Investitionsentscheidungen durch dynamische Rechenverfahren zu fundieren, das gehört zum „Muß“ eines modernen Managements. Dabei geht man vielfach davon aus, daß die Exaktheit der mathematischen Formulierung auch zu ebensolchen Ergebnissen führt. Hier wird jedoch ignoriert, daß die Handlungsempfehlungen an bestimmte Bedingungen (Prämissen) geknüpft sind. Diese aber sind in der Praxis zumeist nicht erfüllt. Um nun dennoch verläßliche Resultate zu bekommen müssen die Modelle entsprechend modifiziert werden.
Analyse von TK-Anlagen unter Sicherheitsanforderungen
eingereicht von:
Michael Steinmann
Diplomarbeit
(Version 1.2)
Fachbereich Elektrotechnik und
Informatik
Ingenieurgesellschaft für
Kommunikationstechnik mbH
Dezember 2003
E
M
E
S
T
Y
S
Abstract
Diese Arbeit dient als Grundlage für die Beurteilung der steigenden
Sicherheitsanforderungen und des Standes des Sicherheitsniveaus verschiedener
Varianten von Telekommunikationsanlagen (TK-Anlagen).
Das Sicherheitsniveau einer Telekommunikationsinfrastruktur unterliegt einem
ständigen Wandel. Durch Änderungen in den Geschäftsprozessen, technische
Weiterentwicklungen und fehlerhafte Hard- und Softwareprodukte ist es nötig,
Sicherheit als einen Prozess zu betrachten. Im Rahmen dieses
Sicherheitsprozesses erfolgen die Anpassung vorhandener Sicherheitsverfahren
an neue Anforderungen, die Beseitigung von Sicherheitslücken sowie die
Einführung neuer Sicherheitsverfahren.
Die Sicherheit von TK-Anlagen hängt nicht vom verwendeten TK-System ab,
sondern von der Kenntnis über das Zusammenspiel der einzelnen Baugruppen
und Applikationen.
Hundertprozentige Sicherheit ist sowohl technisch nicht möglich, als auch
wirtschaftlich nicht sinnvoll. Sicherheit ist immer relativ und hängt von der
Beurteilung des Risikopotentials des entsprechenden TK-Systems ab.
Inhaltsverzeichnis
Inhaltsverzeichnis
Abbildungsverzeichnis ... 3
Tabellenverzeichnis ... 3
Verzeichnis der Abkürzungen ... 4
1. Einleitung ... 7
1.1 Aufgabenstellung und Zielsetzung ... 8
1.2 Aufbau der Arbeit ... 9
2. Beschreibung von TK-Anlagen ... 10
2.1 Technische Grundlagen... 10
2.2 Beispielaufbau eines Kommunikationsnetzwerkes ... 11
2.3 Beschreibung von DECT ... 13
2.3.1 Elektromagnetische Verträglichkeit ... 14
3. Voice over IP Netzwerke (VoIP)... 15
3.1 Strukturierung von Datennetzwerken anhand des OSI-Modells ... 16
3.2 Komponenten und Funktionsweise von VoIP ... 17
3.3 Anforderungen ... 18
3.4 Protokolle und Standards von VoIP ... 19
3.4.1 Der H.323-Standard ... 19
3.4.2 Das Session Initiation Protocol (SIP)... 20
3.5 Wirtschaftliche Aspekte... 21
4. Grundlagen der IT-Sicherheit ... 22
4.1 Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ... 22
4.2 Aufbau des IT-Grundschutzhandbuchs (GSHB) ... 23
4.3 Anwendung des GSHB ... 24
4.4 Das IT-Sicherheitskonzept... 26
4.4.1 Schutzbedarfsfeststellung ... 26
4.4.2 Sicherheitskonzept ... 27
4.4.3 Definitionen von Schutzklassen ... 28
4.5 Allgemeine Bedrohungsanalyse ... 29
4.5.1 Vertraulichkeit ... 29
4.5.2 Verfügbarkeit ... 29
4.5.3 Integrität ... 29
4.6 Risikomanagement in den IT-Systemen ... 30
4.6.1 Risikoanalyse ... 30
4.7 Aufrechterhaltung der IT-Sicherheit ... 32
5. Analyse von TK-Anlagen ... 33
5.1 Eingrenzung... 34
5.2 Klassifizierung der Schutzbedürftigkeit ... 35
5.2.1 Begriffserläuterungen ... 36
5.2.2 Festlegung des Schutzbedarfs der Komponenten des Projekts ... 36
5.3 Beschreibung der Varianten ... 38
5.3.1 TK-Anlagen im Parallelbetrieb plus DECT ... 39
5.3.2 IP-Telefoniesystem... 40
5.3.3 Konvergenzlösung... 41
Seite
1
Inhaltsverzeichnis
5.4 Sicherheitsanalyse der Varianten ... 42
5.4.1 Grundlagen der Gefährdungslage und Maßnahmeempfehlungen ... 43
5.4.2 Gefährdungen und Sicherheitsmaßnahmen bei Telefoniesystemen ... 45
5.5 Sicherheitskritische Betrachtung von Teilsystemen ... 49
5.5.1 Sicherheit bei DECT... 52
5.5.2 Sicherheit bei ISDN TK-Systemen ... 54
5.5.3 Sicherheit bei IP-Telefonie ... 55
5.5.4 Sicherheit bei einer Konvergenzlösung ... 56
6. Reflexion der Sicherheitsziele... 57
6.1 Sicherheitsniveau der Varianten ... 57
6.2 Vergleich von IP-Telefonielösungen (Herstelleransätze) ... 59
6.2.1 Alcatel OmniPCX 4400... 60
6.2.2 Siemens HiPath 4000... 61
6.2.3 Tenovis Integral 55... 62
6.2.4 Ericsson MD 110 ... 63
6.2.5 Sicherheitsrelevante Aspekte der genannten TK-Systeme ... 64
6.3
Kopplung von TK-Anlagen
... 70
6.3.1 Q-Signalling Interface Protocol (QSIG) ... 71
6.4 Empfehlungen zusätzlicher Sicherheitsmaßnahmen ... 72
6.4.1 Virtuelles LAN (VLAN)... 73
6.4.2 Firewalls ... 77
6.4.3 Verschlüsselungsverfahren am Beispiel von Internet Protocol Security
(IPSec) ... 79
6.4.4 Schwachstellenanalyse Penetrationstests ... 82
6.4.5 D-Kanal Filter ... 83
6.4.6 ISDN Kryptogeräte ... 84
7. Weiterführende Empfehlungen ... 85
7.1 Vorgehensweise zur Realisierung ... 86
7.2 Empfehlungen zur Migration ... 87
7.3 IT-Sicherheitsüberprüfungen ... 88
7.3.1 Strategische Vorgehensweise ... 88
7.3.2 Das IT-Grundschutztool des BSI (GS-TOOL) ... 89
7.4 BSI-Grundschutz-Zertifizierung... 90
8. Literaturverzeichnis ... 92
Seite
2
Abbildungsverzeichnis
Abbildungsverzeichnis
Abbildung 2-1: Allgemeine Struktur eines Kommunikationsverbundes
11
Abbildung 3-1: Das OSI-Schichtenmodell der ISO
16
Abbildung 3-2: Funktionsweise von VoIP
17
Abbildung 3-3: Empfehlung der maximalen Verzögerungszeit für Sprachdaten gemäß
ITU-T G.114
18
Abbildung 4-1: Aufbau des IT-Grundschutzhandbuches
23
Abbildung 4-2: Sicherheitsprozess nach IT-Grundschutzhandbuch
24
Abbildung 4-3: Erstellung eines IT-Sicherheitskonzeptes
