Standardprotokoll für Unternehmen und Carrier

Michael Kohl

Das Thema "Voice over IP", also die Sprachkommunikation über das Internet wird zunehmend auch für Unternehmen im größeren Maßstab interessant. Nachdem über die diversen Plattformen wie z.B. Skype bereits Millionen von privaten Usern VoIP praktizieren, hat die Wirtschaft diese sehr preisgünstige Möglichkeit der Telefonie erst im Bereich der grenzüberschreitenden und sonst sehr kostspieligen Kommunikation entdeckt. Wenig bekannt ist allerdings, dass auch in dieser Umgebung Gefahren vielfältiger Art verborgen sind, welche außer der reinen Belästigung auch durchaus schädigende Folgen nach sich ziehen können.

Ähnlich wie HTTP und SMTP, hat sich SIP zum gebräuchlichsten Protokoll für Internet-basierte (IP) Kommunikation in Echtzeit in entwickelt. SIP bietet Applikationen (IM, VoIP, Video Konferenzen) sämtliche Vorzüge, die auch HTTP für Webdienste und SMTP für E-Mail bieten. Gleichzeitig ist SIP auch für ähnliche Bedrohungsszenarien anfällig.

Mögliche Angriffe können simple Ringing-Attacks sein, eine Form des DoS (Telefone werden durch permanentens Anwählen außer Betrieb gesetzt) aber auch Voice Spam, DoS/DDoS (RTP, SIP REGISTAR), Voice Mail Bomben u.v.a.

"Durch SIP-basiertes VoIP vollziehen sich gravierende Veränderungen im Markt und Sicherheitsaspekte werden eine zentrale Sorge der Unternehmen sein. Sämtliche Risiken, die für Internet Server bestehen, existieren ganz genauso für IP PBX", erläutert Elizabeth Usher, Vice President Infrastructure Strategies META Group. "Wenn Sie sich eine Bandbreite zur Kommunikation á la ‚MyDoom' hundert- oder tausendfach repliziert vorstellen, haben Sie einen kleinen Eindruck, wo der Kern der Herausforderungen liegt. Unternehmen müssen handeln, bevor es soweit kommt, in dem sie von vorneherein die komplette SIP-basierte Kommunikationsumgebung absichern." Analysten, Hersteller, Carrier und Unternehmen sind sich zunehmend der Chancen, aber auch der Risiken dieses Marktes bewusst.

BorderWare Technologies Inc., Anbieter von Sicherheitslösungen für die Messaging Infrastruktur, hat hier Abhilfe geschaffen und mit SIPassure eine umfassende SIP (Session Initiation Protocol) Firewall vor. SIPassure ist eine gehärtete Appliance, die VoIP-spezifische SIP Kommunikation zwischen geschützten und ungeschützten Netzwerken abwickelt und vor potenziellen Bedrohungen schützt.

Nur unter diesen Bedingungen können die Vorteile von VoIP genutzt werden, wie zum Beispiel Kosteneinsparungen bei Ferngesprächen, nutzen von Präsenz-basierten Applikationen und Unified Messaging. SIPassure adressiert direkt den wachsenden VoIP (Internet Telefonie) Markt und ist in zwei unterschiedlichen Modellen für Unternehmen und Carrier verfügbar.

Technologische Voraussetzungen

SIPassure wurde in den letzten 12 Monaten auf Basis des IETF (Internet Engineering Task Force) SIP Standard entwickelt. Eine sehr grundsätzliche Herausforderung im Bereich VoIP sind die Latenzzeiten. Es muss also eine Kompression zum Einsatz kommen, die die Latenz so gering wie möglich hält. SIPassure verwendet auf Basis der IETF RCF Standards alle relevanten VoIP Codeces. Solche Codeces werden üblicherweise durch die Call Manager Server verwaltet. Im Vergleich zum H.323 Protokoll halten sich die entstehenden Verzögerungen aber in einer zu vernachlässigenden Größenordnung. Die Latenzzeit für SIP basierte VoIP Calls über die SIPassure liegen bei 0,15 Sekunden mit einem RTP Data Relay von 0,08 Millisekunden. Gleichzeitig muss sichergestellt werden, dass die Sprachqualität nicht leidet. BorderWare SIPassure verwendet die drei derzeitig gängigen Codec Standards. Typischerweise kommt heute 8kbps zum Einsatz. Das zugrunde liegende Bandbreitenmanagement minimiert mögliches Sprachflackern und sichert dadurch die Qualität des Gesprächs.

Auf dieser technologischen Basis ist SIPassure in der Lage mit SIP-basierten IP PBXs aller namhaften Anbieter zu kommunizieren. Betrachtet man den Markt für Telekommunikation, konzipiert jeder Hersteller in diesem Segment seine eigene Call Management Software und Hardware. SIP wird demgegenüber als globaler Standard für Real Time Streaming Communication von allen Herstellern verwendet, so dass die Appliance mit einem Equipment von beispielsweise 3Com, Alcatel, Avaya, Cisco, Nortel, Siemens und anderen zu integrieren ist.

Cisco arbeitet in diesem Bereich sehr eng mit BorderWare zusammen, da das Unternehmen bereits den Cisco Call Manager (CCM) absichert. Diese Zusammenarbeit gründet sich auf die Tatsache, dass Cisco sich von der Verwendung des H.323 Protokolls hin zu einer SIP basierten Umgebung bewegt. BorderWare Technologies hat zum jetzigen Zeitpunkt bereits ein komplettes Cisco Lab eingerichtet, wo sämtliche Tests in der entsprechenden Hardware-Umgebung durchgeführt werden können. Eine zusätzliche Herausforderung liegt in den verschiedenen Account- und Billing-Systemen, die bei ISPs im Einsatz sind und für die keine generellen Schnittstellen verfügbar sind.

