Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 9. december 2005.
undervurderet SIP-baseret IP-telefoni kræver specialiserede applikationsfirewalls, mener sikkerhedsfirmaet Borderware, der har lanceret en løsning på, hvad de mener er oversete problemer ved IP-telefoni.
Applikationsfirewalls er hidtil blevet lanceret som midler til at beskytte webtjenester, men det canadiske sikkerhedsfirma Borderware mener, at der vil komme versioner, der er udviklet til at beskytte IP-telefoni.
Der findes hidtil oversete sikkerhedsproblemer med IP-telefoni, mener CTO Andrew Graydon fra Borderware. De udspringer af anvendelsen af SIP-protokollen (Session Initiation Protocol), der styrer opsætningen af samtalerne.
- Hidtil har man mest arbejdet på at sikre forbindelserne, som IP-telefonien afvikles over, og så har man diskuteret mulighederne for at aflytte samtalerne, hvilket er besynderligt i betragtning af, at alle ved, at det er praktisk taget umuligt at opsnappe mail, hvilket kræver det samme. Der ligger en betydelig større udfordring i at føre SIP-baserede opkald gennem firewall'en, siger han.
Der er flere sikkerhedsproblemer med SIP, mener Andrew Graydon. For det første ligger protokollen typisk på selve IP-telefonerne og afvikler samtalerne peer-to-peer. Protokollen er ikke udviklet til, at der er en PBX i midten til at formidle opkaldene.
Dernæst er det teoretisk muligt at ændre afsenderen og dermed ringe op og udgive sig for at være en anden - også over for betalingstjenester og lignende.
- Vi har analyseret SIP og fundet frem til, at den minder meget om SMTP (Simple Mail Transfer Protocol) i header-formatet. Det giver en teoretisk mulighed for at udskifte headeren. Det er imidlertid et problem, vi har løst en gang for udveksling af mail, siger Andrew Graydon.
Endelig har de fleste firewalls, der arbejder på transportlaget, det svært med selve overførslen af tale, som foregår på applikationslaget. Typisk sker der det, at den del af SIP, som afvikler samtalen, nemlig RTP (Real Time Protocol), der arbejder på lag 7, beder om at få åbnet 20.000 porte, hvorefter firewall'en lukker forbindelsen.
Den hidtidige løsning på disse problemer er at anvende en såkaldt SBC (Session Border Controller), som er udviklet til at overføre kommunikation mellem LAN og WAN. Men det er forholdsvis dyr teknologi, og den har ifølge Andrew Graydon den svaghed i forhold til SIP, at den mest arbejder i lag 4, 5 og 6 og blot tjekker hurtigt i lag 7.
Borderwares bud på en løsning på de problemer er, at der benyttes såvel en firewall som en såkaldt applicatrion proxy, hvilket er et andet navn for en applikations-firewall.
- Det er nødvendigt at tilføje løsninger, der tager højde for, at SIP ikke er forbundet med transportlaget, men arbejder på applikationslagene, siger Andrew Graydon.
Borderware udsendte i september version 2.0 af deres SIPasure SIP Firewall, som er et specialiseret produkt til IP-telefoni, der er forberedt på at arbejde i realtid. Den henvender sig især til serviceudbydere og større virksomheder. Borderware er mest kendt som leverandør af mail-firewalls og firewall-servere, og selskabet angiver blandt andet at have leveret løsninger til 128 danske kommuner.
Billedtekst:
specialisering - SIP-protokollen arbejder på applikationslaget, og det gør en applikationsfirewall nødvendig på SIP-baseret IP-telefoni, fordi den kan mere end de konkurrerende formater, herunder videokonferencer, instant massaging og 3G, siger Andrew Graydon fra Borderware.