25
Abbildung 4-4: Schichtenmodell des BSI
27
Abbildung 4-5: Risikoanalyse nach IT-Grundschutzhandbuch
31
Abbildung 4-6: Kreislauf zur Aufrechterhaltung der IT-Sicherheit
32
Abbildung 5-1: Beispielszenario zweier TK-Anlagen im Parallelbetrieb plus DECT
39
Abbildung 5-2: Beispielszenario eines IP-Telefoniesystems
40
Abbildung 6-1: Zusammenhang zwischen Aufwand und Sicherheit
57
Abbildung 6-2: Beispielszenario eines VLAN-Aufbaus
73
Abbildung 6-3: Tunnel-Mode bei IPSec
79
Abbildung 6-4: Transport-Mode bei IPSec
79
Abbildung 7-1: Zertifizierungsschema nach BSI
90
Tabellenverzeichnis
Tabelle 2-1: Grenzwerte von DECT/GSM-Funkübertragungen
14
Tabelle 5-1: Übersicht der Schutzklassen
35
Tabelle 5-2: Beispiele für personenbezogene Daten
36
Tabelle 5-3: Schutzbedarfsklassifikation des Unternehmens
37
Tabelle 5-4: Systemtechnische Gefährdungen und Sicherheitsmaßnahmen bei
Telefoniesystemen
45
Tabelle 6-1: Auszug einer Prüftabelle zur Überprüfung von Sicherheitsmaßnahmen
58
Seite
3
Verzeichnis der Abkürzungen
Verzeichnis der Abkürzungen
AC Authentication
Code
ACD
Automatic Call Distribution
ACT
Access Control Task
A/D Analog/Digital
ADPCM
Adaptive Differential Pulse Code Modulation
AH Authentication
Header
AHL
Alcatel Hospital Link
ARI
Access Right Identity (Prüfung der Zugriffsberechtigung)
ASCII
American Standard Code for Information Interchange
BDSG Bundesdatenschutzgesetz
BImSchV Bundesimmissionsschutzverordnung
B-ISDN
Broadband Integrated Services Digital Networks
B-Kanal
Digitaler Kanal im ISDN mit einer Datenrate von 64 kbit/s (Basiskanal)
BS
Basisstation (bei einem DECT-System)
BSI
Bundesamt für Sicherheit in der Informationstechnik
BSIG
BSI-Errichtungsgesetz
CC
Common Criteria (Weiterentwicklung von ITSec)
CCA
Call Center Agent
CCITT
Comité Consultatif International Télégraphique et Téléphonique
CE
Communauté Européenne
CK
Cipher Key
CMIP
Common Management Information Protocol
CMIS
Common Management Information Service
CN
Corporate Network
CobiT
Control Objectives for Information and Related Technology (Modell von IT-
Prozess bezogenen Kontrollzielen, die für eine verlässliche Anwendung der
IT in einem Unternehmen beachtet und umgesetzt werden sollten)
CSTA
Computer Supported Telecommunications Application (Protokollstandard
der ECMA für CTI-Anwendungen)
CTI
Computer Telephony Integration
D/A Digital/Analog
DAKS
Digitaler Alarm- und Kommunikationsserver des Siemens HiPath-Systems
DCS/DCA
Dynamic Channel Selection and Allocation
DECT
Digital Enhanced Cordless Telecommunication
DEE Datenendeinrichtung
DHCP
Dynamic Host Configuration Protocol
DIN
Deutsches Institut für Normung e.V.
DIVO
Digitale Vemittlungsstelle für den Ortsverkehr
D-Kanal
Digitaler Kanal im ISDN mit einer Datenrate von 16 oder 64 kbit/s
DMZ
Demilitarized Zone
DPNSS
Digital Private Network Signalling System (Protokoll zur Vernetzung
digitaler Nebenstellenanlagen)
DSL
Digital Subscriber Line
DSS-1
Digital Subscriber System No. 1 (ISDN-Protokoll für den D-Kanal, welches
das von der Deutschen Telekom benutzte 1TR6-Protokoll ablöste)
DÜE
Datenübertragungseinrichtung
ECMA
European Computer Manufacturer's Association
EIRP
Effective Isotropic Radiated Power
ESP
Encapsulating Security Payload (Übertragungsprotokoll bei IPSec)
ETSI
European Telecommunication Standard Institute
EU
Europäische Union
FDDI
Fibre Distributed Data Interface
Seite
4
Verzeichnis der Abkürzungen
FP
Fixed Part (DECT-Basisstation)
FR
Frame Relay
FTP
File Transfer Protocol
GAP
Generic Access Profile (standardisierte Luftschnittstelle zu DECT-
Basisstationen)
GARP
Generic Attribute Registration Protocol (Layer 2 Mechanismus zwischen
Switches und Endsystemen zum Informationsaustausch)
GMRP
Group Multicast Registration Protocol (Verfahren von IEEE für die
Priorisierung von Multicast-Gruppen)
GSHB
Grundschutzhandbuch des BSI
GSM
Global System Mobile
GVRP
GARP VLAN Registration Protocol
HTML
Hypetext Markup Language
ICNIRP
International Commission on Non-Ionising Radiation Protection
ID
Identification Number
IDC
International Data Corporation (Marktforschungsunternehmen)
IDS
Intrusion Detection System
IEC
International Electronical Commission
IEEE
Institute of Electrical and Electronic Engineers
IETF
Internet Engineering Task Force
IKE
Internet Key Exchange
IP
Internet Protocol
IP- Adresse
Identifikationsnummer eines PC aus vier Zahlen zu je 8 Bit, die durch
Punkte getrennt sind (Beispiel: 192.168.007.007)
IPSec
IP-Security
IPX
Interwork Packet Exchange Protocol
ISDN
Integrated Services Digital Network
ISO
International Organization for Standardization
IT Information
Technology
ITSec
Information Technology Security
ITU-T
International Telecommunication Union Telecommuniction Sector
IVR
Interactive Voice Response (Sprachdialoge per PC)
IWU
Interworking Unit
LAN
Local Area Network
LWL Lichtwellenleiter
MAC
Media Access Control
MCU
Multipoint Control Unit (Netzwerkkomponente in H.323- und VoIP-
Netzwerken, die Audio-Konferenzen mehrerer Teilnehmer unterstützt)
MS Microsoft
MSN
Multiple Subscriber Number
MUX
Multiplexer
NAT
Network Address Translation
NATO
North Atlantic Treaty Organization
NIU
Network Interface Unit
NMC
Netz Management Center
NT
Network Termination
NTBA
Network Termination Base Access (ISDN-Adapter U
k0
/S
0
)
OSI
Open System Interconnection (Kommunikationsstandard der ISO)
PBX
Private Branch Exchange
PC
Personal Computer
PCM
Pulse Code Modulation
PCX
Private Communication Exchange
PIN
Personal Identification Number
PKI
Public Key Infrastructure
PN
Private Network
Seite
5
Verzeichnis der Abkürzungen
