pogonici - stock.adobe.com
Grundwissen zur WebRTC-Sicherheitsarchitektur
WebRTC ist eine sichere Technologie für die Echtzeitkommunikation. Die Sicherheit hängt auch von der Anwendung ab, die sie verwendet. So gewährleisten Entwickler die Sicherheit.
Web Real-Time Communications ist der sicherste offene Standard für Echtzeitkommunikation. Der Grad der Sicherheit, der durch seine Verwendung erreicht wird, hängt jedoch in mehrfacher Hinsicht von der verwendeten Anwendung und der WebRTC-Sicherheitsarchitektur ab.
Um dies besser zu verstehen, sollten wir zwei Fragen beantworten:
- Warum ist WebRTC sicher?
- Warum die Anwendung diese Sicherheit gewährleisten muss?
Warum ist WebRTC sicher?
WebRTC wurde vor etwa 11 Jahren entwickelt. Damals gab es das Internet schon seit geraumer Zeit. Das Smartphone war weit verbreitet und erfreute sich weltweit wachsender Beliebtheit und Akzeptanz. WebRTC kam in diese Umgebung mit dem Ziel, moderne Kommunikation zu ermöglichen. Ein Teil der Idee war es, Sicherheit zu bieten. So war es damals das einzige Echtzeit-Kommunikationsprotokoll, das eine verschlüsselte Kommunikation ermöglichte. Man konnte sich nicht einmal gegen die mediale Verschlüsselung entscheiden.
WebRTC war von Anfang an für den Einsatz in Webbrowsern gedacht, die unsere Fenster zum Internet und zur Kommunikation mit Menschen sind. Angesichts von Milliarden von Nutzern nehmen die Browser-Anbieter die Sicherheit ernst. Moderne Browser sind so sicher wie möglich, mit Sandboxing-Technologien, automatischen Upgrades und proaktiven Sicherheits-Patches.
Google ist mit der am weitesten verbreiteten WebRTC-Bibliothek an der Spitze. Die gleiche Bibliothek wird auch in den Browsern Chrome und Edge verwendet. Das bedeutet, dass Entwickler überall diese Implementierung in ihren eigenen Anwendungen nutzen können.
Woran hapert es bei der WebRTC-Sicherheit?
Als Technologie ist WebRTC sicher, aber es kommt in mehrfacher Hinsicht auf die Anwendung an, die es verwendet. Die Abhängigkeit von WebRTC von der Anwendung kommt in Form der Signalisierung. WebRTC verfügt über keinen eigenen Signalisierungsmechanismus und nutzt daher die Webanwendung zum Senden und Empfangen seiner Signalisierungsnachrichten und -logik.
Bei jeder Anwendung liegt die größte Sicherheitsbedrohung in ihrem schwächsten Glied. Es spielt keine Rolle, wie stark die anderen Verbindungen sind – sie können geknackt werden, wenn anderswo ein Bedrohungsvektor gefunden wird. Das bedeutet, dass es an den Entwicklern von Webanwendungen liegt, ihre WebRTC-Implementierungen zu sichern.
Die Rolle der Anwendung bei der Sicherung von WebRTC
Wie wir gesehen haben, muss sich eine WebRTC-Anwendung selbst absichern. Dazu müssen die Entwickler verstehen, wie die Sicherheit in WebRTC gehandhabt wird, und gewährleisten, dass sie ihre Anwendungen mit denselben Standards im Hinterkopf entwickeln. Dazu gehört das Absicherung des Signalisierungskanals und die Garantie, dass Medienserver, TURN-Server und Anwendungsserver nicht anfällig für Bedrohungen sind.
WebRTC zeigt den Entwicklern, was sie tun müssen, aber sie müssen aufpassen.
Was müssen Unternehmen tun, um ihre WebRTC-Kommunikation zu sichern?
Unternehmen müssen sich bei der Sicherung ihrer WebRTC-Kommunikation auf zwei Dinge konzentrieren:
- Sie müssen Anbieter suchen und bestimmen, mit wem sie zusammenarbeiten. Wie bei jedem anderen Anbieterauswahlprozess kommt es darauf an, welche Metriken zur Bewertung von Kommunikationsanbietern verwendet werden und ob sie auf die Anforderungen anwendbar sind. Die Anforderungen müssen Sicherheitsaspekte berücksichtigen und dürfen sich nicht blind auf den Anbieter verlassen.
- Seien Sie sich bewusst, dass die Anwender innerhalb des Unternehmens wahrscheinlich andere Kommunikationsdienste nutzen, von denen einige WebRTC verwenden. Diese nicht genehmigten Dienste werden auf die eine oder andere Weise eingesetzt. Der Versuch, sie zu blockieren, ist eine Übung in Vergeblichkeit, die die Mitarbeiter nur noch mehr frustriert. Unternehmen, die sich bei der Weiterleitung und Kontrolle des Webverkehrs auf VPNs verlassen, müssen eines wählen, das den WebRTC-Verkehr ausreichend versteht, um ihn ordnungsgemäß weiterzuleiten und die Browserrichtlinien entsprechend neu konfigurieren. Erlauben Sie UDP-Datenverkehr, um das VPN und die Firewall zu durchqueren, damit die WebRTC-Kommunikation bei Bedarf funktioniert.