Skype

3.3799869195557 (1529)
Geschrieben von c3po 06/04/2009 @ 06:14

Tags : skype, voip, telekommunikation, high-tech

Neueste Nachrichten
Vielleicht fällt bald das VoIP-Verbot fürs iPhone - teltarif.de
Front gegen das VoIP-Verbot in deutschen Mobilfunknetzen macht vor allem der Provider Skype, aber auch andere Tk-Unternehmen und Verbraucherschützer kritisieren T-Mobile und Vodafone für ihr Verhalten. Für Zündstoff sorgt auch das demnächst in den...
Streit um Skype-Handys: Nokia ärgert Vodafone und T-Mobile mit N97 - STERN.DE
Die neuen Nokia-Handys sorgen nun für Unruhe bei Vodafone und T-Mobile, denn Sie haben Skype an Bord. Nun suchen die Netzbetreiber nach Lösungen - ohne Nokia zu vergraulen. Vodafone und T-Mobile, die beiden größten Mobilfunkprovider in Deutschland,...
Skype am Handy lohnt nicht - Wiener Zeitung
Österreichische Mobilfunkbetreiber sehen die deutsche Kontroverse um Gratis-Telefonieren auf dem Handy mit der Software Skype gelassen. "Alle unsere Tarife sind Flat Rates mit Inklusivminuten, die der Kunde mitkauft: Ohne Inklusivminuten kein...
Wär ich nur bei 1&1 geblieben! - teltarif.de
Skype ist von der Qualität in meinem Fall um einiges schlechter! Sipgate-Rufnummer habe ich ebenfalls in meiner Box konfiguriert und auch hier ist die Qualität hervorragend. Es scheint also tatsächlich eine Frage der Hardware zu sein, sofern man wie...
eBay: Skype ist mehr als 2 Milliarden Dollar wert - testticker.de
Für 2,6 Milliarden Dollar kaufte eBay Skype 2005, musste anschließend aber massive Abschreibungen auf den Firmenwert vornehmen. Der VoIP-Dienst konnte zwar bei den Nutzerzahlen kräftig zulegen, blieb jedoch hinter den finanziellen Erwartungen zurück....
Skype bei T-Mobile: VoIP doch auf dem iPhone? - Software News
Diese Frage stellt sich noch immer im Streit zwischen T-Mobile und VoIP-Software-Anbieter Skype. Wie bereits berichtet, wurden zu diesem Thema einige Diskussionen laut - nun soll sich die Telekom-Tochter dazu entschlossen haben, Software für...
Skype stellt ein Sicherheits-Risiko dar - PC-Welt
von Peter Gruber Skype kann Hackern Tür und Tor öffnen, Unternehmen sollten in sensiblen Bereichen auf diese Art von VoIP verzichten - das rät der Sicherheitsexperte underground_8. Voipen ist "in", Software wie Skype ist auch in Unternehmen auf dem...
Provider wehren sich gegen vorinstallierte Skype-Anwendung auf ... - maclife.de
Seit Skype als iPhone-App erhältlich ist, wird die Nutzung des VoIP-Dienstes via Mobilfunktnetz von Medien, Anwendern und Providern heiß diskutiert. Während mit dem iPhone-Skype aber im WLAN telefoniert und in den 3G-Netzen immerhin noch gechattet...
AT&T verbietet TV-Streaming über Mobilfunknetz - ZDNet.de
In Deutschland klagen vor allem der Internet-Telefonie-Spezialist Skype und dessen Kunden über Einschränkungen des Betriebs durch deutsche Mobilfunkprovider. Der Skype-Client für das iPhone läuft deshalb wie Slingbox nur, wenn eine WLAN-Verbindung...
MOBILE TELEFONIE Mobilfunkbetreiber wehren sich gegen Skype - DCRS ONLINE
Besonders Skype – bekannter Nachrichtendienst aus dem Internet – gilt als Schrecken einer ganzen Branche. Sind dessen Funktionen der Internet-Telefonie doch zu einem Bruchteil des Preises nutzbar, der für eine herkömmliche Gesprächsminute via Handy...

Skype

Logo

Skype ist eine unentgeltlich erhältliche VoIP-Software mit Instant Messaging-Funktion, Dateiübertragung und Videotelefonie, die ein proprietäres Protokoll verwendet.

Sie ermöglicht das kostenlose Telefonieren zwischen Skype-Kunden via Internet sowie das gebührenpflichtige Telefonieren ins Festnetz und zu Mobiltelefonen (SkypeOut). Internettelefonate mit Kunden anderer Anbieter sind nicht möglich. Der ebenfalls gebührenpflichtige Dienst SkypeIn ermöglicht es, auch Anrufe aus dem herkömmlichen Telefonnetz entgegenzunehmen. In der aktuellen Windows-Version sind Konferenzschaltungen mit bis zu 25 Gesprächsteilnehmern möglich.

Die Software arbeitet hinter den meisten Firewalls und NAT-Routern problemlos, da für die Kommunikation unter anderem eine Variante des STUN-Protokolls zur Verbindung verwendet wird. Darüber hinaus kann Skype die TCP-Ports 80 und 443 zum Verbindungsaufbau verwenden, welche normalerweise für das Surfen im World Wide Web Verwendung finden und deshalb in fast allen Fällen freigeschaltet sind.

Die Sprachqualität von Skype ist aufgrund der Verwendung neuer Codecs (Kompressionsalgorithmen) größtenteils besser als bei herkömmlichen Telefongesprächen. Verwendet werden derzeit SVOPC (16 kHz), AMR-WB (16 kHz), G.729 (8 kHz), G.711, früher auch ISAC und ILBC.

Skype arbeitet dabei mit jeder Standard-Headset- oder Mikrofon-Lautsprecher-Konfiguration – es wird das im Betriebssystem eingebundene Gerät erkannt.

Bei Verbindungen von PC zu PC sorgt laut Skype die Verschlüsselung mit AES-256 für die Privatsphäre, die Schlüssel würden mit 1.536 bis 2.048 Bit RSA übertragen. Da es sich aber um ein Closed-Source-Programm handelt, können diese Angaben nicht von jedermann überprüft werden. Sie sind jedoch durch eine von Skype beauftragte Security Evaluation des renommierten Kryptologieexperten Tom Berson am 18. Oktober 2005 bestätigt worden. Kritik äußerte dagegen der Entwickler von PGP, Phil Zimmermann, im Zusammenhang zu Plänen für eine eigene VoIP-Software, Zfone.

Da Skypes VoIP-Protokoll proprietär ist, kann es nur mit der originalen Skype-Software genutzt werden. Über das Skype-API ist es auch für externe Programme möglich, auf die Funktionalitäten des Skype-Clients und Teile des Netzwerkes zuzugreifen. Dies wird u. a. vom SAM-Anrufbeantworter genutzt. Neben dem Telefonieren ist der Haupteinsatz von Skype das Instant Messaging, wobei auch Chats mit mehreren Teilnehmern möglich sind, sowie das Übertragen von Dateien. Weiterhin existieren z. B. Skype-Plug-ins für Miranda IM und Trillian, welche die gemeinsame Nutzung von Skype mit anderen Protokollen in einem einzigen Instant Messenger ermöglichen. Hierbei muss allerdings das Skype-Hauptprogramm im Hintergrund laufen, da die Kommunikationsprotokolle nicht bekannt sind.

Die Struktur von Skype ist im Rahmen des P2P-Netzes (FastTrack) teilweise dezentral, beispielsweise das Telefonbuch. Die Authentifizierung und das Abrechnen hingegen erfolgen über einen zentralen Rechner. Ebenso werden Verbindungen von PC zu PC teilweise über andere Skype-Teilnehmer („Super-Nodes“) weitergeleitet, während die Gespräche ins Festnetz über speziell dafür vorgesehene Rechner abgewickelt werden. Bei Telefongesprächen in das Fest- oder Mobilfunknetz besteht nicht die Möglichkeit, die SIP-Dienste anderer Provider zu nutzen. Dies ist nur über die SkypeOut-Funktion möglich.

Skype kann auch von einem Wechseldatenträger, wie beispielsweise einem USB-Stick, betrieben werden.

Im September 2005 kaufte eBay Skype für bis zu 3,3 Milliarden US-Dollar, davon wurden 2,6 Milliarden US-Dollar sofort gezahlt, der Rest als Aktien, verteilt auf die Jahre 2008 und 2009. Für die weiteren Zahlungen müssen allerdings bestimmte finanzielle Ziele erreicht werden.

Am 18. April 2008 gab eBay bekannt, dass man über den Verkauf von Skype nachdenke.

Skype verfolgte bis einschließlich Ende 2007 eine Versionierungs-Politik in kleinen Schritten mit vielen Versionen, meist erschien alle zwei Wochen donnerstags eine neue Version. Seit Ende 2007 jedoch scheint eine neue Strategie mit viel längeren Zyklen verfolgt zu werden.

Die erste Version in der 0.9er Reihe erschien am 29. August 2003 und wurde ca. 1 Jahr als öffentliche Beta-Version weiterentwickelt, bis am 27. Juli 2004 die Final Version 1.0 freigegeben wurde, welche neben den Basisfunktionen auch schon den kostenpflichtigen Dienst SkypeOut nutzen konnte.

Seit Version 1.2 (23. März 2005) bietet Skype auch einen Anrufbeantworter (Voicemail) (seit Version 1.3 kann man als Nutzer des Skype-Anrufbeantworters jedem anderen Nutzer eine Nachricht auf dem Anrufbeantworter hinterlassen, auch wenn dieser selbst keinen Skype-Anrufbeantworter nutzt) sowie den Dienst SkypeIn kostenpflichtig an. Bei SkypeIn wird dem Nutzer eine Festnetznummer zugeteilt, über die er via Skype erreichbar ist.

Seit Version 1.4 (28. September 2005) ist die Funktion „Anrufweiterleitung“ implementiert, die es erlaubt, via Skype eingehende Gespräche an andere Skype-Benutzerkonten oder ins normale Festnetz weiterzuleiten.

Mit der Version 2.0 (5. Januar 2006) wurde eine Funktion zur Videotelefonie in die Anwendung integriert. Die maximale Auflösung beträgt 640×480 Pixel bei 25 Bildern pro Sekunde, sofern ein Rechner mit zwei Prozessorkernen („Dual Core“) in Verbindung mit einer geeigneten Webcam eines bestimmten Herstellers verwendet wird. Bei Windows NT wird DirectX 9.0 für Videoanrufe benötigt.

Version 2.5 (3. Mai 2006) führt u. a. Skypecasts (eine Art VoIP-Diskussionsgruppe), SMS, eine Integration der Outlook-Kontakte und neue Bezahlmöglichkeiten (direkte Bezahlung von SkypeOut aus der Software heraus) ein. Skypecast wurde wieder stillgelegt. Näheres s.u.

Seit der Beta-Version 3.0.0.106 (8. November 2006) werden unter anderem öffentliche Chats unterstützt, mit deren Hilfe jeder Nutzer einen öffentlichen Chatraum erstellen kann, welcher jedoch weiterhin per P2P funktioniert. Außerdem wurde ein Add-on-Manager in die Software integriert, wodurch nun nicht mehr jedes Add-on extra installiert zu werden braucht.

Die Version 3.5 (13. Juni 2007) erlaubt nachträgliche Korrekturen von bereits abgesandten Chat-Nachrichten.

Die am 15. November 2007 für Windows veröffentlichte Version 3.6 bietet die Möglichkeit, eine höhere Video-Qualität (VGA-Auflösung mit 640×480 Pixeln bei 30 Bildern pro Sekunde) zu erreichen. Dies wird derzeit ausschließlich Nutzern von Mehrkernprozessor-Computern und der Logitech-Webcam-Generation mit der Funktion High Quality Video ermöglicht.

Die Version 4.0, erschienen am 3. Februar 2009, hat insbesondere einige Bugfixes, eine überarbeitete Benutzeroberfläche und ein deutlich größeres Videofenster als dessen Vorgänger. Ein neu integrierter Bandbreiten-Manager soll für fehlerfreiere Übertragungen sorgen.

Version 1.0 (18. März 2005) führte Unterstützung für SkypeIn und den Anrufbeantworter ein. Seit der Version 2.0.0.63 wird auch Videotelefonie unterstützt.

Seit 2005 wird auch Mac OS X unterstützt. Die aktuelle Skype-Version setzt mindestens OS X 10.3.9 „Panther“ und einen G4-Prozessor mit 800 MHz voraus.

Skype ist für Microsoft Windows, Mac OS X, Linux und Pocket PC verfügbar. Für Windows ist es offiziell erst ab Windows 2000 verfügbar, die Nutzung unter Windows ME und Windows 98 SE ist jedoch möglich.

Laut Anzeige im Client sind inzwischen mehr als 16 Millionen Benutzer „online“, d. h. über Skype erreichbar (Tagesspitzenwert). Laut der offiziellen Skype-Internetseite wurden bereits etwa 26 Milliarden Minuten vermittelt (Stand: 26. März 2006) und die verschiedenen Versionen über 734 Millionen mal heruntergeladen (Stand: 6. November 2007). Das bedeutet, dass im Durchschnitt mehr als 20.000 Gespräche gleichzeitig über Skype abgewickelt werden.

