SICUREZZA AVANZATA VOIP TRAMITE ARCHITETTURA FORTINET "SAFE VOIP" - White Paper High Performance Multi-Threat Security Solutions
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
SICUREZZA AVANZATA VOIP White
TRAMITE ARCHITETTURA FORTINET “SAFE VOIP” Paper
High Performance Multi-Threat Security Solutions
Sicurezza Avanzata VoIP Tramite Architettura Fortinet “SAFE VoIP”
Fortinet White Paper
INTRODUZIONE
Con il maturare della tecnologia Voice over IP (VoIP), le piccole e grandi imprese hanno accelerato la convergenza
delle reti voce e dati in un’unica infrastruttura, utilizzando comunicazioni IP sicure e connettività Internet ad alta
velocità e a basso costo, per ridurre la spesa della telefonia e incrementare la produttività aziendale. Significative
riduzioni di capitale e di costi operativi, migliore affidabilità dei servizi e una lunga lista di nuovi e più avanzati servizi
progettati per migliorare l'efficienza nei luoghi di lavoro: a fronte di tutto questo, sia gli utenti delle grandi imprese sia
le applicazioni offerte dai service provider stanno spingendo l'accettazione del VoIP quale alternativa possibile ai
servizi di telefonia tradizionale offerti attraverso la rete di telefonia pubblica (PSTN).
Il valore aggiunto che il VoIP offre alle aziende si basa su significative riduzioni di costi, dovute all'eliminazione delle
spese per le telefonate interurbane e sulla riduzione dalle spese di amministrazione e gestione. Altrettanto rilevante è
il fatto che, siccome i servizi voce oggi sono diventati una parte importante del fare business, la tecnologia VoIP e
l'infrastruttura IP che trasportano il traffico hanno raggiunto un livello più avanzato, e sono in grado di offrire un grado
di affidabilità molto vicino a quello fornito dalla PSTN.
Se a tutto questo aggiungiamo una serie di servizi che aumentano l'efficienza di chi lavora, quali collaborazione tra
gruppi di lavoro virtuali, conferenze web on-demand, voice-mail avanzato e piattaforme di management su PC,
abbiamo un vero e proprio caso di business per accelerare la migrazione al VoIP. A causa di questi recenti progressi
nella tecnologia VoIP, gli analisti di Deloitte LP stimano che due terzi delle aziende Global 2000 migreranno dai servizi
di telefonia tradizionale e implementeranno varie forme di servizi VoIP dal 2006.
Come molte applicazioni IP che utilizzano internet quale dorsale di trasporto, l'adozione della tecnologia VoIP nelle
grandi aziende introduce nuove sfide in termini di sicurezza agli amministratori di rete e alle convenzionali pratiche di
cui si servono. La limitazione delle convenzionali tecnologie di sicurezza sono un significativo blocco al rapido, vasto
propagarsi dei servizi convergenti voce e dati. In particolare, la tecnologia network address translation (NAT), utilizzata
da quasi tutte le organizzazioni per prevenire accessi non autorizzati a reti aziendali private, è incompatibile con la
tecnologia VoIP. Questa incompatibilità forza le organizzazioni a compromettere la sicurezza, la praticità, o addirittura
entrambe, rendendo in molti casi le applicazioni poco pratiche.
Questo documento approfondisce e rivela la causa principale del problema: l’incapacità dei firewall tradizionali -
quando questi effettuano il controllo del packet header in tecnologia NAT - di elaborare e proteggere delle minacce
che agiscono a livello di contenuto,. Il white paper continua quindi a spiegare come la sicurezza avanzata di controllo
dei contenuti fornita da Fortinet renda possibili applicazioni convergenti e VoIP sicure per imprese e Service Provider.
