VoIP-Sicherheit plus Firewall
Auch VoIP-Verbindungen müssen abhörsicher gemacht werden. Eine passende Lösung hierfür bietet der englische IT-Security-Hersteller UM Labs. Dessen "SIP Security Controller" ist ab sofort bei Entrada erhältlich. Der Distributor verspricht, mit der Appliance VoIP-Verbindungen zuverlässig vor Abhör- und Manipulationsversuchen zu schützen.
"Tausende von Unternehmen haben ihre Telefonie auf VoIP umgestellt, ohne in dedizierte Security-Technologien zu investieren", berichtet Entrada-Geschäftsführer Ingolf Hahn. "Jetzt, da sich die Angriffe auf VoIP-Netze mehren, zieht die Nachfrage nach SIP-Security massiv an. Und in diesem Bereich hat UM Labs derzeit von allen Anbietern das schlüssigste Konzept."
Viele Unternehmen verlassen sich nach Ansicht des VADs bei der Absicherung ihrer VoIP-Netze bislang ausschließlich auf ihre vorhandenen Firewalls. Immerhin tragen die meisten zeitgemäßen Systeme das Gütesiegel "SIP aware" - was kann damit noch schief gehen? "Eine ganze Menge", meint Peter Cox. Der IT-Security-Experte, ehemalige Borderware-CEO und jetzige Chef von UM Labs warnt: "Prädikate wie ‚SIP aware‘ besagen nur, dass eine Firewall in der Lage ist, SIP-Traffic zu verarbeiten. Es bedeutet aber nicht, dass das Gerät die VoIP-Kommunikation auch tatsächlich vor Attacken auf der Anwendungsebene oder vor Lauschangriffen schützt."
UM Labs setzt bei seinen SIP Security Controllern auf einen mehrstufigen VoIP-Security-Ansatz, bei dem SIP-Verbindungen gleichzeitig auf dem IP-Layer, auf der Protokoll- und Applikationsebene und auf der Content-Schicht überwacht werden. Wie das passiert, das erfahren Sie auf der nächsten Seite:
Auf allen Layern
Um Sicherheit auf dem IP-Layer zu gewährleisten, wird der SIP Security Controller parallel zur vorhandenen Firewall installiert. Anschließend wird das Netzwerk so konfiguriert, dass der VoIP-Traffic über den Controller und der übrige Datenverkehr über die klassische Firewall abgewickelt wird. So können Unternehmen beide Systeme aufgabenspezifisch konfigurieren und entlasten damit die vorhandene Firewall von den lastintensiven VoIP-Anwendungen.
Schutz vor Angriffen auf Protokoll- und Applikationsebene, insbesondere vor "Flood"- und "Call-Disruption"-Attacken, verspricht Entrada mit der ständigen Überwachung des Status jedes VoIP-Gesprächs. Bei verdächtigen Vorgängen, etwa wenn sich die IP-Adresse eines Gesprächsteilnehmers während des Anrufs ändert oder wenn ein Endpunkt auffällig viele Anfragen absendet, wird die Verbindung automatisch unterbrochen.
Außerdem verschlüsselt der SIP Security Controller von UM Labs die VoIP-Daten auf der Basis von SRTP, einer kodierten Variante des Real-Time Transport Protocol RTP. Der Schlüsselaustausch erfolgt hierbei standardmäßig über RFC 4568 (SDES) oder optional über ZRTP.
Mehr zu VoIP
"Die Kombination dieser drei Ansätze schützt VoIP-Infrastrukturen vor Lauschangriffen, Manipulationsversuchen und DoS-Attacken", betont Entrada-Geschäftsführer Hahn. Über die reinen Security-Features hinaus lassen sich mit dem SIP Security NAT-Funktionen implementieren, verteilte VoIP-Netze verbinden und aus der Ferne agierende Mitarbeiter ans Netzwerk anbinden.
Die SIP Security Controller sind in drei Varianten verfügbar: Die kleinste Ausbaustufe RC-2100 richtet sich an KMUs und sichert bis zu 50 gleichzeitige Verbindungen. Das Modell EC-4200 eignet sich für große Mittelständler und Konzerne und bewältigt bis zu 1.000 gleichzeitige Verbindungen. Das High-End-Modell SC-6600 schließlich adressiert besonders anspruchsvolle Kommunikationsumgebungen, in denen mit über 1.000 gleichzeitigen Gesprächen zu rechnen ist.
Die Total-Cost-of-Ownership (TCO) ist laut Entrada bei allen drei Modellen attraktiv: Die Appliances sind günstig in der Anschaffung - die kleinste Ausbaustufe kostet inklusive ein Jahr Software-Updates und Upgrades, Telefon- und E-Mail Support 1.210 Euro (EVP) - und die Geräte lassen sich nach Erfahrungen des VADs relativ schnell in Betrieb nehmen. Die Verwaltung erfolgt über eine webbasierte Administrator-Oberfläche.
Für Fragen zur Vertriebspartnerschaft mit UM Labs steht Resellern Entrada-Mitarbeiter Roland Stritt unter der Telefonnummer 05251/1456-0 oder per E-Mail zur Verfügung. (rw)