Verschiedene Hersteller vertreiben Hardwareprodukte, die für VoIP-Einsatz mit Skype entwickelt wurden. Dabei handelt es sich zumeist um Schnurlostelefone, deren Basisstation zum einen an das analoge Telefonnetz (PSTN) angeschlossen werden, zum anderen aber auch eine Schnittstelle (in der Regel USB) zur Verbindung mit einem PC bereitstellen. Vom Mobilteil aus können Gespräche in beiden Netzen geführt werden. Eine Stand-Alone-Nutzung, die eine Vermittlung von Gesprächen ins Skype-Netz ermöglicht, ohne dass ein zusätzlicher Rechner mit laufender Skype-Applikation angeschlossen sein muss, ist auch möglich.

Für das kabellose und rechnerfreie Telefonieren werden seit Herbst 2006 von Skype Technologies lizenzierte Mobiltelefon-ähnliche Endgeräte unter der Bezeichnung „Wi-Fi Phone“ angeboten, in denen Skype-Software integriert ist und die sich unmittelbar an WLANs anmelden können. Während freie und passwortgeschützte offene Funknetze wie Hot Spots oder private Netze genutzt werden können, können solche Netze, für deren Zugang eine Anmeldung in einem Browserformular nötig ist (wie z. B. viele Universitätsfunknetzwerke), mit Wi-Fi-Telefonen nicht genutzt werden. Das vom Telefon abgefragte Passwort bezieht sich nur auf die eventuell vorhandene WEP/WPA-Verschlüsselung.

Anfang 2006 schlossen sich 15 große Mobilfunkanbieter aus Europa und Asien zusammen, um gemeinsam gegen „Instant-Messaging Services“ wie Skype in Mobilfunknetzen vorzugehen und einen eigenen Instant-Messaging Service auf Basis des IMPS zu erstellen. Umgekehrt versuchte Skype in den USA seit einiger Zeit die Mobilfunknetzbetreiber daran zu hindern, die Nutzung von Skype auf dem Handy zu blockieren.

Am 24. April 2008 hat Skype die Unterstützung von ca. 50 java-fähigen Mobiltelefonen bekanntgegeben. Außerdem wird Skype auf der PlayStation Portable unterstützt, allerdings ist dafür ein Mikrofon notwendig. Bereits seit 2006 ist die Skype-Software in abgewandelter Form (sogenannter Client) für Smartphones mit Windows Mobile verfügbar.

Bei der Entwicklung von Skype-Software für Mobiltelefone arbeitet Skype mit der Firma iSkoot zusammen, welche seit Mitte 2006 für Geräte verschiedener Hersteller einen von Skype lizenzierten Client für Symbian oder Java herstellt. Dabei erfolgt die Verbindung im Mobilfunknetz als normaler Sprachanruf, und erst durch einen Proxy in der Vermittlungsstelle des Mobilfunknetzes wird die Verbindung zwischen Mobilfunknetz und Skype-Netzwerk hergestellt. Damit werden die teilweise höheren Latenzzeiten bei Datenübertragungen in Mobilfunknetzen umgangen. Der Service ist derzeit in 41 Ländern in USA, Europa und Asien verfügbar. Dies geschieht teilweise in Zusammenarbeit mit Mobilfunkanbietern, die die Proxies betreiben und die Verbindung im Mobilfunknetz kostenlos oder gegen eine Monatspauschale zur Verfügung stellen. Der Mobilfunkanbieter Drei bietet eine auf iSkoot basierende Software ebenfalls für die Skype-Nutzung am Handy an.

Mittlerweile werden auch SkypeIn und SkypeOut unterstützt. Zu diesem Zweck wird eine Sprachverbindung zu einem eigenen iSkoot-Festnetzanschluss im jeweiligen Land aufgebaut und das Gespräch von dort über den Skype-Benutzer weitervermittelt. Es entstehen Gebühren für den Aufbau der Sprachverbindung zum Festnetz und für SkypeOut; Daten werden dabei kaum übertragen, da es sich nicht um eine VoIP-Verbindung handelt.

Dritthersteller wie Nimbuzz und Fring stellen ebenfalls Möglichkeiten zur Verfügung, Skype auf dem Mobiltelefon zu nutzen, insbesondere bietet Nimbuzz die Unterstützung von Skype auf dem BlackBerry-Telefon. Anders als bei der iSkoot-Lösung wird hier die Sprachübertragung auch im Mobilfunknetz als Datenübertragung geführt, benötigt also eine höhere Bandbreite bzw. liefert eine schlechtere Sprachqualität und erzeugt je nach Tarif entsprechend andere Kosten. Auch hier wird ein Proxy verwendet, um die Verbindung zwischen Client und dem eigentlichen Skype-Netz herzustellen.

Am 29. Oktober 2007 hat Skype sein eigenes Handy vorgestellt, das 3 Skypephone. Das Handy verfügt über einen speziellen Skype-Knopf, um kostenlose Skype-Anrufe und Skype-Chat zu nutzen. Die Unterstützung von Skype-Telefonie und Skype-Chat erfolgt mittels iSkoot-Client. Das Handy wurde gemeinsam mit dem Mobilfunkanbieter 3 entwickelt und wird anscheinend zuerst exklusiv über diesen vertrieben. Es erhielt die Auszeichnung „Global Mobile Award“ in der Kategorie „Bestes Handy“ im Rahmen des „Mobile World Congress“ in Barcelona. Derzeit wird es nur in Österreich, Großbritannien, Italien, Dänemark, Irland, Schweden, Hongkong und Australien verkauft.

Skypecasts waren so genannte moderierte Gruppencasts, auf die jeder zugreifen konnte. Skypecasts wurde am 1. September 2008 eingestellt. Dazu schreibt Skype auf seiner Website: Durch Beobachtung der Produktnutzung und erhaltenes Feedback kamen wir zu dem Schluss, dass Skypecasts die hohen Standards und Erwartungen, die wir an eine Kommunikationslösung für unsere Skype-Community stellen, nicht uneingeschränkt erfüllen konnte.

Die Software ist mit anderen VoIP-Angeboten, welche mit den offenen Standards SIP oder H.323 arbeiten, nicht kompatibel.

Von vielen Nutzern, die das Offline-Messaging von Instant-Messaging-Anbietern wie ICQ oder MSN gewohnt sind, wird bemängelt, dass dies in Skype nicht ermöglicht wird. Bis heute liegt keine offizielle Stellungnahme des Unternehmens dazu vor, jedoch würde ein Offline-Messaging die Speicherung der Nachrichten auf Skype-Servern notwendig machen, was nicht zuletzt dem Konzept der ausschließlich direkten Verbindung der Kommunizierenden widerspräche.

Auch Analysten im internationalen Umfeld warnen vor Sicherheitsrisiken für Unternehmen, die durch die Verwendung von Skype entstehen.

Skype versucht beispielsweise, den Einsatz von Analyseprogrammen wie Debuggern zu verhindern, indem die ausführbare Binärdatei zum größten Teil verschlüsselt ist. Darüber hinaus existieren im Programmcode eine große Anzahl von Integritätsprüfungsmechanismen, die eine Veränderung der Datei verhindern sollen.

Außerdem erzeugt der Betrieb von Skype durch seine P2P-Natur den typischen und unvermeidlichen permanenten Datenverkehr (Overhead, z. B. durch Telefonbuchanfragen von anderen Peers). Im Leerlauf kann bis zu ein Gigabyte je Monat anfallen. Eine Stunde telefonieren verbraucht ca. 30 Megabyte.

Um Skype für Telefonate nutzen zu können, wird ein Internetzugang mit mindestens ISDN-Geschwindigkeit benötigt; ein Telefonmodem genügt nicht für brauchbare Gespräche, da die Datenrate zu gering ist. Der Komprimierungscodec stellt sich zwar auf die geringe Sende-Geschwindigkeit von max. 33.600 bit/s ein, die Verzögerungen bei der Übertragung machen ein vernünftiges Gespräch aber unmöglich.

Wenn das Skype-Guthaben eines Kontos mehr als sechs Monate nicht für einen kostenpflichtigen Dienst (SkypeOut, SMS, Personalisierung) genutzt wird, verfällt es ersatzlos. Dieser Zeitraum verlängert sich immer um sechs Monate nach der letzten Nutzung eines dieser Dienste.

Für Unmut bei vielen Anwendern sorgte im Frühjahr 2006 die Erweiterung der Funktion für Konferenzschaltungen in der Version 2.0 der Skype-Software, die nun zwar zehn statt fünf Teilnehmer zulässt – allerdings nur, wenn im Rechner des Konferenzleiters ein Mehrkernprozessor der Firma Intel arbeitet. Die offizielle Begründung dafür war ein enormer Leistungsbedarf derartiger Funktionalität, den laut Skype und Intel nur diese Prozessoren decken könnten. Die zu jenem Zeitpunkt aktuellen Athlon-64-CPUs des Intel-Konkurrenten AMD boten jedoch keineswegs weniger Leistung, weshalb diese Kopplung der Funktionalität an bestimmte Prozessoren schnell als reiner Marketingtrick galt. Tatsächlich erschien nach wenigen Wochen ein Hack für den Skype-Client, der die 10er-Konferenzen auch auf anderen CPUs freischaltete und damit die Behauptungen von Skype und Intel als offenkundig falsch entlarvte. Seit der Beta-Version 2.6.0.103 existiert diese künstliche Einschränkung nicht mehr, und man kann mit jedem Prozessor Konferenz-Chats mit bis zu zehn Teilnehmern aufbauen.

Im Februar 2007 wurde durch einen Software-Bug bekannt, dass Skype nach dem Start im Verzeichnis für temporäre Dateien eine ausführbare Datei namens 1.com anlegt, welche in der Lage ist, sämtliche BIOS-Informationen des PCs auszulesen, wobei Skype sogar versucht, das Auslesen dieser Datei zu unterbinden. Nach Aussage von Skype diene diese Überprüfung dem „Skype Extras Manager“ zur eindeutigen Identifizierung von Rechnern, damit sichergestellt werde, dass lizenzpflichtige Extras nur von berechtigten Lizenznehmern installiert und betrieben würden.

Im April und Mai 2007 gab es offenbar Probleme mit dem Guthaben-Bezahlsystem, welches über die Firma Global Collect abgewickelt wird. In vielen Internetforen tauchten Beschwerden von Nutzern auf, denen Geld abgebucht wurde und die aber wochenlang auf ihre Gutschrift warten mussten. Auf schriftliche Beschwerden folgte wochenlang keine Reaktion, weiterhin gab es auch keine offizielle Stellungnahme zu dem Thema.

Einwohner der Volksrepublik China werden, wenn sie auf die Skype-Website zugreifen, auf eine spezielle Seite weitergeleitet. 2008 deckten Menschenrechtsaktivisten der Forschergruppe Citizen Lab der Universität Toronto auf, dass Skype in China Nachrichten auf politische Begriffe durchsucht und diese mitschneidet. Auch wurden in diesem Zusammenhang Mitteilungen mit persönlichen Daten, Benutzernamen, IP-Adressen oder Telefonnummern mitprotokolliert.

Die Abhörsicherheit von Skype ist umstritten. Skype bietet zwar die Verschlüsselung bei direkten Gesprächen zwischen Benutzern an, was unter anderem für Strafverfolgungsbehörden erhebliche Probleme schafft, jedoch wollte ein Sprecher von Skype in einem Interview die Abhörmöglichkeit nicht ausschließen. Dort antwortete Kurt Sauer, Leiter der Sicherheitsabteilung von Skype, auf die durch ZDNet gestellte Frage, ob Skype die Gespräche abhören könne, ausweichend: „Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werde Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.“ Auch deutet die Implementierung eines Textfilters in China darauf hin, dass von dieser Möglichkeit Gebrauch gemacht wird, wenn dies erforderlich ist, um geschäftliche Interessen zu wahren. Auch ist bekannt, dass die Skype-Mutter eBay mit US-Behörden relativ schnell, leicht und eng zusammenarbeitet. 2009 warf die europäische Behörde zur Koordinierung grenzüberschreitender Strafermittlung Eurojust Skype vor, das Abhören von VoIP-Telefonaten durch ein Verschlüsselungssystem zu verhindern. Dieser Vorwurf wurde zurückgenommen, als Skype seine Zusammenarbeit anbot.

Eine ähnliche einschränkende Marketingaktion wie die oben genannte Intel-Kooperation startete Skype mit der im November 2007 für Windows veröffentlichten Version 3.6, deren höhere Video-Qualität ausschließlich Nutzern von Webcams der Firma Logitech ermöglicht wurde.

2007 wurde Skype von gpl-violations.org erfolgreich wegen Verletzung der GPL verklagt. Ein auf Linux basierendes Telefon war von Skype ohne die Quelltexte ausgeliefert worden.