APPLICAZIONI E FIREWALL
La funzionalità principale dei firewall è quella di poter controllare gli accessi in un numero crescente di punti di entrata
e di uscita, implementando policy di controllo che permettano l’accesso di un determinato tipo di traffico e blocchino
tutto il resto. Un punto critico della rete dove i firewall vengono installati è il punto in cui la LAN interna (trusted network)
incontra Internet (untrusted netwok). E' importante comprendere il comportamento e l'interazione tra i firewall e le
applicazioni a cui viene consentito l’accesso, soprattutto perché si tratta di garantire sicurezza e al tempo stesso di
permettere il funzionamento delle applicazioni di comunicazione. Le policy di accesso devono essere molto accurate
per permettere solo ad applicazioni e utenti conosciuti di far passare i dati attraverso il firewall, bloccando tutte le altre
applicazioni non supportate per l'utilizzo sulla LAN, o quelle che non soddisfano le policy di sicurezza aziendale.
I due metodi più comuni di sicurezza che molti firewall offrono sono basati su NAT e su policy di controllo di accesso.
Questa sezione descrive brevemente come la tecnologia NAT e le policy di controllo di accesso possano influenzare
negativamente le comunicazioni VoIP.
PANORAMICA NAT
NAT è uno standard che rende possibile conservare gli indirizzi IP internet e offre un'importante
funzione di sicurezza nascondendo gli indirizzi privati della LAN interna al mondo esterno. Quando si
utilizza il NAT, è estremamente difficile per un eventuale intruso presente su internet iniziare una
trasmissione di dati non richiesti con un PC o server interno; viene eliminato così un punto importante
di entrata per potenziali intrusi.
2 Luglio 2007
Sicurezza Avanzata VoIP Tramite Architettura Fortinet “SAFE VoIP”
Fortinet White Paper
Conservare indirizzi IP pubblici è importante in quanto Internet ha un numero limitato di indirizzi unici,
così come esiste un numero limitato di numeri telefonici pubblici. Nella telefonia tradizionale, molte
società possiedono un numero limitato di linee telefoniche esterne, mentre hanno un numero
estremamente superiore di numeri privati interni che permettono la raggiungibilità di ciascun telefono
interno. Allo stesso modo, il numero di indirizzi pubblici Internet assegnato alla maggior parte delle
aziende è molto inferiore del numero di indirizzi di rete privata presenti sulla LAN. Con NAT, gli indirizzi
IP interni vengono indirizzati dinamicamente verso un singolo IP pubblico al fine di supportare più
connessioni internet (es. richieste email o web) inizializzate dagli utenti interni, esattamente come
succede quando, da un telefono, viene selezionata una linea uscente per effettuare una chiamata
esterna.
Nella maggior parte delle reti la funzionalità NAT viene gestita dal firewall, ma può anche essere
gestita da altri dispositivi quali router o gateway NAT stand-alone. In un'applicazione NAT tipica, il
gateway NAT mantiene una tabella di mappatura indirizzi tra gli indirizzi interni, con le relative porte, e
gli indirizzi esterni, con le relative porte. Quando un sistema interno invia un pacchetto, il gateway
riscrive l’indirizzo sorgente e le porzioni di porta sorgente nel packet header dell'IP, creando una voce
nel sua mappatura NAT, prima di inoltrare i pacchetti verso Internet. Questo permette di ricevere
eventuali informazioni di risposta (pacchetti risposta) da far tornare al gateway NAT e quindi al corretto
sistema interno. Quando al gateway arriva un pacchetto IP dall'esterno, avviene il processo di reverse
address e port translation: l'indirizzo e la prota di destinazione vengono ri-traslati all’ indirizzo interno
LAN privato e alla porta sorgente originaria.
Figura 1 – Panoramica delle Comunicazioni NAT
PANORAMICA APPLICATION FIREWALL ACCESS
Quando le applicazioni IP comunicano attraverso dispositivi sulla rete, questi vengono identificati da un designatore
di protocollo. Questo designatore è comunemente conosciuto quale porta di protocollo applicativo. Queste porte di
protocollo normalmente rientrano in due categorie:
• applicazioni porta conosciute (es. HTTP)
• applicazioni porta dinamiche (es. segnalazione VoIP H.323)
Di seguito trovate una breve descrizione di entrambi i tipi di applicazioni ed il loro comportamento relativamente ai
firewall.
