Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

AUTOMATE IT 2017
28.09.17 - 28.09.17
In Darmstadt

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

3. Esslinger Forum: Das Internet der Dinge
17.10.17 - 17.10.17
In Esslingen

Transformation World
19.10.17 - 20.10.17
In Heidelberg

Der Trend zu Audio- und Video-Übertragungen im Internet „Over-the-Top“ (OTT) ist ungebrochen stark. Die Gründe für ihre steigende Beliebtheit liegen auf der Hand: Erschwinglichkeit, stetige Innovation und Erweiterung der Funktionalität sind die Impulsgeber für den Erfolg von OTT.

Am 15. Februar diesen Jahres gab Skype die Zahl von „280 Millionen Internetnutzern an, die jeden Monat mit ihren Freunden und Kollegen über Skype in Kontakt treten“. Im selben Monat veröffentlichte der VoIP-Anbieter für Smartphones, Viber, dass seine Anwenderbasis seit Einführung der Software 2010 mittlerweile eine Größenordnung von 160 Millionen erreicht hat, von denen täglich 750.000 über die Viber-Software kommunizieren.

Trotz ihres Erfolgs ist die OTT-Telekommunikation nach wie vor mit vielerlei Mängeln behaftet. Anwender erleben täglich Probleme mit der Sicherheit dieser Online-Übertragungen und der Durchquerung strikter Firewalls. Auch die Anrufqualität und -kontinuität werden von ungünstigen Netzwerkbedingungen beeinträchtigt, insbesondere dadurch, dass diese Live-Kommunikation häufig über unsichere, „bestmögliche“ Netze übertragen wird.

Erfolgt ein OTT-Anruf beispielsweise von einem Hotspot in einem Café, einer Hotel-Lobby oder einem Konferenzzentrum aus, werden die Sprach-, Text- und Videositzungen oftmals von Firewalls unterdrückt oder gesperrt. Einige namhafte Anbieter von Mobilfunk- und WLAN-Diensten schränken User Datagram Protocol (UDP)-Verbindungen ein, die Medien und Session Initiation Protocol (SIP) übertragen. Bei anderen Serviceanbietern werden TCP-Verbindungen ab einer bestimmten Dauer unterbrochen, wovon Voice- und Video-over-IP (etwa Konferenzschaltungen) betroffen sind. In diesen Fällen sind die Verbindungen nur scheinbar zustande gekommen oder bestehen, die Audio- und Video-Inhalte werden aber gar nicht übertragen.

Nutzt man öffentliche Wi-Fi-Verbindungen oder Internetzugänge für Gäste eines Unternehmens, kann dies mit Sicherheitsrisiken befrachtet sein. OTTDienste können Anwender den Angriffen des „Man-in-the-Middle“ oder des „Packet Sniffing“ aussetzen, wenn die Kommunikation durch solche Netze fließt. Kürzlich wurden von Wissenschaftlern der University of California in Berkely derartige Sicherheitsschwachstellen bei der „Wi-Fi Calling“- Funktion von T-Mobile festgestellt. Bisher schützte der Einsatz von SIP, Transport Layer Security (TLS) und sicherem Realtime Transport Protocol (RTP) oder von proprietärer Signalisierungs- und Medienübertragungstechnologie vor Risiken hinsichtlich der Vertraulichkeit und der Datenintegrität. Für einen VoIP-Administrator jedoch, der Anrufprobleme für verschlüsselte Anrufe diagnostizieren will, ist die Verschlüsselung eher ein Hindernis für die Lösung dieser Probleme. Nicht besser ist die Alternative, die IT-Administratoren häufig wählen, indem sie die Verschlüsselung zwecks Problembehebung entfernen. Dadurch setzen sie die Anwender eben jenen Risiken aus, vor denen sie sie eigentlich schützen wollen.

Sichere Kommunikation

Auch beim Umstieg von Wi-Fi- auf 4Goder 3G-Netze werden Live-Anrufe, die von einer mobilen OTT-Applikation aus erfolgen, bei den meistgenutzten OTT-Diensten scheitern. Um Services auf dem Niveau verlässlicher, im Hosting bereitgestellter PBX-Telekommunikationsanlagen bieten zu können, die über die einfachen Endanwender-Services hinausgehen, müssen OTT-Dienste mehr als nur das „Bestmögliche“ liefern und in die Bereiche von Dienstgarantien und Zuverlässigkeit vorstoßen.

Standard Virtual Private Networking (VPN) oder Tunnelungstechnologien lösen einen Teil der Probleme von OTT-Übertragungen. Die Verschlüsselung von VoIP- und Videopaketen über IPsec-Tunnel ist seit geraumer Zeit Teil der Session Border Controller. Der Standard des Third Generation Partnership Projects (3GPP) nutzt Dual-IPsec-Kanäle für die Sprachkommunikation über Long Term Evolution (VoLTE) im IP Multimedia Subsystem (IMS) sowie den Schutz durch Authentication and Key Agreement (AKA)-Mechanismen. IPsec bietet Sicherheit in der IP-Schicht des Netzes und wird am häufigsten in Netzwerkelemente, Server, Clients und Betriebssysteme integriert (etwa Session Border Controller, spezieller VPN Concentrator oder Firewall).

