Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

VoIP- und Videolösungen bei der GWDG

Ähnliche Präsentationen


Präsentation zum Thema: "VoIP- und Videolösungen bei der GWDG"—  Präsentation transkript:

1 VoIP- und Videolösungen bei der GWDG
Andreas Ißleiber

2 VoIP und Videolösungen
GWDG betreibt seit dem Jahr 2000, VoIP-Telefone Angefangen mit SpectraLink VoIP FunkTelefonen über WLAN Drei System von SIEMENS, Hipath 3500,5000,4000 ca. 10 Telefonen Kurz im Test: Philips Sopho CISCO System, CCM, 6 Telefone, 20 Softphones, 1 WirelessPhone

3 VoIP und Videolösungen (Siemens)
Erlaubt den Anschluß von Systemtelefonen (non-VoIP) Gleichzeitige Anbindung von SIEMENS VoIP Telefonen 2 x S0 Anschluss Gatekeeper & Gateway in einem Gerät Protokoll: - H proprietäre CorNet-IP Geringere Flexibilität häufiger Wechsel des gesamten Systems In Kürze: Installation einer HiPath 4000 bei der GWDG

4 VoIP und Videolösungen (CISCO)
CCM, Callmanager auf PC (Windows 2000 Server) Trennung in Gatekeeper, Gateway Anbindung an S2M (30 B-Kanäle) Protokoll: - H proprietäre Skinny (SCCP*) Unterstützung von Softphones Zwei Softphones: - Softphone (CTI) - IP Communicator (no CTI) Im Vgl. zu Siemens, größere Nähe zum Netzwerk LDAP Struktur im Hintergrund MS-SQL Datenbank für Konfiguration CISCO Telefone teilweise XML fähig Webbasiertes Management (CCM) GWDG Entscheidung für CISCO als VoIP Partner CCM (CISCO CallManager) Softphones Gateway (CISCO 1760 Modular Router ) Telefonanlage PBX *Skinny Client Control Protocol

5 VoIP und Videolösungen (GWDG intern)
VoIP Installation bei der GWDG 6 Telefone 1 Funktelefon 8 Softphones CCM (CISCO CallManager) Windows 2000 Server Softphones Gateway (CISCO Modular Router ) Anbindung an ein S2M Philips Telefonanlage der Universität PBX

6 VoIP und Videolösungen (GWDG intern)
Anwendungsbeispiele: LDAP Integration Ticker (Internetintegration) Content Transformation Radio SMS-Integration Zentrale Excel-Liste Raumsteuerung Datenbankanbindung ohne CTI* Kalender Kantinenplan Zeiterfassung Hohe Flexibilität -> durch XML Missed calls, received calls and placed calls all easily accesible on IP phone. User friendly interface for productivity increasing information- know when someone has tried to reach you BEFORE checking voic Easy way to catch call back number rather than waiting for end of lenghty voic Soon after encore, more HTTP display features will be available. The Cisco IP Phones HTTP Client performs an HTTP Get for a specified URL The HTPP server processes request and returns an XML object or plain text The phone processes the supported HTTP headers The phone parses the XML object if ContentType is “text/xml” The phone presents data and options to the user per the server response *Computer Telephony Integration

7 VoIP und Videolösungen (VoIP ready ?)
Ist das eigene Netzwerk für VoIP geeignet ?

8 VoIP und Videolösungen (VoIP ready ?)
VoIP ready ?  Anforderungen an die Netzwerkstruktur Unterschiedliche Anforderungen bei VoIP im Vergleich zum Datentransfer Data Voice Bursty Drop Insensitive Delay Insensitive TCP Retransmits Smooth Drop Sensitive Delay Sensitive UDP Best Effort vs.

