Unternehmensspezifische Herausforderungen Lösung www
Transcrição
Unternehmensspezifische Herausforderungen Lösung www
SIPassure™ ist ein VoIP Security Gateway, eine neue Produktklasse, welche die besten Funktionsmerkmale einer Unternehmens-Firewall, eines Application Layer Gateways (ALG) und eines Session Border Controllers (SBC) technologisch vereint, um so neuartige Sicherheit für VoIP-Anwendungen zu ermöglichen. SIPassure wurde konzipiert, um alle auf dem Session Initiation Protocol (SIP) basierenden Anwendungen zu schützen, einschließlich VoIP-Services, Videokonferenzen und andere Echtzeit-basierte Kommunikationsanwendungen. • SIP NAT/PAT-Traversal – Verbergen interner LAN-Adressen • Verbesserte Autorisierungsservices – Schutz vor Registrierungsangriffen, Call-Termination-Angriffen und anderen Bedrohungen durch separate Autorisierung aller sensiblen Vorgänge • Verschlüsselungsunterstützung – Standardisierte Verschlüsselung mittels TLS, SRTP und ZRTP • Integration des BorderWare Security Network (BSN) – globaler Schutz vor Bedrohungen durch Bereitstellung von Informationen in Echtzeit für eine proaktive Verteidigung gegen die stetig wachsende Flut von Bedrohungen • SIP & RTP Proxy Separation – Gesteigerte Skalierbarkeit mittels Lastverteilung, dem so genannten Load Balancing, um den Bedürfnissen jedes Unternehmens gerecht zu werden • SIP Proxy Failover – Minimierung von Serviceausfällen und Gewährleistung von Hochverfügbarkeit und Fehlertoleranz Produktvorteile • Bezahlbar – Alternativlösungen erfordern firmeneigene Session Border Controller (SBCs) zu einem Preis, der für die meisten Unternehmen unerschwinglich ist, für Telefonnetzbetreiber ist dies zudem eine kostengünstige Alternative • Skalierbar – konzipiert, um an die Bedürfnisse jedes Unternehmens oder Telefonnetzbetreibers angepasst zu werden • Extrem sicher – vereint die besten Funktionsmerkmale einer UnternehmensFirewall, eines Application Layer Gateways (ALG) und eines Session Border Controllers (SBC), um VoIP-basierte Bedrohungen abzuwehren Unternehmensspezifische Herausforderungen VoIP-Dienste bringen die Flexibilität von IP-Netzwerken in einen bereits etablierten Service: die Sprachtelefonie. Um die Vorteile von VoIP nutzen zu können, muss ein VoIP-System mit einem IP-Netzwerk verbunden werden, üblicherweise dem Internet. Die potentiellen Vorteile sind überzeugend, es besteht jedoch die realistische Gefahr, mit diesen Vorteilen auch die Bedrohungen und Schwächen des Internets mit zu übernehmen. Die Bedrohungen in Bezug auf Internet und E-Mails sind hinreichend bekannt und zahlreiche etablierte Anbieter vertreiben spezielle Sicherheitslösungen, die Schutz bieten sollen. Die Bedrohungen für den aufstrebenden VoIP-Markt sind hingegen weniger bekannt, aber nicht weniger real. Zu diesen Bedrohungen gehören: Zugriffsversuche, Denial-ofService-Attacken (DoS-Attacken), die den Dienst unterbrechen können, Content-Angriffe mit unerwünschten und bösartigen Inhalten (d.h. Spam und Malware) und eine Reihe von anwendungsspezifischen Angriffen wie Call Termination, Call Redirection, Call Spoofing und unbefugtes Call Monitoring. Werden Bedrohungen für ein VoIP-System ignoriert, führt dies zum völligen Serviceausfall und zum Vertrauens- und Integritätsverlust, was erhebliche finanzielle Verluste und die rechtliche Haftung zur Folge hat. Die von vielen VoIP-Nutzern gewählte Kompromisslösung, diesen Dienst auf das geschützte interne Netzwerk zu beschränken oder externe VoIPVerbindungen auf das unternehmenseigene VPN zu verbannen, ist keine praktikable Lösung, da sie viele Vorteile von VoIP zunichte macht. Zudem ist diese Lösung nicht skalierbar und erfordert zusätzliche Investitionen, die in vielen Fällen größer sind, als die erforderlichen Investitionen für die Berücksichtigung der zugrunde liegenden Sicherheitsaspekte. BORDERWARE SIPASSURE™ DATENBLATT Produktmerkmale Lösung SIPassure ist das erste VoIP Security Gateway überhaupt – eine neue Produktklasse, welche die besten Funktionsmerkmale eines Application Layer Gateways (ALG) und eines Session Border Controllers (SBC) vereint. SIPassure ermöglicht und schützt