Analyse von TK-Anlagen unter Sicherheitsanforderungen

Page 6

Verzeichnis der Abkürzungen

Verzeichnis der Abkürzungen

AC Authentication Code

ACD ACT A/D ADPCM AH Authentication Header

AHL ARI ASCII BDSG BImSchV B-ISDN B-Kanal BS BSI

BSIG CC CCA CCITT CE CK CMIP CMIS CN CobiT CSTA CTI D/A DAKS DCS/DCA DECT DEE DHCP DIN DIVO D-Kanal DMZ Demilitarized Zone

DPNSS DSL DSS-1 DÜE ECMA EIRP ESP ETSI EU FDDI

Page 9

1. Einleitung

1. Einleitung

In den vergangenen Jahren hat sich die Situation im Bereich der Telekommunikationstechnik erheblich verändert. Mit dem Beginn der Digitalisierung der Übertragungsverfahren zog die Informationstechnik in die Vermittlungstechnik ein. Schnell ¹ entwickelte sich eine Vielzahl neuer Leistungsmerkmale .

Durch die Weiterentwicklung der Telekommunikationsnetze wurde der Transfer beliebiger, also auch nichtsprachlicher Quellsignale auf der Basis digitaler Symbole, Zeichen und Rahmen als dienstintegrierende Signalform ermöglicht. Aus dem bestehenden Fernsprechnetz entwickelte sich das Integrated Services Digital Network (ISDN) und ersetzt es schrittweise. Der so genannte ISDN-Basisanschluss ermöglicht im Kupfer-Doppelader-Anschlussleitungsnetz den Informationsaustausch auf zwei getrennt steuerbaren Kanälen. [Paye 02] Durch die Verbreitung des Internet und die Entstehung weltweiter

Unternehmensnetzwerke entwickelte sich darüber hinaus die Möglichkeit zur Übertragung von Sprache über ein paketvermittelndes Datennetz (z.B. auf Basis des Internet Protokolls).

Heutige Kommunikationssysteme müssen unterschiedliche Netze miteinander verbinden und zunehmend den Umstand berücksichtigen, dass auch mobile Benutzer über diese Netze Informationen austauschen müssen. Sowohl im Sprach- als auch im Datenbereich gewinnt die leitungsungebundene Kommunikation zunehmend an Bedeutung. Die Unterstützung mobiler Benutzer gehört heute zu den Grundanforderungen an moderne Kommunikationslösungen. Dies gilt sowohl innerhalb als auch außerhalb der Grenzen eines Unternehmensnetzes.

Alle neuen Systeme und Möglichkeiten bieten einen Gewinn an Leistungsmerkmalen, Komfort und Mobilität. Aber wie bei jeder Technologie ist mit neuen Möglichkeiten auch stets ein neues Missbrauchspotential verbunden. Neben Problemen, die bereits aus anderen Bereichen der Informationstechnik bekannt waren (z.B. Gefährdungen bei der Fernadministration), kamen im Bereich der digital gesteuerten Vermittlungstechnik neuartige, systembezogene Probleme hinzu.

Die Sicherheit in der Telekommunikation hat durch die Abhängigkeit der Wirtschaft und Gesellschaft von der Telekommunikation einen erhöhten Stellenwert mit wachsender Bedeutung erhalten. Sicherheit ist darüber hinaus ein zunehmend wichtiges Qualitätsmerkmal von Telekommunikationsdienstleistungen. Die Betreiber haben nun die Aufgabe einzuschätzen, wie sicherheitssensibel ihre Telekommunikationsanlagen sind, welche Bedeutung diese für die Allgemeinheit haben und welche Schutzmaßnahmen mit welchem technischen und wirtschaftlichen Aufwand getroffen werden müssen. [TKG 97] Eine zunehmende Anzahl parallel in Verwendung befindlicher Technologien lässt eine professionelle Bewertung von Sicherheitsrisiken immer umfangreicher und komplexer werden. Um den Sicherheitsanforderungen auch in den klassischen

Informationstechnischen Systemen (IT-Systemen) gerecht zu werden, wurden Sicherheitsarchitekturen geschaffen. Diese sollen die grundsätzlichen Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität der zu verarbeitenden Daten gewährleisten. [BSI 03]

¹ Leistungsmerkmale einer Telekommunikationsanlage sind alle Funktionen, die über eine reine Übertragung von Sprachsignalen hinausgehen. [Paye 02]

Page 10

1.1 Aufgabenstellung und Zielsetzung

1.1 Aufgabenstellung und Zielsetzung

Diese Arbeit soll die steigenden Sicherheitsanforderungen und den Stand des Sicherheitsniveaus von Telekommunikationsanlagen (TK-Anlagen) in großen Unternehmen aufzeigen und Empfehlungen zur Realisierung von TK-Anlagen mit entsprechend gewünschtem Schutzbedarf geben.