APPLICAZIONI PORTA CONOSCIUTE
Un esempio di una porta conosciuta è l'HTTP, il protocollo più comunemente utilizzato per la
navigazione web. La porta di default utilizzata per la comunicazione HTTP è la 80, quindi l’HTTP è
relativamente semplice da identificare su una rete, in quanto utilizza tipicamente la porta 80.
Considerando questo in rapporto ai firewall, è semplice comprendere come configurare una policy
firewall che permetta le transazioni HTTP. L'amministratore creerà semplicemente una policy
d'accesso per permettere alla porta 80 (TCP-based) di comunicare verso interfacce specifiche o zone
3 Luglio 2007
Sicurezza Avanzata VoIP Tramite Architettura Fortinet “SAFE VoIP”
Fortinet White Paper
di sicurezza del firewall. In questo caso, quando una richiesta di connessione effettuata tramite firewall
ha come destinazione la porta 80, questa connessione dovrebbe essere permessa attraverso il
firewall che si basa su questa policy ( questa semplificazione aiuta ad esemplificare i concetti che si
vogliono esprimere all'interno di questo white paper) .
Figura 2 – Comunicazioni Web Semplificate
Nell'esempio sopra riportato, ambedue i dispositivi coinvolti nella comunicazione HTTP utilizzano
porta applicativa 80 (TCP). Sia il client sia il server si aspettano che la comunicazione HTTP avvenga
sulla porta 80 (se non differentemente stabilito dall'amministratore), il che rende la configurazione
delle policy firewall relativamente semplice.
APPLICAZIONI PORTA DINAMICHE
Le applicazioni che utilizzano l'allocazione dinamica delle porte sono molto più complesse. I
protocolli VoIP (es. H.323 e SIP) sono chiari esempi di applicazioni sensibili alla latenza, che utilizzano
una combinazione di porte conosciute per il signaling delle chiamate e porte dinamiche, assegnate
randomicamente, per il trasferimento dati ed altre funzioni specializzate richeste per portare a termine
una chiamata VoIP. Per assicurare correttamente le comunicazioni VoIP è richiesto un firewall
application-aware, che riconosca il signaling del traffico VoIP e che possa processare le informazioni
dello strato applicativo contenute nel payload del pacchetto in tempo reale. Senza alcuna
prioritizzazione del traffico VoIP molte reti non sarebbero in grado di supportare la natura sensibile alla
latenza del traffico IP. Le sezioni seguenti daranno maggiori dettagli sull'operatività dei protocolli VoIP
e delle problematiche di sicurezza nelle comunicazioni VoIP.
STANDARD DI SIGNALING VOIP
Le comunicazioni VoIP coinvolgono tecnologie complesse che richiedono l'utilizzo di più protocolli solo per effettuare
e portare a termine positivamente una chiamata tra due telefoni senza lasciare permanentemente aperto un possibile
“buco” di sicurezza sul firewall. I protocolli IP comunemente ricadono sotto due categorie richieste dal VoIP: signaling
e payload.
Signaling è il protocollo che viene utilizzato per dare inizio, instradare, trasferire e terminare le chimate VoIP. Sebbene
da molti anni si stia lavorando per sviluppare le tecnologie VoIP, ancora oggi non esiste un protocollo unico e standard
di signaling. Sono invece emersi vari standard da diverse sorgenti, ciascuna con maggiori o minori variazioni rispetto
al protocollo standard di signaling precedentemente proposto.
Quelli qui elencati qui sotto sono quattro esempi di protocolli di signaling VoIP utilizzati oggi; uno o più possono essere
supportati da qualsiasi vendor di firewall e/o di dispositivi VoIP:
• H.323
• Session Initiation Protocol (SIP)
• Media Gateway Control Protocol (MGCP)
• H.248/Megaco
Non proporremo in queste pagine un’analisi e una descrizione compelta di questi protocolli, ma i seguenti punti
4 Luglio 2007
Sicurezza Avanzata VoIP Tramite Architettura Fortinet “SAFE VoIP”
Fortinet White Paper
vogliono dare un'idea generale sullo status del VoIP e sul comune approccio utilizzato da ognuno di questi protocolli.