9 VoIP Codecs & Bandbreiten
Bandbreite “Call Control” CODEC Packets per sec. Bandwidth G.711 50 80 kbps G.729 24 kbps G.711 with cRTP 65.4 kbps G.729 with cRTP 9.6 kbps Centralized Call Processing # of IP Phones, Gateways Bandwidth 1 to 30 8 kbps 50 11 kbps 100 23 kbps 150 34 kbps

10 VoIP und Videolösungen (VoIP ready ?)
Größte Einflußfaktoren bzgl. Qualität von VoIP Latency: Verzögerungen, bei VoIP max. zulässig <= 150ms bei EndEnd Jitter: Schwankung der Verzögerungszeiten (<= 30ms) Datenverlustraten Bei der GWDG und im GÖNET ist die Lösung: Bandbreite Time (msec) 100 200 300 400 CB Zone Satellite Quality Fax Relay, Broadcast High Quality Delay Target 500 600 700 800

11 VoIP und Videolösungen (VoIP ready ?)
Eingesetzte aktive Netzwerk-Komponenten müssen … QoS beherrschen Oder große Bandbreiten zur Verfügung stellen (kein QoS) Sehr geringe Latenzen aufweisen Abtrennungen zum Datennetz ermöglichen (Firewall, VLAN) VoIP Ready Test … wie ? Bandbreiten und Latenztest zu unterschiedlichen Uhrzeiten (Sniffer, Lastgeneratoren, Spezielle Software (NetAlly))

12 VoIP und Videolösungen (VoIP ready ?)
Latenzen, Jitter im DFN … Über das WIN-LAB einzusehen

13 VoIP und Videolösungen (Sicherheit)
! ! ! ! Sicherheit bei Telefonanlagen und VoIP

14 VoIP & Videolösungen (Sicherheit, TK-Anlage)
Vorurteil „Bei klassischen Tk-Anlagen muß ich mir keine Gedanken über Sicherheit machen“ ?? Analog Die folgende Technik kann bei jedem Telefontyp, der mit einem analogen Anschluss verbunden ist, eingesetzt werden. Besonders die heute veralteten Apparate, die mit einem Kohlenstoffmikrofon ausgestattet sind, konnten so abgehört werden. Ein aufgelegter Telefonhörer kann per „Frequency Flooding“ in ein Mikrofon umfunktioniert werden. Dabei wird von einem Tongenerator auf das Signal, das zwischen dem Zieltelefon und dem Amt bei inaktivem Zustand (aufgelegt) besteht, ein Hochfrequenzsignal aufmoduliert. Erreicht dieses Signal den angewählten Endpunkt, aktiviert sich dort das Mikrofon in der Sprechmuschel des Gerätes. Angenommen, es findet zu diesem Zeitpunkt ein Gespräch in dem Raum statt, wird durch den Schall das Mikrofon in Schwingung versetzt (Modulation). Das Signal, das vom Angreifer abgehört wird, ändert sich entsprechend. Um das Raumgespräch mitzuverfolgen, muss nur noch das abgehörte Leitungssignal leicht nachbearbeitet werden, indem der Sprachanteil vom Restsignal getrennt und verstärkt wird. Digital Insbesondere sind Endgeräte mit erweiterten Fähigkeiten gefährdet.[1] Dazu zählen Anrufbeantworter (sogenannte "Baby-Watch-Funktion") genauso wie PCs mit Multimediaausstattung und ISDN-Karte. In bestimmten Szenarien ist das Abhören eines Raumes auch wie folgt möglich: Durch die Kombination TK-Anlage und Komfort-Endgerät kann eine Wechselsprechanlage realisiert werden, die auf dem Leistungsmerkmal „direktes Ansprechen“ mit der Option „Freisprechen“ beruht. Konferenzschaltung Eine der einfachsten Formen des Mithörens besteht im Missbrauch von Dienstmerkmalen. Die Dreierkonferenz[1] ist ein gutes Beispiel: Alice erhält einen Anruf, der eigentlich für ihren Zimmernachbarn Bob bestimmt war. Problemlos könnte sie den Anruf weiterleiten, stattdessen baut Sie heimlich eine Dreierkonferenz auf und hört mit. Hätte Bob ein Telefon mit Display, welches die aktuellen Leistungsmerkmale anzeigt, könnte er die „nicht abgesprochene“ Konferenz bemerken.     Zeugenschaltung (silent monitoring) Eine ähnliche Bedrohung geht von der eigentlich verbotenen Aktivierung von Dienstmerkmalen, wie z.B. der Zeugenschaltung (silent monitoring) aus. Dieses Merkmal ist in Deutschland nicht zugelassen. Allerdings werden deutsche Geräte, unter dem Mantel von Euro-ISDN, auch in anderen Ländern verkauft, die eine Zeugenschaltung zulassen oder fordern. China verlangt bei der Einfuhr eine Funktion zum warntonfreien Einschalten in Gespräche. Bei einigen Anlagen reicht es daher, als Standort China anzugeben, um die Funktion frei zu schalten.   Aufschaltung (seamless intrusion) Die Aufschaltung auf laufende Gespräche ist normalerweise nur ausgewählten Geräten gestattet (Vermittlung, Sekretärin, Chef). Hier soll ein Signalton unbemerktes Aufschalten verhindern. Ein professioneller Angreifer kann sich trotzdem mit entsprechenden Systemkenntnissen oder per physikalischem Zugang zur TK-Anlage die nötigen Rechte verschaffen, um Warnsignale abzustellen bzw. zu minimieren.

