>

Sicherheit

I. Abhörbarkeit

II. Spam

III. Datenschutz

IV. Systemsicherheit

1. Externe Zugriffe

2. Spyware / Viren

3. Traffic

IV. Systemsicherheit

1. Externe Zugriffsversuche

Unter Firewall/NAT wurde bereits dargestellt, inwieweit Firewalls bzw. NAT-Systeme die Nutzung von VoIP erheblich erschweren können und welche Lösungsstrategien denkbar sind.

Anzeige

Das ist aber nur die eine Seite der Medaille. Denn eine für VoIP "optimale Konfiguration" darf natürlich nicht bedeuten, dass dadurch die Sicherheit des Netzwerkes insgesamt aufs Spiel gesetzt wird.

a. Port-Freigaben

Entsprechend sollten beispielsweise Portfreigaben mit Bedacht gewählt werden und (sofern möglich) bei SIP-basierten Anbietern (jedenfalls für die Anrufsignalisierung) nur für die spezifische(n) IP-Adressen der SIP-Server freigegeben werden.

Da die Gesprächskommunikation als solches (per RTP) dann aber direkt zwischen den Gesprächspartnern läuft, ist jedenfalls bei reinen VoIP-Gesprächen eine Einschränkung auf bestimmte IP-Adressen in der Regel nicht möglich, da die jeweiligen Gesprächspartner (außer im Rahmen eines internen Netzes) unterschiedliche und zudem dynamische (sich also bei jeder Einwahl ändernde) IP-Adressen zugeteilt bekommen. Anders dagegen bei VoIP-Gesprächen vom oder ins herkömmliche Telefonnetz. Da diese Gespräche über Gateways laufen, die typischerweise eine fixe IP-Adresse haben, kann dies bei der Konfiguration der Firewall entsprechend berücksichtigt werden.

b. DMZ

Die ebenfalls bereits unter Firewall/NAT angesprochene Lösungsvariante DMZ / Exposed Host ist aus Sicherheitsgründen problematisch.

Für Businessanwender dürfte diese Option von vornherein schlicht zu unsicher sein.

Für Privatanwender mag die Variante, die interne IP-Adresse in die DMZ zu stellen, bei spezieller VoIP-Hardware evtl. noch vertretbar sein (etwa einen ATA; siehe dazu unter Los geht's/Voraussetzungen/Hardware), da dann zwar der ATA "ungeschützt" ist, aber immerhin der oder die sonst im Netzwerk vorhandenen Computer durch das NAT-System geschützt sind. Umso wichtiger ist es dann aber auch, die Konfiguration des ATAs dahingehend zu überprüfen und evtl. zu ändern, dass das Konfigurationsinterface nur aus dem lokalen Netzwerk erreichbar ist (und also nicht "aus dem Internet") und dass der Zugang zum Konfigurationsinterface unbedingt mit einem Passwort versehen ist.  Es kann auch nicht schaden, die Sicherheit durch entsprechende Online-Tests zu überprüfen (siehe dazu unter NAT/Voodoo?!/Alles funktioniert).

Nutzt man dagegen keine spezieller VoIP-Hardware, sondern ein auf einem Computer installiertes Softphone und möchte man diesen Computer in die DMZ stellen, sollte auf dem Rechner zumindest eine lokale Firewall ("Personal Firewall") installiert werden, um einen gewissen Grundschutz zu gewährleisten.

Dies hat auch durchaus den Vorteil, dass sich solche Personal Firewalls meist einfacher konfigurieren lassen als die häufig nur begrenzt anpassbaren integrierten Firewalls in einem handelsüblichen DSL-Router für Privatanwender.

Man muss sich aber darüber im klaren sein, dass es einen prinzipiellen Sicherheits-Unterschied macht, ob der Schutz schon im Router greift oder erst auf dem jeweiligen Computer (zumal Personal Firewalls durchaus auch nicht die gleiche effektive Sicherheit bieten können).

Auf der anderen Seite unterscheidet sich diese Vorgehensweise aber auch nicht von dem durchaus gängigen Szenario, dass der Nutzer gar keinen Router verwendet, sondern der Zugang direkt über das (DSL-)Modem erfolgt (siehe dazu unter Firewall/NAT). Dort muss der Schutz ja auch komplett auf den Computer verlagert werden. Insofern mag für den ein oder anderen Anwender die DMZ-Lösung durchaus eine gehbare Option sein, v.a. wenn die Konfiguration des Routers entweder gar nicht gelingt oder zumindest sehr aufwendig ist.

weiter...