.titleBar { margin-bottom: 5px!important; }

VoIP und Security im Internet (SRTP?)

Dieses Thema im Forum "Grundsätzliches" wurde erstellt von joepena, 28 Juli 2005.

  1. joepena

    joepena Neuer User

    Registriert seit:
    28 Juli 2005
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo allerseits,

    ich bin Admin und habe nun eine Anfrage aus einer unserer osteuropäischen Vertriebsniederlassungen erhalten.
    Die Kollegen wollen ihre Telefongespräche mittels VoIP übers Internet führen.
    Dies habe ich zunächst aus Sicherheitsgründen abgelehnt.
    Nun kommen die Kollegen mit einer Anforderung:
    Ich solle Ihnen eine sichere VoIP Lösung präsentieren.

    Ich hab im Internet vereinzelt was zu: SRTP gelesen.

    Wie weit ist dieser Standard?
    Ist die Sprachverschlüßelung ausreichend ?
    Bieten die Provider Kommunikation über SRTP an?

    Dank euch im voraus
     
  2. Ghostwalker

    Ghostwalker IPPF-Promi

    Registriert seit:
    20 Juni 2005
    Beiträge:
    6,385
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Rastede
    Verschiedene VoIP-Endgeräte können die Gesprächsdaten mittels SRTP verschlüsseln, das ist richitg. Wie weit der Standard ist, weiß ich nicht.

    Gegen zivile Lauscher sollte die Verschlüsselung durchaus ausreichend sein, bei staatlichen / militärischen Lauschern bin ich mir nicht sicher.

    Phil Zimmermann, der Entwickler von PGP, arbeitet derzeit an einer effektiven Veschlüsselung für VoIP.

    Eine weitere Möglichkeit wäre ein / mehrere VPNs, die zwischen den jeweiligen Außenstellen gespannt werden und über die dann der VoIP-Verkehr abgewickelt wird.

    Wenn es um reine VoIP-Kommunikation geht (beide Endgeräte sind VoIP-Geräte, kein PSTN-Gateway in Gebrauch), ist das Angebot des Providers irrelevant - da die eigentlichen Voice-Pakete direkt zwischen den Endgeräten übermittelt werden. Du brauchst also entstprechende SRTP-fähige Endgeräte wie das Snom 360.
    Sobald ein Gateway ins Telefonnetz dabei ist, muss der dann halt SRTP unterstützen. Allerdings haben zumindest die staatlichen Lauscher an dieser Stelle hervorragende Zugriffsmöglichkeiten.
     
  3. joepena

    joepena Neuer User

    Registriert seit:
    28 Juli 2005
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Super, danke für die prompte und aufschlußreiche Rückantwort.
    Für unsere Unternehmeskommunikation seh ich kein Problem. Dort ist der VOIP Traffic im VPN Tunnel versteckt.
    Es handelt sich tatsächlich um die Kommunikation übers GW ins Festnetz, sowie zwischen IP Phones im Internet.
    Kann ich Endgeräte konfigurieren, daß sie nur per SRTP kommunizieren? Oder kann ich das irgendwie mittels TCP/UDP Accesslisten abfackeln.

    Vielleicht kannst du mir auch noch eine zweite Frage beantworten:

    Warum muß ich (lt. Provider) das komplette Portrang UDP Port 10000-20000 für die Kommunikation öffnen. zusätzlich noch die UDP Ports:
    5060 und 5061?
     
  4. Ghostwalker

    Ghostwalker IPPF-Promi

    Registriert seit:
    20 Juni 2005
    Beiträge:
    6,385
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Rastede
    Du kannst soweit ich weiß zumindest das SNOM so konfigurieren, dass es für bestimmte VoIP-Leitungen automatisch verschlüsselt. Ob allerdings ein automatisches Fallback auf nicht-verschlüsseln eingebaut ist (falls die Gegenstelle das nicht unterstützt), weiß ich nicht.

    Die Ports 5060, 5061 und noch ein paar da drüber sind für die eigentliche Ruf-Signalisierung mittels SIP nötig. Die UDP-Range 10000 bis 20000 ist für die Übertragung der Sprach- und Videodaten mittels (S)RTP nötig.
     
  5. der_Gersthofer

    der_Gersthofer Admin-Team

    Registriert seit:
    17 Apr. 2004
    Beiträge:
    3,585
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Nur zur Vervollständigung, bei sip-aware Firewalls muss man händisch keine Ports öffnen.
     
  6. joepena

    joepena Neuer User

    Registriert seit:
    28 Juli 2005
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hmm, und was machen diese SIP aware firewalls. Ich hab dort halt nen Cisco Router stehen, und den konfigurier ich per Accesslisten. Ich als konservativer Netzwerkadmin hab halt schon etwas Bauchschmerzen für eine Applikation 10000 UDP Ports zu öffnen.
    Wie seht ihr das? Gibt es überhaupt Firmen die solche Konstrukte zulassen?
     
  7. RB

    RB Aktives Mitglied

    Registriert seit:
    22 Juni 2004
    Beiträge:
    1,311
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Selbständiger Bitbeißer
    Ort:
    40883 Ratingen
    Bei den meisten Endgeräten kann man den Portbereich schon deutlich einschränken. Und zwar entweder, weil die von Hause aus bescheidener sind, oder aber, weil es eine Konfigurationsmöglichkeit gibt.

    Ich habe für RTP auf mein Cisco-Telefon z.B. 5 Ports weitergeleitet, dazu für den eigentlichen Steuer-Port noch drei Ports (meist 5060-5062). Alles UDP.

    Geräte, die einen so abartig großen Port Range brauchen, kämen mir nicht ins Haus/Büro...
     
  8. alex-911

    alex-911 Mitglied

    Registriert seit:
    6 Aug. 2005
    Beiträge:
    261
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    inschenjöhr
    Ort:
    Schweiz
    hallo zusammen

    SRTP mag ja schön und gut sein. "security" ist ein stichwort, das im netzwerkbereich immer zieht, wenn man budget für ein projekt loseisen muss... ;)

    aber habt ihr mal bedacht, dass auch im PSTN normalerweise kein call verschlüsselt ist? jeder involvierte provider kann ein gespräch abhören und muss das sogar aus rechtlichen gründen können.

    das gleiche gilt prinzipiell auch im VoIP bereich, auch wenn dort die rechtslage immer noch nicht 100% klar ist.

    also: who cares....? :D

    gruss
    /alex
     
  9. ahasver

    ahasver Mitglied

    Registriert seit:
    11 Juni 2004
    Beiträge:
    230
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    München
    Da gibt es nur einen klitzekleinen Unterschied: Im normalen Festnetz haben nur die Telefongesellschaften + die sognannten Bedarfsträger Zugriff auf das Gespräch, bei VoIP dagegen jede/r mit dem technischen Know How und der Kenntnis Deiner IP ... :cry:
    Sicher gibt es auch bei ISDN mit erheblicher krimmineller Energie die Abhörmöglichkeiten, der Aufwand ist dort aber eben ein vielfaches höher...