15 VoIP & Videolösungen (Sicherheit, TK-Anlage)
Abhören Mithören von Raumgesprächen Analog (Frequency Flooding) Digital Mithören von Telefongesprächen Konferenzschaltung Zeugenschaltung (Silent Monitoring) Aufschaltung (Seamless Intrusion) Analog Die folgende Technik kann bei jedem Telefontyp, der mit einem analogen Anschluss verbunden ist, eingesetzt werden. Besonders die heute veralteten Apparate, die mit einem Kohlenstoffmikrofon ausgestattet sind, konnten so abgehört werden. Ein aufgelegter Telefonhörer kann per „Frequency Flooding“ in ein Mikrofon umfunktioniert werden. Dabei wird von einem Tongenerator auf das Signal, das zwischen dem Zieltelefon und dem Amt bei inaktivem Zustand (aufgelegt) besteht, ein Hochfrequenzsignal aufmoduliert. Erreicht dieses Signal den angewählten Endpunkt, aktiviert sich dort das Mikrofon in der Sprechmuschel des Gerätes. Angenommen, es findet zu diesem Zeitpunkt ein Gespräch in dem Raum statt, wird durch den Schall das Mikrofon in Schwingung versetzt (Modulation). Das Signal, das vom Angreifer abgehört wird, ändert sich entsprechend. Um das Raumgespräch mitzuverfolgen, muss nur noch das abgehörte Leitungssignal leicht nachbearbeitet werden, indem der Sprachanteil vom Restsignal getrennt und verstärkt wird. Digital Insbesondere sind Endgeräte mit erweiterten Fähigkeiten gefährdet.[1] Dazu zählen Anrufbeantworter (sogenannte "Baby-Watch-Funktion") genauso wie PCs mit Multimediaausstattung und ISDN-Karte. In bestimmten Szenarien ist das Abhören eines Raumes auch wie folgt möglich: Durch die Kombination TK-Anlage und Komfort-Endgerät kann eine Wechselsprechanlage realisiert werden, die auf dem Leistungsmerkmal „direktes Ansprechen“ mit der Option „Freisprechen“ beruht. Konferenzschaltung Eine der einfachsten Formen des Mithörens besteht im Missbrauch von Dienstmerkmalen. Die Dreierkonferenz[1] ist ein gutes Beispiel: Alice erhält einen Anruf, der eigentlich für ihren Zimmernachbarn Bob bestimmt war. Problemlos könnte sie den Anruf weiterleiten, stattdessen baut Sie heimlich eine Dreierkonferenz auf und hört mit. Hätte Bob ein Telefon mit Display, welches die aktuellen Leistungsmerkmale anzeigt, könnte er die „nicht abgesprochene“ Konferenz bemerken.     Zeugenschaltung (silent monitoring) Eine ähnliche Bedrohung geht von der eigentlich verbotenen Aktivierung von Dienstmerkmalen, wie z.B. der Zeugenschaltung (silent monitoring) aus. Dieses Merkmal ist in Deutschland nicht zugelassen. Allerdings werden deutsche Geräte, unter dem Mantel von Euro-ISDN, auch in anderen Ländern verkauft, die eine Zeugenschaltung zulassen oder fordern. China verlangt bei der Einfuhr eine Funktion zum warntonfreien Einschalten in Gespräche. Bei einigen Anlagen reicht es daher, als Standort China anzugeben, um die Funktion frei zu schalten.   Aufschaltung (seamless intrusion) Die Aufschaltung auf laufende Gespräche ist normalerweise nur ausgewählten Geräten gestattet (Vermittlung, Sekretärin, Chef). Hier soll ein Signalton unbemerktes Aufschalten verhindern. Ein professioneller Angreifer kann sich trotzdem mit entsprechenden Systemkenntnissen oder per physikalischem Zugang zur TK-Anlage die nötigen Rechte verschaffen, um Warnsignale abzustellen bzw. zu minimieren.

