Sicherheitslösungen für SIP, Teil 2

Universal-Firewalls

Für eine normale Firewall ist SIP ein schwer zu handhabendes Protokoll, denn es enthält beispielsweise eingebettete IP-Adressen. Da die meisten Firewalls auch gleichzeitig NAT implementieren, benötigen sie ein zusätzliches SIP-Modul, das die eingebetteten IP-Adressen ausliest und übersetzt. Dies erfordert jedoch aus zwei Gründen mehr als nur einen einfachen SIP-Proxy:

1.) Obwohl SIP einen so genannten Well Known Port registriert hat (5060 TCP und UDP), erlaubt die Spezifikation die Benutzung beliebiger Ports. Ein SIP-Server wird zwar höchstwahrscheinlich den registrierten Port benutzen, ein Client kann aber den Port frei wählen, über den er Antworten empfangen will. Dieser Port wird über das Feld VIA im SIP-Header mitgeteilt. Eine Firewall muss also zusätzlich in der Lage sein, den Port auszulesen und per Port Address Translation (PAT) zu übersetzen.

2.) In den meisten Anwendungen ist SIP lediglich für Aufbau und Beendigung des Anrufs zuständig. Ein anderes Protokoll wie beispielsweise RTP übernimmt die Übertragung der eigentlichen Kommunikationsdaten. Es gibt zwar auch für RTP einen Well Known Port, aber RTP-Sitzungen können einen beliebigen Port verwenden. Dies ist auch regelmäßig der Fall. Ports und IP-Adressen werden mittels SDP (Session Description Protocol) im „SIP INVITE“-Header (Aufbau des Anrufs) verhandelt.

Also muss die Firewall neben NAT und PAT für SIP auch noch NAT und PAT für SDP und RTP zur Verfügung stellen. Die meisten Produkte können dies nicht.