• Il protocollo originariamente dominante di signaling e controllo della chiamata per reti VoIP era l'H.323,
gestito da una serie di specifiche dettate dall'International Telecommunications Union (ITU). Molti service
provider utilizzano l'H.323 per distribuire servizi voce, in quanto l'H.323 permette di armonizzare reti IP voce
con la rete telefonica pubblica standard (PSTN).
• Il Session Initiation Protocol (SIP) sta emergendo quale protocollo dominante per installazioni corporate-
based (interne), e sta trovando un nuovo sbocco anche nelle reti dei service provider per il supporto di nuovi
servizi IP quali IP Centrex. SIP, da alcuni, viene considerato l'H.323 di prossima generazione, ma più
semplice e più modulare. SIP utilizza le stesse strutture degli indirizzi web email e URL al posto dei numeri
telefonici.
• MGCP e Megaco sono stati progettati per offrire un'architettura dove controllo delle chiamate e servizi
possono essere aggiunti centralmente ad una rete VoIP. Da questo punto di vista, un'architettura che utilizza
questi protocolli assomiglia molto alle già esistenti architetture e servizi PSTN, e pertanto è rimasta meno
utilizzata, vista la maggiore popolarità delle installazioni interne di LAN-VoIP.
PANORAMICA DI UNA CHIAMATA VOIP
All'inizio di una chiamata VoIP viene richiesta la coordinazione di entrambi i protocolli, sia di signaling sia di payload.
Riassumendo, il protocollo di signaling viene utilizzato per stabilire le proprietà di una chiamata, e per gestire la stessa
durante il processo. Quando si vuole effettuare una chiamata VoIP, e questo normalmente avviene alzando il ricevitore
VoIP e selezionando un numero telelfonico o interno, il protocollo di signaling serve per stabilire le proprietà della
chiamata mentre il gateway VoIP (gatekeeper) può essere il sistema centralizzato utilizzato per la negoziazione con
ciascun terminale.
Lo scopo di questa sezione è comunque di indagare la necessità di una relazione sicura tra signaling e payload.
Quando due (o più) ricevitori VoIP hanno stabilito le proprietà della chiamata, il protocollo di segnalazione passa la
trasmissione voce al protocollo payload, comunemente conosciuto come Real Time Protocol (RTP). Il passaggio tra i
protocolli di segnalazione e payoff includono la negoziazione di una porta applicativa attraverso il firewall per ciascun
end-point. L'allocazione della porta applicativa è dinamica, e normalmente cambia tra dispositivi periferici e ciascuna
nuova chiamata. Vedi la figura 3 - Processo di comunicazione VoIP semplificata e sicura
Figura 3- Processo di comunicazione VoIP semplificata e sicura
1. Il dispositivo A effettua una richiesta di chiamata utilizzando il protocollo di signaling predefinito (H.323
nell'esempio)
2. Il dispositivo B riceve il traffico sulla porta H.323 conosciuta e la processa come una richiesta di signaling
VoIP
3. I dispositivi A e B si scambiano le capacità incluse le rispettive porte preferite di payload, per esempio:
5 Luglio 2007Sicurezza Avanzata VoIP Tramite Architettura Fortinet “SAFE VoIP”
Fortinet White Paper
a. Il dispositivo A sceglie la 50071 quale porta di payload (RTP) preferita
b. Il dispositivo B sceglie la 60891 quale porta di payload (RTP) preferita
4. Il dispositivo A trasmette i dati RTP2 al dispositivo B sulla porta 6089 con la porta sorgente proveniente
da 5007
5. Il dispositivo B trasmette i dati RTP2 al dispositivo A sulla porta 5007 con la porta sorgente proveniente
da 6089
Come è possibile notare nel precedente esempio, il firewall richiede una sola porta per il signaling tra entrambi i
dispositivi VoIP. Questo succede perchè il protocollo di signaling spesso utilizza una porta applicativa utilizzabile e
conosciuta – in questo caso è l'H.323 che ha la porta TCP standard 2517. Pertanto, entrambi i dispositivi VoIP
invieranno e riceveranno traffico sulla porta TCP 2517, ed il firewall necessiterà di una sola policy per supportare 2517
tra le due reti. Comunque, come mostrato precedentemente, il protocollo di payload (RTP) ha due porte assegnate.