16 Manipulationen am TK System
VoIP & Videolösungen (Sicherheit, TK-Anlage) Manipulationen am TK System Physikalischer Zugriff z. B. Geräte manipulieren Service Terminal z. B. über Internet Liste von Hersteller-Standardpasswörter. Nach Login freie Konfiguration Fernwartungszugang Oft ab Werk aktiviert und nur Einfachsicherung, Standard-Passwortliste im Internet Gebührenbetrug 1.1.1     Physikalischer Zugriff Im einfachsten Fall kann sich ein Angreifer als Techniker tarnen (oder gezielter Einbruch) und sich Zugang zu den gesicherten TK-Anlagen verschaffen. Dort ist es ein Leichtes folgende Eingriffe vorzunehmen, die eine vollständige Überwachung der Kommunikation erlauben: ·        Anschluss von Zusatzgeräten zum Abhören von Sprach- und Faxverkehr ·        Manipulation von bestehenden Geräten ·        Manipulation der Berechtigungen von Nebenstellen ·        Hinzufügen von beliebigen Nebenstellen (Telefonieren auf Kosten der Firma) Die Wahrscheinlichkeit, dass solche Änderungen entdeckt werden, ist bei digitalen TK-Anlagen äußerst gering. Fehlermeldungen werden erst an den zuständigen Techniker gesendet, wenn es zu internen Anlagenfehlern und damit zu Betriebsstörungen kommt. Serviceterminal Nicht nur Veränderungen an der ursprünglichen Hardwarekonfiguration der Anlage sind denkbar, sondern auch das unbefugte Einloggen am Serviceterminal. Das nötige Passwort in Erfahrung zu bringen ist kein besonderes Hindernis. Im Internet verfügbare Tabellen, die herstellerspezifische Standard-Passwörter auflisten, sind dem Angreifer dabei eine weitere Hilfe. Es soll sogar Anlagen geben, deren Hersteller feste Passwörter vorgeben, die nicht vom Endkunden geändert werden können. Besteht eine Änderungsmöglichkeit, wird häufig aus Bequemlichkeit das Werkspasswort beibehalten. Die Chancen, dass ein Standard Passwort funktioniert, sind daher relativ hoch. Nach einem erfolgreichen Login besitzt ein Angreifer die Kontrolle über die Anlage. Er kann nun Änderungen an der Softwarekonfiguration vornehmen. Einige Beispiele: ·        Einrichtung von zusätzlichen Rufnummern / Benutzerkonten ·        Auslesen der Gebühren- und Verbindungsdaten ·        Manipulation von Dienstmerkmalen (Freisprechen, Zeugenschaltung) ·        Abschalten der Anlage / Herbeiführung eines Absturzes ·        Passwortänderungen (z.B. für Fernwartungszugang) Mit der Erstellung von weiteren Nebenstellenrufnummern ist es möglich, auf Kosten des angegriffenen Unternehmens zu telefonieren. Für jede zusätzliche Rufnummer muss lediglich eine Anrufweiterleitung programmiert werden, die den von extern anrufenden Angreifer mit seinem „gewünschten“ Gesprächspartner verbindet. 1.1.1     Fernwartungszugang Ein Remotezugang ist für die Wartung einer TK-Anlage durch den Hersteller oder das firmeneigene TK-Serviceteam gedacht. Softwareupdates oder andere notwendige Änderungen an der Konfiguration können damit sehr einfach und zeitsparend durchgeführt werden. Die Einwahl erfolgt über eine festgelegte Nebenstelle. Diese Nummer ist entweder durch ein Passwort oder durch einen automatischen Call-Back Mechanismus (ACB) gesichert, der den autorisierten Techniker mit der voreingestellten, vertrauenswürdigen Telefonnummer zurückruft. Der Zugang ist oft schon ab Werk aktiviert und oft nicht ausreichend gesichert. Gebührenbetrug Telefonieren auf Kosten einer Firma wird möglich durch, wie oben zum Teil schon beschrieben, gezielten Missbrauch von TK-Leistungsmerkmalen. Besonders geeignet für diese Betrugsart sind Rufumleitungen oder Dial-In-Optionen. Gefährlich sind auch Berechtigungen, die es ermöglichen, eine von außerhalb gewählte Firmennummer so zu belegen, dass sie eine abgehende Amtsleitung für den Anrufer zur Verfügung stellt, deren Kosten vom Anlagenbetreiber übernommen werden.