PP
Portable Part (DECT-Endgerät)
PPN
Physical Private Network
PSTN
Public Switched Telephone Network
QoS
Quality of Service
QSIG
Q-Signalling Interface Protocol
RAS
Remote Access Service
RegTP
Regulierungsbehörde für Telekommunikation und Post, Bonn
RFC
Request for Comments
RFN
Radio Fixed Part Number (Identifikationsnummer einer DECT-Basisstation)
RSA
Rivest-Shamir-Adleman (asymmetrisches Verschlüsselungsverfahren)
RSSI
Received Signal Strength Indication (Empfangsfeldstärke-Anzeiger einer
Mobilstation)
RTCP
Realtime Control Protocol
S
0
ISDN-Basisanschluss (vom NTBA zu den Endgeräten) mit 144kbit/s
S
2M
ISDN-Primärmultiplexanschluss mit 2 Mbit/s
SA
Sicherheitsassoziation
SDP
Session Description Protocol (ein von der IETF entwickeltes Protokoll für
den Echtzeittransfer über das Internet)
SIP
Session Initiation Protocol
SMS
Short Message Service
SSL
Secure Socket Layer
SSO
Single Sign On (Strategie für Netzwerk-Login)
SÜG
Sicherheitsüberprüfungsgesetz
TAPI
Telephone Application Programming Interface
TCP
Transmission Control Protocol
TDD
Time Division Duplex
TDM
Time Division Multiplex
TDMA
Time Division Multiple Access
TK Telekommunikation
TK-Anlage Telekommunikations-Anlage
TKG
Telekommunikationsgesetz
TKZulV Telekommunikations-Zulassungsverordnung
UAK
User Authentication Key
UDP
User Datagram Protocol
U
k0
Zweidraht-ISDN-Leitung von der Vermittlungsstelle zum NTBA
UMS
Unified Messaging Service
U
p0
Zweidraht-ISDN-Leitung, vorwiegend in TK-Anlagen verwendet
VDE
Verband Deutscher Elektrotechniker
VLAN Virtual
LAN
VMS
Voice Mail Server
VoIP
Voice over IP
VPL Vermittlungsplatz
VPN
Virtual Private Network
VS-NfD
Verschlusssachen nur für den Dienstgebrauch (BSI-Bezeichnung)
VS-V
Verschlusssachen vertraulich (BSI-Bezeichnung)
WAN
Wide Area Network
WHO
World Health Organization
ZGS-7
von der ITU-T festgelegtes Zeichengabesystem zwischen digitalen
Vermittlungsstellen
Seite
6
1. Einleitung
1. Einleitung
In den vergangenen Jahren hat sich die Situation im Bereich der
Telekommunikationstechnik erheblich verändert. Mit dem Beginn der Digitalisierung der
Übertragungsverfahren zog die Informationstechnik in die Vermittlungstechnik ein. Schnell
entwickelte sich eine Vielzahl neuer Leistungsmerkmale
1
.
Durch die Weiterentwicklung der Telekommunikationsnetze wurde der Transfer beliebiger,
also auch nichtsprachlicher Quellsignale auf der Basis digitaler Symbole, Zeichen und
Rahmen als dienstintegrierende Signalform ermöglicht. Aus dem bestehenden
Fernsprechnetz entwickelte sich das Integrated Services Digital Network (ISDN) und
ersetzt es schrittweise. Der so genannte ISDN-Basisanschluss ermöglicht im Kupfer-
Doppelader-Anschlussleitungsnetz
den Informationsaustausch auf zwei getrennt
steuerbaren Kanälen. [Paye 02]
Durch die Verbreitung des Internet und die Entstehung weltweiter
Unternehmensnetzwerke entwickelte sich darüber hinaus die Möglichkeit zur Übertragung
von Sprache über ein paketvermittelndes Datennetz (z.B. auf Basis des Internet
Protokolls).
Heutige Kommunikationssysteme müssen unterschiedliche Netze miteinander verbinden
und zunehmend den Umstand berücksichtigen, dass auch mobile Benutzer über diese
Netze Informationen austauschen müssen. Sowohl im Sprach- als auch im Datenbereich
gewinnt die leitungsungebundene Kommunikation zunehmend an Bedeutung. Die
Unterstützung mobiler Benutzer gehört heute zu den Grundanforderungen an moderne
Kommunikationslösungen. Dies gilt sowohl innerhalb als auch außerhalb der Grenzen
eines Unternehmensnetzes.
Alle neuen Systeme und Möglichkeiten bieten einen Gewinn an Leistungsmerkmalen,
Komfort und Mobilität. Aber wie bei jeder Technologie ist mit neuen Möglichkeiten auch
stets ein neues Missbrauchspotential verbunden. Neben Problemen, die bereits aus
anderen Bereichen der Informationstechnik bekannt waren (z.B. Gefährdungen bei der
Fernadministration), kamen im Bereich der digital gesteuerten Vermittlungstechnik
neuartige, systembezogene Probleme hinzu.
Die Sicherheit in der Telekommunikation hat durch die Abhängigkeit der Wirtschaft und
Gesellschaft von der Telekommunikation einen erhöhten Stellenwert mit wachsender
Bedeutung erhalten. Sicherheit ist darüber hinaus ein zunehmend wichtiges
Qualitätsmerkmal von Telekommunikationsdienstleistungen. Die Betreiber haben nun die
Aufgabe einzuschätzen, wie sicherheitssensibel ihre Telekommunikationsanlagen sind,
welche Bedeutung diese für die Allgemeinheit haben und welche Schutzmaßnahmen mit
welchem technischen und wirtschaftlichen Aufwand getroffen werden müssen. [TKG 97]
Eine zunehmende Anzahl parallel in Verwendung befindlicher Technologien lässt eine
professionelle Bewertung von Sicherheitsrisiken immer umfangreicher und komplexer
werden. Um den Sicherheitsanforderungen auch in den klassischen
Informationstechnischen Systemen (IT-Systemen) gerecht zu werden, wurden
Sicherheitsarchitekturen geschaffen. Diese sollen die grundsätzlichen Schutzziele
Vertraulichkeit, Verfügbarkeit und Integrität der zu verarbeitenden Daten gewährleisten.
[BSI 03]
1
Leistungsmerkmale einer Telekommunikationsanlage sind alle Funktionen, die über eine reine Übertragung
von Sprachsignalen hinausgehen. [Paye 02]
Seite
7
1.1 Aufgabenstellung und Zielsetzung
1.1 Aufgabenstellung und Zielsetzung
Diese Arbeit soll die steigenden Sicherheitsanforderungen und den Stand des
Sicherheitsniveaus von Telekommunikationsanlagen (TK-Anlagen) in großen
Unternehmen aufzeigen und Empfehlungen zur Realisierung von TK-Anlagen mit
entsprechend gewünschtem Schutzbedarf geben.