Ziel dieser Arbeit ist die Schaffung einer Grundlage für die Beurteilung des Gefährdungspotenzials von Unternehmen und Erarbeitung einer Methodik für entsprechende Gegenmaßnahmen. Dabei wird der Schwerpunkt auf Bedrohungen durch bewusste, gutwillige oder böswillige Handlungen von Personen oder Personengruppen innerhalb oder außerhalb der Organisation im Zusammenhang mit der TK-Anlage gelegt. Die Sicherheitsanforderungen an eine TK-Anlage lassen sich in die folgenden drei großen Bereiche gliedern:

xx Verfügbarkeit

Ausfallsicherheit unter verschiedenen Einwirkungen/Szenarien xx Vertraulichkeit der Information Abhörsicherheit, Schutz persönlicher Daten xx Integrität der Information

Schutz der Konfigurationsdaten und anderer in der Anlage gespeicherter Informationen gegen Verlust und versehentliche oder böswillige Manipulation Gemessen an den diesbezüglichen Anforderungen eines großen deutschen Geldinstitutes sollen unterschiedliche Realisierungsformen für eine TK-Anlage mit ca. 5000 Nebenstellen und Applikationsservern analysiert werden. Untersucht und gegenüber gestellt werden die folgenden Varianten:

xx Realisierung in Form einer herkömmlichen, leitungsvermittelten ISDN TK-Anlage xx Realisierung in Form einer reinen Serverlösung auf Basis Voice-over-IP (Native IP)

xx Realisierung in Form einer „Konvergenzlösung“ (Herkömmliche TK-Anlage mit VoIP-Funktionalität in der Vernetzung und zur Anbindung von Endgeräten über IP) Bei der Analyse soll die Vorgehensweise in Anlehnung an das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfolgen. Der Umfang der Sicherheitsanalyse beschränkt sich auf die systemtechnischen Schwachpunkte innerhalb des IT-Systems. Hierbei sollen vor allem softwaretechnische Maßnahmen zur Erhöhung der Sicherheit erarbeitet und beschrieben werden. Weiterhin sind Empfehlungen zur Umsetzung der Maßnahmen zu beschreiben. Hardwareseitige Gesichtspunkte sollen hier nicht behandelt werden.

Das Ergebnis der Arbeit soll eine empfohlene Vorgehensweise zur Realisierung der Varianten der TK-Anlagen unter technischen und wirtschaftlichen Randbedingungen sein und es soll einen prinzipiellen, technischen Sicherheitsleitfaden für alle entsprechenden Grundvarianten der TK-Systeme liefern.

Page 11

1.2 Aufbau der Arbeit

1.2 Aufbau der Arbeit

In der Arbeit werden im Wesentlichen die Sicherheitsaspekte beim Betrieb von TK-Anlagen in großen Unternehmen betrachtet. Hierbei werden in dem einführenden Kapitel

2. Beschreibung von TK-Anlagen einige technische Grundlagen erläutert und es wird der Grundaufbau eines Kommunikationsnetzwerkes dargestellt. Im Verlauf dieser Arbeit werden verschiedene Varianten von TK-Anlagen vorgestellt und analysiert. Der Analyse der TK-Anlagen sind neben der Beschreibung von TK-Anlagen die Grundlagen zur Übertragung eines normalen Telefongesprächs über ein

paketvermittelndes Datennetz auf Basis des Internet Protokolls (IP) im Kapitel 3. Voice over IP Netzwerke (VoIP) vorangestellt.

Zur Minimierung des erforderlichen Gesamtaufwands für IT-Sicherheit wird in der Praxis meistens auf Standard-Kriterienwerke zurückgegriffen. Diese sollen den

Sicherheitsverantwortlichen in methodischer oder inhaltlicher Hinsicht unterstützen. Sowohl für Produkte als auch für Gesamtlösungen haben sich nebeneinander ² unterschiedliche Kriterienwerke im Themenbereich IT-Sicherheit etabliert . Diese

Ausarbeitungen überlappen teilweise inhaltlich, setzen jedoch unterschiedliche Schwerpunkte und richten sich an verschiedene Zielgruppen. Die vorliegende Arbeit orientiert sich bei der Sicherheitsanalyse von TK-Anlagen hauptsächlich am Grundschutzhandbuch (GSHB) des Bundesamtes für Sicherheit in der Informationstechnik (BSI), auf dessen Aufbau und Anwendung im Kapitel 4. Grundlagen der IT-Sicherheit näher eingegangen wird. Dabei wird der Schwerpunkt auf die Vorgehensweise zur Erstellung eines Sicherheitskonzeptes gelegt. Aufbauend auf das vorangegangene Kapitel erfolgt im Kapitel 5. Analyse von TK-Anlagen die Klassifizierung der Schutzbedürftigkeit von Telefoniesystemen. In diesem Zusammenhang werden verschiedene Varianten von TK-Anlagen vorgestellt und dann sicherheitstechnisch analysiert.

Das Kapitel 6. Reflexion der Sicherheitsziele befasst sich mit dem Vergleich von Herstellerlösungen verschiedener IP-Telefoniesysteme und stellt Empfehlungen zusätzlicher Sicherheitsmaßnahmen für den Betrieb unterschiedlicher Varianten von

Telefoniesystemen dar.

