D-Kanalfilter

Das D-Kanal-Filter dient zur Absicherung digitaler TK-Anlagen gegen Manipulationsmöglichkeiten aus dem öffentlichen Netz.

Der D-Kanal wird bei ISDN als getrennter Signalisierungskanal für die Steuerung der Verbindung verwendet. Um die eigentliche Übertragung der Nutzdaten über die B-Kanäle (Basiskanäle) nicht zu beeinflussen, werden sämtliche Steuerinformationen, die zum Verbindungsaufbau und -abbau und zur Signalisierung von Diensten und Dienstmerkmalen benötigt werden, über den D-Kanal übermittelt. Für den Austausch von Steuerinformationen zwischen der zuständigen digitalen Vermittlungstelle des öffentlichen Netzes und der TK-Anlage kommen standardisierte Übertragungsprotokolle (D-Kanal-Protokolle) zur Anwendung.

Für die Teilnehmer ist der D-Kanal im Allgemeinen nicht nutzbar. Er bietet jedoch Angriffspunkte für Manipulationsversuche. So kann ein Angreifer versuchen, über entsprechende Befehlssequenzen Dienste und Leistungsmerkmale zu aktivieren, die er missbrauchen kann, oder den D-Kanal zur verdeckten Informationsübermittlung zu nutzen.

Einige Beispiele für den Missbrauch sind:

• unbemerkte Aktivierung der Freisprecheinrichtung ermöglicht die akustische Überwachung des Raumes,
• Missbrauch der Funktion "Durchwahl vom Amt ins Amt", um auf Kosten des Nutzers der TK-Anlage von einem externen Apparat weltweit zu telefonieren,
• Versuche, über den D-Kanal im Rahmen einer gewöhnlichen ISDN-Verbindung zusätzliche Programme in die TK-Anlage einzuschleusen, die die beabsichtigten Wirkungen auslösen (vergleichbar mit Viren und Trojanischen Pferden in der Computerwelt),
• missbräuchlicher Zugang zu den gespeicherten Verbindungsdaten,
• Beeinträchtigung des Betriebs der TK-Anlage bis hin zum Totalausfall.

Einen wirkungsvollen Schutz zur Abwehr der skizzierten Bedrohungen bietet ein D-Kanal-Filter. Mit diesem Filter werden sämtliche Informationen im D-Kanal zwischen Amtsanschluss und TK-Anlage in beiden Richtungen (kommende und gehende Verbindungen) jeweils paketweise überprüft und mit vorgegebenen Einstellungen (Filterregeln) verglichen.

NT=Amtsanschluss (Netz); TE=Telekommunikationsanlage (Teilnehmerseite). (Grafik: Rohde & Schwarz/SIT)

Grundprinzip der Filterung ist: Alle Dienste und Leistungsmerkmale, die für beliebige Rufnummern nicht explizit freigegeben werden, sind gesperrt!

Man unterscheidet zwei Arten von Filterregeln:

• protokollbezogene Filterregeln zur Gewährleistung der Konformität der im D-Kanal übertragenen Informationen mit den ISDN-Protokollen,
• teilnehmerbezogene Filterregeln zur Zuordnung der freizugebenden Dienste und Leistungsmerkmale zu den Rufnummern der Teilnehmer (externe und interne).

Die Reaktion des Filters auf erkannte Verletzungen der Filterregeln besteht in der Protokollierung der Verletzung und einer Reaktion, die von der Art der Verletzung der Filterregeln abhängig sein kann (z.B. Auslösung eines definierten Alarms, Verbindungsabbruch). Alle D-Kanal-Pakete, die die Filterregeln nicht verletzt haben, werden an die empfangende Seite weitergereicht.

Damit besteht die Schutzwirkung eines D-Kanal-Filters in der

• Verhinderung der unbefugten Nutzung von Diensten und Leistungsmerkmalen des ISDN,
• zusätzlichen Kontrolle der Konfiguration der TK-Anlage,
• Verhinderung der unbewussten Fehlleitung,
• Verhinderung einer verdeckten Informationsübertragung im D-Kanal des ISDN,
• Erkennung und Verhinderung von Angriffen von Innen- und Außentätern.

(Letzte Änderung: 20.6.98)