Suchen

Technologien für Unified Communications & Collaboration unter der Lupe

Fixed Mobile Convergence (FMC) – Erreichbarkeit kontra Sicherheit

Seite: 11/13

Firmen zum Thema

Maßnahmen Server und Anwendungen – Authentisierung zwischen Endgerät und Server

Neben den Maßnahmen zur Absicherung der Endgeräte gilt es auch deren Endpunkte sowie die Kommunikation zwischen beiden abzusichern. Eine Auswahl von Maßnahmen wird im Folgenden kurz dargestellt.

Je nach FMC-Variante, ob als Erweiterung einer bestehenden TK-Anlage oder als Dienst des Mobilfunkbetreibers, sollte eine gegenseitige Authentisierung zwischen mobilem Endgerät und der jeweiligen zentralen Komponente (FMC Controller) stattfinden. Erst anschließend sollte der Nutzer die Dienste des FMC-Systems in Anspruch nehmen dürfen. Für die Authentisierung kommen beispielsweise zertifikatsbasierte Verfahren in Betracht.

Erwähnenswert ist in diesem Zusammenhang die GAN-Lösung, die ja FMC als Erweiterung eines Mobilfunknetzes realisiert. Die Absicherung in GAN erfolgt über IPsec (siehe Abbildung 11), und für den Aufbau der IPsec Security Association (SA) zwischen Mobilstation und GANC des Mobilfunkbetreibers wird im Rahmen des Schlüsselaustauschs eine gegenseitige Authentisierung von Mobilstation und GANC durchgeführt. Diese Authentisierung erfolgt über das Extensible Authentication Protocol (EAP) entweder mit der Methode EAP-SIM für GSM oder EAP-AKA für UMTS. Konzeptionell ist dieser Ansatz durchaus als vorbildlich zu bezeichnen. In der Praxis begegnen einem GAN-basierte Lösungen allerdings noch recht selten. Erste Netzbetreiber bieten aber bereits Dienste basierend auf GAN an (beispielsweise T-Mobile in den USA mit HotSpot@Home). Außerdem unterstützen bereits diverse Smartphones GAN (etwa BlackBerry 8820).

Bildergalerie

Bildergalerie mit 15 Bildern

Maßnahmen Server und Anwendungen – Absicherung der zentralen FMC-Komponenten

Der FMC Controller muss einen Zugriff der mobilen Endgeräte gestatten. Hierzu ist diese zentrale Komponente zu härten und der Zugang entsprechend zu kontrollieren. Die Anbindung sollte über Sicherheits-Gateways (je nach Sicherheitsanforderungen eine Kombination aus Firewalls, Application Layer Gateways und Intrusion-Prevention-Systemen) erfolgen.

Maßnahmen Server und Anwendungen – Verwendung einer Ende-zu-Ende-Verschlüsselung

Bei erhöhtem Schutzbedarf ist generell der Einsatz einer Ende-zu-Ende-Verschlüsselung zwischen den beteiligten Endgeräten bzw. zwischen dem mobilen Endgerät und einem Gateway im Sicherheitsbereich der privaten lokalen TK-Anlage erforderlich. Dies gilt sogar unabhängig davon, ob ein Endgerät gerade über GSM/UMTS oder WLAN verbunden ist.

Empfohlen wird hierbei der Einsatz von AES als Verschlüsselungsalgorithmus mit mindestens 128 Bit Schlüssellänge sowie ein dynamisches Schlüsselmanagement z.B. basierend auf Zertifikaten oder dem Diffie-Hellman-Verfahren. Für die Übertragung der Sprachdaten in IP-basierten Netzen wird der Einsatz von SRTP angeraten.

Sofern sich die Anforderung ergibt, eine Ende-zu-Ende-Verschlüsselung auch im Mobilfunknetz einzusetzen, ist man in der Regel auf eine spezielle Software angewiesen, welche auf allen Endgeräten, die untereinander verschlüsselt kommunizieren wollen, eingerichtet wird. Anschließend können sowohl Sprach- als auch Datenübertragungen (z.B. Kurznachrichten) verschlüsselt über den Datenkanal des Mobilfunknetzes übertragen werden. An dieser Stelle müssen praktisch alle aktuell verfügbaren FMC-Produkte passen und für den erhöhten Schutzbedarf die Gesamtlösung dediziert durch Produkte dritter Hersteller ergänzt werden.

weiter mit: Gefährdung: Sicherheitsmaßnahmen am Netzwerk

9249120

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 2014110)