Zum Seitenanfang



Skype Technologies

Das Unternehmen Skype Technologies SA mit Hauptsitz in Luxemburg und Büros in England und Estland ist durch das von der Firma entwickelte Programm Skype der weltgrößte Anbieter für Internettelefonie. Im Geschäftsjahr 2004 hat Skype einen Umsatz von 7 Millionen Dollar erwirtschaftet, für 2005 war ein Anstieg auf 60 Millionen Dollar geplant, für 2006 auf 200 Millionen Dollar. Dieser Anstieg soll durch gebührenpflichtige Dienste erreicht werden, die seit 2004 angeboten werden. Während mit dem bekanntesten Produkt Telefonate über das Internet geführt werden können, die gratis sind, ist der Dienst Skype-Out, mit dem Gespräche aus dem Internet zu Telefonen am Festnetz geführt werden können, kostenpflichtig. Skype hat momentan 54 Millionen Nutzer in 225 Ländern. Bisher werden erst mit 4 % der Nutzer Umsätze erzielt, sodass ein sehr hohes Wachstumspotential besteht. Skype wurde im Jahr 2003 von Niklas Zennström und Janus Friis gegründet, die vorher durch die Musiktauschbörse KaZaA bekannt geworden waren.

Im September 2005 begannen Verhandlungen des Internet-Auktionshauses eBay zum Kauf von Skype. Am 14. Oktober 2005 war die Besitzübernahme offiziell. Der Kaufpreis beträgt 4,1 Milliarden Dollar. Bisher wurden 2,6 Milliarden Dollar gezahlt, davon die Hälfte in eBay-Aktien, der Rest in bar. Hinzu kommen mögliche leistungsbezogene Zusatzzahlungen von rund 1,5 Milliarden Dollar, die in den Jahren 2008 oder 2009 fällig werden könnten. Skype blieb bisher ein unabhängiges Unternehmen, soll aber neue Geschäftsfelder mit eBay erschließen. Dazu gehören sowohl Werbung als auch der Verkauf von Klingeltönen und eine Zusammenarbeit mit dem Bezahldienst Paypal, den eBay im Jahr 2002 für 1,5 Milliarden Dollar gekauft hat.

Zum Seitenanfang



Firewall

Eine externe (Netzwerk- oder Hardware-) Firewall (von engl. firewall „die Brandwand“) stellt eine kontrollierte Verbindung zwischen zwei logischen Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzwerksegmente ein und desselben Netzwerks. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Netzwerk bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen.

Von Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender- oder Zieladresse und genutzten Diensten – zu erlauben. Für das Aufspüren von Angriffen sind so genannte IDS-Module zuständig, welche durchaus auf einer Firewall aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.

Eine Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Geräte mit Netzwerkschnittstellen, wie Router oder Proxy; Softwarekomponenten sind deren Betriebssysteme sowie die Firewallsoftware, inklusive deren Paket- oder Proxyfilter.

Die entscheidende Abgrenzung zur Personal Firewall ist, dass die Software einer externen Firewall nicht auf dem zu schützenden System selber arbeitet, sondern auf einem separaten Gerät läuft, welches im Datenverkehr zwischen den Netzen vermittelt. Siehe auch Personal Firewall, Abschnitt „Abgrenzung zur Firewall“.

Prinzipiell rechtfertigt nicht nur der Übergang vom LAN zum Internet den Einsatz einer Firewall. Auch zwischen zwei oder mehreren organisationsinternen Netzen kann eine Firewall verwendet werden, um dem unterschiedlichen Schutzbedarf der Netzwerkzonen Rechnung zu tragen, beispielsweise bei einer Trennung zwischen dem Büronetz vom Netz der Personalabteilung, in dem personenbezogene Daten gespeichert sind.

Für die Konfiguration einer Firewall sollte der Administrator fundierte Kenntnisse über Netzwerkprotokolle, Routing, Netzwerk- und Informationssicherheit besitzen. Bereits kleine Fehler können die Schutzwirkung einer Firewall zunichte machen. Grundsätzlich sollte man vor der Installation ein Firewall-Konzept ausarbeiten, um die eigenen Anforderungen richtig einschätzen zu können und diese den Möglichkeiten und Grenzen der Firewall gegenüberzustellen. Denn erst wenn man weiß, gegenüber welchen Szenarien man ein bestimmtes Maß an Sicherheit erreichen will, kann man sich Gedanken über das wie machen. In größeren Organisationen wird dies üblicherweise über eine eigene Sicherheitsrichtlinie umgesetzt.

In der Anfangszeit des Internet waren Angriffe innerhalb des Netzes weitgehend unbekannt. Erst im Jahr 1988 wurde von Robert Morris der erste Computerwurm programmiert. Der so genannte Morris-Wurm verbreitete sich unter Ausnutzung von einigen Unix-Diensten, wie z. B. sendmail, finger oder rexec sowie der r-Protokolle. Zwar hatte der Wurm keine direkte Schadensroutine, trotzdem legte er wegen seiner aggressiven Weiterverbreitung ca. 6000 Rechner lahm – das entsprach zu dieser Zeit ungefähr 10 % des weltweiten Netzes. Die ersten Packet Filter wurden im Jahr 1985 von Cisco in ihre Router eingebaut. Die erste Studie über das Filtern von Netzwerkverkehr wurde im Jahr 1988 von Jeff Mogul veröffentlicht.

Neben der Möglichkeit, auf einer geeigneten Maschine eine Firewall-Software (beispielsweise Check-Point-Firewall 1 oder IPCop) zu installieren und das Betriebssystem selber zu härten, gibt es die Möglichkeit, eine Firewall-Appliance zu benutzen: Sie bieten eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software (z. B. Cisco ASA oder Astaro Security Gateway).

Eine Personal- oder auch Desktop-Firewall ist eine Software, die lokal auf dem zu schützenden Computer installiert wird. Sie kontrolliert die Verbindung zwischen dem PC und dem Netzwerk, an dem der PC angeschlossen ist und ist somit in der Lage, Netzwerkzugriffe zwischen dem PC und dem Internet genauso zu filtern, wie die Zugriffe zwischen dem PC und dem lokalen Netz. Die Installation auf dem zu schützenden Rechner erlaubt es auch, anwendungsspezifisch oder nach Benutzerkennungen zu filtern. Der direkte Zugriff auf das zu überwachende System erweitert die Möglichkeiten dieser Software ungemein. Im Umkehrschluss haben allerdings auch Programme, welche auf derselben Hardware wie die Firewall laufen, wesentlich mehr Möglichkeiten diese zu manipulieren und zu umgehen, als bei einer externen Firewall. Daher kann die Desktop-Firewall eine externe Firewall lediglich ergänzen, jedoch nicht ersetzen.

Die Schutzwirkung von Personal Firewalls ist umstritten, da sie einerseits unerwünschten Datenverkehr erschweren, andererseits auch durch Fehler im eigenen Code den Rechner unsicher machen könnten.

Diese rudimentäre Filterung beherrschen heutzutage auch die meisten Router und gute Switches.

Stateful Inspection (zustandsgesteuerte Filterung) ist eine erweiterte Form der Paketfilterung, die auf der OSI-Schicht 3, 4 und ggf. 7 eine kurze Inspektion durchführt, um eine Statustabelle aller Netzwerkverbindungen erstellen zu können. Dadurch erkennt diese Firewall Zusammenhänge zwischen den Paketen und kann aktiv auf die Beziehung zur dazu gehörenden Sitzung schließen. So gelingt es ihr nach einem Verbindungsaufbau zu erkennen, ob und wann der interne Client mit dem externen Zielsystem kommuniziert und lässt nur dann Antworten darauf zu. Sendet das Zielsystem also Daten, die von dem internen Client nicht angefordert wurden, so blockiert die Firewall den Transfer selbst bei bestehender Verbindung zwischen Client und Zielsystem. Das unterscheidet diese Firewall massiv von einem gewöhnlichen Paketfilter.

Im Gegensatz zu einem Proxy wird die Verbindung selbst nicht beeinflusst.

Eine Application Layer Firewall (ALF) beachtet zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst noch den Inhalt der Netzwerkpakete auf der OSI-Schicht 7. Das ermöglicht den Einsatz so genannter dedicated Proxies, die eine spezialisierte Contentfilterung oder auch einen Malwarescan ermöglichen.

Entgegen einem populären Missverständnis besteht die grundlegende Aufgabe einer ALF nicht darin, bestimmten Applikationen (Programmen) den Zugriff zum Netz zu gewähren oder zu verbieten. Der Name Application wurde lediglich aus dem Application Layer der OSI-Schicht 7 abgeleitet. Allerdings kann ein circuit level Proxy auf einer solchen Firewall aufgesetzt werden, der neben einer protokollunabhängigen Port- und Adressfilterung eine (mögliche) Authentifizierung für den Verbindungsaufbau unterstützt, ohne die es einer Anwendung nicht möglich ist, mit dem externen Netz (Internet) zu kommunizieren.

Die meisten Systeme lassen nur die Definition von sehr einfachen Regeln zu; das Problem ist aber prinzipiell sehr komplex und das Konzept ist eventuell technisch nicht vollständig umsetzbar. Sollten beispielsweise wirklich vollständig die vertraulichen Informationen aus dem Datenverkehr zu nicht autorisierten Systemen herausgefiltert werden, so müsste erst das technische Problem gelöst werden, wie vertrauliche steganografische oder verschlüsselte Informationen erkannt und gefiltert werden können.

Trotz der in aktuellen Firewall-Systemen recht einfach gestalteten Regeln kann deren Ausführung sehr vielschichtig werden: Häufig müssen einzelne Pakete zusammengesetzt werden, damit der betrachtete Datenverkehr (z. B. Webseiten) als Ganzes erkannt, durchsucht und eventuell verändert werden kann. Anschließend muss der Datenverkehr wieder in einzelne Pakete zerteilt und weitergeschickt werden.

Eine ALF setzt integrierte Proxies ein, die aufgrund ihrer Arbeitsweise stellvertretend (engl. proxy = Stellvertreter) für die Clients die Verbindung zum Zielsystem aufbauen. Für den Server ist als Absender nur die IP-Adresse des Proxys und nicht die des Clients sichtbar. Die Struktur des LANs ist damit aus dem Internet nicht erkennbar.

Für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, MS-RPC usw.) gibt es einen eigenen ‚dedicated Proxy’. Auf einer einzigen ALF können mehrere ‚dedicated Proxies’ gleichzeitig laufen. Sie können u.a. unerwünschte Protokolloptionen verbieten, etwa in einer SMTP-Transaktion kein BDAT, VRFY o. Ä. zulassen.

Ein solches System kann mitunter aber auch erst die Möglichkeit für einen Denial of Service-Angriff schaffen. So legen manche Systeme eine temporäre Firewall-Regel an, die alle weiteren Verbindungsversuche von der vermeintlichen angreifenden IP-Adresse blockieren. Schickt aber nun ein Angreifer Pakete mit einer gefälschten Absender-Adresse an das System, so kann er damit erreichen, dass der Zugriff auf die gefälschte Adresse nicht mehr möglich ist. So kann er nacheinander sämtliche Adressen von dem angegriffenen System abschotten, die dieses für seine Arbeit benötigt (DNS-Server usw.).

Die meisten Firewalls für den privaten Bereich ermöglichen es, mit Hilfe von dynamischer Network Address Port Translation (NAPT, auch PAT) mehrere Rechner über einen Router mit dem Internet zu verbinden. Primäres Ziel dabei ist es, mit einer öffentlichen IP-Adresse mehrere Computer mit privaten IP-Adressen (z. B. aus den Netzen 192.168.0.0/16 oder 10.0.0.0/8) den Zugang ins Internet zu ermöglichen. Im Unterschied zu einem Proxy werden hierbei die Pakete einfach nur weitergeleitet und können inhaltlich nicht analysiert werden.

Man kann dies nur als rudimentäre Sicherheitstechnik ansehen, da die Rechner aus dem LAN geschützt werden, indem ein Zugriff aus dem Internet auf diese Rechner nicht ohne weiteres möglich ist. Dieser Schutz lässt sich umgehen, wenn die Software versucht, einzelne Verbindungen einander zuzuordnen, wie dies beispielsweise für FTP und SIP notwendig ist. Das Schutzniveau eines fachgerechten Paketfilters wird durch bloßes NAPT also nicht erreicht.

Eine wichtige Funktion von Firewalls ist das Verhindern von IP-Spoofing. Da die Filterung sich wesentlich an den IP-Adressen orientiert, muss so gut wie möglich sichergestellt werden, dass diese nicht gefälscht sind. Firewalls mit Anti-Spoofing-Funktionalität bieten daher die Möglichkeit, bestimmten Netzwerk-Schnittstellen bestimmte IP-Adressen und Netze zuordnen zu können. Der Internet-Schnittstelle werden dann automatisch alle IP-Adressen außer den anderweitig genutzten zugeordnet. IP-Pakete, die an einer falschen Schnittstelle ankommen, werden protokolliert und verworfen. Firewalls mit Internetanbindung können auf der Internet-Schnittstelle alle Pakete von und an Private IP-Adressen (RFC 1918) verwerfen, da diese im Internet sowieso nicht geroutet werden. Dadurch ist ein IP-Spoofing mit diesen Adressen aus dem Internet ausgeschlossen. Obwohl die Zuordnung von IP-Netzen zu bestimmten Netzwerk-Schnittstellen eigentlich eindeutig sein sollte, treten in der Praxis manchmal Probleme auf mit Dual homed host und Routing-Loops (Pakete die auf Hin- und Rückweg unterschiedliche Routen nehmen).

