Title (deu): VoIP Security mit offenen Standards

Author: Prochaska, M. (Michael)

Description (deu): St. Pölten, FH-Stg. Telekommunikation und Medien, Dipl.-Arb., 2006

Description (deu): In den Anfängen von VOIP wurde Security lange Zeit vernachlässigt. Die Hersteller versuchten die breite Masse mit Schlagworten wie ”billiger“ oder zusätzlicher Funktionalität zu erreichen. Mit der steigenden Verbreitung von VOIP – vor allem im geschäftlichen Bereich – wurde das Thema Security immer interessanter. Firmen haben einfach höhere Anforderungen im Bereich Security als Privatpersonen. Es sind zwar durchaus proprietäre Lösungen vorhanden,
um aber die Zusammenarbeit von Lösungen verschiedener Hersteller gewährleisten zu können, und damit VOIP zum Durchbruch zu verhelfen, sind offene Standards essentiell. Die Hauptanforderungen an ein Kommunikationssystem sind Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit. Es gibt verschiedene Möglichkeiten um dieses Ziel zu erreichen. Die Kommunikation besteht prinzipiell aus zwei Teilen, der Signalisierung und dem Medienstrom. Der erste Teil, die Signalisierung, ist außerdem der Anf¨alligere für Attacken. Der zweite Teil, der abgesichert werden muss, um potentielle Angreifer vom Abhören eines Anrufes abzuhalten, ist der Medienstrom. Eine VOIP Sitzung kann nicht abgesichert werden ohne sowohl die Signalisierung als auch den Medienstrom zu schützen. Es gibt mehrere Möglichkeiten um eine sichere Signalisierung zu erreichen. Zum Beispiel kann für Hop-to-Hop Security TLS bzw. für End-to-End Security S/MIME verwendet werden. Auch f¨ur die Absicherung des Medienstroms gibt es mehrereWege, der passendste ist allerdings SRTP, ein Profil des Realtime Protokolls. Unabhängig davon, welche Methoden verwendet werden, muss es irgendeine Infrastruktur geben, um Schlüssel bzw. Zertifikate austauschen zu können. In diesem Dokument geben wir einen Überblick über aktuelle Techniken zur Absicherung von VOIP und diskutieren verschiedene Methoden zur Schlüsselverteilung und -authentifizierung.

Description (eng): In the beginnings of VOIP, security has been ignored for a along time. The manufacturers have tried to reach the masses with buzz words like ”cheap“ or additional functionality. With increasing spread of VOIP – mainly in business – the issue Security got more and more interesting. The security requirements of companies are more ambitious than the requirements of individuals. Indeed there are some proprietary solutions, but to assure the interaction between solutions of different vendors and achieve a breakthrough in the range of VOIP, open standards are essential. The main requirements of a communication system are confidentiality, integrity, authentication and availability. There are several ways to achieve these goals. The communication basically consists of two parts, signaling and mediastream. Signaling, the first part to secure, is also the most vulnerable one. The second part which has to be secured is the media session to prevent eavesdroppers from intercepting a call. A VOIP session can not be secured without protecting both signaling and the media session. To achieve a secure signaling, there are some possibilities, TLS for hop-to-hop security or S/MIME for end-to-end security for example. There are also some ways to secure the media sessions, but the most suitable is SRTP, a profile from the realtime protocol. Regardless of which methods are used, there has to be some kind of infrastructure to exchange keys or certificates. In this document we give an overview about current techniques to secure VOIP traffic and discuss various methods of key distribution and authentication.

Object languages: German

Date: 2006

Rights: © All rights reserved

Classification: Internettelefonie; Computersicherheit

Permanent Identifier