Ziel dieser Arbeit ist die Schaffung einer Grundlage für die Beurteilung des
Gefährdungspotenzials von Unternehmen und Erarbeitung einer Methodik für
entsprechende Gegenmaßnahmen. Dabei wird der Schwerpunkt auf Bedrohungen durch
bewusste, gutwillige oder böswillige Handlungen von Personen oder Personengruppen
innerhalb oder außerhalb der Organisation im Zusammenhang mit der TK-Anlage gelegt.
Die Sicherheitsanforderungen an eine TK-Anlage lassen sich in die folgenden drei großen
Bereiche gliedern:
x Verfügbarkeit
Ausfallsicherheit unter verschiedenen Einwirkungen/Szenarien
x Vertraulichkeit der Information
Abhörsicherheit, Schutz persönlicher Daten
x Integrität der Information
Schutz der Konfigurationsdaten und anderer in der Anlage gespeicherter
Informationen gegen Verlust und versehentliche oder böswillige Manipulation
Gemessen an den diesbezüglichen Anforderungen eines großen deutschen Geldinstitutes
sollen unterschiedliche Realisierungsformen für eine TK-Anlage mit ca. 5000
Nebenstellen und Applikationsservern analysiert werden.
Untersucht und gegenüber gestellt werden die folgenden Varianten:
x Realisierung in Form einer herkömmlichen, leitungsvermittelten ISDN TK-Anlage
x Realisierung in Form einer reinen Serverlösung auf Basis Voice-over-IP (Native
IP)
x Realisierung in Form einer ,,Konvergenzlösung" (Herkömmliche TK-Anlage mit
VoIP-Funktionalität in der Vernetzung und zur Anbindung von Endgeräten über IP)
Bei der Analyse soll die Vorgehensweise in Anlehnung an das Grundschutzhandbuch des
Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfolgen.
Der Umfang der Sicherheitsanalyse beschränkt sich auf die systemtechnischen
Schwachpunkte innerhalb des IT-Systems. Hierbei sollen vor allem softwaretechnische
Maßnahmen zur Erhöhung der Sicherheit erarbeitet und beschrieben werden. Weiterhin
sind Empfehlungen zur Umsetzung der Maßnahmen zu beschreiben. Hardwareseitige
Gesichtspunkte sollen hier nicht behandelt werden.
Das Ergebnis der Arbeit soll eine empfohlene Vorgehensweise zur Realisierung der
Varianten der TK-Anlagen unter technischen und wirtschaftlichen Randbedingungen sein
und es soll einen prinzipiellen, technischen Sicherheitsleitfaden für alle entsprechenden
Grundvarianten der TK-Systeme liefern.
Seite
8
1.2 Aufbau der Arbeit
1.2 Aufbau der Arbeit
In der Arbeit werden im Wesentlichen die Sicherheitsaspekte beim Betrieb von TK-
Anlagen in großen Unternehmen betrachtet. Hierbei werden in dem einführenden Kapitel
2. Beschreibung von TK-Anlagen einige technische Grundlagen erläutert und es wird der
Grundaufbau eines Kommunikationsnetzwerkes dargestellt. Im Verlauf dieser Arbeit
werden verschiedene Varianten von TK-Anlagen vorgestellt und analysiert.
Der Analyse der TK-Anlagen sind neben der Beschreibung von TK-Anlagen die
Grundlagen zur Übertragung eines normalen Telefongesprächs
über ein
paketvermittelndes Datennetz auf Basis des Internet Protokolls (IP) im Kapitel 3. Voice
over IP Netzwerke (VoIP) vorangestellt.
Zur Minimierung des erforderlichen Gesamtaufwands für IT-Sicherheit wird in der Praxis
meistens auf Standard-Kriterienwerke zurückgegriffen.
Diese sollen den
Sicherheitsverantwortlichen in methodischer oder inhaltlicher Hinsicht unterstützen.
Sowohl für Produkte als auch für Gesamtlösungen haben sich nebeneinander
unterschiedliche Kriterienwerke im Themenbereich IT-Sicherheit etabliert
2
. Diese
Ausarbeitungen überlappen teilweise inhaltlich, setzen jedoch unterschiedliche
Schwerpunkte und richten sich an verschiedene Zielgruppen.
Die vorliegende Arbeit orientiert sich bei der Sicherheitsanalyse von TK-Anlagen
hauptsächlich am Grundschutzhandbuch (GSHB) des Bundesamtes für Sicherheit in der
Informationstechnik (BSI), auf dessen Aufbau und Anwendung im Kapitel 4. Grundlagen
der IT-Sicherheit näher eingegangen wird. Dabei wird der Schwerpunkt auf die
Vorgehensweise zur Erstellung eines Sicherheitskonzeptes gelegt.
Aufbauend auf das vorangegangene Kapitel erfolgt im Kapitel 5. Analyse von TK-Anlagen
die Klassifizierung der Schutzbedürftigkeit von Telefoniesystemen. In diesem
Zusammenhang werden verschiedene Varianten von TK-Anlagen vorgestellt und dann
sicherheitstechnisch analysiert.
Das Kapitel 6. Reflexion der Sicherheitsziele befasst sich mit dem Vergleich von
Herstellerlösungen verschiedener IP-Telefoniesysteme und stellt Empfehlungen
zusätzlicher Sicherheitsmaßnahmen für den Betrieb unterschiedlicher Varianten von
Telefoniesystemen dar.
Im letzten Kapitel 7. Weiterführende Empfehlungen wird ein Fazit aus den Ausführungen
in den vorangegangenen Kapiteln gezogen und in weiteren Abschnitten folgen
empfohlene Vorgehensweisen zur Realisierung und Aufrechterhaltung einer sicheren TK-
Infrastruktur. Den Abschluss bildet die Beschreibung einer Grundschutz-Zertifizierung als
Nachweis über eine erfolgreiche Umsetzung der Sicherheitsmaßnahmen.
2
Kriterienwerke zur IT-Sicherheit: GSHB, ISO 9000, ISO 17799, ITSec/CC, CobiT etc. [D21 01]
Seite
9
2. Beschreibung von TK-Anlagen
2. Beschreibung von TK-Anlagen
Telekommunikationssysteme (TK-Systeme)
oder Telekommunikationsanlagen (TK-
Anlagen) sind Systeme, an welche Endgeräte für die Dienste in der
Kommunikationstechnik angeschlossen werden. Diese Endgeräte haben Zugriff auf die
System-Leistungsmerkmale und können über Amtsleitungen der öffentlichen
Kommunikationsnetze Verbindungen zu anderen, entfernten Endgeräten und Systemen
aufbauen.
Bei ,,klassischen" TK-Anlagen können mehrere Endgeräte an relativ wenigen
Amtsleitungen betrieben werden. Die internen Telefongespräche können gebührenfrei
geführt werden. Zusätzlich können bei internen Verbindungen vielfältige
Leistungsmerkmale genutzt werden, die das Telefonieren komfortabler machen.
