Viele Unternehmen verlassen sich bei der Absicherung ihrer VoIP-Netze bislang ausschließlich auf ihre vorhandenen Firewalls. Immerhin tragen die meisten zeitgemäßen Systeme das Gütesiegel „SIP aware“ – was kann damit noch schiefgehen? „Eine ganze Menge“, meint Peter Cox. Der renommierte IT-Security-Experte, ehemalige Borderware-CEO und jetzige Chef von UM Labs warnt: „Prädikate wie ‚SIP aware‘ besagen nur, dass eine Firewall in der Lage ist, SIP-Traffic zu verarbeiten. Es bedeutet aber nicht, dass das Gerät die VoIP-Kommunikation auch tatsächlich vor Attacken auf Anwendungsebene oder vor Lauschangriffen schützt.“
UM Labs setzt bei seinen SIP Security Controllern auf einen mehrstufigen VoIP-Security-Ansatz, bei dem SIP-Verbindungen gleichzeitig auf der IP-Ebene, auf der Protokoll- und Applikationsebene und auf der Content-Ebene überwacht werden.
- Um Sicherheit auf IP-Ebene zu gewährleisten, wird der SIP Security Controller parallel zur vorhandenen Enterprise-Firewall installiert. Anschließend wird das Netzwerk so konfiguriert, dass der VoIP-Traffic über den Controller, der gesamte übrige Traffic über die klassische Firewall läuft. So können Unternehmen beide Systeme optimal aufgabenspezifisch konfigurieren und entlasten die vorhandene Enterprise-Firewall von den lastintensiven VoIP-Anwendungen.
- Um Sicherheit vor Angriffen auf Protokoll- und Applikationsebene zu gewährleisten – hierzu zählen insbesondere Flood- und Call-Disruption-Attacken – überwachen die SIP Security Controller durchgehend den Status jedes VoIP-Gespräches. Bei verdächtigen Vorgängen, etwa wenn sich die IP-Adresse eines Gesprächsteilnehmers während des Anrufs ändert oder wenn ein Endpunkt auffällig viele Anfragen absendet, wird die Verbindung automatisch unterbrochen.
- Um Sicherheit auf Content-Ebene zu garantieren, unterstützen die SIP Security Controller von UM Labs eine leistungsfähige SIP-Verschlüsselung auf der Basis von SRTP, der verschlüsselten Variante des Real-Time Transport Protocol RTP. Der Schlüsselaustausch erfolgt hierbei standardmäßig über RFC 4568 (SDES) oder optional über ZRTP.
„Die Kombination dieser drei Ansätze schützt VoIP-Infrastrukturen lückenlos vor allen Lauschangriffen, Manipulationsversuchen und DoS-Attacken“, betont entrada-Geschäftsführer Hahn. Über die reinen Security-Features hinaus bieten die SIP Security Controller Unternehmen zudem eine Reihe attraktiver Zusatzfunktionen. Hierzu gehört zum Beispiel, dass sich mit den Controllern sehr elegant netzwerkweite NAT-Funktionalitäten implementieren, verteilte VoIP-Netze verbinden und remote agierende Mitarbeiter ans Netzwerk anbinden lassen.
Die SIP Security Controller sind in drei Varianten verfügbar: Die kleinste Ausbaustufe RC-2100 richtet sich an KMU und sichert bis zu 50 gleichzeitige Verbindungen. Das Modell EC-4200 eignet sich für große Mittelständler und Konzerne und bewältigt bis zu 1.000 gleichzeitige Verbindungen. Das High-End-Modell SC-6600 schließlich richtet sich an besonders anspruchsvolle Kommunikationsumgebungen, in denen mit über 1.000 gleichzeitigen Gesprächen zu rechnen ist.
Die Total-Cost-of-Ownership ist bei allen drei Modellen attraktiv: Die Plug&Play-Appliances sind günstig in der Anschaffung – die kleinste Ausbaustufe kostet inkl. 1 Jahr Software-Updates und Upgrades, Telefon- und E-Mail Support nur 1.210 Euro (EVP) – und lassen sich einfach und schnell in Betrieb nehmen. Die Verwaltung erfolgt über eine webbasierte GUI, die es Unternehmen leicht macht, VoIP ohne Risiken einzusetzen und von allen Vorteilen konvergenter Infrastrukturen zu profitieren.
Für Fragen zur Vertriebspartnerschaft mit UM Labs steht Resellern Herr Roland Stritt unter 0 52 51 / 14 56-0 oder per E-Mail an rstritt@entrada.de zur Verfügung.