"Wir sind allerdings schon jetzt mit ISPs im Gespräch, um direkt und vor allem zu einem sehr frühen Zeitpunkt zusammenzuarbeiten. Nur so ist für beide Seiten gewährleistet, dass die jeweiligen Anforderungen erfüllt werden", erläutert Sven Blasius, Sales Manager D-A-CH BorderWare Technlogies, die Vorgehensweise des Unternehmens.

Die VoIP Firewall wird entweder an der Netzwerkgrenze oder in der DMZ platziert, wo sie sämtliche SIP-basierte Inbound und Outbound Kommunikation managed. SIPassure Funktionalitäten und Sicherheitslevel, sind erheblich umfassender als die bereits existierender SIP Session Border Controllers (SBCs), Proxies oder Redirecting Server.

Funktionalitäten im Überblick

SIPassure wurde zum Schutz von SIP-basierten VoIP-Applikationen entwickelt und schützt vor Denial-of-Service Attacken, Session Flooding (durch kontinuierliche Anrufe via IP), Abhören und Unterbrechen von Sessions, Voice Spam u.a. Es bietet Intrusion Prevention auf Paket-Level und Firewall Features wie:

• Stateful Inspection mit Policy basiertem Paketfilter
• Gültigkeitsprüfung für SIP und RTP Nachrichten
• Funktionen wie SIP Proxy Server, Redirect Server und Registrar Server (IETF RFC 3261)
• Funktionen wie eingehende und ausgehende Proxies, Integritätsprüfung für böswillig veränderte SIP Nachrichten, so dass nur korrekt formatierte Nachrichten weiter geleitet werden
• NAT (Network Adress Translation) und Firewall Traversal (RTP Proxy)
• Umfassende Reports und Audits
• Unterstützt SNMP zur Integration mit Netzwerk Management Frameworks (wie HP OpenView, IBM Tivoli und anderen)

Hochsicher und hochverfügbar - Partnerschaft mit F5 Networks

Die BorderWare SIPassure SIP Firewall wird in zwei unterschiedlichen Modellen erhältlich sein. Sie richten sich zum einen an Unternehmen, zum anderen an Carrier. Beide Modelle basieren auf dem gehärteten S-Core Betriebssystem, das sowohl in der MXtreme Mail Firewall als auch in den anderen Proxy-basierten Firewall Produkten eingesetzt wird und bereits Common Criteria EAL4+ zertifiziert ist. SIPassure bedient sich zusätzlich der Failsafe Cluster Architektur (HALO, Stateful Failover, Cluster Management) für Hochverfügbarkeit, ebenfalls Bestanteil der MXtreme Mail Firewall. Zusätzlich ist BIG-IP von F5 integriert, um den SIP Verkehr zu managen.

"BorderWare hat eine sehr klare Vorstellung davon, wie umfassende Sicherheit für die Messaging Infrastruktur mit der Verfügbarkeit und Produktivität geschäftskritischer Anwendungen zusammenhängt", so Erik Giesa, Vice President Product-Management und Marketing bei F5 Networks. "Wir freuen uns, dass sich BorderWare entschlossen hat, über die bestehende iControl Partnerschaft hinaus im Bereich Policy-basierte, sichere SIP Applikationen mit uns zusammen zu arbeiten. MXtreme und BIG-IP sind eine ideale für Kombination aus E-Mail Sicherheit und Hochverfügbarkeit. Genauso ist es mit dem Tandem von SIPassure und BIG-IP für SIP Applikationen. Sei es im Unternehmensumfeld oder im Carrier Markt."

Die Systeme sind Cluster-fähig, um die garantierte Verfügbarkeit zu erhöhen. Dabei sollte allerdings nicht außer Acht gelassen werden: VoIP ist in erhöhtem Maße von einem möglichen Stromausfall betroffen. Sobald die Stromversorgung unterbrochen ist, würden schlicht auch alle Telefone nicht mehr funktionieren. Ein Standardproblem bei VoIP, das nur über eine zusätzliche Stromversorgung gelöst werden kann.

Michael Kohl ist Geschäftsführer von Client-Server EDV.

http://www.borderware.de
http://www.client-server.at

---

Schutz vor Bedrohungen, Missbrauch und Kommunikationsunterbrechungen

Im Gegensatz zu den im Markt existierenden Session Border Controllern funktioniert SIPassure als komplette VoIP/IM Firewall.

Das heißt, es handelt sich um einen Ansatz, der nicht einfach nur VoIP ermöglicht, sondern um eine komplette SIP basierte Sicherheitslösung, die auf die firmenintern bereits bestehende Policies abgestimmt werden kann. Unabhängig davon, ob es sich um Richtlinien handelt, die unternehmensweit gelten sollen oder nur für einzelne Bereiche und Abteilungen.

"Wir setzen umfassende technologische und strategische Anstrengungen in VoIP, um Unternehmen schon im Vorfeld vor den Fehlern zu bewahren, die oftmals bei E-Mail Sicherheit gemacht wurden. Es geht darum, nicht zu warten, bis es soweit ist, sondern Probleme und einen möglicherweise immensen Imageschaden bereits im Vorfeld zu verhindern. Es besteht eine sehr reale Chance solche Szenarien zu unterbinden", skizziert Sven Blasius den Status. "SIPassure repräsentiert die Summe aus unserer 10-jährigen Erfahrung mit applikations-basierten Firewalls. Mit dem expandieren Markt für E-Mail Sicherheit wurde BorderWare mehr und mehr das Unternehmen der Wahl, und die MXtreme Mail Firewall ein Produkt, das hier Maßstäbe gesetzt hat. SIPassure ist das Äquivalent zur MXtreme für den wachsenden SIP-basierten VoIP Markt."