Im letzten Kapitel 7. Weiterführende Empfehlungen wird ein Fazit aus den Ausführungen in den vorangegangenen Kapiteln gezogen und in weiteren Abschnitten folgen empfohlene Vorgehensweisen zur Realisierung und Aufrechterhaltung einer sicheren TK-Infrastruktur. Den Abschluss bildet die Beschreibung einer Grundschutz-Zertifizierung als Nachweis über eine erfolgreiche Umsetzung der Sicherheitsmaßnahmen.

² Kriterienwerke zur IT-Sicherheit: GSHB, ISO 9000, ISO 17799, ITSec/CC, CobiT etc. [D21 01]

Page 12

2. Beschreibung von TK-Anlagen

2. Beschreibung von TK-Anlagen

Telekommunikationssysteme (TK-Systeme) oder Telekommunikationsanlagen (TK-Anlagen) sind Systeme, an welche Endgeräte für die Dienste in der Kommunikationstechnik angeschlossen werden. Diese Endgeräte haben Zugriff auf die System-Leistungsmerkmale und können über Amtsleitungen der öffentlichen Kommunikationsnetze Verbindungen zu anderen, entfernten Endgeräten und Systemen aufbauen.

Bei „klassischen“ TK-Anlagen können mehrere Endgeräte an relativ wenigen Amtsleitungen betrieben werden. Die internen Telefongespräche können gebührenfrei geführt werden. Zusätzlich können bei internen Verbindungen vielfältige Leistungsmerkmale genutzt werden, die das Telefonieren komfortabler machen. Früher wurden Telefonanlagen im Wesentlichen für die Vermittlung von ein- und ausgehenden Telefonaten benötigt. Nach dem aktuellen Stand der Technik ist die TK-Anlage zur zentralen Schnittstelle der Unternehmenskommunikation geworden. Die Verwendung zusätzlicher Leistungsmerkmale (z.B. Unified Messaging - UMS) setzt eine enge Verknüpfung der TK-Anlagen mit den Netzwerkkomponenten voraus (z.B. gemeinsamer Zugriff auf Server oder Datenbanken). Durch die Nutzung von Voice over IP ³ (VoIP) ist bereits eine vollständige Integration der Telefonie in ein Unternehmensnetzwerk möglich. Die verschiedenen TK-Komponenten eines Unternehmensnetzwerkes und deren Zusammenwirken werden in Kapitel 2.2 Beispielaufbau eines Kommunikationsnetzwerkes beschrieben.

2.1 Technische Grundlagen

Eine Telekommunikationsanlage besteht - wie auch öffentliche Vermittlungssystemeaus der zentralen Steuerung, dem Koppelfeld sowie den Anschlussorganen und Schnittstellen.

Eine Kommunikation über TK-Anlagen erfolgt heutzutage üblicherweise über das ISDN-Netz (Integrated Services Digital Network), welches ein einheitliches digitales Netz zur Sprach- und Datenübertragung darstellt.

Eine ISDN-Leitung besteht grundsätzlich aus einem Signalkanal (D-Kanal) und mehreren Datenkanälen (B-Kanal). Eine TK-Anlage ist über die so genannte

Amtsleitungsbaugruppe mit dem öffentlichen Telefonnetz (PSTN) verbunden. In Abhängigkeit von der Größe der TK-Anlage kann zwischen zwei Anschlussarten gewählt werden: [Paye 02]

xx dem Basisanschluss (S 0 ) mit einem D-Kanal von 16 kbit/s und zwei B-Kanälen von je 64 kbit/s.

xx dem Primärmultiplexanschluss (S 2M ) mit einem D-Kanal von 64 kbit/s und 30 B-Kanälen von je 64 kbit/s.

Zur Vernetzung von mehreren TK-Anlagen zu einem TK-System sind in den Anlagen Querleitungsbaugruppen vorhanden, welche die gleichen Schnittstellen wie die Amtsleitungsbaugruppen verwenden, aber andere Kommunikationsprotokolle benutzen. Aus der Vernetzung von TK-Anlagen entsteht ein so genanntes Corporate Network (CN) oder Private Network (PN). [Nöll 03]

³ siehe Kapitel 3. Voice over IP Netzwerke (VoIP)

Page 13

2.2 Beispielaufbau eines Kommunikationsnetzwerkes

2.2 Beispielaufbau eines Kommunikationsnetzwerkes

Dieses Kapitel soll als Grundlage für die folgenden Abschnitte und zur Übersicht der verschiedenen TK-Komponenten eines Kommunikationsnetzwerkes und deren Platzierung im Netzwerk dienen. Die folgende Abbildung stellt hierfür eine grundsätzliche Struktur dar. Die Darstellung soll lediglich das Zusammenspiel und die Funktion der unterschiedlichen Komponenten im Verbund beschreiben.

