NEG – NovaTec Encryption Gateway

Sichere Verschlüsselung für ISDN und IP Verbindungen mit dem NovaTec Encryption Gateway (Verschlüsselungs-Gateway)

Aufgabenstellung:

Die zunehmende Vernetzung der geschäftlichen und privaten Kommunikation bietet ideale Angriffspunkte für Mithörer und führt daher zu einem drastischen Anstieg illegaler Angriffe auf Telefon- und Datennetze. Die Angriffe auf die vertraulichen Daten erfolgen dabei sowohl innerhalb der Unternehmen als auch von außerhalb. Der wirtschaftliche Schaden, der durch das Ausspionieren von vertraulichen Daten und Telefongesprächen entsteht, ist immens. Abhilfe kann hier nur durch die Verschlüsselung der Daten und Telefongespräche geschaffen werden.

 

Lösung:

Zur Lösung dieses Sicherheitsproblems wurde aus der erprobten NovaTec Systemfamilie das NovaTec Encryption Gateway – NEG entwickelt, das eine sichere Ende-zu-Ende Verschlüsselung für VoIP-, ISDN- und analoge Endgeräte zur Verfügung stellen kann. Hierbei können sowohl einzelne Verbindungen von ISDN-Endgeräten auf So (BRI) oder S2M (PRI), analoge Schnittstellen als auch VoIP-Verbindungen verschlüsselt werden. Dabei kommen offene Standards wie SIPS, SRTP und TLS sowie aktuelle Verschlüsselungsverfahren zum Einsatz. NovaTec stellt auch die notwendigen Werkzeuge und Server zum Aufbau Ihrer eigenen PKI (Private Key Infrastructure) zur Verfügung.

Encryption-Gateway

Verschlüsselung und Schlüsseltausch

Bei der VoIP-Telefonie über SIP/RTP wie in den NovaTec-Gateways und den meisten anderen VoIP-Produkten implementiert unterscheidet man zwischen der Signalisierungsverbindung (SIP) und den eigentlichen Nutzdaten (RTP). Die NovaTec Encryption Gateways (NEGs) nutzen zur Verschlüsselung der Verbindungen international anerkannte Standards:

 

  • Die Signalisierung (SIP) wird über eine TLSv1 bis TLSv1.2-Verbindung durchgeführt. Dabei wird automatisch das neueste von beiden Geräten unterstützte Protokoll gewählt. Unsichere Ciphersuites sind defaultmäßig deaktiviert.
  • Im TLSv1.2-Modus unterstützen die Geräte unter anderem das schnelle und sichere AES-GCM (Galois Counter Mode), RSA-Authentifizierung, Perfect Forward Secrecy durch Ephemeral Elliptic Curve Diffie-Hellman (ECDH) und Signaturen mit SHA-2.
  • Die Nutzerdaten werden bei aktivierter Verschlüsselung über die sichere Variante von RTP (Secure RTP, sRTP) übertragen. SRTP wurde spezifisch für die Verwendung zur Verschlüsselung von Sprachdaten entwickelt. Die NovaTec-Geräte verwenden dabei zur Aushandlung der Schlüssel das SDP-Verfahren gemäß RFC 4568/6188. Dabei wird der Hauptschlüssel über die SIP-Verbindung ausgetauscht, die daher bei Verwendung von sRTP auch verschlüsselt sein sollte. Bei sRTP gemäß RFC 4568/6188 wird der Datenstrom mit AES im Counter Mode mit einer Schlüssellänge von bis zu 256 Bit verschlüsselt und ein Integritätsprüfhash mittels HMAC-SHA 1 mit 32 Bit erzeugt.

 

NEG bietet größtmögliche Flexibilität

Das NovaTec-Encryption Gateway – NEG ist als ein Embedded-Hybrid-System ausgelegt. Durch die genormten Schnittstellen können sowohl Nebenstellen mit S2M (PRI) als auch einzelne analoge oder digitale Endgeräte sowie SIP-Endgeräte angeschlossen werden. So können alle Verbindungen über IP mit TLS/SIPS und sRTP verschlüsselt werden. Die Verschlüsselung kann sowohl für bestimmte Quell- bzw. Zielrufnummern nach einem konfigurierbaren Rufnummernplan oder durch Voranstellen einer frei definierbaren Ziffernkombination (Präfix) erfolgen.

Das NovaTec Encryption Gateway NEG kann als Einzelsystem in die bestehende IP- und ISDN-Verbindung des Unternehmens integriert werden. Sind bereits Systeme der NovaTec Familie vorhanden, kann das NovaTec Encryption Gateway NEG auch als Zusatzmodul nachträglich eingesetzt werden.

Zusammenfassung:

Anwendungen

  • Verschlüsselung von Sprach- und Datenverbindungen
  • Verschlüsselung von Videokonferenzen

Kunden

  • kleine, mittlere und große Unternehmen
  • Carrier
  • SOHO, Home Office mit Anbindung an die Unternehmenszentrale

Verschlüsselung

  • Signalisierung per TLSv1.2/AES bis zu 256 Bit
  • Nutzdaten per sRTP/AES bis zu 256 Bit

Flexibilität

  • Verschlüsselung für einzelne S0- oder Analogschnittstellen sowie für S2M mit 30 B-Kanälen
  • Verschlüsselung anhand der Quell- bzw. Zielrufnummer (Rufnummernplan) oder individuell durch das Voranstellen einer konfigurierbaren Ziffernkombination
  • Encryption Gateway als Einzelgerät oder innerhalb der NovaTec-Systeme als Zusatzmodul einsetzbar