Wir müssen sicherstellen, dass wir bei einer Ausschreibung oder einer Entscheidung für ein bestimmtes SIP-Trunk-Angebot die richtigen Fragen stellen.
Die Frage nach dem Session-Border-Controller (SBC) oder der Firewall finden viele IT-Manager ärgerlich und unnütz. Warum? In erster Linie geht es darum, dass eine neue Kommunikationstechnik dazu da ist, die Kommunikation besser, schneller, preiswerter und einfacher zu machen?
Der Übergang von den klassischen ISDN-Telefondiensten zum allgegegnwärtigen Internet-Protocol (IP) und die Umsetzung der Session-Initiation-Protocol-Funktionen war für viele Unternehmen nicht einfach. Eine der Ursachen war die Abneigung gegenüber Veränderungen. „Warum soll man etwas ändern, wenn es funktioniert?“ Eine Umstellung der zentralen Telefonressourcen auf gehostete Lösungen oder gar cloudbasierte Lösungen kam für viele Unternehmen nicht in Frage. Die IP- bzw. VoIP-Technologie wurde oft als Teufelszeug abgelehnt. „Warum sollen wir die Telefonie verändern? SIP kann viel weniger als VoIP und bietet noch nicht einmal die gleichen Leistungsmerkmale!“ Natürlich wurden bei der Umsetzung oftmals viele Fehler gemacht. Diese umfassen schlechte Implementierungen, falsche Konfigurationen und häufig auch unrealistische Erwartungen.
Ob Firewalls in der Lage sind, richtig mit den SIP-Funktionen umzugehen oder nicht, entbindet die Provider jedoch nicht von deren Verantwortung. Man muss sich darüber bewusst sein, dass immer eine Sicherheitslücke im System entsteht, wenn eine neue Technologie implementiert wird. Im Fall der SIP-Technik muss der Kunde diese Lücke durch eine Investition in neue oder zusätzliche Sicherheitsinfrastrukturen beseitigen. Diese zusätzlichen Kosten verschrecken jedoch einige Kunden.
Welcher Anbieter schreibt heute bereits seinen Kunden vor, dass diese entweder einen Session-Border-Controller (SBC) oder eine SIP/UC-fähige Firewall für ihre VoIP- oder UC-Lösung nutzen müssen? Wenige Service-Provider geben solche Sicherheitsmaßnahmen vor. Die meisten Provider nehmen (meist aus verkaufstaktischen Gründen) einen gewissen Unsicherheitsfaktor in Kauf. Forscht man bei einigen Service-Providern nach, dann gehen etwa die Hälfte aller SIP-Probleme auf mangelnde Eindeutigkeiten der Dienste und der zu erbringenden Leistungen zurück..
Die Service-Provider sind klar im Vorteil und nutzen diesen auch aus. Bei Beschwerden der Kunden spielen die Service-Provider den Ball immer wieder zurück und verweisen (ähnlich den früheren Telekommunikationsmonopolisten) auf die Mängel beim Kunden hin. Die ursächlichen Probleme werden nicht beseitigt und der Kunde wird oft allein gelassen.
Ich bin jedoch der Meinung, dass es an der Zeit ist, hier etwas grundlegend zu verändern. Die Provider-Branche kann nicht in vergangenen (und überholten) Verhaltensweisen stecken bleiben. Die Provider müssen ihre Services kontinuierlich weiter verbessern, da die Telekommunikationsvergangenheit durch die Konvergenz der Dienste bereits ersetzt wurde. Kommunikationsinseln oder abgeschlossene Kommunikationssilos werden im Zeitalter von Software-Defined Networking (SDN) und Network-Function-Virtualization (NFV) keine Zukunft mehr haben.
In einer seiner Unterlagen beschreibt ein Firewall-Anbieter die anstehenden Problemlösungen wie folgt: Die Hersteller bieten Session-Border-Controller (SBCs) an, um die Hürden, die durch die Komplexität von VoIP und NAT entstanden sind, zu überwinden. Ein #SBC arbeitet auf der Seite des Internets einer Firewall und grenzt das VoIP-Netzwerk nach Außen ab. Der SBC agiert dabei als Proxy für den VoIP-Verkehr für alle im Netz integrierten Nicht-VoIP-fähigen Firewalls. Einige Netzwerk-Security-Appliances sind daher VoIP-fähige Firewalls, die die Notwendigkeit einer SBC-Installation in einem Netzwerk eliminieren.
Wenn es darum geht, eine #Firewall zu nutzen, die SIP-Trunks unterstützt, muss in der Regel viel Aufwand darauf verwendet werden, das Gerät und die darüber abgewickelten Services ordnungsgemäß zu konfigurieren. Meine Absicht ist nicht, die SIP-Technologien im Detail zu diskutieren, sondern ich möchte viel mehr auf die Managementprobleme aufmerksam machen, auf die sich Unternehmen konzentrieren sollten, um schnellstmöglich die anstehenden Herausforderungen anzugehen.
An diesem Punkt kommen die Erwartungen in die Diskussion, denn viele Unternehmen gehen davon aus, dass nach der ersten IP/SIP-Implementierung keine weiteren Kosten bzw. Investitionen anfallen. Die Service-Provider stellen diese ihren Kunden mit der Phrase „Oh, übrigens….“ vor und der Kunden übersetzt dies mit „Ich hatte keine Ahnung… das wusste ich nicht…..“
Sind Firewalls in der Lage die SIP- und UC-Funktionen zu unterstützen? Der erste Schlüsselbereich, den man sich bei dieser Fragestellung ansehen muss, ist der zu übermittelnde Verkehr… und hier besonders das Verkehrsvolumen und die Arten der Anwendungen. Verfügt die Firewall über genügend Rechenleistung, um den gesamten Verkehr zu bewältigen. Fügt das Gerät auch unter Höchstlast keine Verzögerungen hinzu? Lässt sich das Gerät in die bereits vorhandenen Infrastrukturelemente integrieren oder sind hierfür Anpassungen notwendig? Wie viel kostet die Beschaffung (und der Betrieb) eines parallel zu den vorhandenen Firewalls betriebenen SBCs bzw. was kostet die Beschaffung (und der Betrieb) einer #SIP/UC-fähigen Firewall? Ist die SIP/UC-fähige Firewall überhaupt in der Lage, alle Sicherheitsbedürfnisse zu erfüllen?