Da der Filterung anhand von IP-Adressen wegen potenziellem IP-Spoofing niemals vollständig vertraut werden kann, bieten manche Firewalls die Möglichkeit sich authentifizieren zu lassen und erst dann bestimmte Regeln zeitbeschränkt freigeschaltet zu bekommen. Für eine starke Authentifizierung bietet zum Beispiel die Check Point Firewall-1 die Kompatibilität zu den SecurID-Token der Firma RSA Security.

Durch die Bedeutung des Internets sind Firewalls in vielen Firmen mittlerweile zu kritischen Netzwerk-Komponenten geworden und stellen teilweise sogar einen Single Point of Failure für wichtige Geschäftsprozesse dar. Daher wird durch Hochverfügbarkeits-Techniken wie Failover- oder Cluster-Betrieb versucht, das Risiko eines Ausfalls zu reduzieren. Ein weiterer Vorteil dieser Techniken ist, dass einzelne Firewalls zu Wartungszwecken oder für Software-Aktualisierungen abgeschaltet werden können, ohne die Verbindung zu unterbrechen. Zur Umsetzung werden oft die gleichen Lösungen wie bei hochverfügbaren Routern eingesetzt (beispielsweise HSRP, VRRP oder CARP) oder spezielle Produkte wie Rainwall von EMC2. Für den Failover-Fall gibt es zwei Möglichkeiten, wie die übernehmende Stateful Inspection-Firewall mit den bestehenden Verbindungen umgeht. Eine Methode ist, dass alle Firewalls permanent ihre dynamische Verbindungstabellen untereinander synchronisieren, damit ist jede Firewall in der Lage alle Verbindungen korrekt zuzuordnen. Das andere Verfahren arbeitet ohne Abgleich, aber alle bestehenden Verbindungen werden nach dem Wechsel von der übernehmenden Firewall nochmals gegen das Regelwerk geprüft. Diese Lösung ist einfacher, bereitet aber Probleme bei komplexen Protokollen wie passivem FTP. Da die hierbei ausgehandelten Ports für die Daten-Verbindungen zufällig sind, kann die übernehmende Firewall diese Pakete keiner Regel zuordnen und wird sie verwerfen.

Eine Synchronisation der Verbindungstabellen bieten unter anderem die Firewalls von Check Point, OpenBSD (über pf_sync) und Linux (über ct_sync).

Verschiedene Installationen haben verschiedene Sicherheitsanforderungen. Beispielsweise beim Militär oder auch überall dort wo es um viel Geld geht (Banken, Börse usw.) gibt es Forderungen nach höchster Sicherheit, hier kommen daher oft mehrstufige Lösungen zum Einsatz. Ein Netzwerkpaket passiert also mehrere hintereinander geschaltete Firewallsysteme mit weitestgehend gleicher Konfiguration. Dabei werden verschiedene Hardwarearchitekturen und verschiedene Betriebssystem- und Firewall-Implementationen verwendet, so verlieren systematische Fehler oder eventuell von Programmierern/Herstellern eingebaute Fehler und Hintertüren einen Großteil ihrer Wirksamkeit. Nur die wenigsten Angreifer kennen alle Lücken in allen Produkten. Zusätzlich kann beim Einsatz von Open Source-Produkten auch ein Audit und eine eigene Übersetzung des Quellcodes durchgeführt werden, was Hintertüren weitestgehend ausschließt. Generell ist aber gerade hier die Durchtunnelung ein nicht zu unterschätzendes Risiko, sodass jeder Verkehr explizit durch Whitelists geregelt sein muss und jeglicher Verkehr, der nicht unbedingt benötigt wird, zu unterbinden ist. Hundertprozentige Sicherheit bietet aber höchstens die physikalische Trennung von Netzen.

Moderne Firewalls unterstützen Virtual Local Area Networks (VLANs), d. h. an einer physischen Netzwerkschnittstelle lassen sich über einen entsprechend konfigurierten Switch mehrere logische Netze erreichen. Dadurch lassen sich an die Firewall mehr Netze anschließen, als das physikalische Limit an Netzwerk-Interfaces erlaubt. Die Benutzung von VLANs ist unter Umständen auch billiger, als weitere Netzwerkschnittstellen für die Firewall zu kaufen. Ein weiterer Vorteil ist, dass zur Verbindung neuer Netze allein eine Software-Konfiguration von Firewall und Switch ausreicht, es müssen keine neuen Kabel gezogen werden. Ein Nachteil ist, dass alle VLANs die Kapazität der LAN-Verbindung teilen. Zu dem kommt ein großer Sicherheitsnachteil: die Trennung der verschiedenen Netze unterliegt nicht der Hoheit der Firewall, das System ist somit leichter kompromittierbar. In einem solchen Fall ist die Firewall auf die Zusammenarbeit mit dem eingesetzten Switch angewiesen. Switches sind aber in der Regel keine gehärteten Systeme und bieten oft zusätzliche Angriffsflächen (WWW, SNMP, Telnet usw.), folglich sind Switches für Sicherheitslösungen nicht oder eben nur sehr bedingt geeignet. Sicherheitsprobleme können aus verschiedenen Gründen auftauchen: durch einen fehlerhaft arbeitenden Switch (default Passwort, Backdoor), durch eine falsche Konfiguration des Switches (z. B. SNMP), eine fehlerhafte Implementierung oder Konfiguration der VLAN-Trennung oder auch durch einen Einbruch in die Administration des Switches. Generell wird auch ein Konfigurations-Reset des Switches nicht sofort auffallen, denn viele Switches transportieren VLAN-Pakete (solche mit VLAN-TAGs) auch ohne eine entsprechende VLAN-Konfiguration. Weiter können, z. B. durch Einschleifen eines Hubs, praktischerweise alle LAN-Segmente des VLANs gleichzeitig und unbemerkt abgehört werden. Auf der WAN-Seite können solche VLANs jedoch wertvolle Dienste leisten, im Bereich DMZ sind sie eventuell noch akzeptabel, in einer sicherheitsrelevanten Umgebung sollte von deren Einsatz aber abgesehen werden.

Die meisten Firewalls sind als Router aufgebaut. Das ist gerade im SoHo-Bereich praktisch, denn zum Anschluss mehrerer Rechner wird dort üblicherweise ein Router mit kombinierter NAT- und PPPoE-Funktionalität benötigt. Bei Firmennetzwerken wird oft auch die Routingfunktionalität gewünscht, denn hier ersetzt die Routing-Firewall oft den früher üblichen (Gateway-)Router. Obwohl es Vorteile hat, eine Firewall als Bridge aufzubauen, also als transparente Firewall zu betreiben, funktionieren die meisten nach wie vor als Router. Wird eine Firewall transparent betrieben, kann sie nicht über traceroute oder ähnliche Werkzeuge aufgespürt werden. Sie selber ist also schwerer angreifbar, da ein Angreifer keine IP-Adresse hat, mit der er sie erreichen oder adressieren kann und folglich auch aus einem direkt angrenzenden IP-Netz kommen muss. Die Routing-Funktionalität hängt vom eingesetzten Betriebssystem ab, genauso die Routing-Protokolle (z. B. RIP oder OSPF), die benutzt werden können. Diese kommen normalerweise nur zum Einsatz, wenn dies unbedingt nötig ist, da sie das System im Gegensatz zu einer statischen Routingtabelle eher angreifbar machen.

Genauso wie das Routing hängt die IP-Multicasting-Fähigkeit einer Firewall vom Betriebssystem ab. Die Regeln werden ganz normal mit den Multicast-Adressen (224.0.0.0–239.255.255.255) eingetragen. Weitere Aspekte sind in RFC 2588 beschrieben.

Voice over IP (VoIP) und Videokonferenzen sind für Stateful Firewalls nicht trivial, da meist mehrere verschiedene Protokolle (z. B. für Anrufsignalisierung, Tonübertragung, Bildübertragung, Application-Sharing) und Teilnehmer (Anrufer, Angerufener, Telefonanlagen, Konferenzschaltung) involviert sind. Manche kommerzielle Firewalls verstehen die VoIP-Protokolle (SIP oder Skinny) und sind daher in der Lage, Ports dynamisch zu öffnen.

FTP ist zwar ein ziemlich altes, aber für Firewalls schwieriges Protokoll. Insbesondere der „Active Mode“, bei dem zusätzlich zur Steuerverbindung auf Port 21 eine weitere Datenverbindung quasi rückwärts vom Server zum Client aufgebaut wird, bereitet manchen Firewalls Probleme. Die rückwärts aufgebaute Verbindung lässt sich vom Betreiber des FTP-Servers theoretisch auch für Angriffe missbrauchen. Daher verbieten manche Firewall-Systeme den Aufbau der Datenverbindung auf Portnummern, die für andere Dienste bekannt sind. Dies hat den Vorteil, dass die Anfälligkeit gegenüber einem Missbrauch der Datenverbindung für Angriffe reduziert wird.

Typische Symptome einer Firewall, die Probleme mit FTP hat, ist eine funktionierende Navigation durch die Verzeichnisse, aber Verbindungsabbrüche ohne Fehlermeldung bei der Datenübertragung. Die oben genannten Probleme treten nicht auf bei FTP im „Passive Mode“ (Konfigurierbar im FTP-Client oder durch Eingabe von „PASV“ in Kommandozeilen-Clients) oder bei Verwendung des verschlüsselten auf dem SSH-Protokoll basierenden SCP.

Die Fehlersuche in einem großen Netzwerk kann sehr komplex werden. Häufige Fehler sind z. B., dass eine Firewall-Regel IP-Adressen enthält, die durch eine NAT-Verbindung oder ein VPN geändert wurden. Je nach eingesetzter Firewall-Software und Betriebssystem unterscheiden sich die Möglichkeiten zur Fehlersuche. Anhand der Logdateien können falsche Firewall-Regeln oder IP-Spoofing erkannt werden. Mit Werkzeugen wie beispielsweise tcpdump oder snoop unter Solaris lässt sich der aktuelle Netzwerkverkehr an ein- und ausgehender Netzwerkschnittstelle beobachten und vergleichen. Des Weiteren bieten manche Systeme einen Einblick in die interne Verarbeitung der Firewall-Software (z. B. bei Check Point FW1 mit „fw monitor“).

Bei einem Firewall-System im Cluster-Betrieb sind Logdateien nützlich, um festzustellen, welche Maschine die fehlerhafte Verbindung überhaupt bearbeitet. Die Logdateien sind für eine detaillierte Fehlersuche ungeeignet, wenn sie nicht für jedes einzelne Paket einen Eintrag schreiben, sondern nur pro Verbindung. Neben den Möglichkeiten der Firewall sind Werkzeuge wie ping, nmap oder traceroute hilfreich, um festzustellen, ob der Fehler außerhalb des Systems liegt, z. B. im Routing oder dass der Ziel-Port gar nicht geöffnet ist.

Ein einfacher Firewall-Aufbau soll die Materie verdeutlichen: Eine Firma möchte ihre Arbeitsplatzrechner ins Internet bringen. Man entscheidet sich für eine Firewall, und aufgrund der Viren-/Würmergefahr dürfen die Arbeitsplatz-PCs nicht auf Webseiten zugreifen. Damit auch eine Recherche im Internet möglich ist, gibt es einen dedizierten Surf-Rechner, der über einen Proxy-Zugriff zu Webseiten erhält. Der Surf-Rechner wird zusätzlich dadurch geschützt, dass ActiveX aus den angeforderten HTML-Seiten aus Sicherheitsgründen herausgefiltert wird. Die Arbeitsplatz-PCs dürfen nur Verbindungen zu dem Mail-Server der Firma aufbauen.

Sonstige Zugriffe von außen auf das Firmennetz sollen einfach geblockt werden. Wichtig ist, dass in dieser Konstellation die Arbeitsplatzrechner selbst keinerlei direkte Verbindung zum Internet aufbauen können. Damit können einmal eingeschleuste Schadprogramme sich nur weiter verbreiten oder weitere Schädlinge aus dem Internet nachladen, wenn sie über den Proxy oder den Mailserver einen Weg finden.

Firewalls können in einer Sicherheitsstrategie nur vor einem Teil der Bedrohungen schützen. Da sie nur den Netzwerkverkehr an wenigen Stellen filtern, bieten sie keinen Schutz vor Schädlingen, die über Laptops, USB-Sticks oder Disketten in das interne Netz gebracht werden. Die Computerwürmer Sasser, W32.Blaster und Conficker haben durch Ausbrüche in großen Firmen wie der deutschen Postbank und Delta Air Lines gezeigt, dass diese Infektionswege real funktionieren.

Grundsätzlich kann jeder Dienst auf jeder Portnummer funktionieren. Wenn im Regelwerk der TCP-Port 80 für HTTP freigeschaltet ist, kann darüber trotzdem ein anderes Protokoll laufen. Es müssen nur beide Kommunikationspartner (der Client im internen Netz wie auch der Dienst auf dem Server aus dem externen Netz) entsprechend konfiguriert worden sein. Einen Versuch, dies mithilfe der Firewall zu unterbinden, kann mit Application Layer Firewalls erfolgen, die z. B. das HTTP-Protokoll überprüfen und alles andere blockieren, was über diesen Port gesendet wird. Allerdings soll jedes Protokoll Daten übertragen, weshalb die Daten in diesem Fall lediglich entsprechend konvertiert werden müssen. Bettet die Software die zu übertragenden Daten also in das HTTP-Protokoll ein, ohne dabei den Standard des Protokolls zu verletzen, ist auch diese Firewall dagegen machtlos (die Gegenstelle, der Dienst auf dem Server also, muss diese Art der Konvertierung allerdings verstehen). Genau das macht man beim Tunneln. Manipulierte Daten können hier z. B. in Bilddaten verpackte Tunnel-Datenströme sein. Gänzlich unmöglich wird die inhaltliche Überprüfung durch die Firewall bei verschlüsselten Protokollen, wie HTTPS.

Tunnel bieten daher eine Methode, um die Kontrolle einer Firewall zu umgehen. Tunnel werden auch verwendet, um unsichere Netzwerkprotokolle mithilfe eines gesicherten und verschlüsselten Netzwerkprotokolls abhör- und manipulationssicher zu transportieren. Dies kann beispielsweise durch einen SSH- oder OpenVPN-Tunnel innerhalb einer legitim freigeschalteten Verbindung geschehen.

Sowohl OpenVPN als auch viele SSH-Clients (z. B. Putty) sind zudem in der Lage, einen Tunnel über einen HTTP-Proxy aufzubauen, der eigentlich nur Webseiten weiterleiten sollte. Daneben gibt es spezielle Tunnel-Software für Protokolle wie DNS oder ICMP.

Insbesondere Skype ist ein Beispiel dafür, wie gut sich die meisten Firewalls von innen nach außen umgehen lassen. Solange die Benutzer aus dem internen Netz die Möglichkeit haben, auf Webseiten zuzugreifen, hat der Firewall-Administrator durch die Verschlüsselung technisch kaum eine Chance, eine Durchtunnelung zu verhindern. Dank Whitelists, die den Zugriff auf bestimmte Server beschränken, können Firewalls das Durchtunneln immerhin stark erschweren. Organisationen erweitern die technischen Maßnahmen mitunter durch organisatorische Sicherheitsmaßnahmen, z. B. ein Verbot der bewussten Tunnelnutzung in der Sicherheitsrichtlinie, die der Mitarbeiter unterzeichnen muss.

Ein transparentes Durchdringen einer Firewall wird auch als Firewall Piercing oder FWPRC bezeichnet.

Die Leistung einer Firewall zu bewerten, ist nicht so einfach wie zum Beispiel bei einem Router, da die Geschwindigkeit von vielen dynamischen Faktoren abhängt. Dazu gehören die Größe des Regelwerks und Reihenfolge der Regeln, Art des Netzwerk-Verkehrs und Konfiguration der Firewall (z. B. Stateful, Logging). Ein einheitliches Benchmarking von Firewalls ist in RFC 2647 beschrieben.

Zum Seitenanfang



Nimbuzz

Nimbuzz ist ein mobiler Social Messenger und verbindet Instant Messaging, (Geo) Präsenzinformation und VoIP. Die kostenlose Anwendung ist verfügbar für Handy, PC und Web, für Instant Messaging, Location Sharing, (Gruppen-) Telefonate, (Gruppen-) Chats und File Sharing über beliebte Communities wie Skype, Windows Live Messenger (MSN), Yahoo!Messenger, ICQ, Google Talk, AIM, GaduGadu, Jabber und Twitter, plus 23 soZiale Netzwerke wie Facebook, SchuelerVZ, MeinVZ, StudiVZ und MySpace.

Nimbuzz wurde 2006 von Evert Jaap Lugt und Martin Smink gegründet.

Der Hauptsitz von Nimbuzz liegt in Rotterdam, Niederlande. Weitere Niederlassungen befinden sich in São Paulo, Brasilien, Cordoba, Argentinien und Neu Delhi, Indien.

Das Unternehmen hat Nutzer in jedem Land weltweit (200 Länder) und hat als einzige Social Media Aggregator, der bisher den angesehenen Red Herring Global 100 Award gewonnen hat.

Der “Buzz” ist ein Hinweiston, der versendet wird, um Nimbuzz-Nutzer zu informieren, dass man sie versucht zu kontaktieren, falls diese nicht online sein sollten. Diese Funktion ist entweder direkt über die Kontaktliste oder über den Communicator Widget verfügbar. Das Verschicken eines Buzz ist kostenlos und startet automatisch Nimbuzz Mobile auf dem Handy des Empfängers (nur bei Symbian).

Die Nimbuzz Mobile Anwendung ist derzeit für über 1000 Telefone verfügbar, die unter Java, Symbian, Windows Mobile und iPhone OS laufen. Des Weiteren werden mehr als 20 Blackberry-Modelle unterstützt. Die mobile Anwendung bietet drei verschiedene Telefonat-Optionen: Dial-Up VoIP, VoIP und SIP. Einzigartige Funktion: Skype Konnektivität.

Zum Seitenanfang



IP-Telefonie

QoS auf Layer 3 bei VoIP

Unter der IP-Telefonie, eine Kurzform für die Internet-Protokoll-Telefonie, auch Internet-Telefonie oder Voice over IP (kurz VoIP) genannt, versteht man das Telefonieren über Computernetzwerke, welche nach Internet-Standards aufgebaut sind. Dabei werden für Telefonie typische Informationen, d. h. Sprache und Steuerinformationen beispielsweise für den Verbindungsaufbau, über ein auch für Datenübertragung nutzbares Netz übertragen. Bei den Gesprächsteilnehmern können sowohl Computer, auf IP-Telefonie spezialisierte Telefonendgeräte, als auch über spezielle Adapter angeschlossene klassische Telefone die Verbindung herstellen.

IP-Telefonie ist eine Technologie, die es ermöglicht, den Telefondienst auf dieser IP-Infrastruktur zu realisieren, so dass diese die herkömmliche Telefontechnologie samt ISDN, Netz und allen Komponenten ersetzen kann. Zielsetzung dabei ist eine Reduzierung der Kosten durch ein einheitlich aufgebautes und zu betreibendes Netz. Aufgrund der hohen Einsatzdauer klassischer Telefoniesysteme und der notwendigen Neuinvestitionen für IP-Telefonie wird der Wechsel bei bestehenden Anbietern oft als lang andauernder, gleitender Übergang realisiert. Währenddessen existieren beide Technologien parallel (sanfte Migration). Daraus ergibt sich ein deutlicher Bedarf an Lösungen zur Verbindung beider Telefoniesysteme (z. B. über VoIP-Gateways) und die Notwendigkeit zur gezielten Planung des Systemwechsels unter Berücksichtigung der jeweiligen Möglichkeiten für Kosten- und Leistungsoptimierung. Neue Anbieter drängen zunehmend ausschließlich mit neuer Technologie (also IP-Telefonie statt herkömmlichem Telefon) auf den Markt.

Neben den Telefonnetzwerken entstand allmählich eine weitere Kommunikations-Infrastruktur, oft auf den Leitungen der Telefonnetze. Beginnend mit der Vernetzung von EDV-Systemen in den 1980er Jahren, auf die der Internet-Boom der 1990er Jahre folgte, stieg und steigt die Übertragungsleistung kontinuierlich stark an: Wurden anfangs 300 Bit pro Sekunde mittels eines Akustikkopplers erreicht, waren in Januar 2008 bis zu 100.000.000 Bit pro Sekunde für Endverbraucher mit DSL-Anbindung auf normalen Telefon-Hausanschlüssen oder dem Kabel-Netz realisierbar. Diese Infrastruktur bildet eine Grundlage für IP-basierte Datennetzwerke, insbesondere für das Internet als öffentliches Netz.

1973 Erste Übertragungen digitaler Sprache im ARPANET mittels Network Voice Protocol zwischen PDP-11-Rechnern. Die Datenübertragungsrate beträgt 3.490 bit/s.

1977 Beschreibung des Network Voice Protocol in RFC 741.

1980 Beschreibung des Internet Protocol (IP) in RFC 791 sowie erste Empfehlungen der ITU-T (damals noch CCITT) für ISDN.

1989 Die Einführung des ISDN ermöglicht Telefonieren mit höherer Sprachqualität und integriert verschiedene Dienste in ein Netz. Die Datenübertragungsrate beträgt 64 kbit/s.

Ebenfalls 1989 beginnt die Entwicklung des World Wide Webs, welches sich später für den breiten Erfolg des Internets verantwortlich erweist.

1992 Einführung des GSM-Mobilfunks in Deutschland (D-Netz). Die Datenübertragungsrate für die Sprache beträgt etwa 13 kbit/s, über Funk werden wegen der Redundanz bis zu 22,8 kbit/s übertragen.

1995 Ein MS-Windows-Programm des israelischen Unternehmens Vocaltec Communications ermöglicht Internettelefonie im Halbduplexbetrieb. Die Gesprächspartner können nur abwechselnd sprechen. Die Sprachqualität ist schlecht. Verbindungen zu Computern, die nicht die gleiche Software haben, sind nicht möglich.

1996 QuickTime Conferencing erlaubt Ton- und Bildkommunikation im Vollduplexbetrieb über AppleTalk- und IP-Netze. Beschreibung des Real-Time Transport Protocol in RFC 1889.

1998 Erstmalige Verabschiedung des ITU-T-Rahmenstandards H.323.

1999 Beschreibung des Session Initiation Protocol (SIP) in RFC 2543.

2002 SIP-Erweiterung in RFC 3261.

2002 Verabschiedung von ITU Q.1912.5 zur Interoperabilität zwischen SIP und ISDN User Part.

2004 Die Software Skype erscheint. Skype verwendet ein eigenes, nicht offengelegtes Protokoll basierend auf der Peer-to-Peer-Technik.

Das Telefonieren mit der IP-Telefonie kann sich für den Teilnehmer genauso darstellen wie in der klassischen Telefonie. Wie bei der herkömmlichen Telefonie teilt sich das Telefongespräch hierbei in drei grundsätzliche Vorgänge auf. Diese Vorgänge sind der Verbindungsaufbau, die Gesprächsübertragung und der Verbindungsabbau. Im Unterschied zur klassischen Telefonie werden bei VoIP aber keine dedizierten „Leitungen“ durchgeschaltet, sondern die Sprache wird digitalisiert und in kleinen Daten-Paketen transportiert.

Der Auf- und Abbau von Rufen (Rufsteuerung) erfolgen über ein von der Sprachkommunikation getrenntes Protokoll. Auch die Aushandlung und der Austausch von Parametern für die Sprachübertragung geschehen über andere Protokolle als die der Rufsteuerung.

Um in einem IP-basierten Netz eine Verbindung zu einem Gesprächspartner herzustellen, muss die aktuelle IP-Adresse des gerufenen Teilnehmers innerhalb des Netzes bekannt sein, jedoch nicht notwendigerweise auf der Seite des Anrufers. Geographisch feste Anschlüsse wie im Festnetz (PSTN) gibt es in rein IP-basierten Netzen nicht. Die Erreichbarkeit des Angerufenen wird, ähnlich wie in Mobilfunknetzen, durch eine vorangegangene Authentifizierung des Gerufenen, und einer damit verbundenen Bekanntmachung seiner momentanen Adresse, ermöglicht. Insbesondere kann dadurch ein Anschluss unabhängig vom Aufenthaltsort des Nutzers genutzt werden; dies bezeichnet man als nomadische Nutzung.

Aufgrund z. B. von Ortswechsel des Teilnehmers, Wechsel des Users am gleichen PC oder der dynamischen Adressvergabe beim Aufbau einer Netzwerkverbindung ist eine feste Zuordnung von Telefonnummern zu IP-Adressen nicht möglich. Die allgemein angewandte Lösung besteht darin, dass die IP-Telefonie-Teilnehmer bzw. deren Endgeräte ihre aktuelle IP-Adresse bei einem Dienstrechner (Server) unter einem Benutzernamen hinterlegen. Der Verbindungsrechner für die Rufsteuerung, oder manchmal sogar das Endgerät des Anrufers selbst, kann dann bei diesem Server die aktuelle IP-Adresse des gewünschten Gesprächspartners über den angewählten Benutzernamen erfragen und damit die Verbindung aufbauen.

Das Session Initiation Protocol (SIP) wurde von der Internet Engineering Task Force (IETF) entwickelt. Wie H.323 ermöglicht auch die herstellerunabhängige Spezifikation von SIP den Einsatz von SIP-basierten Systemen in heterogenen Umfeldern, insbesondere die Kopplung von VoIP-Komponenten unterschiedlicher Hersteller. Wie bei anderen Standards auch, ist jedoch die Interoperabilität von Komponenten durch die Einhaltung der Spezifikation (SIP-Kompatibilität) allein nicht gewährleistet. Sie ist daher im Einzelfall durch Interoperabilitätstests zu prüfen. Grundsätzlich eignet sich SIP auch für Einsatzszenarien über VoIP und Videotelefonie hinaus.

Die Teilnehmer besitzen bei SIP eine SIP-Adresse (ähnlich einer E-Mail-Adresse) im Uniform-Resource-Identifier-Format (URI-Format), wie zum Beispiel „sip:12345@beispiel-server.de“. SIP-Endgeräte müssen sich einmalig während der Startphase bei einem SIP-Registrar-Server registrieren. Zum Aufbau einer Verbindung schickt das Endgerät des Anrufers eine Nachricht an diesen Server, der dem DNS unter dem Domainnamen „beispiel-server.de“ bekannt ist (siehe auch DNS).

Dieser Verbindungswunsch wird durch den Server an das Endgerät des Angerufenen weitergeleitet. Sofern diese Nachricht dort verarbeitet werden kann, schickt das Endgerät eine entsprechende Nachricht zurück an den Server, der diese an den Anrufer weiterleitet. Zu diesem Zeitpunkt klingelt das Endgerät des Angerufenen, der Anrufer hört ein Freizeichen.

Eine direkte Kommunikation zwischen den beiden Endgeräten hat bis jetzt noch nicht stattgefunden. Im Rahmen dieses Austauschs zum Aufbau einer Session werden zwischen den Endgeräten alle relevanten Informationen über Eigenschaften und Fähigkeiten ausgetauscht. Für das eigentliche Telefongespräch ist der Server nicht mehr notwendig, die Endgeräte senden sich ihre Daten direkt zu, d. h., der Datenaustausch im Rahmen des Gespräches läuft am Server vorbei. Für die Übertragung dieser Daten in Echtzeit wird üblicherweise das Real-Time Transport Protocol (RTP) eingesetzt.

Zur Beendigung des Gesprächs sendet eines der Endgeräte eine SIP-Nachricht an den Server, der diese an den anderen Teilnehmer weitergibt. Beide Endgeräte beenden dann die Verbindung.

SIP sieht aber, ebenso wie H.323, auch die Möglichkeit eines direkten Verbindungsaufbaus zwischen zwei Endgeräten ohne die Verwendung eines SIP-Registrar-Servers, nur über die IP-Adresse vor. Hierzu müssen jedoch bei vielen Endgeräten zunächst alle vorhandenen Einträge für SIP-Registrar-Server gelöscht werden.

Zwar können die IP-Adressen der Teilnehmer für den Verbindungsaufbau verwendet werden, diese sind den Anwendern aber nicht immer bekannt und können sich auch ändern. Es gibt daher derzeit eine Reihe von Ansätzen, den Teilnehmern eine individuelle und mnemotechnisch günstige, von den IP-Adressen unabhängige Internet-Telefonnummer zu geben. Angefangen von reinen SIP-Nummern gibt es Ansätze zur Integration der Internet-Telefonie in den bestehenden Rufnummernplan der herkömmlichen Telefonnetze bis hin zu einem ganz neuen System. Wichtige Gesichtspunkte der Europäischen Union und der deutschen Bundesnetzagentur (BNetzA, früher: RegTP) sind die Einhaltung der Vorschriften und mittelfristig die Integration von Notrufsystemen.

Für Nutzer, die über das Internet mit anderen Internet-Nutzern telefonieren wollen, bieten viele Dienstanbieter SIP-Adressen an. SIP-Adressen sind, anders als Telefonnummern oder MSNs, nicht an einen Anschluss gebunden, sondern wie E-Mail-Accounts von jedem Internet-Anschluss der Welt nutzbar.

Um eine eigene SIP-Adresse im URI-Format zu bekommen, kann man sich bei einem von vielen freien oder kostenpflichtigen Anbietern anmelden. Da viele Anbieter entweder nur SIP-Adressen mit reinen Zahlenfolgen vergeben (z. B. 12345@sip-server.de) oder zur nichtnumerischen Adresse einen numerischen Alias vergeben, können auch IP-Telefone mit normaler Tastatur zum Wählen verwendet werden, um Gesprächspartner, die sich beim selben SIP-Server registriert haben, anzuwählen. Kunden eines SIP-Serviceproviders können über ihre SIP-Adresse angewählt werden und andere anrufen, soweit der Provider einer Seite dies nicht sperrt. Die meisten Anbieter von SIP-Adressen ermöglichen das Telefonieren mit Teilnehmern des herkömmlichen Telefonnetzes, da sie bei solchen Gesprächen Geld verdienen können. Über diesen Umweg kann man auch die Teilnehmer anderer SIP-Serviceprovider anrufen, wenn der eigene Provider oder der des Gesprächspartners entsprechend sperrt - natürlich gegen Entgelt. Zwischen manchen Providern bestehen entsprechende Abkommen, die den Kunden eine direkte Kommunikation untereinander ohne Festnetz-Umleitung erlaubt.

Telefonnummern können mittels Telephone Number Mapping (ENUM) im Internet nachgeschlagen werden. Es wird von einigen Netzbetreibern und sowohl von der deutschen (DENIC) als auch der österreichischen (Nic.at) Domain-Vergabestelle vorangetrieben.

Bei ENUM wird die Rufnummer umgekehrt und mit Punkten zwischen den einzelnen Ziffern versehen, als Subdomain der Top Level Domain "arpa" mit der Second Level Domain "e164" vorangestellt. Aus +49 12345 6789 wird also zum Beispiel 9.8.7.6.5.4.3.2.1.9.4.e164.arpa. Diese Lösung setzt allerdings voraus, dass der Telefonkunde schon über eine Rufnummer verfügt.

Aufgrund der EU-Richtlinien zur Rufnummern-Mitnahme bei Wechsel des Telefonproviders erlebt ENUM derzeit (zumindest in Österreich) den erhofften Aufschwung. Bevor Telefonprovider aufgrund eigener Datenbanken ein Telefongespräch vermitteln, wird überprüft, ob es zu der gerufenen Nummer und dem verwendeten Dienst bei ENUM einen DNS-Eintrag gibt. Falls ja, wird der Ruf zu der im DNS angegebenen Adresse vermittelt (PSTN- oder auch SIP-Teilnehmer).

Bei großen kommerziellen Anbietern unbeliebt ist der öffentliche Ansatz von ENUM. Dadurch ist es einerseits Angreifern möglich, z. B. automatisierte kostenlose Werbeanrufe, so genannte SPIT (Spam over IP Telephony), einzusetzen. Anderseits könnten Kundendaten abgefragt werden. Durch geeignete Maßnahmen können allerdings ENUM-Verzeichnis-Betreiber automatisierte Massen-Abfragen unterbinden, so dass sich beide Gefahren eingrenzen lassen. Ein weiterer, vielleicht wesentlicher Grund für die Reserviertheit vieler Anbieter gegenüber ENUM ist der, dass durch kostenlose Gespräche Einnahmequellen entfallen.

VoIP-Anbieter können über eigene Gateways freie Telefonnummern aus dem Nummernvorrat der deutschen Ortsnetze erhalten und an ihre Kunden vergeben. Darüber sind ihre Kunden dann auch aus dem herkömmlichen Telefonnetz zu erreichen. Die Bundesnetzagentur begrenzt solche Angebote jedoch auf Teilnehmer, die in diesen Ortsnetzen ihren Wohnort haben. Die für einen orts- und anschlussunabhängigen Dienst nur schwer nachvollziehbare Begründung ist, dass ansonsten der Bezug, den die Vorwahl zum Wohnort hat, aufgelöst werde. Die Anbieter sind damit verpflichtet, zu überprüfen, ob der Kunde in dem gewünschten Ortsnetz auch tatsächlich wohnt und Nummern aus allen Ortsnetzen anzuschaffen, in denen sie Kunden haben. Aus Kostengründen bieten die meisten kleineren VoIP-Anbieter nur in den größeren Ortsnetzen Nummern an. Falls der Kunde außerhalb eines verfügbaren Vorwahlbereiches wohnt, stellen viele Anbieter 0180x-Nummern zu Verfügung. Dieses Verfahren ist jedoch nur noch übergangsweise zulässig.

Wenn der VoIP-Anbieter beim Verbindungsaufbau das SIP-Protokoll einsetzt, besitzt der Kunde neben der Ortsrufnummer gleichzeitig eine SIP-Nummer. Viele Anbieter teilen ihren Kunden jedoch lediglich die vergebene Festnetz-Rufnummer mit. Zudem blockieren viele dieser Anbieter Internet-Anrufe von Anrufern, die sich nicht bei ihm oder einem seiner Partner registriert haben. Dadurch kann man nur dann ein kostenloses Internet-Telefongespräch führen, wenn sich beide Gesprächspartner beim selben Anbieter (oder einem Partneranbieter) registriert haben.

Für die meisten Unternehmen und Behörden ist die Übernahme des gesamten bisherigen Rufnummernplans des bestehenden herkömmlichen Anschlusses (Ortsvorwahl, Hauptrufnummer und alle Durchwahlnummern) Voraussetzung für einen Wechsel zu einem IP-Telefonie-Service-Provider. Für SIP bieten das bisher erst wenige Provider an.

In Österreich wurde speziell für konvergente Dienste – unter die auch die Internet-Telefonie fällt – die Vorwahl +43 780, sowie die standortunabhängige Vorwahl +43 720, geschaffen. Eine ähnliche Lösung wurde auch von der deutschen Regulierungsbehörde empfohlen. Nach einer Vorwahl 032 kann ähnlich wie beim Mobilfunk mit einer „Blockkennung“ ein VoIP-Betreiber ausgewählt werden, um danach dann die eigentliche Endnummer des Teilnehmers zu wählen. Die 032-Rufnummern konnten sich bislang bei den meisten VoIP-Providern noch nicht durchsetzen, werden jedoch beispielsweise von den beiden größten nationalen Telefongesellschaften (Deutsche Telekom und Arcor) für ihre VoIP-Angebote genutzt. Mangelhafte Erreichbarkeit der Rufnummerngasse tritt vor allem bei Call-by-Call-Anbietern auf; aus dem Vodafone-Mobilfunknetz sind die Rufnummern bisher generell noch nicht erreichbar; verbreitet sind die Kosten für Anrufe zu 032-Nummern aus den Mobilfunknetzen für die Kunden deutlich höher als für Anrufe ins Festnetz. Die 032-Teilnehmernummer wird unabhängig von den Ortsnetzgrenzen der geografischen Rufnummern vergeben und kann somit auch bei Umzügen in andere Ortsnetze beibehalten werden. Da kein expliziter geografischer Standort mit der Vorwahl 032 verbunden ist, sind die 032-Rufnummern generell für nomadische Nutzung an unterschiedlichen Standorten prädestiniert, da der Anrufer mit ihrer Wahl kein geografisches Ziel assoziiert.

Wie bei herkömmlicher Telefonie werden die akustischen Signale der Sprache zunächst analog mit einem Mikrofon (z. B. über den Telefonhörer) in elektrische Signale gewandelt. Diese analogen elektrischen Signale werden dann digitalisiert (kodiert). Optional können sie auch komprimiert werden (verbreitet sind dafür z. B. ITU-T G.723.1 oder G. 729 Annex A), um die zu übertragende Datenmenge zu reduzieren. Der Transport der so umgewandelten Daten erfolgt dann über ein öffentliches oder privates Telekommunikationsnetz. Bedingt durch das für den Transport verwendete Verfahren der Paketvermittlung werden die Daten dazu in viele kleine Pakete aufgeteilt.

Das analoge Sprachsignal wird zur Digitalisierung mit einer geeigneten Abtastrate abgetastet und die Ergebnisse (Samples) durch einen Analog-Digital-Umsetzer (ADC) in eine regelmäßige Folge von Digitalsignalen umgewandelt. Die Datenrate dieses digitalen Datenstroms ist das Produkt aus der Abtastrate und der Auflösung des ADC in Bit. Sie kann bei Bedarf vor der Übertragung mittels Kodierung reduziert werden. Je nach verwendetem Codec (Coder-Decoder) sind unterschiedliche Kompressionsfaktoren möglich. Viele Codecs benutzen dabei verlustbehaftete Verfahren, bei denen für das menschliche Gehör unwichtige Informationen weggelassen werden. Das verkleinert die Datenmenge und verringert so die zur Übertragung benötigte Bandbreite erheblich, ohne den Höreindruck nennenswert zu verschlechtern. Werden allerdings zu viele Informationen weggelassen, kann das menschliche Gehör dies wahrnehmen und es kommt zu einer wahrnehmbaren Verschlechterung der subjektiven Sprachqualität. Verschiedene Codecs, die unterschiedliche Kodierverfahren anwenden, kommen zum Einsatz. Manche sind speziell dafür ausgelegt, ausgehend von der Standard-Telefonqualität (Abtastrate 8kHz, 8 Bit ADC-Auflösung) eine deutlich niedrige Datenrate zu erreichen, als die 64 kBit/s des ITU-Standards G.711. Andere dagegen codieren ausgehend von höher abgetasteter und aufgelöster digitaler Sprache mit Radio- oder sogar CD-Qualität (7 kHz oder mehr Bandbreite der übertragenen Sprache) bei dennoch gemäßigtem Bedarf an Übertragungsbitrate. Je nach Digitalisierungs- und Kodierverfahren variiert also der Frequenzbereich der kodierten Sprache, die zur Übertragung erforderliche Bandbreite sowie die resultierende Sprachqualität (Quellkodierung). Zusätzlich können die Kodierverfahren noch so ausgelegt sein, dass bestimmte typische Störungen auf dem Transportweg ausgeglichen werden (Kanalkodierung). Damit die Daten nach dem Transport wieder in für das menschliche Gehör verständliche Sprache umgewandelt werden können, muss der Empfänger einen zum Coder passenden Decoder verwenden, was dazu führt, dass viele Endgeräte zur Sicherstellung der Interoperabilität mehrere Codecs enthalten.