Früher wurden Telefonanlagen im Wesentlichen für die Vermittlung von ein- und
ausgehenden Telefonaten benötigt. Nach dem aktuellen Stand der Technik ist die TK-
Anlage zur zentralen Schnittstelle der Unternehmenskommunikation geworden. Die
Verwendung zusätzlicher Leistungsmerkmale (z.B. Unified Messaging UMS) setzt eine
enge Verknüpfung der TK-Anlagen mit den Netzwerkkomponenten voraus (z.B.
gemeinsamer Zugriff auf Server oder Datenbanken). Durch die Nutzung von Voice over IP
(VoIP)
3
ist bereits eine vollständige Integration der Telefonie
in ein
Unternehmensnetzwerk möglich. Die verschiedenen TK-Komponenten eines
Unternehmensnetzwerkes und deren Zusammenwirken werden in Kapitel
2.2
Beispielaufbau eines Kommunikationsnetzwerkes beschrieben.
2.1 Technische Grundlagen
Eine Telekommunikationsanlage besteht wie auch öffentliche Vermittlungssysteme
aus der zentralen Steuerung, dem Koppelfeld sowie den Anschlussorganen und
Schnittstellen.
Eine Kommunikation über TK-Anlagen erfolgt heutzutage üblicherweise über das ISDN-
Netz (Integrated Services Digital Network), welches ein einheitliches digitales Netz zur
Sprach- und Datenübertragung darstellt.
Eine ISDN-Leitung besteht grundsätzlich aus einem Signalkanal (D-Kanal) und mehreren
Datenkanälen (B-Kanal). Eine TK-Anlage ist über die so genannte
Amtsleitungsbaugruppe mit dem öffentlichen Telefonnetz (PSTN) verbunden. In
Abhängigkeit von der Größe der TK-Anlage kann zwischen zwei Anschlussarten gewählt
werden: [Paye 02]
x dem Basisanschluss (S
0
) mit einem D-Kanal von 16 kbit/s und zwei B-Kanälen von
je 64 kbit/s.
x dem Primärmultiplexanschluss (S
2M
) mit einem D-Kanal von 64 kbit/s und 30 B-
Kanälen von je 64 kbit/s.
Zur Vernetzung von mehreren TK-Anlagen zu einem TK-System sind in den Anlagen
Querleitungsbaugruppen vorhanden, welche die gleichen Schnittstellen wie die
Amtsleitungsbaugruppen verwenden, aber andere Kommunikationsprotokolle benutzen.
Aus der Vernetzung von TK-Anlagen entsteht ein so genanntes Corporate Network (CN)
oder Private Network (PN). [Nöll 03]
3
siehe Kapitel 3. Voice over IP Netzwerke (VoIP)
Seite 10
2.2 Beispielaufbau eines Kommunikationsnetzwerkes
2.2 Beispielaufbau eines Kommunikationsnetzwerkes
Dieses Kapitel soll als Grundlage für die folgenden Abschnitte und zur Übersicht der
verschiedenen TK-Komponenten eines Kommunikationsnetzwerkes und deren
Platzierung im Netzwerk dienen. Die folgende Abbildung stellt hierfür eine grundsätzliche
Struktur dar. Die Darstellung soll lediglich das Zusammenspiel und die Funktion der
unterschiedlichen Komponenten im Verbund beschreiben.
INTERNET
Firewall
H.323 ISDN-Gateway
H.323 ISDN-Gateway
Systemtelefon
DECT
Fax
ISDN-TK-Anlage
6
6
6
6
IP/AB-Gateway
A/B-Telefon
DECT
Fax
IP-Telefon
H.323
IP-Telefon
SIP
Proxy Server
Soft Client
Soft Client
Windows
Soft Client
Outlook
Soft Client
RAS
Telefon-Server
ISDN
LAN
ISDN
BS
DECT-
Basisstation
Abbildung 2-1: Allgemeine Struktur eines Kommunikationsverbundes
Seite 11
2.2 Beispielaufbau eines Kommunikationsnetzwerkes
In der Darstellung sind die zu untersuchenden Varianten (VoIP und ISDN TK-Anlage)
sowie Verknüpfungen der beiden Varianten (Konvergenzlösung) enthalten. Ein beliebiges
Unternehmensnetzwerk könnte in dieser Form aufgebaut sein.
Über die Firewall
4
wird das lokale Netzwerk (LAN) des Unternehmens an das Internet
angekoppelt, d.h. ein gesichertes Netzwerk wird mit einem ungesicherten verbunden. Die
Übertragungsschnittstellen der Firewall zum öffentlichen Netzwerk können alle bekannten
Dienste wie z.B. ISDN, Modem, Mietleitung und/oder Frame Relay
5
umfassen.
Die Zusammenarbeit des LAN-Netzwerkes mit der TK-Anlage,
ebenso wie die
Kommunikation in das öffentliche Telefonnetz (PSTN), erfolgt über das H.323 ISDN-
Gateway. Das Gateway übernimmt hierbei die Protokollumsetzung und die Vermittlung
zwischen den unterschiedlichen Netzen.
Das IP/AB-Gateway ist die Schnittstelle zwischen LAN und nicht IP-fähigen, analogen
Endgeräten und dient ebenfalls der Protokollumsetzung. Durch die Umwandlung der
VoIP-Signale in analoge Signale, und umgekehrt, können analoge Endgeräte in eine
VoIP-Struktur eingebunden werden. Die Bezeichnung a und b kommt von der
fortlaufenden Bezeichnung der beiden Adern der Zweidrahtleitung. [Paye 02]
Über den Fernwartungszugang kann ein entfernter Arbeitsplatz auf das
Unternehmensnetz und alle innerbetrieblichen Kommunikationseinrichtungen zugreifen.
Die Einwahl in das Unternehmensnetz erfolgt via ISDN auf den Remote Access Server
(RAS). Der Fernzugriff kann von einem beliebigen Modem aus erfolgen, ohne dass jedoch
das System zurückruft. Ein solches System, das weniger sicher vor Eindringlingen ist,
wird Call-In genannt. Aus sicherheitstechnischen Gründen sollte ein Fernzugriff aber
besser über ein Call-Back-Verfahren erfolgen, bei dem die Identifikationsüberprüfung
eines Anrufenden durch eine vorgeschaltete Instanz erfolgt. Hierbei wird die Verbindung
unterbrochen und erst nach Überprüfung der Identität anhand der gespeicherten
Rufnummer wieder aufgebaut. [Paye 02]
Der Telefon-Server im LAN übernimmt die Übersetzung von Telefonnummern in IP-
Adressen und umgekehrt. Existiert keine physikalische Verbindung zwischen PC und
Telefon, stellt der Telefon-Server den Clients alle notwendigen Funktionen der Software
zur Verfügung.
Der Proxy-Server ermöglicht den Clients einen sicheren Zugang über die Firewall ins
Internet. [Lipi 01]
PC-Netze sind in den meisten Fällen dadurch gekennzeichnet, dass sie zwei Arten von
Endgeräten beinhalten Clients und Server. Die Soft Clients sind Arbeitsplatzrechner und
nutzen die von den Servern angebotenen Dienstleistungen. Dazu besitzen sie eine so
genannte
Requester-Komponente, die mit dem Betriebssystem des LANs auf den
Servern kooperiert.
In vielen Unternehmen existieren zwei Kommunikationsstrukturen isoliert nebeneinander.
Auf der einen Seite steht das LAN für die Datenkommunikation, auf der anderen das Netz
der Nebenstellenanlage für Sprachkommunikation. In der Regel verfügen beide Systeme
über Schnittstellen zur Außenwelt. Die Darstellung auf der vorangegangenen Seite zeigt
die Zusammenführung beider Systeme unter Beibehaltung der vorhandenen Infrastruktur.