17 Weitere Angriffe an TK Anlagen
VoIP & Videolösungen (Sicherheit, TK-Anlage) Weitere Angriffe an TK Anlagen Verlust der Verfügbarkeit z. B. DoS via Massenanruf, Aktivierung Prüfschleife, etc. Zugriff auf Signalisierungs- und Accounting Daten (Communication Profiling)   Verlust der Verfügbarkeit An die Verfügbarkeit einer Telekommunikationsanlage werden hohe Anforderungen gestellt. Ein Ausfall, hervorgerufen durch einen Angriff, hat den Verlust der gesamten Sprach- und Faxkommunikation zur Folge. Arbeitnehmer sind weder telefonisch erreichbar, noch sind sie in der Lage Gesprächsverbindungen nach außen aufzubauen. Beispiel Zur Störungssuche haben Netzbetreiber die Möglichkeit, mit sogenannten Prüfschleifen ISDN-Netzkomponenten[1] zu überprüfen. Die Geräte senden dabei alle empfangenen Testdaten an den Absender (Techniker des Netzbetreibers) zurück. Damit sind Rückschlüsse auf Hardware- oder Netzprobleme möglich. Besitzt ein Angreifer Zugriff auf diesen Mechanismus, kann er durch eine Prüfschleife den Anschluss seines Opfers lahm legen. Eine Kommunikation ist bis zur Deaktivierung der Testprozedur nicht möglich. Weitere Beispiele, die zum Verlust der Verfügbarkeit führen: ·        Mutwillige Simulation von Telefonanrufen führt zur Überlastung der Anlage (z.B. per Software) ·        Durchtrennung von Telefonkabeln ·        Höhere Gewalt: Feuer, Naturkatastrophen Produktion und Vertrieb einer Firma sind dabei besonders gefährdet. Ein hoher finanzieller Schaden und Verlust von Kunden ist nicht auszuschließen.

18 VoIP & Videolösungen (Sicherheit, IP-Telefon)
Sicherheit bei VoIP Andere Anforderungen bzgl. Sicherheit im Vgl. zur TK-Anlage Physikalische Sicherheit Zugriff auf die Telefone Sicherung der Netzwerkkomponenten Zugriff auf Switches, Router Netzwerk Design (VLANs etc.) Abtrennung der Netzbereiche, Layer 3 und Layer 2 Zugriffsschutz (Firewall,NAT !Achtung!  Latenz) Verschlüsselung der Übertragung (VPN Tunnel  Latenz) IT departments consider Internet firewalls to be a required piece of the network security infrastructure. Since the purpose of this paper is IP Telephony security, not Internet security, it is assumed that an Internet security policy and architecture has already been established using secure network design principles such as SAFE. Sound security policies dictate that external partner connections require additional firewall measures.

