Aufbau einer unternehmensweiten, kostengünstigen und abhörsicheren VoIP-Telefonie mit innovaphone-Telefonanlagen und innovaphone-Reverse-Proxy

[vc_row][vc_column width=”1/3″][vc_single_image images=”6319″ size=”large” align=”left”][vc_empty_space][vc_column_text]

Uwe Lackmann

Solution Engineer

Auszeichnung
Qualifikation

[/vc_column_text][/vc_column][vc_column width=”2/3″][vc_column_text]

Situation:

Die fortschreitende Flexibilisierung von Arbeitsplatz und Arbeitszeit stellt erhöhte Anforderungen an die bestehende Telekommunikationsstruktur von Unternehmen. Besonders Mitarbeiter im Außendienst benötigen eine flexible Anbindung ihrer Smartphones, Tablets und Notebooks an die firmeneigene Telefonanlage. Zum einen, um auch außerhalb der Firma für ihre Geschäftspartner unter der Festnetznummer der Firma erreichbar zu sein, zum anderen, um über ihre Firmennummer den Gesprächspartner anzurufen. Dabei sollten die Gespräche über alle verfügbaren Datennetze wie UMTS, LTE und WiFi-Netze geführt werden können.  Da diese drahtlosen Netze von Hause aus anfälliger sind in Bezug auf den Zugriff von Dritten als drahtgebundene Netze wie zum Beispiel ISDN, muss die Kommunikation besonders geschützt sein, um Abhörsicherheit zu gewährleisten.


Szenario:


Das VoIP-Datennetz innerhalb des Unternehmensstandortes besteht meist aus einem geschützten internen Netzwerk, welches in Richtung des öffentlichen Internet durch eine Standortfirewall geschützt ist. Bei mehreren Standorten geschieht die Kopplung meist durch einen VPN-Tunnel zwischen den beteiligten Firewalls als Endpunkte.


Benötigte Infrastruktur:

Zusätzlich zur bereits bestehenden VoIP-Infrastruktur an einem oder mehreren angebundenen Standorten benötigt man einen VoIP-Proxy an einem der Standorte. Dies ist meist der Hauptsitz des Unternehmens. innovaphone bietet mit dem Reverse-Proxy ein optimal zu den VoiP-Telefonanlagen von innovaphone abgestimmtes Gerät an. Gleiches gilt für die Clients myPBX für Windows, Android und Apple iOS. Aus Sicherheitsgründen wird dabei der Proxy in eine eigene Zone der Firewall gestellt.


Funktionsweise:

Die Kommunikation der externen Clients mit der Telefonanlage findet grundsätzlich über den Reverse-Proxy statt. Der Client sendet dabei sowohl die Registrierung als auch die Informationen zum Verbindungsaufbau und die Gesprächsdatenpakete in verschlüsselter Form zum Reverse-Proxy. Dieser leitet die Daten dann an das entsprechende Endgerät weiter. Weil alle Geräte (PBX, innovaphone Telefone und innovaphone Clients über spezielle Techniken (ICE-, STUN und TURN-Funktionalitäten) verfügen, wird, wie sonst üblich, kein Provider im öffentlichen Netz gebraucht, welcher einzelne verschlüsselte Verbindungen zu den Endgeräten aufbaut. Die verschlüsselten Verbindungen werden direkt aufgebaut, es entfällt der berühmte „Man In The Middle“.

Diese Verfahren funktionieren in den allermeisten Wifi-Netzen. Egal, ob Gast-Netzwerke in Firmen, Hotels, Restaurants oder an öffentlichen Hotspots. Auch über Datennetze, bei denen der Provider das sogenannte Carrier-Grade-NAT einsetzt, wie teilweise Mobilfunkprovider und Internetprovider mit VoIP-Anschlüssen (All-IP).

Leider bleiben aber Gespräche beim Übergang auf herkömmliche analoge oder ISDN-Festnetzleitungen weiterhin unverschlüsselt auf ihrem Streckenabschnitt. Diese sind aber aufgrund der dedizierten Einzelleitungen vom Teilnehmer bis zur Vermittlungsstelle weniger angreifbar. Auch beim Übergang zu SIP-Providern sind diese Teilstrecken meist unverschlüsselt, weil viele Provider noch keine Verschlüsselungsmechanismen unterstützen.


Vorteile des neuen Szenarios:

  • Verbindungsaufbau (Rufnummern der Teilnehmer) werden verschlüsselt übertragen
  • Gesprächskanäle sind verschlüsselt
  • keine Entschlüsselung auf der Verbindungsstrecke notwendig („Man In The Middle“)
  • meistens sind kostengünstigere Telekommunikationsverbindungen möglich
  • flexible, auch gleichzeitige Nutzung verschiedener Endgeräte ist möglich
  • Funktionsweise ist unabhängig von der Art der IP-Verbindung und deren Verbindungsweg
  • geringer Kostenaufwand für den Reverse-Proxy, egal, ob als Hardwareappliance oder als virtuelle Maschine
  • Es sind keine zusätzlichen innovaphone-Softwarelizenzen erforderlich

[/vc_column_text][/vc_column][/vc_row]