Im Normalfall schickt jedes Endgerät die codierten Sprachdaten unabhängig von der Signalisierung "direkt" über das Netzwerk an die IP-Adresse der Gegenstelle. Die Gesprächsdaten fließen also nicht über Server eines VoIP-Providers.

Der eigentliche Transport der Daten erfolgt über das Real-Time Transport Protocol (RTP) oder SRTP, gesteuert durch das RealTime Control Protocol (RTCP). RTP verwendet zur Übertragung in der Regel das User Datagram Protocol (UDP). UDP kommt zum Einsatz, da es ein minimales, verbindungsloses Netzwerkprotokoll ist, das nicht auf Zuverlässigkeit ausgelegt wurde wie beispielsweise das Transmission Control Protocol (TCP). Dies bedeutet, dass der Empfang der Sprachpakete nicht bestätigt wird, also keine Übertragungsgarantie besteht. Der Vorteil von UDP ist aber dessen geringere Latenzzeit gegenüber der von TCP, da nicht auf eine Bestätigung gewartet und fehlerhafte Pakete nicht neu gesendet werden und sich somit der Datenfluss insgesamt nicht zusätzlich verzögert. Eine vollkommen fehlerfreie Übertragung ist aufgrund der hohen Redundanz gesprochener Sprache und der Fähigkeit der verwendeten Codecs, Fehler zu korrigieren, unnötig. Für ein flüssiges Gespräch ist eine geringe Laufzeit viel wichtiger.

Die Anforderungen an das Netz für Datenübertragung und IP-Telefonie unterscheiden sich erheblich. Neben der erforderlichen Übertragungskapazität (ca. 100-120 kbit/s für ein Gespräch kodiert mit G.711) haben insbesondere Qualitätsmerkmale wie mittlere Verzögerung, Schwankungen der Verzögerung (Jitter) und Paketverlustrate erheblichen Einfluss auf die resultierende Sprachqualität. Durch Priorisierung und geeignete Netzplanung ist es möglich, eine mit der herkömmlichen Telefonie vergleichbare Sprachqualität und Zuverlässigkeit des Telefondienstes über IP-Netze unabhängig von der Verkehrslast zu erreichen.

Da das Internet in seiner heutigen Form (Stand 2008) keine gesicherte Übertragungsqualität zwischen Teilnehmern garantiert, kann es durchaus zu Übertragungsstörungen, Echos, Aussetzern oder Verbindungsabbrüchen kommen, so dass die Sprachqualität nicht ganz der von herkömmlichen Telefonnetzen entspricht, aber meist noch besser als in Mobilfunk-Netzen ist. Mit einem guten DSL-Anschluss (Engpass ist die Bitrate in Richtung Netz , sie sollte dauerhaft zwischen 120 und 200 kbit/s je Telefonverbindung liegen) kann man heute schon durchaus eine etwa gleichwertige und kostengünstige Alternative zum klassischen Telefonanschluss erhalten. Bei internationalen Gesprächen in die USA und nach Japan ist die Sprachqualität unter Verwendung eines robusten Sprach-Codecs wie z.B. dem iLBC zur Zeit (2007/2008) schon besser als bei Call-by-call-Vorwahlen.

Eine Kennzeichnung und Bevorzugung (Priorisierung) der „Sprachpakete“ gegenüber anderen Datenpaketen im Internet ist sinnvoll. Das heute im Internet verwendete Protokoll IPv4 bietet zwar solche Möglichkeiten (z. B. DiffServ), jedoch werden sie von den Routern im Internet in der Regel nicht oder nicht durchgängig beachtet. Sorgfältig geplante und konfigurierte private IP-Netze können jedoch eine ausgezeichnete "Quality of Service (QoS)" gewährleisten (auch mit Ethernet als Bitübertragungsschicht) und dadurch die Telefonie auch bei Überlast im Datenbereich mit gewohnter Qualität ermöglichen. Die QoS-Mechanismen funktionieren aber leider in der Regel bei weitem nicht so, wie von den Herstellern angegeben. Da sie wegen der normalerweise eingeplanten Überkapazitäten nur ausnahmsweise in Aktion treten, bleiben QoS-Fehlfunktionen vom Anwender meist unbemerkt, selbst dann, wenn es, vielleicht nach Monaten oder Jahren, einmal zum Störfall kommt. Status quo im Internet ist jedoch bisher der Best-Effort-Transport, das heißt die Gleichbehandlung aller Pakete. Die trotzdem meist brauchbare Telefonie-Qualität ist den Überkapazitäten der Netze zu verdanken. An weitergehenden QoS-Standards für das zukünftige, multimedia-lastige Internet wird in einer Reihe von Gremien und Forschungsprojekten gearbeitet (z. B. MUSE, DSL Forum, ITU-T u. v. a. m.).

Auch vom Nachfolgeprotokoll IPv6 sind bezüglich QoS keine Wunder zu erwarten. IPv6 bringt als neues Element Flows. Bisher besteht aber wohl noch keine Klarheit darüber, wie dies genutzt werden soll. Ob die Infrastruktur diese Markierungen (Priorität, DSCP-Code) berücksichtigt oder nicht, ist letztlich eine finanzielle Frage. Die Zukunft wird zeigen, ob die Internet Service Provider für mehr Geld auch qualitativ höherwertige IP-Ströme bereitstellen werden.

Um eine qualitativ hochwertige Kommunikation über Voice-over-IP führen zu können, müssen die für den Sprachtransport verwendeten Datenpakete so beim Gegenüber ankommen, dass sie zu einem getreuen Abbild des ursprünglichen, zeitlich zusammenhängenden Datenstroms zusammengesetzt werden können. Die im nachfolgenden aufgeführten Faktoren bestimmen die Qualität des Systems.

Der erforderliche Durchsatz (Menge an Daten, die von einem System oder Teilsystem pro Zeiteinheit verarbeitet werden können) hängt in erster Linie von der verwendeten Codierung ab. Ein unkomprimiertes Gespräch hat typischer Weise eine Datenrate von 64 kbit/s (Payload). Abhängig vom verwendeten Kompressionsverfahren beträgt die für die reine IP-Telefonie benötigte Bandbreite also maximal knapp 100 kbit/s (64 kbit/s netto zuzüglich der Overheads der verschiedenen Kommunikations-Protokolle).

Da das Netz gemeinsam mit anderen Datendiensten genutzt wird, ist insbesondere im Heimbereich eine Datenverbindung (z. B. ein DSL-Anschluss) mit einer Bandbreite von mindestens 100 kbit/s in beide Richtungen empfehlenswert. Hier gilt es zu beachten, dass im häufig verwendeten ADSL-Verfahren die Upstream-Bitrate wesentlich geringer ist als die Downstream-Bitrate.

Der Transport von Daten benötigt Zeit. Sie wird als Laufzeit bzw. Latenz (engl. delay oder latency) bezeichnet und ist bei herkömmlicher Telefonie im wesentlichen die Summe der Signallaufzeiten auf den Übertragungskanälen. Bei Telefonie über IP-Netze kommen weitere Verzögerungen durch die Paketierung und Zwischenspeicherung sowie gegebenenfalls Kompression und Dekompression der Daten hinzu. Bei der Telefonie (unabhängig davon mit welcher Technologie sie realisiert wird) stellen gemäß ITU-T Empfehlung G.114 bis 400 Millisekunden Einweglaufzeit (Mund zu Ohr) die Grenze dar, bis zu der die Qualität von Kommunikation in Echtzeit noch als akzeptabel gilt. Ab ungefähr 125 Millisekunden kann die Laufzeit vom Menschen jedoch schon als störend wahrgenommen werden. Daher empfiehlt die ITU-T bei hoch-interaktiven Kommunikationsformen generell eine Einweglaufzeit von 150 Millisekunden nicht zu überschreiten.

Als Jitter bezeichnet man die zeitliche Schwankung zwischen dem Empfang von zwei Datenpaketen. Um diese zu kompensieren, werden so genannte „Pufferspeicher“ (Jitterbuffer) eingesetzt, die eine zusätzliche, absichtliche Verzögerung der empfangenen Daten bewirken, um anschließend die Daten isochron auszugeben. Pakete, die noch später ankommen, können nicht mehr in den Ausgabedatenstrom eingearbeitet werden. Die Größe des Pufferspeichers (in Millisekunden) addiert sich zur Laufzeit. Sie erlaubt also die Wahl zwischen mehr Verzögerung oder mehr Paketverlustrate.

Von Paketverlust spricht man, wenn gesendete Datenpakete den Empfänger nicht oder nicht in der richtigen Reihenfolge erreichen und deshalb verworfen werden. Bei Echtzeitanwendungungen spricht man auch von Paketverlusten, wenn das Paket zwar den Empfänger erreicht, aber zu spät eintrifft, um noch in den Ausgabestrom eingefügt werden zu können. Für Telefonie wird nach ITU-T G.114 eine Paketverlustrate (packet loss rate) bis maximal 5 % noch als akzeptabel eingestuft.

Die Verfügbarkeit des Gesamtsystems ergibt sich aus den Einzelverfügbarkeiten der beteiligten Komponenten und deren Zusammenschaltung (kaskadiert – in Reihe, oder redundant – parallel). Somit hängt die Verfügbarkeit eines IP-Telefonie-Systems in erster Linie vom Netzdesign ab. Eine US-amerikanische Studie vom Juni 2005 untersuchte die Verfügbarkeit von IP-Telefonie in den USA. Im Durchschnitt wurden knapp 97 % erreicht. Das entspricht einem Ausfall an insgesamt 11 kompletten Tagen im Jahr . Zudem gibt es bei vielen deutschen DSL-Providern eine so genannte 24-Stunden-Zwangstrennung, die dazu führt, dass bei ständig benutzter Leitung eine Trennung stattfindet. Die daraufhin nötige Neueinwahl kann unter Umständen mehrere Minuten dauern.

Es gibt für VoIP unterschiedliche Architekturen. Weit verbreitet sind: die Architektur gemäß dem H.323-Rahmenstandard der ITU-T, die die Elemente Terminal, Gateway, Gatekeeper und MCU vorsieht (siehe unten) sowie die Architektur gemäß dem De-facto-Standard SIP der IETF. Dazu kommen eine Reihe von Nicht-Standard-Lösungen für VoIP.

Ein Terminal ist in der ITU-Terminologie der „multimediale Endpunkt“ der Kommunikation, im engeren Sinne also das Endgerät zur Ein- und Ausgabe der Sprachinformationen. Seine (ungefähre) Entsprechung in der SIP-Terminologie der IETF ist der User-Agent.

Es gibt drei grundsätzliche Arten von Endgeräten, mit denen man die IP-Telefonie nutzen kann.

Aber auch Endgeräte für GSM-Mobiltelefonie besitzen die Möglichkeit, IP-Telefonate bei verfügbaren WLAN zu führen (siehe z.B. mit einem OpenSourcebetriebsystem Openmoko). Diese Endgerätetypen verbinden aus Kostengründen die GSM-Mobil- und IP-Telefonie, um bei verfügbarem WLAN auch die kostengünstigere IP-telefonie mit dem Mobiltelefon nutzen zu können.

Probleme beim Einsatz von Voice over WLAN sind jedoch bisher noch das Fehlen von Standards für Bandbreitenmanagement auf der Luftstrecke (zu viel Useraktivität am selben Accesspoint verursacht kritische Paketverlustrate der VoIP-Verbindung) und für Handover (Abbruch der Verbindung bei Bewegung des Endgeräts zu einem anderen Accesspoint) sowie bei batteriebetriebenen Endgeräten der hohe Stromverbrauch.

Zum Versenden von Fax über ISDN- oder analoge Anschlüsse wird im Sprachkanal das T.30-Protokoll verwendet. Durch die hohe Zuverlässigkeit einer Sprachkanalverbindung in herkömmlichen TDM-basierten Netzwerken ist normalerweise eine sichere Übertragung gewährleistet. Dies trifft in IP-Netzen jedoch nicht zu, denn Sprache wird hier in der Regel ungesichert übertragen (RTP über UDP), trotz gleicher Codierung der Sprache, wie beispielsweise dem Codec G.711, der in TDM-basierten Netzwerken und IP-Netzen verwendet wird. IP-Pakete können verloren gehen und sind in der Regel in der Höhe von bis zu 5% an Verlusten für das menschliche Ohr nicht wahrnehmbar. Der Fax-Transport über ein IP-Netz mittels eines solchen Sprach-Codecs, einer dabei eingesetzten für die menschliche Sprache optimierten Codierung, führt jedoch zu Informationsverlusten oder Verbindungsabbrüchen des Faxes.

Damit Verbindungen zu herkömmlichen Telefonnetzen hergestellt werden können, werden Vermittlungsrechner, die so genannten Gateways, benötigt. Diese sind sowohl mit dem Kommunikationsnetzwerk des IP-Telefons als auch mit dem herkömmlichen Telefonnetz (PSTN) verbunden. Empfangen sie eine Anfrage von einem IP-Telefon, leiten sie diese ins Telefonnetz weiter, indem sie die gewünschte Nummer anrufen. Erhalten sie einen Anruf aus dem Telefonnetz, leiten sie eine Anfrage an das entsprechende IP-Telefon weiter.

Ein Gatekeeper ist eine optionale Komponente in der H.323-Umgebung und erfüllt zentrale Funktionen wie Terminal-Registrierung oder Auf- und Abbau von Verbindungen zwischen registrierten Terminals.

Die optionale Multipoint Control Unit (MCU) kommt bei H.323 dort zum Einsatz, wo Verbindungen zwischen mehr als zwei Terminals gewünscht werden (Telefonkonferenz oder Videokonferenz). Hier erfolgt die Aushandlung der Terminal-Eigenschaften und die Steuerung der Konferenz. Ggf. erfolgt eine Umsetzung von unterschiedlichen Codecs und Bitraten und die Verteilung der gemixten Informationen per Multicast.

Die IP-Telefonie wird genutzt, um weltweit Gespräche direkt über das Internet zu führen, die so genannte Internet-Telefonie. Hierbei wird das klassische Telefonnetz gar nicht mehr benutzt.

Innerhalb von Organisationen wie Unternehmen wird IP-Telefonie in zunehmendem Maße dazu genutzt, das Telefonnetz und das Computernetzwerk zusammen zu führen. Der Datentransport der Telefongespräche, sowohl für die Signalisierung als auch die Übertragung der digitalisierten Sprache, erfolgt über das EDV-Netzwerk (LAN). Somit lassen sich die Infrastruktur-Kosten durch Einheitlichkeit von Verkabelung und aktiven Systemkomponenten reduzieren. Die IP-Telefone werden in der Regel wie ein Arbeitsplatz-PC am Netzwerkanschluss angeschlossen. Herkömmliche Endgeräte sind zu ersetzen oder zu adaptieren.

Die Telefoniedienste, insbesondere die Teilnehmerverwaltung und Gesprächsvermittlung, werden über IP-fähige Telefonanlagen bereitgestellt, die ebenfalls ans Netzwerk angebunden sind. Telefonanlagen verschiedener Standorte können über das Extranet (WAN) und bestehende Datenleitungen mit Kapazitätsreserven gekoppelt werden. Nicht alle dieser verschiedenen Standorte müssen dabei mit einer eigenen Telefonanlage ausgerüstet sein. Standorte, an denen keine lokale Telefonanlage installiert ist, werden als abgesetzte Einheiten bezeichnet. Für Verbindungen in das herkömmliche Telefonnetz, z. B. das öffentliche Telefonnetz (PSTN), werden Übergänge, sogenannte Gateways, zwischen dem IP-Netzwerk und dem konventionellen Netz eingesetzt.

Die Struktur des Gesamtsystems wird in so genannten Szenarien beschrieben, die mehrere Übergänge zwischen konventioneller Telefonie und VoIP enthalten können. Die als Migration bezeichnete Umstellung von klassischer Telefonie auf VoIP erfolgt meist schrittweise. Sukzessive werden Teile einer Unternehmung, bevorzugt neue Abteilungen, mit der neuen Technik ausgestattet.

Durch kombinierte TK-Anlagen, die sowohl IP- als auch herkömmliche Ports bereitstellen, ist eine schleichende Migration (Sanfte Migration) möglich, wobei herkömmliche Anschlüsse weiterbetrieben werden können und nach und nach durch IP-Anschlüsse ersetzt werden. Diese TK-Anlagen werden auch als Hybrid-Anlagen bezeichnet.

Sprachqualität und Zuverlässigkeit der Telefontechnik hängen nach einer Umstellung auf VoIP komplett von der Netzwerktechnik ab, was speziell bei der Planung und Administration der Netze zu berücksichtigen ist und wesentlich höhere Anforderungen der Hardware erfordert.

Herkömmliche Telefonnetze in Europa basieren auf dem leitungsvermittelten PCM30-Verfahren. Seitens der Betreiber von Telefonnetzen kann für die Übermittlung von Gesprächen jedoch auch IP-Telefonie eingesetzt werden, ohne dass dies eine Änderung für die Gesprächsteilnehmer mit sich brächte. Der Einsatz von IP-Telefonie kann für Teile des Netzes oder das ganze Netz stattfinden.

Schon länger wird IP-Telefonie beispielsweise von Call-by-Call-Anbietern für Auslandsverbindungen genutzt. Die Gespräche werden dabei zwischen dem hiesigen Telefonnetz und dem Telefonnetz des Ziellands über das Internet geleitet, wodurch sich Kostenvorteile ergeben.

Next Generation Networks (NGN) verwenden ausschließlich Paketvermittlungsnetze für die Telekommunikation. Ziel dabei ist, die Netz-Ressourcen effizienter zu nutzen und eine gemeinsame Plattform für alle Dienste zu schaffen. Dabei erfolgt eine Trennung zwischen der Transport- und Dienstebene. Nach Presseberichten aus dem Jahre 2004 plant die Deutsche Telekom, die vollständige Umstellung ihres Netzes bis 2012 abgeschlossen zu haben.

Falls beide Teilnehmer mit dem Internet verbunden sind, fallen bei der Internet-Telefonie normalerweise, abgesehen von den Kosten für die Internetnutzung, keine weiteren Kosten an. Für Teilnehmer mit einer Internet-Flatrate sind so Gespräche z. B. unter Verwendung eines offenen SIP-Servers weltweit kostenlos. Einige VoIP-Anbieter beschränken jedoch den Bereich der kostenlosen Telefonie auf Nutzer, die sich bei ihnen oder einem ihrer Partner registriert haben. Auch in dem Fall bleibt dem Anwender zur gesprächsgebührenfreien Telefonie aber die Möglichkeit der direkten Adressierung seines Gesprächspartners über die IP-Adresse ohne Inanspruchnahme eines VoIP-Dienstanbieters.

Für Anrufe aus dem Internet zu einem Teilnehmer im klassischen Telefonnetz wird ein Gateway benötigt, das die Verbindung bewerkstelligt. Für dessen Nutzung entstehen Kosten, die sich aus der Bereitstellung der Infrastruktur sowie den Gesprächsgebühren im Telefonnetz zusammensetzen.

Bei Auslandsgesprächen zu einem Teilnehmer im klassischen Telefonnetz ist der Standort des Gateways entscheidend: Bis zum Gateway wird der günstige Internetzugang benutzt, danach gelten die Telefonpreise des Gatewayanbieters.

Wird für die IP-Telefonie ein vorhandenes Unternehmensnetz benutzt, entstehen keine gesprächsdauerabhängigen Verbindungskosten. Neben den Kosten für VoIP-fähige Netzkomponenten (Router und LAN Switch) sind die anteiligen Kosten für die Netzbandbreite in eine Wirtschaftlichkeitsbetrachtung einzubeziehen. Die erforderliche Bandbreite ergibt sich aus der vom verwendeten Codec abhängigen Bandbreite pro Gespräch und der zu erwartenden Anzahl gleichzeitiger Gespräche.

Durch die Integration der Sprachdatenübertragung in das IP-Netz ergeben sich neue Herausforderungen an die IT-Sicherheit.

Die VoIP-Pakete werden über ein so genanntes „Shared Medium“ übertragen, also über ein Netz, welches sich mehrere Teilnehmer und unterschiedliche Dienste teilen. Unter gewissen Voraussetzungen kann es Angreifern möglich sein, die Daten auf dem Übertragungsweg abzugreifen und das Gespräch aufzuzeichnen. Es existieren beispielsweise Programme, mit deren Hilfe der Datenstrom auch aus geswitchten Umgebungen mittels „ARP-Spoofing“ abgegriffen und daraus wieder eine Audiodatei erzeugt werden kann.

Zwar besteht die Möglichkeit, die Übertragung mit Secure Real-Time Transport Protocol (SRTP) zu verschlüsseln, jedoch wird dies häufig von den Anwendern nicht genutzt, da die meisten Voip Anbieter es nicht unterstützen wollen. Einerseits liegt dies sicherlich auch an der Unkenntnis über diese Möglichkeit, andererseits kann eine Verschlüsselung auch die Sprachqualität beeinträchtigen, weshalb sich häufig Anwender zu Gunsten der Sprachqualität gegen die höhere Sicherheit entscheiden.

Das oftmals eingesetzte SIP-Protokoll kann ebenso nicht in allen in der Praxis anzutreffenden Formen als hinreichend sicher betrachtet werden. Es verfügt zwar über Sicherheitsmechanismen (bspw. Call-IDs auf der Basis von Hashes), bietet jedoch Angriffsmöglichkeiten für DoS-Attacken.

Ein anderer sicherheitsrelevanter Bereich ist zwar nicht ausschließlich auf diese Technik begrenzt, wird jedoch durch die geringen Kosten, die für die Gespräche anfallen, begünstigt. So besteht die Möglichkeit einer Art von „VoIP-Spam“, auch SPIT („Spam over Internet Telephony“) genannt.

Beim Vishing, dem Pendant zum Phishing, leiten Kriminelle arglose Bankkunden auf gefälschte Hotlines weiter, um sich deren Passwörter zu erschleichen.

Außerdem könnte das Phreaking mit VoIP sozusagen ein Revival erleben. Das Szenario beruht darauf, dass bei der VoIP-Kommunikation die Signalisierung (bsp. SIP) von den Sprachdaten (Payload, bsp. RTP) entkoppelt ist. Zwei speziell präparierte Clients bauen über den SIP-Proxy ein Gespräch auf und verhalten sich absolut standardkonform. Nach dem Gesprächsaufbau wird dem SIP-Proxy ein Gesprächsabbau signalisiert. Dieser sieht die Sitzung als beendet an und verbucht das Gespräch. Einzig der RTP-Datenstrom wird von den Clients aufrechterhalten. Die Gesprächspartner telefonieren dann kostenlos weiter.

Durch den Wegfall der klassischen Telefonleitungen stellt das lokale Datennetz in Firmen einen Single Point of Failure für die Kommunikation der Mitarbeiter dar. Waren diese ohne VoIP bei einem Ausfall einer Netzkomponente wie einem Switch oder Router noch telefonisch erreichbar ist dies mit VoIP nicht mehr der Fall, beziehungsweise nur noch eingeschränkt über Mobiltelefone. Eine Investition in ein redundantes Netz kann dieses Risiko verringern.

In klassischen (leitungsvermittelnden) Telefonnetzen wurden Anschlüsse mit einer Amts-Fernspeisung betrieben, die den Anschluss unabhängig von der lokalen Stromversorgung mit Energie versorgt. Während diese Fernspeisung für Endgeräte an analogen Teilnehmeranschlüssen noch für einen Vollbetrieb, bei ISDN für ein einzelnes Endgerät im Notbetrieb ausreichend ist, ist sie für eine Energieversorgung von Geräten zum Betrieb von VoIP (z.B. Router, Terminals) aber ungenügend.

Soll die VoIP-Funktionalität auch bei einem lokalen Energieausfall an diesen Anschlüssen weiterhin möglich sein, so müssen sämtliche Bauteile, DSL-Modems, Router, VoIP-Endgeräte, durch eine Unterbrechungsfreie Stromversorgung abgesichert werden.

Eine ähnliche Situation besteht allerdings bei vielen modernen analogen Telefonen. Vor allem die meisten Schnurlostelefone funktionieren ebenfalls nicht ohne lokale Stromversorgung der Basisstation.

Da die Telefonnummer nicht zwingend ortsgebunden ist, ist eine Lokalisierung des Anrufenden nur eingeschränkt möglich. Problematisch ist das vor allem bei Notrufen, die möglichst von der nächstgelegenen Leitstelle entgegengenommen werden sollen. Es betrifft außerdem Angebote, die geografische Einwahlnummern besitzen um regionsspezifische Informationen bereitzustellen (Auskunfsdienste, Service- oder Callcenter, Sonderrufnummern).

Näheres siehe: Notrufe in VoIP-Netzen.

Zum Seitenanfang



Source : Wikipedia