Nell'esempio, il dispositivo A ha scelto la porta 5007 come porta sulla quale desidera ricevere il traffico RTP.
La porta viene scelta dinamicamente in un range di porte disponibili e non ancora assegnate durante la fase di
signaling del dispositivo A. Analogamente, il dispositivo B sceglie la porta 6089 dal suo range di porte disponibili e
non assegnate per ricevervi il traffico RTP.
Questa allocazione dinamica della porte può creare problemi a molti firewall, in quanto le policy firewall vengono
configurate in maniera statica da un amministratore per supportare una gamma di applicazioni predefinite (secondo
la politica di sicurezza aziendale). Nel precedente esempio, un amministratore non è al corrente di quali porte
verranno dinamicamente assegnate su ciascuna chiamata VoIP, e neppure è in grado di predirlo. Questo è il motivo
per cui molti amministratori scelgono tra:
Questa allocazione dinamica delle porte può creare problemi a molti firewall, in quanto le policy firewall vengono
configurate staticamente dall'amministratore per supportare una gamma di applicazioni predefinite
1Queste porte sono state scelte a caso per simulare l'allocazione dinamica delle porta utilizzata nel
processo VoIP come illustrato in Figura 2.
2Il protocollo RTP viene utilizzato per il trasporto del traffico voce tra due terminali VoIP.
1. Non permettere comunicazioni VoIP attraverso un firewall collegato ad internet
2. Oppure, aprire un vasto range di porte applicative che però possono essere anche dannose, seguendo
le indicazioni fornite dal fornitore dell'applicativo o del firewall (vedi il seguente esempio relativo ai range di
porte RTP suggerite da Microsoft e richieste per supportare il VoIP tramite NetMeeting).
Ciò che segue è un estratto dalla “Firewall configuration note” suggerita da Microsoft per permettere le
comunicazioni VoIP su NetMeeting:
• Per stabilire connessioni NetMeeting in uscita attraverso un firewall, il firewall deve essere
configurato per permettere quanto segue:
• Pass through primario delle connessioni TCP sulle porte 389, 522, 1503, 1720 e 1731
• Pass through secondario delle connessioni TCP e UDP sulle porte assegnate dinamicamente
(1024 - 65535).
Sfortunatamente, queste opzioni non soddisfano i requisiti di sicurezza di molti clienti, soprattutto ora che il VoIP
diventa sempre più un'applicazione strategica, sia internamente che esternamente alla rete infrastrutturale aziendale.
Installare il VoIP in sicurezza è una questione importante.
I PROBLEMI VOIP/FIREWALL
Diamo ora un'occhiata al comportamento di un’applicazione VoIP così come discusso nella precedente sezione,
includendo i comportamenti di firewall/applicazioni al fine di evidenziare i problemi associati al VoIP ed alla
integrazione firewall.
In un ambiente di rete dove è stato installato un firewall con supporto NAT per rendere sicura la LAN interna da
Internet, i protocolli di signaling VoIP devono poter attraversare il dispositivo NAT che trasla l'indirizzo IP verso una
6 Luglio 2007Sicurezza Avanzata VoIP Tramite Architettura Fortinet “SAFE VoIP”
Fortinet White Paper
rete esterna (vedi Figura 1).
Le decisioni relative alla mappatura d'indirizzo effettuate con tecnologia NAT sono esclusivamente basate sulle
cosiddette informazioni network-level contenute nell’ “header” del pacchetto, il quale contiene anche le informazioni
relative all’indirizzo, ma non il payload a livello applicativo del pacchetto. Per i più comuni protocolli Web, quali HTTP
(es. traffico Web), la funzione NAT per agire correttamente non necessita di utilizzare informazioni contenute nel
payload del pacchetto e non interferisce con le comunicazioni tra le parti su ciascuno dei lati del gateway NAT.
