Technologien für Unified Communications & Collaboration unter der Lupe

Fixed Mobile Convergence (FMC) – Erreichbarkeit kontra Sicherheit

16.07.2008 | Autor / Redakteur: Dr. Simon Hoff, Daniel Meinhold, Dr. Michael Wallbaum / Andreas Donner

FMC-Lösungen sind sehr attraktiv, bergen aber auch enorme Sicherheitsrisiken
FMC-Lösungen sind sehr attraktiv, bergen aber auch enorme Sicherheitsrisiken

Maßnahmen Server und Anwendungen – Authentisierung zwischen Endgerät und Server

Neben den Maßnahmen zur Absicherung der Endgeräte gilt es auch deren Endpunkte sowie die Kommunikation zwischen beiden abzusichern. Eine Auswahl von Maßnahmen wird im Folgenden kurz dargestellt.

Je nach FMC-Variante, ob als Erweiterung einer bestehenden TK-Anlage oder als Dienst des Mobilfunkbetreibers, sollte eine gegenseitige Authentisierung zwischen mobilem Endgerät und der jeweiligen zentralen Komponente (FMC Controller) stattfinden. Erst anschließend sollte der Nutzer die Dienste des FMC-Systems in Anspruch nehmen dürfen. Für die Authentisierung kommen beispielsweise zertifikatsbasierte Verfahren in Betracht.

Erwähnenswert ist in diesem Zusammenhang die GAN-Lösung, die ja FMC als Erweiterung eines Mobilfunknetzes realisiert. Die Absicherung in GAN erfolgt über IPsec (siehe Abbildung 11), und für den Aufbau der IPsec Security Association (SA) zwischen Mobilstation und GANC des Mobilfunkbetreibers wird im Rahmen des Schlüsselaustauschs eine gegenseitige Authentisierung von Mobilstation und GANC durchgeführt. Diese Authentisierung erfolgt über das Extensible Authentication Protocol (EAP) entweder mit der Methode EAP-SIM für GSM oder EAP-AKA für UMTS. Konzeptionell ist dieser Ansatz durchaus als vorbildlich zu bezeichnen. In der Praxis begegnen einem GAN-basierte Lösungen allerdings noch recht selten. Erste Netzbetreiber bieten aber bereits Dienste basierend auf GAN an (beispielsweise T-Mobile in den USA mit HotSpot@Home). Außerdem unterstützen bereits diverse Smartphones GAN (etwa BlackBerry 8820).

Maßnahmen Server und Anwendungen – Absicherung der zentralen FMC-Komponenten

Der FMC Controller muss einen Zugriff der mobilen Endgeräte gestatten. Hierzu ist diese zentrale Komponente zu härten und der Zugang entsprechend zu kontrollieren. Die Anbindung sollte über Sicherheits-Gateways (je nach Sicherheitsanforderungen eine Kombination aus Firewalls, Application Layer Gateways und Intrusion-Prevention-Systemen) erfolgen.

Maßnahmen Server und Anwendungen – Verwendung einer Ende-zu-Ende-Verschlüsselung

Bei erhöhtem Schutzbedarf ist generell der Einsatz einer Ende-zu-Ende-Verschlüsselung zwischen den beteiligten Endgeräten bzw. zwischen dem mobilen Endgerät und einem Gateway im Sicherheitsbereich der privaten lokalen TK-Anlage erforderlich. Dies gilt sogar unabhängig davon, ob ein Endgerät gerade über GSM/UMTS oder WLAN verbunden ist.

Empfohlen wird hierbei der Einsatz von AES als Verschlüsselungsalgorithmus mit mindestens 128 Bit Schlüssellänge sowie ein dynamisches Schlüsselmanagement z.B. basierend auf Zertifikaten oder dem Diffie-Hellman-Verfahren. Für die Übertragung der Sprachdaten in IP-basierten Netzen wird der Einsatz von SRTP angeraten.

Sofern sich die Anforderung ergibt, eine Ende-zu-Ende-Verschlüsselung auch im Mobilfunknetz einzusetzen, ist man in der Regel auf eine spezielle Software angewiesen, welche auf allen Endgeräten, die untereinander verschlüsselt kommunizieren wollen, eingerichtet wird. Anschließend können sowohl Sprach- als auch Datenübertragungen (z.B. Kurznachrichten) verschlüsselt über den Datenkanal des Mobilfunknetzes übertragen werden. An dieser Stelle müssen praktisch alle aktuell verfügbaren FMC-Produkte passen und für den erhöhten Schutzbedarf die Gesamtlösung dediziert durch Produkte dritter Hersteller ergänzt werden.

weiter mit: Gefährdung: Sicherheitsmaßnahmen am Netzwerk

Ergänzendes zum Thema
 

Abkürzungen und ihre Bedeutung

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2014110 / Konvergenz)