelassen werden. Womit sich eine riesige Sicherheitslücke auftut.

Anwendungsintelligenz

Es sind daher Sicherheitseinrichtungen notwendig, die unterschiedliche Voip-Protokolle erkennen können und wissen, wie diese arbeiten. Anders als spezialisierte Voip-Gateways müssen solche Perimeter-Firewalls über so genannte «Application Intelligence» verfügen, die die Sicherheitsfunktion und die breite Protokollunterstützung unter einen Hut bringt. Solche Lö--sungen ermöglichen die komplette Über-prüfung der Netzwerkschicht sowie des Payloads, in dem sich weitere Voip-Daten befinden. Ausserdem «weiss» eine solche Firewall, wie Voip-Sitzungen arbeiten und ist daher ohne Eingriffe durch den Administrator in der Lage, bösartige Voip-Aktivitäten zu erkennen und zu stoppen.

Schutz konvergenter Netzwerke