4
Eine ausführliche Beschreibung von Firewall-Funktionen ist in Kapitel 6.4.2 Firewalls zu finden.
5
Das Frame Relay (FR) ist ein verbindungsorientiertes Protokoll, das den Datenaustausch zwischen einer
Datenendeinrichtung (DEE) und einer Datenübertragungseinrichtung (DÜE) beschreibt, wobei die Daten in
Frames (Rahmen) übertragen werden. [Thib 01]
Seite 12
2.3 Beschreibung von DECT
2.3 Beschreibung von DECT
Digital Enhanced Cordless Telecommunication (DECT) ist ein europäischer Standard des
ETSI
6
für digitale, kabellose Telefongeräte. Der Standard legt Normen für ein zellulares
Mobilfunksystem zur Kommunikation in Gebäuden fest. Der DECT-Standard regelt die
Sprach- und Datenübertragung per Funk, zwischen dem kabellosen Telefongerät
(Mobilteil) und dessen Basisstation. Überlappende Funkzellen bilden die Struktur eines
DECT-Netzwerkes. [BSI DK]
Ein DECT-System besteht aus einer Basisstation, dem so genannten Fixed Part (FP), und
einer oder mehrerer Mobilstationen, den so genannten Portable Parts (PP). Bei dem
DECT-System in den beschriebenen Varianten handelt es sich um eine im TK-System
integrierte Funktion zum Betrieb von schnurlosen DECT-Mobilteilen. Das DECT-System
wird innerhalb des TK-Systems durch spezielle DECT-Baugruppen zum Anschluss von
DECT-Basisstationen realisiert.
DECT ist für die Punkt-zu-Punkt-Verbindung zwischen einer Basisstation und einem
Mobilteil ausgelegt und arbeitet innerhalb eines in Europa explizit reservierten
Frequenzbandes zwischen 1,88 GHz und 1,90 GHz. Für die Übertragung stehen 10
Trägerfrequenzen f = (1881,792 + k*1,728) MHz, k= 0,...,9 zur Verfügung. [BSI DK]
Die maximale Nutzdatenrate von DECT liegt bei 32 kBit/s pro Kanal. Die Sprache wird
mittels Adaptive Differential Pulse Code Modulation (ADPCM) codiert und im
ungeschützten Modus (ohne Fehlerkennung) mit 32 kBit/s übertragen. Eine geschützte
Datenübertragung (mit Fehlerkorrektur) ist mit 25,6 kBit/s möglich. Durch Kanalbündelung
können deutlich höhere Geschwindigkeiten erreicht werden. Bei asymmetrischer
Ausrichtung der Duplex-Verbindungen sind für Hin- und Rückrichtung unterschiedliche
Datenraten möglich. [ETSI EN]
Die maximale Sendeleistung bei DECT beträgt 250 mW (bei einer mittleren Sendeleistung
von 10 mW), womit sich, abhängig von den Bedingungen der Funkausbreitung, eine
Reichweite (maximale Entfernung zwischen Basis- und Mobilstation) von bis zu 300 m im
Freien und bis zu 50 m in Gebäuden ergibt.
Für den Anschluss an ein externes Telefonnetz gibt es im FP eine so genannte
Interworking Unit (IWU), die für die Anpassung der DECT-spezifischen Protokolle an die
Protokolle des analogen Telefonnetzes bzw. des ISDN sorgt.
Die Basisstation übernimmt die Auswahl des jeweiligen Übertragungskanals indem sie in
einem Hintergrundprozess in bestimmten Zeitabständen die Aktivitäten aller Kanäle in
ihrem Empfangsbereich auswertet. Die freien Kanäle werden dann gemäß der ermittelten
Aktivität in der so genannten RSSI-Liste (Received Signal Strength Indication) abgelegt.
So kann die Basisstation bei der Anforderung eines Verbindungsaufbaus den für sie
optimalen, am wenigsten gestörten Kanal auswählen.
Mit dem DCS/DCA Verfahren (Dynamic Channel Selection and Allocation) werden vom
Mobilteil ebenfalls kontinuierlich die Aktivitäten in den zugehörigen Frequenzbereichen
überprüft, und es wird geprüft, ob die Signale von einer Basisstation stammen, bei der
sich das Mobilteil anmelden darf. Das Mobilteil meldet sich dann bei der Basisstation mit
der höchsten Signalleistung an, bei der es Anmelderechte besitzt. [BSI DK]
Da diese Überprüfungen dynamisch auch während der Übertragung durchgeführt werden,
kann DECT flexibel auf Störereignisse oder Ortswechsel reagieren.
6
vgl. ETSI-Standard EN 300 175 [ETSI EN]
Seite 13
2.3 Beschreibung von DECT
2.3.1 Elektromagnetische Verträglichkeit
Aufgrund sich häufender Bedenken in der Bevölkerung gegen die Strahlungen von
Mobilfunkanlagen und Endgeräten sowie der Nachfrage des Unternehmens über die
Elektromagnetische Verträglichkeit von DECT-Geräten wird in diesem Kapitel näher auf
die Strahlenimmission eingegangen.
In Deutschland unterliegen alle Mobilfunkanlagen mit einer effektiv abgestrahlten
Sendeleistung von mehr als 10 Watt EIRP
7
der 26. Bundes-Immissionsschutzverordnung
(BImSchV) vom 16. Dezember 1996, und dort der Verordnung über elektromagnetische
Felder.
Da DECT-Geräte eine geringere Leistung haben (bei den standardmäßig verwendeten
Antennen kann die effektiv abgestrahlte Leistung der tatsächlichen Sendeleistung
gleichgesetzt werden), existieren keine Reglements für DECT-Geräte. Für den Betrieb
werden weder behördliche Genehmigungen noch Mindestabstände gefordert.
Die im Gesetz vorgesehenen Grenzwerte (oder andere) für Mobilfunkanlagen können
aber durchaus auf DECT-Geräte angewendet werden. Das Gesetz sieht vor, dass bei
Sendeanlagen mit einer Frequenz von 1,90 GHz eine elektrische Feldstärke von 59,9 V/m
und eine magnetische Feldstärke von 0,161 A/m nicht überschritten werden darf. Das
entspricht einer Leistungsdichte von 9,5 W/m
2
. Diese Werte gelten für den zeitlichen
Mittelwert. [BImSchV]
Die folgende Tabelle stellt die Grenzwerte von DECT und GSM-Funkübertragungen
gegenüber:
DECT
0,01 - 0,25 W
0,25 W
keine Anforderung
GSM
1 - 2 W
10 - 50 W
1 - 5,5 m
Mindestabstand zur
Basisstation
Endgerät
9,5 W/m
2
Sendeleistung des
Mobilteils
Sendeleistung der
Basisstation
Grenzwert gemäß
BImSchV
Tabelle 2-1: Grenzwerte von DECT/GSM-Funkübertragungen [TE DECT]
Um den Strahlenschutz für die Bevölkerung zu gewährleisten, wurden von der
Internationalen Strahlenschutzkommission (ICNIRP
8
) Basisgrenzwerte definiert, die einen
großen Sicherheitsabstand zu biologisch relevanten Wirkungen beinhalten. Alle
wissenschaftlich abgesicherten
Wirkungen werden dabei in den Grenzwerten
berücksichtigt. [TE DECT]
International empfohlene Grenzwerte werden bei DECT weit unterschritten. Studien über
mögliche Gefährdungen auch unterhalb der festgelegten Grenzwerte werden in dieser
Arbeit nicht betrachtet.
