Institut für Internet-Sicherheit – if(is)

Möglichkeiten zur Sicherung von VoIP

Es gibt zwei unterschiedliche Ansätze den Schutzbedarf von VoIP zu decken.

Der erste Ansatz ist die Nutzung von VoIP über ein Virtual Private Network (<lex>VPN</lex>). In vielen Unternehmen mit mehr als einer Niederlassung existieren VPNs, um den Datenaustausch zwischen diesen Geschäftsstellen zu schützen. Gerade wenn eine solche Sicherheitsinfrastruktur schon vorhanden ist, liegt es nahe, diese auch für die VoIP-Daten – Signalisierung und Medienstrom – zu nutzen; die aufwendige Einrichtung einer speziellen Lösung würde wegfallen. Kritisch ist bei diesem Ansatz jedoch das Ausmaß des Schutzes, denn VPNs schützen nur die Daten, die zwischen den VPN-Partnern ausgetauscht werden, nicht die Kommunikation mit anderen Organisationen.

Die andere Möglichkeit zur Sicherung von VoIP ist der Schutz durch VoIP-spezifische Sicherungsmaßnahmen, die Ende-zu-Ende-Sicherung der VoIP-Daten bieten. Für die Absicherung von Signalisierung und Medienstrom gibt es verschiedene Verfahren, die allerdings die Schaffung einer neuen Infrastruktur voraussetzen.

Einfluss von Sicherungsmaßnahmen auf die Übertragungsqualität von VoIP

Beide vorgestellten Konzepte zur VoIP-Sicherung wurden im Rahmen dieses Forschungsprojekts bezüglich ihres Einflusses auf die Übertragungsparameter analysiert.

Versuchsaufbau
VPN-basierte VoIP-Sicherung läßt sich in Bezug auf <lex word="Quality of Service">QoS</lex> hervorragend analysieren, da die VPN-<lex word="Gateway">Gateways</lex> transparent in den Übertragungsweg geschaltet werden. VPNs koppeln üblicherweise Subnetze, weshalb zu diesem Zweck die privaten Subnetze 192.168.1.0/24 und 192.168.2.0/24 über das Routingnetz 192.168.3.0/24 verbunden werden. An den Grenzen der privaten Subnetze stehen die Security Gateways, die in folgender Abbildung als Schlösser dargestellt werden. Hier können flexibel verschiedene Arten von VPN-Boxen oder einfache <lex>Router</lex> ohne Sicherheitsfunktionen eingesetzt werden. Als repräsentative Auswahl wurde die frei verfügbare Implementierung des <lex>IPSec</lex>-Protokolls OpenSWAN und das populäre und ebenfalls freie OpenVPN gewählt.

In diesem Testszenario wurde der Einfluss der Sicherheitsmaßnahmen auf alle QoS-Parameter (Delay, <lex>Jitter</lex>, Packet Loss und <lex>Bandbreite</lex>) bestimmt und einer Referenzmessung, in der einfache Router anstelle der VPN-Gateways eingesetzt wurden, gegenübergestellt.

Die Parameter Delay, Jitter und Packet Loss
Die Messungen ergaben, dass die eingesetzten Sicherungsmaßnahmen keinen messbaren Einfluss auf Jitter oder Packet Loss haben. Darüber hinaus hat sich der Delay der VoIP-Verbindungen nur unkritisch erhöht. Dies zeigen die folgenden Abbildungen, die mit zwei unterschiedlichen Messtools gemessen wurden: eine Beta-Version des Produkts NetGage des Projektes QoSSIP der FH Köln und der „VoIP Test Suite“ der ITD Informationstechnologie GmbH & Co. KG.

Die geringen Unterschiede sind nicht zuverlässig reproduzierbar und durch Messfehler zu erklären. Die Kontrollmessung mit dem zweiten Tool (siehe weitere Grafik zum Delay) bestätigt – unter Berücksichtigung von Messfehlern – eine Erhöhung der Verzögerung um lediglich 1-2 ms, was nahezu unerheblich ist.

In weiteren Messungen wurde darüber hinaus die transparente Kompression der VPN-Gateways aktiviert. Das Ergebnis dieser Maßnahme war beim Einsatz des Codecs G.711 sehr positiv. Hier konnte der Overhead, der durch die Sicherheitsmaßnahmen entstand, durch die Kompression der Nutzdaten kompensiert werden. Bei anderen Codecs hatte Kompression keine Auswirkungen, da diese von sich auch schon stark komprimieren. Auf den Delay hat die transparente Kompression ebenfalls nur im Submillisekunden-Bereich Einfluss und ist damit unkritisch für den Einsatz mit VoIP. Es ist allerdings zu erwarten, dass die VPN-Gateways bei aktivierter Kompression schneller ausgelastet sind, sofern diese belastet werden.

Beim VoIP-spezifischen Ansatz treten aufgrund der Ende-zu-Ende-Sicherung Probleme bei der QoS-Analyse auf, denn in diesem Fall muss die eingesetzte Messsoftware die entsprechenden Sicherungsprotokolle unterstützen, was zur Zeit bei keiner Lösung der Fall ist. Es läßt sich vorrangig nur der QoS-Parameter Bandbreite zuverlässig messen.

Der Parameter Bandbreite
Der Overhead der VPN-basierten und VoIP-spezifischen Sicherheitslösungen mit Standardeinstellungen ist nachfolgend grafisch dargestellt.

Da die benötigte Bandbreite jedoch stark von den verwendeten VoIP- und Sicherheitseinstellungen abhängt, kann durch folgende Parameter die Bandbreite einer VoIP-Verbindung beeinflusst werden:

• Paketierung der Sprachsegmente. Werden mehrere Sprachsegmente pro IP-Paket übertragen, werden instegamt weniger Pakete gesendet. Es entsteht weniger Overhead durch IP, UDP, RTP, aber auch weniger Overhead durch die Sicherheitslösungen. Werden mehrere Segmente pro Paket übertragen, ist die benötigte Bandbreite geringer, die Verzögerung der Sprachverbindung nimmt jedoch erheblich zu, da die Sprachsegmente länger beim Sender zwischengespeichert werden.
• Wahl des Codecs.
  • Codec-Bandbreite. Die Codecs unterscheiden sich grundsätzlich in der benötigten Bandbreite, aber auch in der Sprachqualität.
  • Segmentgröße. Abhängig von der Segmentgröße werden mehr oder weniger Pakete übertragen, was den Overhead beeinflusst. Hier gilt dasselbe wie für den ersten Punkt.
• Blockgröße der verwendeten Verschlüsselung. Die Blockgröße eines Verschlüsselungsalgorithmus stellt die Menge an Bytes dar, in der der Algorithmus Nutzdaten verschlüsselt. Die Menge der Nutzdaten muss daher ein ganzzahliges Vielfaches der Blocklänge sein. Ist das nicht der Fall, wird dieser Zustand durch Auffüllen von sog. Padding-Bytes erreicht. Abhängig von der Blockgröße und der Größe und Anzahl der Sprachsegmente pro Paket kann daher unterschiedlich viel Padding entstehen. Die gängigsten Blockgrößen sind 8 Byte (z.B. DES) und 16 Byte (z.B. AES).

Mit welcher Bandbreite abhängig von oben genannten Einstellungen gerechnet werden muss, kann folgender Tabelle entnommen werden.