Særlige firewalls til IP-telefoni

Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 9. december 2005.


undervurderet SIP-baseret IP-telefoni kræver specialiserede applikationsfirewalls, mener sikkerhedsfirmaet Borderware, der har lanceret en løsning på, hvad de mener er oversete problemer ved IP-telefoni.

Applikationsfirewalls er hidtil blevet lanceret som midler til at beskytte webtjenester, men det canadiske sikkerhedsfirma Borderware mener, at der vil komme versioner, der er udviklet til at beskytte IP-telefoni.
Der findes hidtil oversete sikkerhedsproblemer med IP-telefoni, mener CTO Andrew Graydon fra Borderware. De udspringer af anvendelsen af SIP-protokollen (Session Initiation Protocol), der styrer opsætningen af samtalerne.
- Hidtil har man mest arbejdet på at sikre forbindelserne, som IP-telefonien afvikles over, og så har man diskuteret mulighederne for at aflytte samtalerne, hvilket er besynderligt i betragtning af, at alle ved, at det er praktisk taget umuligt at opsnappe mail, hvilket kræver det samme. Der ligger en betydelig større udfordring i at føre SIP-baserede opkald gennem firewall'en, siger han.
Der er flere sikkerhedsproblemer med SIP, mener Andrew Graydon. For det første ligger protokollen typisk på selve IP-telefonerne og afvikler samtalerne peer-to-peer. Protokollen er ikke udviklet til, at der er en PBX i midten til at formidle opkaldene.

Dernæst er det teoretisk muligt at ændre afsenderen og dermed ringe op og udgive sig for at være en anden - også over for betalingstjenester og lignende.
- Vi har analyseret SIP og fundet frem til, at den minder meget om SMTP (Simple Mail Transfer Protocol) i header-formatet. Det giver en teoretisk mulighed for at udskifte headeren. Det er imidlertid et problem, vi har løst en gang for udveksling af mail, siger Andrew Graydon.
Endelig har de fleste firewalls, der arbejder på transportlaget, det svært med selve overførslen af tale, som foregår på applikationslaget. Typisk sker der det, at den del af SIP, som afvikler samtalen, nemlig RTP (Real Time Protocol), der arbejder på lag 7, beder om at få åbnet 20.000 porte, hvorefter firewall'en lukker forbindelsen.
Den hidtidige løsning på disse problemer er at anvende en såkaldt SBC (Session Border Controller), som er udviklet til at overføre kommunikation mellem LAN og WAN. Men det er forholdsvis dyr teknologi, og den har ifølge Andrew Graydon den svaghed i forhold til SIP, at den mest arbejder i lag 4, 5 og 6 og blot tjekker hurtigt i lag 7.

Borderwares bud på en løsning på de problemer er, at der benyttes såvel en firewall som en såkaldt applicatrion proxy, hvilket er et andet navn for en applikations-firewall.
- Det er nødvendigt at tilføje løsninger, der tager højde for, at SIP ikke er forbundet med transportlaget, men arbejder på applikationslagene, siger Andrew Graydon.
Borderware udsendte i september version 2.0 af deres SIPasure SIP Firewall, som er et specialiseret produkt til IP-telefoni, der er forberedt på at arbejde i realtid. Den henvender sig især til serviceudbydere og større virksomheder. Borderware er mest kendt som leverandør af mail-firewalls og firewall-servere, og selskabet angiver blandt andet at have leveret løsninger til 128 danske kommuner.

Billedtekst:
specialisering - SIP-protokollen arbejder på applikationslaget, og det gør en applikationsfirewall nødvendig på SIP-baseret IP-telefoni, fordi den kan mere end de konkurrerende formater, herunder videokonferencer, instant massaging og 3G, siger Andrew Graydon fra Borderware.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere