Unternehmensspezifische Herausforderungen Lösung www

SIPassure™ ist ein VoIP Security Gateway, eine neue Produktklasse, welche die besten Funktionsmerkmale einer Unternehmens-Firewall, eines Application Layer Gateways (ALG) und
eines Session Border Controllers (SBC) technologisch vereint, um so neuartige Sicherheit für
VoIP-Anwendungen zu ermöglichen. SIPassure wurde konzipiert, um alle auf dem Session
Initiation Protocol (SIP) basierenden Anwendungen zu schützen, einschließlich VoIP-Services,
Videokonferenzen und andere Echtzeit-basierte Kommunikationsanwendungen.
• SIP NAT/PAT-Traversal – Verbergen
interner LAN-Adressen
• Verbesserte Autorisierungsservices –
Schutz vor Registrierungsangriffen,
Call-Termination-Angriffen und anderen
Bedrohungen durch separate Autorisierung
aller sensiblen Vorgänge
• Verschlüsselungsunterstützung –
Standardisierte Verschlüsselung mittels TLS,
SRTP und ZRTP
• Integration des BorderWare Security
Network (BSN) – globaler Schutz vor
Bedrohungen durch Bereitstellung von
Informationen in Echtzeit für eine proaktive
Verteidigung gegen die stetig wachsende
Flut von Bedrohungen
• SIP & RTP Proxy Separation –
Gesteigerte Skalierbarkeit mittels
Lastverteilung, dem so genannten Load
Balancing, um den Bedürfnissen jedes
Unternehmens gerecht zu werden
• SIP Proxy Failover – Minimierung von
Serviceausfällen und Gewährleistung von
Hochverfügbarkeit und Fehlertoleranz
Produktvorteile
• Bezahlbar – Alternativlösungen erfordern
firmeneigene Session Border Controller (SBCs)
zu einem Preis, der für die meisten
Unternehmen unerschwinglich ist, für
Telefonnetzbetreiber ist dies zudem eine
kostengünstige Alternative
• Skalierbar – konzipiert, um an die
Bedürfnisse jedes Unternehmens oder
Telefonnetzbetreibers angepasst zu werden
• Extrem sicher – vereint die besten
Funktionsmerkmale einer UnternehmensFirewall, eines Application Layer Gateways
(ALG) und eines Session Border Controllers
(SBC), um VoIP-basierte Bedrohungen
abzuwehren
Unternehmensspezifische Herausforderungen
VoIP-Dienste bringen die Flexibilität von IP-Netzwerken in einen bereits etablierten Service:
die Sprachtelefonie. Um die Vorteile von VoIP nutzen zu können, muss ein VoIP-System mit
einem IP-Netzwerk verbunden werden, üblicherweise dem Internet. Die potentiellen Vorteile
sind überzeugend, es besteht jedoch die realistische Gefahr, mit diesen Vorteilen auch die
Bedrohungen und Schwächen des Internets mit zu übernehmen.
Die Bedrohungen in Bezug auf Internet und E-Mails sind hinreichend bekannt und
zahlreiche etablierte Anbieter vertreiben spezielle Sicherheitslösungen, die Schutz bieten
sollen. Die Bedrohungen für den aufstrebenden VoIP-Markt sind hingegen weniger bekannt,
aber nicht weniger real. Zu diesen Bedrohungen gehören: Zugriffsversuche, Denial-ofService-Attacken (DoS-Attacken), die den Dienst unterbrechen können, Content-Angriffe
mit unerwünschten und bösartigen Inhalten (d.h. Spam und Malware) und eine Reihe von
anwendungsspezifischen Angriffen wie Call Termination, Call Redirection, Call Spoofing und
unbefugtes Call Monitoring.
Werden Bedrohungen für ein VoIP-System ignoriert, führt dies zum völligen Serviceausfall
und zum Vertrauens- und Integritätsverlust, was erhebliche finanzielle Verluste und die
rechtliche Haftung zur Folge hat. Die von vielen VoIP-Nutzern gewählte Kompromisslösung,
diesen Dienst auf das geschützte interne Netzwerk zu beschränken oder externe VoIPVerbindungen auf das unternehmenseigene VPN zu verbannen, ist keine praktikable Lösung,
da sie viele Vorteile von VoIP zunichte macht. Zudem ist diese Lösung nicht skalierbar und
erfordert zusätzliche Investitionen, die in vielen Fällen größer sind, als die erforderlichen
Investitionen für die Berücksichtigung der zugrunde liegenden Sicherheitsaspekte.
BORDERWARE SIPASSURE™ DATENBLATT
Produktmerkmale
Lösung
SIPassure ist das erste VoIP Security Gateway überhaupt – eine neue Produktklasse, welche
die besten Funktionsmerkmale eines Application Layer Gateways (ALG) und eines Session
Border Controllers (SBC) vereint. SIPassure ermöglicht und schützt IP-konvergente
Kommunikation, indem es SIP-basierte Anwendungen wie VoIP, Video und IM Netzwerke
durchqueren lässt, ohne die interne Unternehmensinfrastruktur zu exponieren. SIPassure
unterstützt und schützt außerdem die neueste Generation präsenzbasierter Anwendungen.
Präsenzbasierte Anwendungen ergänzen VoIP und andere Dienste, indem sie dafür sorgen,
dass Anrufe umgeleitet werden, wenn Benutzer ihren Standort ändern. Die Fähigkeit von
Präsenzanwendungen zur Steuerung von Rufumleitungen macht sie besonders anfällig
gegenüber Missbrauch. SIPassure gewährleistet, dass Unternehmen, die SIP-basierte
Anwendungen in dieser Form einsetzen, vor Missbrauch und Dienstausfällen, vor internen
und externen bösartigen Angriffen, Interference Spam und ähnlichen Bedrohungen
geschützt sind. SIPassure setzt neue Maßstäbe hinsichtlich des Preis-/Leistungsverhältnisses
für den Unternehmens- und Telefonnetzbetreibermarkt.
www.borderware.com
Umfassender Schutz vor Missbrauch und
Ausfällen – Sicherheit auf Anwendungsebene
Wie alle Internet-Anwendungen ist auch SIP seinen eigenen,
anwendungsspezifischen Angriffen ausgesetzt und äußerst anfällig für
Missbrauch und Serviceausfälle. Die verschiedenen Angriffsarten reichen von
sehr offensichtlichen für den Endnutzer bis zu weniger offensichtlich, die aber
ein umso größeres Gefahrenpotential für die Anwendungsprotokolle bergen.
In dieser Hinsicht unterscheidet sich SIP in keiner Weise von anderen
Netzwerkanwendungen. SIPassure schützt vor anwendungsspezifischen
Angriffen, darunter auch einige bekannte Angriffsarten wie Spam und
Connection (oder Call) Flooding, und einer Reihe von protokollspezifischen
Angriffen. Außerdem schützt SIPassure vor Angriffen, die auf manipulierten,
unzulässigen Protokollanfragen, Call-Transfer-Angriffen, Call Hijacking und
Gebührenbetrug basieren.
Schutz vor Bedrohungen auf Netzwerkebene
Ähnlich wie bei allen Internet-Anwendungen sind auch SIP-Server einer
Vielzahl von Angriffen auf Netzwerkebene ausgesetzt. SIPassure schützt vor
diesen Angriffen, wie zum BeispielAngriffe mit manipulierten Paketen,
Connection Floods und Port-Scans. Die Mehrzahl dieser Angriffe sind
Denial-of-Service-Attacken; das Versäumnis, sich gegen solche DoS-Attacken
zu schützen, hat unweigerlich den Serviceausfall zur Folge. BorderWare kann
auf eine über zehnjährige Erfahrung hinsichtlich der Entwicklung von
Firewall-Sicherheitslösungen für Internet- und E-Mail-Anwendungen
zurückblicken und kennt sich mit den speziellen Bedrohungsarten, die für viele
Anbieter von VoIP-Sicherheitslösungen und Endverbraucher neu sind,
bestens aus.
Dynamisches Management – Zukunftsweisende
Konnektivität und Sicherheit
SIPassure wird an der Netzwerkgrenze oder in einer demilitarisierten Zone
(DMZ) eingesetzt, verwaltet sämtliche eingehenden und ausgehenden
SIP-Verbindungen und wendet dabei NAT-Zugriffsregeln und andere
festgelegte Richtlinien (Policies) an. SIPassure verwaltet eingehende und
ausgehende SIP-Anfragen dynamisch und leitet den Datenverkehr bei voller
Zugriffskontrolle und Authentifizierung in Echtzeit zum entsprechenden Ziel.
SIPassure bietet höchste Sicherheit durch Authentifizierung aller registrierten
Nutzer und gewährleistet, dass sämtliche SIP-Befehle und verwandte Daten
geschützt sind und gleichzeitig die Dienstgüte sichergestellt ist.
Verschlüsselungsdienste
Es ist hinreichend bekannt, dass das konventionelle Telefonsystem
abgehört werden kann, obwohl dies nicht einfach ist und in den
meisten Ländern eine offizielle Genehmigung erfordert. Das Abhören
von VoIP-Diensten ist nicht nur viel einfacher, sondern von offizieller
Perimetersicherheit auf Firewall-Niveau
NAT-Traversal über Firewalls von Fremdherstellern zu ermöglichen ist mit
Schwierigkeiten verbunden. Daher wurde SIPassure für Netzwerksicherheit auf
Firewall-Niveau konzipiert. Dies eröffnet zusätzliche Einsatzmöglichkeiten, weil
SIPassure als dediziertes Sicherheits-Gateway fungieren kann, das die gesamte
SIP-basierte Protokollsicherheit managed und Schutz vor einer ganzen Reihe
verschiedener Bedrohungsklassen beinhaltet.