IP-konvergente Kommunikation, indem es SIP-basierte Anwendungen wie VoIP, Video und IM Netzwerke durchqueren lässt, ohne die interne Unternehmensinfrastruktur zu exponieren. SIPassure unterstützt und schützt außerdem die neueste Generation präsenzbasierter Anwendungen. Präsenzbasierte Anwendungen ergänzen VoIP und andere Dienste, indem sie dafür sorgen, dass Anrufe umgeleitet werden, wenn Benutzer ihren Standort ändern. Die Fähigkeit von Präsenzanwendungen zur Steuerung von Rufumleitungen macht sie besonders anfällig gegenüber Missbrauch. SIPassure gewährleistet, dass Unternehmen, die SIP-basierte Anwendungen in dieser Form einsetzen, vor Missbrauch und Dienstausfällen, vor internen und externen bösartigen Angriffen, Interference Spam und ähnlichen Bedrohungen geschützt sind. SIPassure setzt neue Maßstäbe hinsichtlich des Preis-/Leistungsverhältnisses für den Unternehmens- und Telefonnetzbetreibermarkt. www.borderware.com Umfassender Schutz vor Missbrauch und Ausfällen – Sicherheit auf Anwendungsebene Wie alle Internet-Anwendungen ist auch SIP seinen eigenen, anwendungsspezifischen Angriffen ausgesetzt und äußerst anfällig für Missbrauch und Serviceausfälle. Die verschiedenen Angriffsarten reichen von sehr offensichtlichen für den Endnutzer bis zu weniger offensichtlich, die aber ein umso größeres Gefahrenpotential für die Anwendungsprotokolle bergen. In dieser Hinsicht unterscheidet sich SIP in keiner Weise von anderen Netzwerkanwendungen. SIPassure schützt vor anwendungsspezifischen Angriffen, darunter auch einige bekannte Angriffsarten wie Spam und Connection (oder Call) Flooding, und einer Reihe von protokollspezifischen Angriffen. Außerdem schützt SIPassure vor Angriffen, die auf manipulierten, unzulässigen Protokollanfragen, Call-Transfer-Angriffen, Call Hijacking und Gebührenbetrug basieren. Schutz vor Bedrohungen auf Netzwerkebene Ähnlich wie bei allen Internet-Anwendungen sind auch SIP-Server einer Vielzahl von Angriffen auf Netzwerkebene ausgesetzt. SIPassure schützt vor diesen Angriffen, wie zum BeispielAngriffe mit manipulierten Paketen, Connection Floods und Port-Scans. Die Mehrzahl dieser Angriffe sind Denial-of-Service-Attacken; das Versäumnis, sich gegen solche DoS-Attacken zu schützen, hat unweigerlich den Serviceausfall zur Folge. BorderWare kann auf eine über zehnjährige Erfahrung hinsichtlich der Entwicklung von Firewall-Sicherheitslösungen für Internet- und E-Mail-Anwendungen zurückblicken und kennt sich mit den speziellen Bedrohungsarten, die für viele Anbieter von VoIP-Sicherheitslösungen und Endverbraucher neu sind, bestens aus. Dynamisches Management – Zukunftsweisende Konnektivität und Sicherheit SIPassure wird an der Netzwerkgrenze oder in einer demilitarisierten Zone (DMZ) eingesetzt, verwaltet sämtliche eingehenden und ausgehenden SIP-Verbindungen und wendet dabei NAT-Zugriffsregeln und andere festgelegte Richtlinien (Policies) an. SIPassure verwaltet eingehende und ausgehende SIP-Anfragen dynamisch und leitet den Datenverkehr bei voller Zugriffskontrolle und Authentifizierung in Echtzeit zum entsprechenden Ziel. SIPassure bietet höchste Sicherheit durch Authentifizierung aller registrierten Nutzer und gewährleistet, dass sämtliche SIP-Befehle und verwandte Daten geschützt sind und gleichzeitig die Dienstgüte sichergestellt ist. Verschlüsselungsdienste Es ist hinreichend bekannt, dass das konventionelle Telefonsystem abgehört werden kann, obwohl dies nicht einfach ist und in den meisten Ländern eine offizielle Genehmigung erfordert. Das Abhören von VoIP-Diensten ist nicht nur viel einfacher, sondern von offizieller Perimetersicherheit auf Firewall-Niveau NAT-Traversal über Firewalls von Fremdherstellern zu ermöglichen ist mit Schwierigkeiten verbunden. Daher wurde SIPassure für Netzwerksicherheit auf Firewall-Niveau konzipiert. Dies eröffnet zusätzliche Einsatzmöglichkeiten, weil SIPassure als dediziertes Sicherheits-Gateway fungieren kann, das die gesamte SIP-basierte Protokollsicherheit managed und Schutz vor einer ganzen Reihe verschiedener Bedrohungsklassen beinhaltet. Schutz vor Stack- und Buffer-Overflows Sicherheitslücken wie Stack- und