19 VoIP und Videolösungen (Mehrwertdienste)
! ! ! ! Video over IP, Integration von Anwendungen

20 Standard basierendes H.323 System
VoIP & Videolösungen (Erweiterungen, Video) Cisco CallManager Software bietet Enterprise Telefonie Leistungsmerkmale und Management für IP Telefone und Video Conferencing Endgeräte Cisco Call Manager 4.0 (4.1) Standard basierendes H.323 System Professional Cisco already has the widest variety of endpoints in its IP Telephony solution, now by adding the Video Link Camera to existing Telephones this provides an even wider range of products and features. In addition Tandberg T1000 & T550 will from CM4 launch be able to use an SCCP software load to enable them to act like a telephony endpoint from call manager, giving all the features you would expect from a phone, like call hold, park, transfer and conference. With the added benefit of video. In addition CM4 will be able to register existing H323 video systems, although these devices will not have the telephony features available, however these features are required more for the small group and desktop systems and less so for room systems. System für Kleine Gruppen Farbe Business Executive Desktop Wireless Telefon und PC

21 Video Telefonie Komponenten
H.263 (Video Codec) kompatibel Zusammenarbeit mit H.323 Standard 7940, u Telefone IP Telefone mit PC Video emuliert 7960 Telefon (incl. Softkeys, Directory, XML Dienste) Video Endgeräte (SCCP) H.323 Endgeräte verfügbar durch Tandberg und weitere Partner Start with the end user devices, combine it with the infrastructure and then applications, bringing you the complete solution, this is the vision. The End User devices include video phones, soft video phones for remote workers, desktop environments that incorporate existing phones and desktop computers. Additionally, the existing H.323 endpoints that our customers own will become a part of the video telephony environment. CallManager is at the center of the infrastructure. It works in conjunction just like today. CallManager provides a single dial plan for all endpoints, no more video dial plan and voice dial plan it is now one single plan integrated. The applications are similar to those we use today: unity, conferencing, and scheduling for your audio and video resources will be available in the future. This set of capabilities here can not be matched in the industry. Cisco is uniquely positioned to offer this IP Video Telephony and distance ourselves from the rest of the competition. CallManager 4.0 ein Rufnummerplan und Anruf Kontrolle Management der Video Resourcen Integration mit CCM über SCCP ermöglicht Ad-Hoc Konferencen für Video Geräte konfigurierbar als H.323, SCCP, oder H.323/SCCP IP/VC MCU

22 Cisco VT Advantage (Q2 /2004) - Features & Benefits
Bekannte Telefonoberfläche für Sprach- und Videoanrufe Inkl. Cisco VT Kamera High-quality Videobilder Vermeidet 3.Hersteller Web Cam Support Probleme Vereinfachte Installation Flexibel, einfach konfigurierbar: View Only Mode Video Check Video Prompt Option Mute Video und Audio Mute Option Video Signal Indicators Connectivity Indicator PC Monitor: Lokale & Remote Ansicht

23 Erfahrungen, Erweiterungen, Zukunft …
Sehr gute Erfahrung mit CCM Gute Sprachqualität, hohe Stabilität (Server & Phone) Zukünftig auch SIP (neben Skinny) Viele Codecs für Homeanbindung nicht geeignet (DSL, Latenzen etc.) Häufig Probleme bei der Anbindung an TK-Anlage (QSig) Migration zum CCM 4.1 Aufbau eines redundanten Systems (VMWARE) Erfahrungsaustausch RRZN (Hannover) Anbindung des Gatekeepers zum DFN Wunsch: Besser Integration in Verzeichnisstrukturen (LDAP, ADS)

24 ? … Fragen Vielen Dank! und Diskussionen! C O C S I M E Y S S T S C O
POWER UPPER CISCO S YSTEMS LOWER POWER NORMAL und Diskussionen! Vortrag ist unter: … … zu finden


Herunterladen ppt "VoIP- und Videolösungen bei der GWDG"

Ähnliche Präsentationen


Google-Anzeigen