I protocolli di signaling VoIP sono unici, perchè le informazioni relative all’indirizzo, o più specificatamente, gli indirizzi
e numeri di porta delle parti in causa nella chiamata, non sono contenuti nell'header del pacchetto, ma nella parte di
payload del pacchetto. Siccome i dispositivi NAT standard si limitano a traslare gli indirizzi IP contenuti nel message
header, gli indirizzi di signaling e flusso media Real-Time-Protocol (RTP) non vengono traslati correttamente e
pertanto non raggiungono le necessarie destinazioni, con il risultato di chiamate cadute, connessioni instabili o ritardi
e latenza nelle conversazioni. L'effetto più immediato, attivando il NAT, è il blocco del traffico VoIP senza possibilità di
raggiungimento delle destinazioni.
Uno degli approcci a questo problema è quello di lasciare “buchi” permanenti nel firewall che permettono al traffico
VoIP di accedere alla rete privata senza utilizzare NAT. Questa metodologia viene però facilmente sfruttata da intrusi
e va contro le basilari regole di sicurezza. Un altro approccio è quello di instradare le chiamate VoIP attraverso un
tunnel VPN criptato, ma anche questo non risolve il problema per due ragioni: primo, le applicazioni di telefonia IP
devono essere sempre accessibili e non possono tollerare più di 20 millisecondi di latenza, il che rende molte
tecnologie VPN inadeguate. Secondo, molte comunicazioni VoIP sono ad-hoc, e non avvengono tra parti legate da
una relazione di fiducia prestabilita, tipica dei soggetti che fanno parte di una virtual private network (VPN). Del resto,
limitando il VoIP a partner raggiungibili esclusivamente tramite VPN, limita il valore pratico della telefonia Internet.
LA TECNOLOGIA FORTINET ADVANCED VOIP SECURITY
Utilizzando un motore di scansione avanzata dei contenuti, ogni sistema di sicurezza FortigateTM controlla e rende
sicuri entrambi i protocolli di signaling H.323 e SIP, aprendo dinamicamente sul firewall solo le porte richieste per
effettuare una chiamata VoIP. I sistemi FortiGate, riconoscendo a fondo l'H.323 ed il SIP, permettono ai firewall di
effettuare i necessari aggiustamenti, sia sullo stato del firewall sia sui dati della chiamata, per assicurare che
avvengano senza interruzioni attraverso l'unità FortiGate indipendentemente dalla modalità operativa, NAT, route o
trasparent mode. Con l'utilizzo di un sistema operativo orientato alla sicurezza e con architettura ASIC dedicata ad
alte prestazioni, I sistemi di sicurezza avanzata Fortinet di FortiGate permette ad aziende di ogni dimensione di
costruire e fornire una più elevato grado di sicurezza per la convergenza di rete.
Le sezioni seguenti presentano scenari applicativi VoIP e mostrano come i sistemi Fortinet FortiGate possono essere
utilizzati per risolvere alcune problematiche di sicurezza associate alla migrazione VoIP, inclusa la privacy dei dati,
affidabilità del servizio e sicurezza della rete.
Le funzionalità VPN IPSec avanzate di FortiGate permettono agli amministratori di progettare reti VPN “hub and
spoke” che utilizzano un hub centralizzato per dirigere e filtrare il traffico destinato o proveniente da uffici remoti
(spokes). Con questa tipologia di installazione vengono utilizzati algoritmi di di potente crittografia dati, quali 3DES e
AES, per la crittografia del traffico VoIP, proteggendo pertanto contro eventuali attacchi che cercano di catturare e
replicare pacchetti VoIP. La configurazione di Fortigate in High Availability (HA), già testata in ambienti enterprise, offre
la ridondanza delle VPN IPSec tra dispositivi, per mettere a disposizione degli utentiil più alto livello di disponibilità dei
servizi VoIP e delle risorse aziendali.
7 Luglio 2007Sicurezza Avanzata VoIP Tramite Architettura Fortinet “SAFE VoIP”
Fortinet White Paper
Figura 4: Hub-and-Spoke – Gli uffici remoti gestiscono comunicazioni sicure attraverso il principale gateway VPN
Il prossimo scenario presenta una rete aziendale che ha installato servizi di VoIP per servizi voce interni ed esterni. In
questa configurazione, il sistema di sicurezza FortiGate assicura le chiamate H.323 e SIP verso il Gatekeeper VoIP
situato sulla rete DMZ. Questa configurazione permette il routing delle chiamate da interno a interno ed anche il
routing delle chiamate su rete VoIP da interno a esterno.
Gli amministratori della sicurezza controllano il traffico nella DMZ e fuori dalla rete aziendale avvantaggiandosi delle
opzioni di granularità per creazione delle policy di FortiGate.
8 Luglio 2007Sicurezza Avanzata VoIP Tramite Architettura Fortinet “SAFE VoIP”
Fortinet White Paper
SOMMARIO
Il Voice over IP è uno dei principali catalizzatori di applicazioni convergenti voce/dati ad alto valore sia per le aziende
che per i service provider. Resta però il fatto che un uso diffuso del VoIP entra in conflitto con le convenzionali
tecnologie di sicurezza. Infatti, i dispositivi di rete, quali i gateway NAT, spesso non sono in grado di riconoscere e
processare correttamente i protocolli critici di signaling che permettono di abilitare, effettuare e gestire le chiamate
VoIP. Fino ad oggi, per permettere il funzionamento di applicazioni VoIP flessibili è stato necessario scendere a
compromessi: per permettere il transito del VoIP le aziende sono state costrette a compromettere la propria sicurezza
aprendo un range “permanente” di buchi nella loro sicurezza perimetrale, oppure sono state forzate ad acquistare un
costoso sistema call-proxy a singola funzione focalizzato nel risolvere le problematiche del NAT trasversal. Un
ulteriore approccio, che utilizza il VoIP assieme ai tunnel VPN, limita notevolmente la copertura della telefonia Internet.
Nessuna di queste soluzioni raggiunge l'obbiettivo di poter fornire una, sicura implementazione e utilizzo della
tecnologia VoIP.
I sistemi FortiGate sono stati progettati specificatamente per offrire intelligenza a livello applicativo e prestazioni
accelerate ASIC, per andare incontro alle esigenze dalla telefonia Internet sicura e dalle applicazioni miste voce/dati.
I gateway FortiGate supportano sevizi VoIP sicuri per ogni dimensione d'azienda, dai clienti SOHO alle grandi aziende
e service provider, e permettono a ogni organizzazione di ricevere i massimi benefici delle applicazioni voce/dati.
9 Luglio 2007Sicurezza Avanzata VoIP Tramite Architettura Fortinet “SAFE VoIP”
Fortinet White Paper
ABOUT FORTINET (WWW.FORTINET.COM)
Fortinet è il leader riconosciuto del mercato dell'Unified Threat Management.
La gamma di prodotti Fortinet FortiGate™ , firewall con antivirus accelerato tramite ASIC vincitori di numerosi premi,
tra i quali il 2004 Security Product of the Year Award da Network Computing ed il 2003 Networking Industry Awards
Firewall Product of the Year, sono la nuova generazione di sitemi di protezione di rete real-time. Rilevano ed eliminano
le più dannose minacce content-based da email e traffico Web quali virus, worm, intrusioni, contenuti web non
appropriati e altro in tempo reale, senza degradare le prestazioni della rete. I prodotti FortiGate sono l'unica famiglia
di sistemi di sicurezza hardware che ha ricevuto la quadrupla-Certificazione ICSA (antivirus, firewall, IPSec, NIDS), e
che offrono un completo range di servizi a livello di rete e applicazioni su piattaforme integrate e facilmente gestibili.
Nominata al Red Herring Top 100 Companies, Fortinet è una società privata e con sede a Sunnyvale in California.
Fortinet in Italia
Contattateci al numero +39 0651573330
o via e-mail all'indirizzo info@fortinet.it
Copyright 2005 Fortinet, Inc. All rights reserved. Fortinet, FortiGate, FortiGuard sono marchi registrati da Fortinet
Corporation negli Stati Uniti d'America e/o in altre nazioni. I nomi delle attuali società e prodotti qui menzionate
possono essere marchi dei rispettivi proprietari.
WPR1220508
10 Luglio 2007Puoi anche leggere
