TIPS für Verantwortliche

Aus Deutsche Asterisk User Group
Zur Navigation springenZur Suche springen

SICHERHEIT

Da es sein kann, das die Daten zwischen Telefon und VoIP-Server durch das öffentliche Internet oder durch ein nicht geschütztes Netzwerk gehen ist es wichtig, sich im klaren zu sein, das es relativ einfach ist, unverschlüsselte Kommunikationen abzuhören.

Mit Tools wie CAIN & ABEL (http://www.oxid.it/) oder auch ganz banal WIRESHARK (http://www.wireshark.org/) + dem passenden Plugin ist das Abhören von SIP/IAX/SCCP/H.323 und diversen weiteren VoIP-Protokollen kein wirkliches Problem.

Durch geziehlte Angriffe, wie z.B. DNS-Spoofing, IP-Spoofing usw. ist es nicht nur im lokalen Netz möglich, sondern auch im Internet den interessanten Verkehr an den passenden Tools vorbeizuschleusen.

Abhilfe schafft hier nur die Verschlüsselung der Daten. Hierfür wird an Standards, wie SIPS (Secure SIP) und SRTP (Secure RTP) gearbeitet, auch IAX2 hat zumindest von der Grundidee her die Möglichkeit der Verschlüsselung, welche aber noch nicht in allen Asterisk Versionen implementiert ist. Ab Asterisk 1.4.x gibt es die Möglichkeit den IAX2-Verkehr AES256 zu verschlüsseln.

Somit bleibt für die Verschlüsselung meist nur die Möglichkeit auf externe Mittel, außerhalb der VoIP-Protokolle zuzugreifen. Man muss also in allen kritischen bereichen eine VPN (Virtual Private Network) Verbindung einrichten, um die Kommunikation vor unerwünschten zuhörern zu schützen.

Hierfür gibt es z.B. die Möglichkeit OpenVPN (http://www.openvpn.net) zu verwenden. Die Vorteile von OpenVPN liegen darin, das es ein SSL-VPN ist, welche ohne Probleme auch über Proxy-Server hinweg einsetzbar ist. Voraussetzung hierfür ist dann der passende Port.

In Verbindung mit OpenVPN bietet sich für HomeOffice-Anwendungen in Firmen das SIP-Telefon SNOM 370 an. Für dieses Telefon wird von der Firma SNOM eine eigene VPN-Firmware bereitgestellt, welche auf OpenVPN basiert.

Bei der Verwendung von OpenVPN sollte man darauf achten, das der VPN-Tunnel als UDP-Verbindung, soweit möglich, aufgebaut wird. Bei der Verwendung eines VPN-Tunnels mittels TCP-Verbindung hat man das Paradoxon, das man UDP-Daten durch eine TCP-Verbindung tunnelt und somit die Vorteile von UDP in der Echtzeitkommunikation zunichte macht.

Man kann natürlich für die Sicherung der Kommunikation auch andere VPN-Arten verwenden, z.B. kann man auch durch bestehnde IPSec-Tunnel die VoIP-Kommunikation leiten.


Stabilität

Der Asterisk-Server kann natürlich, wie jede Software mal abstürzen, solange der Rechner nicht komplett abstürzt hat Asterisk die Möglichkeit den sogenannten SAFE-Modus zu aktivieren, der überwacht, ob der Asterisk läuft und wenn nicht, den Asterisk startet. Dieser Modus ist allerdings mit Vorsicht zu genießen, denn wenn man z.B. eine Umstellung macht und aus irgendeinem Grund der Asterisk garnicht starten kann, bringt man sich etwas in die Bredoullie, wenn man den SAFE-Modus aktiviert hat, da die dauernden Starts des Asterisk das System ziemlich ausbremsen.

ALSO: Vor dem Einschalten des SAFE-Modus ist auf jeden Fall sicherzustellen, das der Asterisk normal startet und arbeitet, für das aktivieren muss der Asterisk dann noch einmal neu gestartet werden.

Abgerufen von „http://www.asterisk-user-group.de/wiki/index.php?title=TIPS_für_Verantwortliche&oldid=257