Schutz vor Stack- und Buffer-Overflows
Sicherheitslücken wie Stack- und Buffer-Overflows, sind der InternetSicherheitscommunity wohl bekannt und man schätzt, dass sie über 60 % aller
gemeldeten Sicherheitslücken ausmachen. Ein Stapel- oder Pufferüberlauf tritt
auf, wenn eine Netzwerkanwendung Daten in einem Speicherbereich ablegt,
der zu klein ist. Die Folge ist, dass die Daten andere Speicherbereiche
überschreiben. Wenn die überschriebenen Speicherbereiche ausführbaren
Code enthalten, besteht eine Sicherheitslücke, die es einem Angreifer
ermöglicht, die Kontrolle über das System zu übernehmen. Derartige
Sicherheitslücken werden ausgenutzt, indem speziell formatierte Daten mit
ausführbaren Code an genau die richtige Stelle gesendet werden. Nahezu jede
jemals programmierte Internet-Anwendung zeigt Anfälligkeiten für einen
Buffer-Overflow, das SIP-Protokoll macht hier keine Ausnahme. SIPassure schützt
gegen Malware, die derartige Sicherheitslücken ausnutzen soll.
Inhalte filtern
Bei den meisten Internet-Anwendungen werden sowohl eingehende als
auch ausgehende Inhalte gefiltert. Content Filtering dient der Abwehr
unerwünschter und unangemessener Inhalte bzw. zur Umsetzung von
Kontrollmaßnahmen für Compliance-Richtlinien. SIPassure untertützt
uneingeschränkt das Filtern von Inhalten bei Instant Messaging und anderen
textbasierten Anwendungen.
Richtlinienkontrolle (Policy Kontrolle)
Kontrollmaßnahmen hinsichtlich der Richtlinien (Policies) sind ein
zentraler Aspekt aller Bemühungen Sicherheit zu gewährleisten.
SIPassure-Policies regeln, wer welche Dienste nutzen darf, den
Umfang dieser Dienstnutzung und den Informationstyp, den
die Nutzer übermitteln dürfen. Die Tatsache, dass eine
Kommunikationsanwendung über SIP läuft anstatt über ein anderes
Protokoll, hat keinen Einfluss auf die Umsetzung einer internen oder
externen Policy für diese Anwendung.
Hauptsitz. +1.905.804.1855 | Gebührenfrei. +1.877.814.7900 | US A. +1.866.211.6789 | Europa. +44.20.8759.1999
www.borderware.com
©2006 BorderWare Technologies Inc. Alle hier gezeigten Produktfotos dienen nur Referenzzwecken und wir behalten uns das Recht vor, diese ohne vorherige Ankündigung zu ändern. Internet Communications
Made Safe, BorderWare, MXtreme, SIPassure, S-Core und entsprechende Kennzeichnungen sind Marken von BorderWare Technologies Inc. Andere erwähnten Produkte bzw. Firmennamen sind Marken oder
eingetragene Marken ihrer jeweiligen Inhaber. Januar 2007
Printed in Canada. Doc No.: SIPASSUREDataA40107
SIPassure beinhaltet NAT (Network Address Translation) Traversal-Services, die
unentbehrlich sind, wenn SIP-Services in einem durch eine Firewall
geschützten Netzwerk genutzt werden sollen. Während es bei NAT-T darum
geht, lokale Firewalls zu passieren, beinhaltet SIPassure auch die Unterstützung
von Far-End NAT-T, um Firewalls an entfernten Standorten passieren zu
können. Dies ist von Bedeutung, wenn ein Anruf von einem SIP-Gerät ab- oder
eingeht, dass durch eine entfernte Firewall geschützt ist. Ein Beispiel ist die
Bereitstellung von VoIP-Diensten für Telearbeiter an Standorten, die durch
einfache Firewalls ohne spezifische SIP-Unterstützung geschützt sind.
Seite auch nicht kontrollierbar – und daher ähnlich wirkungslos wie die
Gesetzgebung zur Eindämmung von Spam. Lauschangriffe auf VoIP kommen
aus zahlreichen Quellen, wie beispielsweise böswilligen Nutzern, Konkurrenten,
einem gezielten externen Angriff oder auch von Spyware, die auf einem internen PC installiert ist. Wurde ein Anruf erst einmal abgefangen, wird er
gespeichert, per E-Mail versendet oder sogar auf einem Webserver
veröffentlicht und nach Datum, Anrufer und Angerufenem sortiert. SIPassure
schützt vor einem solchen Angriff, indem sowohl der Datenstrom für den
Verbindungsaufbau (SIP) als auch der Sprachdatenstrom (RTP) verschlüsselt
werden. SIPassure setzt eine standardisierte Verschlüsselung ein, um
Kompatibilität zu Softphones und SIP-Telefonen zu gewährleisten, und
beinhaltet die Software Zfone, eine Umsetzung des Protokolls ZRTP vom
PGP-Entwickler Phil Zimmermann, die Management und Einrichtung
vereinfacht, indem sie ein komplexes Schlüsselmanagement vermeidet.
BORDERWARE SIPASSURE™ DATENBLATT
NAT-T & Far-End NAT T