Abbildung 2-1: Allgemeine Struktur eines Kommunikationsverbundes

Page 15

2.3 Beschreibung von DECT

2.3 Beschreibung von DECT

Digital Enhanced Cordless Telecommunication (DECT) ist ein europäischer Standard des ⁶ für digitale, kabellose Telefongeräte. Der Standard legt Normen für ein zellulares ETSI

Mobilfunksystem zur Kommunikation in Gebäuden fest. Der DECT-Standard regelt die Sprach- und Datenübertragung per Funk, zwischen dem kabellosen Telefongerät (Mobilteil) und dessen Basisstation. Überlappende Funkzellen bilden die Struktur eines DECT-Netzwerkes. [BSI DK]

Ein DECT-System besteht aus einer Basisstation, dem so genannten Fixed Part (FP), und einer oder mehrerer Mobilstationen, den so genannten Portable Parts (PP). Bei dem DECT-System in den beschriebenen Varianten handelt es sich um eine im TK-System integrierte Funktion zum Betrieb von schnurlosen DECT-Mobilteilen. Das DECT-System wird innerhalb des TK-Systems durch spezielle DECT-Baugruppen zum Anschluss von DECT-Basisstationen realisiert.

DECT ist für die Punkt-zu-Punkt-Verbindung zwischen einer Basisstation und einem Mobilteil ausgelegt und arbeitet innerhalb eines in Europa explizit reservierten Frequenzbandes zwischen 1,88 GHz und 1,90 GHz. Für die Übertragung stehen 10 Trägerfrequenzen f = (1881,792 + k*1,728) MHz, k= 0,...,9 zur Verfügung. [BSI DK] Die maximale Nutzdatenrate von DECT liegt bei 32 kBit/s pro Kanal. Die Sprache wird mittels Adaptive Differential Pulse Code Modulation (ADPCM) codiert und im ungeschützten Modus (ohne Fehlerkennung) mit 32 kBit/s übertragen. Eine geschützte Datenübertragung (mit Fehlerkorrektur) ist mit 25,6 kBit/s möglich. Durch Kanalbündelung können deutlich höhere Geschwindigkeiten erreicht werden. Bei asymmetrischer Ausrichtung der Duplex-Verbindungen sind für Hin- und Rückrichtung unterschiedliche Datenraten möglich. [ETSI EN]

Die maximale Sendeleistung bei DECT beträgt 250 mW (bei einer mittleren Sendeleistung von 10 mW), womit sich, abhängig von den Bedingungen der Funkausbreitung, eine Reichweite (maximale Entfernung zwischen Basis- und Mobilstation) von bis zu 300 m im Freien und bis zu 50 m in Gebäuden ergibt.

Für den Anschluss an ein externes Telefonnetz gibt es im FP eine so genannte Interworking Unit (IWU), die für die Anpassung der DECT-spezifischen Protokolle an die Protokolle des analogen Telefonnetzes bzw. des ISDN sorgt.

Die Basisstation übernimmt die Auswahl des jeweiligen Übertragungskanals indem sie in einem Hintergrundprozess in bestimmten Zeitabständen die Aktivitäten aller Kanäle in ihrem Empfangsbereich auswertet. Die freien Kanäle werden dann gemäß der ermittelten Aktivität in der so genannten RSSI-Liste (Received Signal Strength Indication) abgelegt. So kann die Basisstation bei der Anforderung eines Verbindungsaufbaus den für sie optimalen, am wenigsten gestörten Kanal auswählen.

Mit dem DCS/DCA Verfahren (Dynamic Channel Selection and Allocation) werden vom Mobilteil ebenfalls kontinuierlich die Aktivitäten in den zugehörigen Frequenzbereichen überprüft, und es wird geprüft, ob die Signale von einer Basisstation stammen, bei der sich das Mobilteil anmelden darf. Das Mobilteil meldet sich dann bei der Basisstation mit der höchsten Signalleistung an, bei der es Anmelderechte besitzt. [BSI DK] Da diese Überprüfungen dynamisch auch während der Übertragung durchgeführt werden, kann DECT flexibel auf Störereignisse oder Ortswechsel reagieren.

⁶ vgl. ETSI-Standard EN 300 175 [ETSI EN]

Page 16

2.3 Beschreibung von DECT

2.3.1 Elektromagnetische Verträglichkeit

Aufgrund sich häufender Bedenken in der Bevölkerung gegen die Strahlungen von Mobilfunkanlagen und Endgeräten sowie der Nachfrage des Unternehmens über die Elektromagnetische Verträglichkeit von DECT-Geräten wird in diesem Kapitel näher auf die Strahlenimmission eingegangen.

In Deutschland unterliegen alle Mobilfunkanlagen mit einer effektiv abgestrahlten ⁷ der 26. Bundes-Immissionsschutzverordnung Sendeleistung von mehr als 10 Watt EIRP

(BImSchV) vom 16. Dezember 1996, und dort der Verordnung über elektromagnetische Felder.