Zitat des Bundesamtes für Strahlenschutz vom Dezember 1999:
,,Gesundheitliche Beeinträchtigungen sind nach derzeitigem Kenntnisstand weder von
schnurlosen Telefonen mit analogem noch von solchen mit digitalem Standard (DECT)
anzunehmen".
7
Die EIRP (Effective Isotropic Radiated Power) gibt an, mit welcher Sendeleistung eine in alle
Raumrichtungen gleichmäßig (isotrop) abstrahlende Antenne versorgt werden müsste, um im Fernfeld
dieselbe Leistungsdichte zu erreichen wie mit einer bündelnden Richtantenne in ihrer Hauptsenderichtung.
8
Die ICNIRP ist eine internationale, unabhängige Kommission für den Schutz vor nichtionisierender
Strahlung, welche von der WHO und der EU offiziell anerkannt ist.
Seite 14
3. Voice over IP Netzwerke (VoIP)
3. Voice over IP Netzwerke (VoIP)
In vielen Unternehmen sind immer noch zwei parallel aufgebaute Netzwerke zur
getrennten Sprach- und Datenkommunikation vorhanden, die sich in der Vergangenheit
eigenständig und mit jeweils spezifischen Geräten und eigenständiger Verkabelung
entwickelt haben. Mit der VoIP-Technologie ist hingegen die Möglichkeit gegeben, die
gesamte Sprachkommunikation über die bestehenden Datennetze abzuwickeln. Infolge
dessen können Sprach- und Datennetze zu einer gemeinsamen Netzinfrastruktur
verschmolzen werden. Es ergibt sich die Möglichkeit für eine zuverlässige und
kostengünstige Kommunikation zwischen
verschiedenen Standorten. Besonders
interessant ist dabei die Tatsache, dass das Verkehrsvolumen in Datennetzen in der
Regel pauschal abgerechnet wird, während die Erfassung und Berechnung des
Kommunikationsaufkommens in traditionellen Telefonnetzen meistens auf Basis von
Zeiteinheiten geschieht.
Der Einsatz von Voice over IP beschränkt sich im Wesentlichen auf die folgenden
Kommunikationsformen:
x Verbindung IP-fähiger Telefonapparate (IP-Telefon zu IP-Telefon)
x Telefonieren von VoIP-PC zu VoIP-PC
x Kommunikation zwischen IP-fähigen Telefonen oder Faxgeräten und VoIP-PCs
x Kommunikation mit Sprachservern (Interactive Voice Response)
Das Spektrum ist aber weitaus umfangreicher. So lassen sich Multikonferenzen,
Bildtelefonate sowie Datenübertragung und Faxe während des Gesprächs über eine
Netzinfrastruktur abwickeln. [ComC 01]
Das Ziel einer Integration von VoIP-Lösungen in ein bestehendes Telefonnetz ist
beispielsweise, dass die vorhandenen Endgeräte über das IP-Netz und ohne
Qualitätsminderung funktionieren. Mit dem Einsatz eines VoIP-Gateways
9
lässt sich
beispielsweise die Anbindung einer TK-Anlage an ein IP-Netz realisieren.
Durch den Einsatz von CTI-Servern (Computer Telephony Integration) wird das
Telefonieren durch das Anzeigen von relevanten Daten (Name, Telefonnummer des
Anrufers etc.) bei ankommenden Anrufen auf dem Bildschirm komfortabler. [Sieg 01]
Ebenso lässt sich die Funktionalität von Call-Centern durch VoIP-Lösungen erweitern.
Wenn eine Internetverbindung besteht, kann durch ein so genanntes ,,Click to
Call/Recall"- Angebot auf einer Homepage ein direkter Kontakt zu einem Call-Center-
Agenten aufgenommen werden. Hierfür muss lediglich ein Icon angeklickt werden. Die
bestehende Internetverbindung muss nicht mehr getrennt werden, um auf einen Rückruf
des Anbieters zu warten, d.h. ein Kauf kann sofort getätigt oder ergänzende Fragen zu
dem Produkt können umgehend gestellt werden. Es ist lediglich notwendig, ein Plug-In
10
für den verwendeten Browser zu installieren. [Arki 02]
Die dritte Nutzungsmöglichkeit ist das Unified Messaging (UMS). UMS beschreibt die
Integration von verschiedenen Nachrichtenarten, wie E-Mail, Voice-Mail oder Fax in ein
IT-System. Diese Kommunikationsmerkmale lassen sich über einen zentralen
Verzeichnisdienst, der die Nachrichten verwaltet und die Datenbank um ankommende
Nachrichten ergänzt, zusammenfügen. [Nöll 03]
9
Gateways sind Geräte, die eine Verbindung verschiedener Technologien ermöglichen und hier die
Übergänge von einem
VoIP-Netz in ein leitungsvermitteltes
Telefonnetz realisieren (diese
,,Übersetzungsfunktionen" werden im ITU-T Standard H.246 beschrieben). [Nöll 03]
10
Plug-In's sind kleine Zusatzprogramme für den Browser, die das Betrachten multimedialer Anwendungen
(Video, Musik...) ermöglichen. [Lipi 01]
Seite 15
3.1 Strukturierung von Datennetzwerken anhand des OSI-Modells
3.1 Strukturierung von Datennetzwerken anhand des OSI-Modells
Um ein Datennetzwerk und damit seine Funktionen, Leistungen und Einsatzbereiche
richtig verstehen zu können, ist es notwendig, die einzelnen Elemente und Funktionen
systematisch anzuordnen. Dazu ist eine Schematisierung und Gliederung des
Kommunikationsprozesses in definierte, hierarchische Ebenen (Schichten) notwendig. Es
erfolgt eine Zuordnung der einzelnen Kommunikationsfunktionen zu bestimmten logischen
Schichten. Wird in einer Schicht eine Anpassung (Änderung, Erweiterung) vorgenommen,
bleiben die anderen Ebenen davon unberührt.
Die ISO (International Organization for Standardization) hat als Grundlage für die Bildung
von Kommunikationsstandards offener Netze ein Sieben-Schichten-Modell, das OSI-
Modell (Open Systems Interconnection), entworfen. Im OSI-Modell werden die
grundsätzlichen Funktionen der einzelnen Ebenen und die Schnittstellen zwischen den
Ebenen festgelegt. So ergibt sich eine universell anwendbare logische Struktur für alle
Anforderungen der Datenkommunikation verschiedener Systeme.
