Ist es sinnvoll, die Sicherheitsrisiken bei VoIP mit getrennten VLANs verringern?
Um die Sicherheit im Firmennetz zu steigern, können Sie den VoIP-Verkehr (Voice over IP) über ein eigenes Virtual Lokal Area Network (VLAN) leiten.
Ich habe über die Möglichkeit gelesen, Datenverkehr für Voice over IP (VoIP) auf separaten VLANs unterzubringen. Jetzt frage ich mich, ob diese Sicherheitsmaßnahme 2013 noch aktuell ist? Sollten wir als Standard Softphones einsetzen? Falls ja, kann mein Unternehmen sie nicht über eigene Virtual Local Area Networks (VLANs) betreiben? Es kommt für uns nämlich nicht in Frage, für jeden Rechner zwei Netzwerk-Interfacekarten (NICs) zu verwenden.
Daten- und VoIP-Verkehr auf zwei getrennten VLANs zu halten, ist eine gute Sicherheitsmaßnahme, allerdings ist das oft leichter gesagt als getan. Denn um den VoIP-Traffic von Softphones vom Datenverkehr auf einem Rechner zu trennen, braucht man eine zusätzliche NIC und einen zusätzlichen Switch-Port, was in den meisten Unternehmen nicht für Begeisterung sorgen dürfte.
Gibt es ähnlich sichere, aber wirtschaftlich überzeugendere Alternativen? Für diese Frage muss ich etwas weiter ausholen. Ich kann dabei nicht alle Variablen berücksichtigen, aber zumindest die, die Sie genannt haben.
Manche IP-Telefone verfügen über programmierbare primäre und sekundäre Ethernet-Ports. Der primäre ist für das Telefon vorgesehen, der sekundäre für den Desktop-Computer, so dass es ein eigenes Kabel zum PC gibt. Der Switch in so einer Konfiguration muss zumindest VLANs unterstützen. Um dann Unified Communications zu realisieren oder Ihre PCs/Server mit dem Telefon-System kommunizieren zu lassen, muss es ein Routing zwischen den VLANs geben. Sie brauchen eine Firewall, und die meisten davon haben eine Routing-Funktion.
Wenn es in Ihrem Netzwerk nichts von all dem gibt, dann stellt sich die Frage, warum Sie überhaupt IP-Telefone verwenden wollen? Ohne zusätzliche NIC und Switch-Port hat es keinen Sinn, auch nur zu versuchen, Softphones einzusetzen. Das ist zwar auch ohne zweite NIC möglich, doch dann werden Performance-Probleme beim PC auch die Telefonie-Anwendungen beeinträchtigen.
Die Konfiguration mit zwei NICs haben wir vor mindestens zehn Jahren mit frühen IP-Telefonanlagen getestet. Das war gut gemeint, aber es ist auf diese Weise nicht möglich, Performance-Probleme am PC zu beeinflussen oder zu verhindern, die einen Neustart des Computers nötig machen.
Softphones sind heute zuverlässiger als früher, aber die Probleme bleiben die gleichen. Ausreichend dimensionierte Desktop-Rechner sind weiterhin wichtig, aber es stehen auch andere Optionen für Softphones zur Verfügung: So können sie auf Thin Clients laufen, und es gibt viele USB-Geräte für Sprachdienste, mit denen sich die Nutzererfahrung verbessern lässt.
Damit VLANs Sinn machen, müssen Sie sie sich als „virtuelle Interessengemeinschaften“ vorstellen. Daten zum Beispiel in VLAN 1 unterzubringen und Sprache in VLAN 2 schafft die Grundlage für eine insgesamt bessere Netzwerk-Performance. Dadurch isolieren Sie die Daten-Seite von Sprache und umgekehrt. Sie wollen ja nicht, dass Warteschleifen-Musik und Paging-Verkehr Ihr Datennetz belastet.
Um eine sichere und wirtschaftlich vertretbare VoIP-Lösung zu realisieren, brauchen Sie also die folgenden Grundelemente:
- eine Firewall
- einen Router
- Managed-Layer-2-Switches
Auf diese Grundlagen können Sie in keiner Unternehmensumgebung verzichten. Ohne sie ist es nicht vertretbar, einem auf Daten ausgelegten Netzwerk zusätzlich Echtzeit-Traffic aufzubürden.