Da DECT-Geräte eine geringere Leistung haben (bei den standardmäßig verwendeten Antennen kann die effektiv abgestrahlte Leistung der tatsächlichen Sendeleistung gleichgesetzt werden), existieren keine Reglements für DECT-Geräte. Für den Betrieb werden weder behördliche Genehmigungen noch Mindestabstände gefordert. Die im Gesetz vorgesehenen Grenzwerte (oder andere) für Mobilfunkanlagen können aber durchaus auf DECT-Geräte angewendet werden. Das Gesetz sieht vor, dass bei Sendeanlagen mit einer Frequenz von 1,90 GHz eine elektrische Feldstärke von 59,9 V/m und eine magnetische Feldstärke von 0,161 A/m nicht überschritten werden darf. Das ² entspricht einer Leistungsdichte von 9,5 W/m . Diese Werte gelten für den zeitlichen Mittelwert. [BImSchV]

Die folgende Tabelle stellt die Grenzwerte von DECT und GSM-Funkübertragungen gegenüber:

Tabelle 2-1: Grenzwerte von DECT/GSM-Funkübertragungen [TE DECT] Um den Strahlenschutz für die Bevölkerung zu gewährleisten, wurden von der ⁸ Internationalen Strahlenschutzkommission (ICNIRP ) Basisgrenzwerte definiert, die einen

großen Sicherheitsabstand zu biologisch relevanten Wirkungen beinhalten. Alle wissenschaftlich abgesicherten Wirkungen werden dabei in den Grenzwerten berücksichtigt. [TE DECT]

International empfohlene Grenzwerte werden bei DECT weit unterschritten. Studien über mögliche Gefährdungen auch unterhalb der festgelegten Grenzwerte werden in dieser Arbeit nicht betrachtet.

Zitat des Bundesamtes für Strahlenschutz vom Dezember 1999: „Gesundheitliche Beeinträchtigungen sind nach derzeitigem Kenntnisstand weder von schnurlosen Telefonen mit analogem noch von solchen mit digitalem Standard (DECT) anzunehmen“.

⁷ Die EIRP (Effective Isotropic Radiated Power) gibt an, mit welcher Sendeleistung eine in alle Raumrichtungen gleichmäßig (isotrop) abstrahlende Antenne versorgt werden müsste, um im Fernfeld dieselbe Leistungsdichte zu erreichen wie mit einer bündelnden Richtantenne in ihrer Hauptsenderichtung.

⁸ Die ICNIRP ist eine internationale, unabhängige Kommission für den Schutz vor nichtionisierender Strahlung, welche von der WHO und der EU offiziell anerkannt ist.

Page 17

3. Voice over IP Netzwerke (VoIP)

3. Voice over IP Netzwerke (VoIP)

In vielen Unternehmen sind immer noch zwei parallel aufgebaute Netzwerke zur getrennten Sprach- und Datenkommunikation vorhanden, die sich in der Vergangenheit eigenständig und mit jeweils spezifischen Geräten und eigenständiger Verkabelung entwickelt haben. Mit der VoIP-Technologie ist hingegen die Möglichkeit gegeben, die gesamte Sprachkommunikation über die bestehenden Datennetze abzuwickeln. Infolge dessen können Sprach- und Datennetze zu einer gemeinsamen Netzinfrastruktur verschmolzen werden. Es ergibt sich die Möglichkeit für eine zuverlässige und kostengünstige Kommunikation zwischen verschiedenen Standorten. Besonders interessant ist dabei die Tatsache, dass das Verkehrsvolumen in Datennetzen in der Regel pauschal abgerechnet wird, während die Erfassung und Berechnung des Kommunikationsaufkommens in traditionellen Telefonnetzen meistens auf Basis von Zeiteinheiten geschieht.

Der Einsatz von Voice over IP beschränkt sich im Wesentlichen auf die folgenden Kommunikationsformen:

xx Verbindung IP-fähiger Telefonapparate (IP-Telefon zu IP-Telefon) xx Telefonieren von VoIP-PC zu VoIP-PC

xx Kommunikation zwischen IP-fähigen Telefonen oder Faxgeräten und VoIP-PCs xx Kommunikation mit Sprachservern (Interactive Voice Response) Das Spektrum ist aber weitaus umfangreicher. So lassen sich Multikonferenzen, Bildtelefonate sowie Datenübertragung und Faxe während des Gesprächs über eine Netzinfrastruktur abwickeln. [ComC 01]

Das Ziel einer Integration von VoIP-Lösungen in ein bestehendes Telefonnetz ist beispielsweise, dass die vorhandenen Endgeräte über das IP-Netz und ohne ⁹ lässt sich Qualitätsminderung funktionieren. Mit dem Einsatz eines VoIP-Gateways beispielsweise die Anbindung einer TK-Anlage an ein IP-Netz realisieren. Durch den Einsatz von CTI-Servern (Computer Telephony Integration) wird das Telefonieren durch das Anzeigen von relevanten Daten (Name, Telefonnummer des Anrufers etc.) bei ankommenden Anrufen auf dem Bildschirm komfortabler. [Sieg 01] Ebenso lässt sich die Funktionalität von Call-Centern durch VoIP-Lösungen erweitern. Wenn eine Internetverbindung besteht, kann durch ein so genanntes „Click to Call/Recall“- Angebot auf einer Homepage ein direkter Kontakt zu einem Call-Center-Agenten aufgenommen werden. Hierfür muss lediglich ein Icon angeklickt werden. Die bestehende Internetverbindung muss nicht mehr getrennt werden, um auf einen Rückruf des Anbieters zu warten, d.h. ein Kauf kann sofort getätigt oder ergänzende Fragen zu ¹⁰ dem Produkt können umgehend gestellt werden. Es ist lediglich notwendig, ein Plug-In für den verwendeten Browser zu installieren. [Arki 02]

Die dritte Nutzungsmöglichkeit ist das Unified Messaging (UMS). UMS beschreibt die Integration von verschiedenen Nachrichtenarten, wie E-Mail, Voice-Mail oder Fax in ein IT-System. Diese Kommunikationsmerkmale lassen sich über einen zentralen Verzeichnisdienst, der die Nachrichten verwaltet und die Datenbank um ankommende Nachrichten ergänzt, zusammenfügen. [Nöll 03]

⁹ Gateways sind Geräte, die eine Verbindung verschiedener Technologien ermöglichen und hier die Übergänge von einem VoIP-Netz in ein leitungsvermitteltes Telefonnetz realisieren (diese „Übersetzungsfunktionen“ werden im ITU-T Standard H.246 beschrieben). [Nöll 03]

¹⁰ Plug-In’s sind kleine Zusatzprogramme für den Browser, die das Betrachten multimedialer Anwendungen (Video, Musik...) ermöglichen. [Lipi 01]

Page 18

3.1 Strukturierung von Datennetzwerken anhand des OSI-Modells

3.1 Strukturierung von Datennetzwerken anhand des OSI-Modells

Um ein Datennetzwerk und damit seine Funktionen, Leistungen und Einsatzbereiche richtig verstehen zu können, ist es notwendig, die einzelnen Elemente und Funktionen systematisch anzuordnen. Dazu ist eine Schematisierung und Gliederung des Kommunikationsprozesses in definierte, hierarchische Ebenen (Schichten) notwendig. Es erfolgt eine Zuordnung der einzelnen Kommunikationsfunktionen zu bestimmten logischen Schichten. Wird in einer Schicht eine Anpassung (Änderung, Erweiterung) vorgenommen, bleiben die anderen Ebenen davon unberührt.

Die ISO (International Organization for Standardization) hat als Grundlage für die Bildung von Kommunikationsstandards offener Netze ein Sieben-Schichten-Modell, das OSI-Modell (Open Systems Interconnection), entworfen. Im OSI-Modell werden die grundsätzlichen Funktionen der einzelnen Ebenen und die Schnittstellen zwischen den Ebenen festgelegt. So ergibt sich eine universell anwendbare logische Struktur für alle Anforderungen der Datenkommunikation verschiedener Systeme. Anhand des OSI-Modells kann sehr anschaulich erklärt werden, auf welchen Ebenen ein Verbindungsaufbau stattfindet. Es regelt den Datenverkehr auf den folgenden sieben Ebenen: [Kauf 94]

Abbildung 3-1: Das OSI-Schichtenmodell der ISO (vgl. [Ecke 03])

Die Aufgaben der einzelnen Schichten lassen sich in zwei Hauptbereiche unterteilen:

xx Die Schichten 1 - 4 werden der Transportfunktion zugeordnet xx Die Schichten 5 - 7 werden den Anwenderfunktionen zugeordnet

Page 19

3.2 Komponenten und Funktionsweise von VoIP

3.2 Komponenten und Funktionsweise von VoIP

Bei VoIP können mehrere Sprachverbindungen durch Multiplex-Verfahren auf einer Leitung realisiert werden. Die grundsätzliche Funktionsweise von VoIP ist in der folgenden Abbildung dargestellt. Die Sprache des Menschen erzeugt zunächst ein Analogsignal. Dieses wird mit Hilfe eines Analog/Digital-Wandlers (A/D-Wandler) in einen Bitstrom umgewandelt und anschließend vielfach komprimiert. Die Komprimierung ist erforderlich, da Sprache und Daten bei möglichst geringer Bandbreite gemeinsam übertragen werden sollen. Da mit zunehmender Komprimierung die Verzögerung bei der Sprachübertragung steigt und damit die Sprachqualität sinkt, ist für eine gute Sprachqualität eine gewisse Bandbreite erforderlich (siehe Kapitel 3.4 Protokolle und Standards von VoIP).

Abbildung 3-2: Funktionsweise von VoIP

Nach A/D-Wandlung und Kompression der Sprachdaten muss der konstante Bitstrom der menschlichen Sprache in IP-Pakete umgewandelt werden. Diese Aufgabe übernimmt die so genannte Paketierung. Sie leitet dann die einzelnen Pakete in das IP-Netz (LAN oder WAN) weiter. Beim Empfänger kommen die Pakete zunächst in einem Puffer an und es wird dafür gesorgt, dass ein kontinuierlicher (isochroner) Datenstrom abgegeben werden kann. Dies ist notwendig, weil in einem paketorientierten Netz die Wege der einzelnen Pakete nicht grundsätzlich vorherbestimmt werden können. Es gibt zunächst keine Garantie dafür, dass die Pakete überhaupt ankommen. Dadurch kann die Laufzeitverzögerung (Delay) für einzelne Pakete schwanken, was der Empfänger sofort hört, da eine deutliche Qualitätsminderung auftritt. Diese Laufzeitschwankungen führen zu ¹¹ Jittern . Ist die Wiedergabe über den Puffer gewährleistet, werden die Sprachinformationen wieder decodiert und in ein analoges Signal (hörbar für den Menschen) zurück gewandelt. Mittels Priorisierung (Sprachpakete werden vorrangig behandelt) werden die Sprachdaten mit geringsten Verzögerungen transportiert. [ComC 01]