Anhand des OSI-Modells kann sehr anschaulich erklärt werden, auf welchen Ebenen ein
Verbindungsaufbau stattfindet. Es regelt den Datenverkehr auf den folgenden sieben
Ebenen: [Kauf 94]
7
1
2
3
4
5
6
7
1
2
3
4
5
6
Anwendungsschicht (Application)
Transport (Transport)
Bitübertragung (Physical)
Sicherungsschicht (Data Link)
Vermittlungs-/Paketschicht (Network)
Kommunikationssteuerung (Session)
Darstellungsschicht (Presentation)
Daten
Bitstrom
Daten
Daten
Daten
Daten
Daten
Abbildung 3-1: Das OSI-Schichtenmodell der ISO (vgl. [Ecke 03])
Die Aufgaben der einzelnen Schichten lassen sich in zwei Hauptbereiche unterteilen:
x Die Schichten 1 - 4 werden der Transportfunktion zugeordnet
x Die Schichten 5 - 7 werden den Anwenderfunktionen zugeordnet
Seite 16
3.2 Komponenten und Funktionsweise von VoIP
3.2 Komponenten und Funktionsweise von VoIP
Bei VoIP können mehrere Sprachverbindungen durch Multiplex-Verfahren auf einer
Leitung realisiert werden. Die grundsätzliche Funktionsweise von VoIP ist in der folgenden
Abbildung dargestellt. Die Sprache des Menschen erzeugt zunächst ein Analogsignal.
Dieses wird mit Hilfe eines Analog/Digital-Wandlers (A/D-Wandler) in einen Bitstrom
umgewandelt und anschließend vielfach komprimiert. Die Komprimierung ist erforderlich,
da Sprache und Daten bei möglichst geringer Bandbreite gemeinsam übertragen werden
sollen. Da mit zunehmender Komprimierung die Verzögerung bei der Sprachübertragung
steigt und damit die Sprachqualität sinkt, ist für eine gute Sprachqualität eine gewisse
Bandbreite erforderlich (siehe Kapitel 3.4 Protokolle und Standards von VoIP).
A/D-Wandlung
IP-Netz
LAN, WAN (Internet, Intranet)
Kompression
Jitter/Puffer/ Delay
Decodierung
D/A-Wandlung
Paketierung
Abbildung 3-2: Funktionsweise von VoIP
Nach A/D-Wandlung und Kompression der Sprachdaten muss der konstante Bitstrom der
menschlichen Sprache in IP-Pakete umgewandelt werden. Diese Aufgabe übernimmt die
so genannte Paketierung. Sie leitet dann die einzelnen Pakete in das IP-Netz (LAN oder
WAN) weiter. Beim Empfänger kommen die Pakete zunächst in einem Puffer an und es
wird dafür gesorgt, dass ein kontinuierlicher (isochroner) Datenstrom abgegeben werden
kann. Dies ist notwendig, weil in einem paketorientierten Netz die Wege der einzelnen
Pakete nicht grundsätzlich vorherbestimmt werden können. Es gibt zunächst keine
Garantie dafür, dass die Pakete überhaupt ankommen. Dadurch kann die
Laufzeitverzögerung (Delay) für einzelne Pakete schwanken, was der Empfänger sofort
hört, da eine deutliche Qualitätsminderung auftritt. Diese Laufzeitschwankungen führen zu
Jittern
11
. Ist die Wiedergabe über den Puffer gewährleistet, werden die
Sprachinformationen wieder decodiert und in ein analoges Signal (hörbar für den
Menschen) zurück gewandelt. Mittels Priorisierung (Sprachpakete werden vorrangig
behandelt) werden die Sprachdaten mit geringsten Verzögerungen transportiert.
[ComC 01]
Bei einer reinen Datenübertragung wirkt sich der Verlust von Paketen nicht auf die
Übertragung aus, da höhere Protokolle wie TCP (Transport Control Protocol) automatisch
für eine Wiederholung verlorener Datenpakete sorgen. Dieses Verfahren ist jedoch für die
Sprachübertragung nicht anwendbar, da zu spät gelieferte Sprachfragmente nicht mehr
benötigt werden. Alle Sprachpakete müssen innerhalb eines bestimmten Zeitrahmens
beim Empfänger ankommen, damit der Algorithmus, der die Datenpakete in analoge
Sprachsignale umwandelt, richtig arbeiten kann. Bei einem zu hohen Delay wird die
Verzögerung als störend empfunden.
11
Jitter sind Schwankungen der Laufzeitverzögerung der verschiedenen Pakete. [Lipi 01]
Seite 17
3.3 Anforderungen
3.3 Anforderungen
Die Anforderungen an die Hard- und Software, aber insbesondere an die vermittelnden
Systeme der Netzwerktechnik steigen stetig an. Die Quality of Service
12
(QoS) - also die
Fähigkeit eines Netzes, Übertragungsverzögerungen im erforderlichen Maße zu
minimieren - ist die Voraussetzung für Multiservice-Networking. [Nöll 03]
Eine der wichtigsten Voraussetzungen für den Einsatz von VoIP ist zum einen eine
ausreichende Bandbreite und zum anderen die Möglichkeit, diese dem Endgerät
(Terminal) explizit zur Verfügung zu stellen. Durch die Vermittlungstechnik und gut
ausgebaute, leistungsstarke LANs wird in zunehmendem Maße die Basis hierfür
bereitgestellt. Außerdem ist das Internet Protokoll (IP) nach wie vor das weltweit am
häufigsten verwendete Protokoll zur Datenübertragung. [Nöll 03]
Im Aufbau der Netzwerkarchitektur der LANs hat sich das Ethernet
13
weitestgehend
durchgesetzt. Bei der Übertragung von isochronen Diensten (z.B. VoIP) über das Ethernet
kann es aber immer wieder zu Verzögerungen und Laufzeitschwankungen kommen. Aus
diesem Grund wird versucht, durch die Integration der oben genannten QoS-Merkmale
innerhalb des IP-Protokolls und der zur Übertragung eingesetzten Komponenten,
Verzögerungen und Laufzeitschwankungen zu kompensieren. Durch die QoS wird die
Voraussetzung geschaffen, auch zeitkritische Applikationen (Sprache) in IP-Paketen über
Ethernet zu übertragen. [ComC 03]
Neben der Bandbreite ist auch die Verzögerung bei der Übertragung von Sprache ein
sehr wichtiges Kriterium. Die ITU-T empfiehlt eine Laufzeitverzögerung von max. 150
Millisekunden, da sonst die Sprachqualität erheblich nachlässt
14
.
akzeptable
Sprachqualität
akzeptable Sprachqualität bei
bewusster Inkaufnahme der
Qualitätsverschlechterung
inakzeptable Sprachqualität
10
9
8
7
6
5
4
3
2
1
100
500
400
300
200
Paket-
verlustrate in %
Delay in ms
Abbildung 3-3: Empfehlung der maximalen Verzögerungszeit für Sprachdaten gemäß ITU-T G.114
12
Unter Dienstgüte (QoS) versteht man alle Verfahren, die den Datenfluss in LANs und WANs so
beeinflussen, dass der Dienst mit einer festgelegten Qualität beim Empfänger ankommt. [Nöll 03]
13
Ethernet ist die zur Zeit am weitesten verbreitete lokale Netzwerktechnik und von der IEEE als Standard
802.3 genormt. [Nöll 03]
14
vgl. ITU-T Empfehlung G.114
Seite 18
Ende der Leseprobe aus 97 Seiten
- nach oben
Blick ins Buch
-
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen.