Im Netzwerk Insider vor 20 Jahren: SIP und Firewalls

Die Situation vor 20 Jahren

Damals wie heute war eine funktionierende Kommunikation für Unternehmen überlebenswichtig. Und auch Voice-over-IP (VoIP) war nicht unbekannt. Man nutzte also IP-Geräte, damals noch häufig IP-Telefone, zur Kommunikation. Als Protokoll kamen dabei in den meisten Fällen zumindest für die Signalisierung SIP (Session Initiation Protocol) und SDP (Session Description Protocol) zum Einsatz.

Das Spannende: Die eigentlichen Gespräche zwischen zwei Kommunikationspartnern erfolgten dabei über dynamische UDP-Ports, die zuvor ausgehandelt wurden. Aber schon damals waren Firewalls zur Absicherung und Network Address Translation (NAT) eher die Regel als die Ausnahme – öffentliche IP-Adressen für alle internen Geräte hatten nur die wenigsten Unternehmen. Zusätzlich kamen SIP Proxies zum Einsatz, um die Verbindungen zu verwalten.

Und darin liegt eine Herausforderung: Die internen Geräte und die SIP Proxies mussten vor Zugriffen von außen geschützt werden. „Kein Problem“, denkt man, „wir haben doch eine Firewall!“ Aber Firewalls und dynamische Ports vertragen sich nicht wirklich gut. Um alle dynamischen Ports zu ermöglichen, müsste die Firewall alle möglichen Ports öffnen. Wie damals im Artikel formuliert: „Eine Firewall, die den ganzen infrage kommenden Portbereich ständig offen halten würde, verdiente den Namen Firewall nicht.“

Es kamen vor 20 Jahren die ersten Firewalls auf den Markt, die genau dieses Problem gelöst haben und mit dem SIP-Protokoll umgehen konnten. Der SIP-Traffic wurde analysiert, und die notwendigen Ports immer temporär für die Dauer einer Kommunikation geöffnet. Dabei wurden auch andere Informationen der Kommunikation modifiziert, insbesondere IP-Adressen.

Die Situation heute

Auch heute ist SIP noch sehr verbreitet. Und die Nutzung dynamischer Ports für Kommunikation ist ebenfalls nicht selten. Moderne Firewalls sind heute aber in den allermeisten Fällen SIP-fähig. Spätestens seit 2009 Gartner den Begriff der „Next-Generation Firewall“ (NGFW) geprägt hat, gehören zusätzliche Funktionen wie SIP-Fähigkeit bei Firewalls zum guten Ton.

Eine weitere interessante Entwicklung ist der Wechsel hin zu Cloud-basierten (und leider häufig proprietären) Kommunikationslösungen, die zumindest Unternehmens-intern viele Aufgaben übernommen haben, aber auch eine bequeme Kommunikation mit externen Teilnehmern ermöglichen. Wenn schon nicht über die zugehörige App, dann zumindest über den Browser. Klar, ein Ersatz für das klassische Telefon ist das nicht, aber auch hier gibt es Möglichkeiten, die beiden Ansätze zu verbinden.

Daher ist die Problematik von damals auf technischer Ebene gelöst. Betrieben werden muss die Technik aber trotzdem. Und was wir damals gelernt haben, ist heute in anderen Bereichen nicht wegzudenken. Dynamische Ports sind bei Kommunikationslösungen und anderen Anwendungen auch jenseits von SIP nichts Ungewöhnliches.

Fazit

Die Herausforderungen der dynamischen Port-Nutzung bei VoIP, damals vor allem in Verbindung mit SIP, haben wir in den letzten 20 Jahren recht erfolgreich gelöst und auch auf andere Anwendungen ausgedehnt. Sofern wir nicht IP ablösen und durch etwas ganz anderes ersetzen, ist es schwer vorstellbar, dass sich hier in den nächsten 20 Jahren etwas ändert.