Bei einer reinen Datenübertragung wirkt sich der Verlust von Paketen nicht auf die Übertragung aus, da höhere Protokolle wie TCP (Transport Control Protocol) automatisch für eine Wiederholung verlorener Datenpakete sorgen. Dieses Verfahren ist jedoch für die Sprachübertragung nicht anwendbar, da zu spät gelieferte Sprachfragmente nicht mehr benötigt werden. Alle Sprachpakete müssen innerhalb eines bestimmten Zeitrahmens beim Empfänger ankommen, damit der Algorithmus, der die Datenpakete in analoge Sprachsignale umwandelt, richtig arbeiten kann. Bei einem zu hohen Delay wird die Verzögerung als störend empfunden.

¹¹ Jitter sind Schwankungen der Laufzeitverzögerung der verschiedenen Pakete. [Lipi 01]

Page 20

3.3 Anforderungen

3.3 Anforderungen

Die Anforderungen an die Hard- und Software, aber insbesondere an die vermittelnden ¹² (QoS) - also die Systeme der Netzwerktechnik steigen stetig an. Die Quality of Service Fähigkeit eines Netzes, Übertragungsverzögerungen im erforderlichen Maße zu minimieren - ist die Voraussetzung für Multiservice-Networking. [Nöll 03] Eine der wichtigsten Voraussetzungen für den Einsatz von VoIP ist zum einen eine ausreichende Bandbreite und zum anderen die Möglichkeit, diese dem Endgerät (Terminal) explizit zur Verfügung zu stellen. Durch die Vermittlungstechnik und gut ausgebaute, leistungsstarke LANs wird in zunehmendem Maße die Basis hierfür bereitgestellt. Außerdem ist das Internet Protokoll (IP) nach wie vor das weltweit am häufigsten verwendete Protokoll zur Datenübertragung. [Nöll 03] ¹³ weitestgehend Im Aufbau der Netzwerkarchitektur der LANs hat sich das Ethernet durchgesetzt. Bei der Übertragung von isochronen Diensten (z.B. VoIP) über das Ethernet kann es aber immer wieder zu Verzögerungen und Laufzeitschwankungen kommen. Aus diesem Grund wird versucht, durch die Integration der oben genannten QoS-Merkmale innerhalb des IP-Protokolls und der zur Übertragung eingesetzten Komponenten, Verzögerungen und Laufzeitschwankungen zu kompensieren. Durch die QoS wird die Voraussetzung geschaffen, auch zeitkritische Applikationen (Sprache) in IP-Paketen über Ethernet zu übertragen. [ComC 03]

Neben der Bandbreite ist auch die Verzögerung bei der Übertragung von Sprache ein sehr wichtiges Kriterium. Die ITU-T empfiehlt eine Laufzeitverzögerung von max. 150 ¹⁴ Millisekunden, da sonst die Sprachqualität erheblich nachlässt . Paket-

^{in %} Abbildung 3-3: Empfehlung der maximalen Verzögerungszeit für Sprachdaten gemäß ITU-T G.114

¹² Unter Dienstgüte (QoS) versteht man alle Verfahren, die den Datenfluss in LANs und WANs so beeinflussen, dass der Dienst mit einer festgelegten Qualität beim Empfänger ankommt. [Nöll 03]

¹³ Ethernet ist die zur Zeit am weitesten verbreitete lokale Netzwerktechnik und von der IEEE als Standard 802.3 genormt. [Nöll 03]

¹⁴ vgl. ITU-T Empfehlung G.114

Page 21

3.4 Protokolle und Standards von VoIP

3.4 Protokolle und Standards von VoIP

Es gibt verschiedene Organisationen und Gremien, die sich mit den Protokollen und Standards von VoIP beschäftigen:

xx die ITU-T (International Telecommunication Union - Telecommunication Sector) xx die IETF (Internet Engineering Task Force) xx die ETSI (European Telecommunications Standards Institute) xx die ECMA (European Computer Manufacturer’s Association) xx die ISO (International Organization for Standardization) xx das IEEE (Institute of Electrical and Electronics Engineers) Die ITU-T ist von den oben genannten Organisationen die einzige mit Normierungskompetenz in der Telekommunikation. Sie ist neben der IETF maßgeblich für die Entwicklung der bei VoIP eingesetzten Standards verantwortlich, während andere Organisationen Empfehlungen entwickeln. Sie sind insbesondere für die Schnittstellen zu den TK-Systemen interessant.

Die für den VoIP-Bereich wichtigsten Empfehlungen wurden von der ITU-T veröffentlicht, wobei die Herausgabe dieser Empfehlungen in mehreren Serien erfolgt. Es gibt drei für VoIP relevante Serien:

xx die H-Serie (Audiovisual and multimedia systems)

xx die G-Serie (Transmission systems and media, digital systems and networks) xx die Q-Serie (Switching and signalling)

Die ITU-T hat unter dem Namen H.323 einen Rahmen für VoIP standardisiert, der die Übertragung und Signalisierung von Sprache über IP-Netze beschreibt. Das Session Initiation Protocol (SIP) ist der Standard der IETF, um VoIP-Verbindungen aufzubauen. Im Folgenden wird etwas näher auf beide Spezifikationen eingegangen.

3.4.1 Der H.323-Standard

H.323 ist ein Standard der ITU-T und enthält Definitionen, welche die Übertragung von Multimediadaten (Audio, Video, Daten) durch die Kopplung der bestehenden Daten- und Telefonnetze regeln. H.323 umfasst Ende-zu-Ende-Kommunikation sowie Multipunkt-Konferenzen. Die Empfehlungen setzen voraus, dass der Übertragungspfad zwischen den Telefonbenutzern mindestens ein lokales Netzwerk, wie Ethernet oder Token Ring, durchquert und dass das LAN möglicherweise keine QoS garantiert. Der H.323-Standard der ITU-T stellt eine Rahmenempfehlung für weitere Standards dar und trägt den Titel „Packet based multimedia communications systems“. H.323 legt die technischen Voraussetzungen für die multimediale Kommunikation über „non-guaranteed quality-of-service networks“ fest. Darin enthalten sind: [ITU-T 323]

xx die Beschreibung der erforderlichen Komponenten (z.B. Terminal oder Gateway) xx die Verarbeitung der Mediaströme (Sprache, Daten, Video) xx das Verbindungsmanagement xx das Interworking verschiedener Netze

H.323 spezifiziert vier logische Komponenten, Terminals, Gateways, Gatekeeper und Multipoint Control Units (MCUs). Terminals, Gateways und MCUs werden als Endpunkte bezeichnet. [ITU-T 323]

Page 22

3.4 Protokolle und Standards von VoIP

Das Interworking verschiedener Netze ermöglicht es beispielsweise über H.323 einen Anruf an ein öffentliches Telefon zu tätigen, aber auch an Terminals, die andere Multimedia-Kommunikationsprotokolle verwenden (z.B. H.320, H.321 oder ähnliche). [Nöll 03]

Ebenso wird die Entwicklung von zusätzlichen Diensten wie E-Mail, Voice-Mail, Fax oder Call-Center Funktionalität in einer integrierten Umgebung ermöglicht. Auf der Webseite eines Unternehmens aus dem Bereich eCommerce kann beispielsweise eine direkte Sprachverbindung zu einem Berater angeboten werden. H.323 ermöglicht mit Hilfe der ITU-T Empfehlung H.235 die Authentifizierung, Verschlüsselung und Integritätssicherung für die Sicherung von Signalisierungs- und Multimediadaten.

Es beziehen sich etwa 50 weitere Standards auf H.323. Die wichtigsten sind die Codecs, wie z.B. G.711, G.723.1, H.261 und die Verbindungssignalisierung (z.B. H.225.0 oder H.245).

3.4.2 Das Session Initiation Protocol (SIP)

Das Session Initiation Protocol (SIP) der IETF ist ein textbasiertes Steuerungsprotokoll auf der Applikationsebene, welches Sitzungen mit einem oder mehreren Teilnehmern erzeugt, diese modifiziert und beendet. Das Protokoll ist ebenfalls für Multimediaanwendungen geeignet und steht daher in direkter Konkurrenz zu H.323. SIP unterscheidet sich von anderen Protokollen dadurch, dass der Header nicht aus Bitfeldern (wie bei TCP, IP oder UDP) besteht, sondern aus ASCII-Strings. Die Architektur von SIP ist textbasiert und der von HTML sehr ähnlich. Die Syntax entspricht der einer E-Mail, in die der Verbindungsweg und die Angabe, welche Codecs genutzt werden sollen, direkt eingefügt werden. [Nöll 03]

SIP bietet keine eigenen Dienste an, sondern enthält lediglich Hilfsmittel zur Realisierung von Diensten. Es basiert auf dem Session Description Protocol (SDP) zur Aushandlung der Codecs. SIP unterstützt die Mobilität der Anwender, indem es Anfragen zum aktuellen Aufenthaltsort des Anwenders umleitet. Die Dienste, die SIP bereitstellt, sind: [c’t 16/01]

xx Benutzerlokalisierung: Bestimmung der Endsysteme, die für die verwendete Kommunikation verwendet werden xx Rufaufbau:
xx Verfügbarkeitsprüfung: xx

Anrufbehandlung: Anrufer und Angerufener werden anhand der genannten SIP Adressen identifiziert. Bevor der Anrufer einen Anruf beginnen kann, muss er zuerst den entsprechenden Server auffinden und dann seine Anforderung schicken. Der Anrufer kann den Angerufenen entweder direkt erreichen, oder auch indirekt über einen so genannten Redirect-Server. Eine Anruf-ID in dem Header einer SIP-Nachricht identifiziert einen Anruf eindeutig. Da SIP ein reines Signalisierungsprotokoll ist, müssen die Verschlüsselung und Authentifizierung der Kommunikation zwischen den Endgeräten unabhängig von der Signalisierung behandelt werden.