Buffer-Overflows, sind der InternetSicherheitscommunity wohl bekannt und man schätzt, dass sie über 60 % aller gemeldeten Sicherheitslücken ausmachen. Ein Stapel- oder Pufferüberlauf tritt auf, wenn eine Netzwerkanwendung Daten in einem Speicherbereich ablegt, der zu klein ist. Die Folge ist, dass die Daten andere Speicherbereiche überschreiben. Wenn die überschriebenen Speicherbereiche ausführbaren Code enthalten, besteht eine Sicherheitslücke, die es einem Angreifer ermöglicht, die Kontrolle über das System zu übernehmen. Derartige Sicherheitslücken werden ausgenutzt, indem speziell formatierte Daten mit ausführbaren Code an genau die richtige Stelle gesendet werden. Nahezu jede jemals programmierte Internet-Anwendung zeigt Anfälligkeiten für einen Buffer-Overflow, das SIP-Protokoll macht hier keine Ausnahme. SIPassure schützt gegen Malware, die derartige Sicherheitslücken ausnutzen soll. Inhalte filtern Bei den meisten Internet-Anwendungen werden sowohl eingehende als auch ausgehende Inhalte gefiltert. Content Filtering dient der Abwehr unerwünschter und unangemessener Inhalte bzw. zur Umsetzung von Kontrollmaßnahmen für Compliance-Richtlinien. SIPassure untertützt uneingeschränkt das Filtern von Inhalten bei Instant Messaging und anderen textbasierten Anwendungen. Richtlinienkontrolle (Policy Kontrolle) Kontrollmaßnahmen hinsichtlich der Richtlinien (Policies) sind ein zentraler Aspekt aller Bemühungen Sicherheit zu gewährleisten. SIPassure-Policies regeln, wer welche Dienste nutzen darf, den Umfang dieser Dienstnutzung und den Informationstyp, den die Nutzer übermitteln dürfen. Die Tatsache, dass eine Kommunikationsanwendung über SIP läuft anstatt über ein anderes Protokoll, hat keinen Einfluss auf die Umsetzung einer internen oder externen Policy für diese Anwendung. Hauptsitz. +1.905.804.1855 | Gebührenfrei. +1.877.814.7900 | US A. +1.866.211.6789 | Europa. +44.20.8759.1999 www.borderware.com ©2006 BorderWare Technologies Inc. Alle hier gezeigten Produktfotos dienen nur Referenzzwecken und wir behalten uns das Recht vor, diese ohne vorherige Ankündigung zu ändern. Internet Communications Made Safe, BorderWare, MXtreme, SIPassure, S-Core und entsprechende Kennzeichnungen sind Marken von BorderWare Technologies Inc. Andere erwähnten Produkte bzw. Firmennamen sind Marken oder eingetragene Marken ihrer jeweiligen Inhaber. Januar 2007 Printed in Canada. Doc No.: SIPASSUREDataA40107 SIPassure beinhaltet NAT (Network Address Translation) Traversal-Services, die unentbehrlich sind, wenn SIP-Services in einem durch eine Firewall geschützten Netzwerk genutzt werden sollen. Während es bei NAT-T darum geht, lokale Firewalls zu passieren, beinhaltet SIPassure auch die Unterstützung von Far-End NAT-T, um Firewalls an entfernten Standorten passieren zu können. Dies ist von Bedeutung, wenn ein Anruf von einem SIP-Gerät ab- oder eingeht, dass durch eine entfernte Firewall geschützt ist. Ein Beispiel ist die Bereitstellung von VoIP-Diensten für Telearbeiter an Standorten, die durch einfache Firewalls ohne spezifische SIP-Unterstützung geschützt sind. Seite auch nicht kontrollierbar – und daher ähnlich wirkungslos wie die Gesetzgebung zur Eindämmung von Spam. Lauschangriffe auf VoIP kommen aus zahlreichen Quellen, wie beispielsweise böswilligen Nutzern, Konkurrenten, einem gezielten externen Angriff oder auch von Spyware, die auf einem internen PC installiert ist. Wurde ein Anruf erst einmal abgefangen, wird er gespeichert, per E-Mail versendet oder sogar auf einem Webserver veröffentlicht und nach Datum, Anrufer und Angerufenem sortiert. SIPassure schützt vor einem solchen Angriff, indem sowohl der Datenstrom für den Verbindungsaufbau (SIP) als auch der Sprachdatenstrom (RTP) verschlüsselt werden. SIPassure setzt eine standardisierte Verschlüsselung ein, um Kompatibilität zu Softphones und SIP-Telefonen zu gewährleisten, und beinhaltet die Software Zfone, eine Umsetzung des Protokolls ZRTP vom PGP-Entwickler Phil Zimmermann, die Management und Einrichtung vereinfacht, indem sie ein komplexes Schlüsselmanagement vermeidet. BORDERWARE SIPASSURE™ DATENBLATT NAT-T & Far-End NAT T