IPSec eignet sich jedoch nicht für OTT-Applikationen, die auf einem Handy, Tablet oder Laptop laufen. IPsec VPNs schränken das Gerät komplett auf das VPN ein und viele Firewalls werden standardmäßig keine IPsec-Tunnel zulassen. In den heutigen Web- und E-Commerce-Umgebungen bieten TLS und sein Vorläufer, Secure Sockets Layer (SSL) sitzungsbezogene Sicherheit für die Tunnelung und verhalten sich einer Firewall gegenüber transparenter. Ein TLS-Tunnel oder - besser noch - ein Datagram Transport Layer Security (DTLS)-Tunnel wiederum kann diesen Zweck für OTT-Applikationen erfüllen. Anbieter wie Acme Packet, Voxeo Labs´Horizon und 3CX VoIP Tunnel experimentieren seit einiger Zeit mit VoIP over SSL/TLS VPN oder proprietären Varianten.

Tunneled Services Control Function

Inzwischen wurde dem 3GPP ein neues Netzwerkelement zur Standardisierung vorgeschlagen, um die Durchquerung strikter Firewalls auf Basis von SSL/TLS VPNs zu bewerkstelligen. Die Tunneled Services Control Function (TSCF) wird sowohl SIP- als auch IMS-Nachrichten über gemanagte VPN-Tunnel an einen Endpunkt übermitteln. Der Tunnel wird von verschiedenen Protokollen (wie SIP, RTP, MSRP, HTTP, DNS und TFTP) gemeinsam verwendet, ist aber für die VoIP-Applikation auf dem Handy oder Mobilgerät nur auf den spezifischen Zweck bezogen. TLS- und DTLS-Tunnel sind applikationsspezifisch und übernehmen nicht das ganze Gerät, wenn sie in eine mobile OTT-Applikation integriert werden.

Mühelos durch die Firewall

Acme Packet beispielsweise integrierte TSCF jetzt in seinen Session Border Controller (SBC). Die Hardwarebeschleunigungsfähigkeit des SBC unterstützt dabei schnelle Verbindungen, Line Rate-Verschlüsselung und -Entschlüsselung sowie Quality of Service-Kontrolle. Erste TSCF-Implementierungen zeigen gute Resultate für OTT-Dienste:

  • Jede Sitzung ist sicher mit allen Signalisierungen und Medien, die in einen verschlüsselten Tunnel eingekapselt werden
  • VoIP über drahtlose und Wi-Fi-Verbindungen werden nicht durch restriktive Firewalls unterdrückt oder beendet
  • Die Diagnose von Signalisierungs- und Medienproblemen ist unproblematisch, da VoIP-Pakete innerhalb des Tunnels nicht verschlüsselt sind
  • VoIP-Anrufe können ohne Abbruch zwischen Wi-Fi- und 4G/3G-Übertragungen hin und her wechseln

Einer der größten Vorteile des vorgeschlagenen Standards TSCF ist die Mühelosigkeit, mit der strikte Firewalls durchquert werden können. Sprache und Video erscheinen der Firewall als eine sichere HTTPS- oder OpenSSL VPN-Sitzung auf Port 443. Wenn man einen Anruf tätigen will, der eine Firewall durchqueren muss, wird die mobile VoIP-Applikation einen Tunnel durch jede Firewall auf ihrem Weg errichten und direkt mit einem TSCF-fähigen VoIP-Server oder SBC Verbindung aufnehmen.

Für den VoIP-Server auf der anderen Seite des TSCF erscheint der Client als lokale IP-Adresse innerhalb des Tunnels. Dies vereinfacht SIP-Signalisierung, Architekturen, Diagnosen und auch Problembehebung. Wenn der Netzwerkaufbaumit dem errichteten Tunnel fehlschlägt, wird der Tunnel auf einem Sekundärnetzwerk (etwa WLAN auf 4G) schnell wiederhergestellt. Unabhängig vom Netzwerk bleibt die IP-Adresse der VoIP-Applikation für den SIP-Server dieselbe. Wenn Audio-Inhalte übertragen werden, kann der Anruf somit im gleichen Augenblick fortgesetzt werden, in dem das VPN wiederaufgebaut ist, und es besteht keine Notwendigkeit, den SIP-Endpunkt oder die VoIP-Applikation erneut zu registrieren.

Die Vorteile

Bekannte VoIP-Softphone-Anbieter wie CounterPath und Cicero Networks nutzen die TSCF-Fähigkeiten bereits. VoIP-Anrufe können zwischen 4G- und Wi-Fi-Architekturen übertragen und Firewalls leicht durchquert werden. Daraus resultiert für IP-basierte Sprach- und Videoanrufe jetzt die Möglichkeit, höhere Qualitätslevel, Zuverlässigkeit und Sicherheit zu bieten – was für alle Seiten den Komfort der OTT-Kommunikation erheblich verbessert.

KRIS HOPKINS

Diesen Artikel finden Sie auch in der it management Ausgabe 5 - 2013.

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet