Home Page | Skip to Navigation | Skip to Content | Skip to Search | Skip to Footer

Программный блейд
Voice over IP (VoIP)

Voice over IP (VoIP) Software Blade

Обзор

Программный блейд Check Point Voice over IP позволит Вам безопасно использовать приложения VoIP (такие, как телефония или видеоконференция), к тому же без необходимости выполнения редизайна сети. Черви и специфичные для VoIP атаки на отказ в обслуживании могут вызвать сбой сервисов IP-телефонии. Компания Check Point предоставляет эволюционирующее решение защиты от существующих и появляющихся угроз безопасности. Решения Check Point также понижают сложность предоставления услуг VoIP, поскольку исключают проблемы, связанные с несоответствием VoIP и NAT (Network Address Translation).

Ключевые преимущества

  • Повышение доступности и защиты VoIP от червей и атак в конвергированной сети
  • Снижение вероятности атак на VoIP
  • Снижение затрат на применение услуг VoIP благодаря совместимости VoIP с NAT и другими элементами сети
  • Упрощение предоставления услуг VoIP к удаленным офисам и работникам
  • Проактивная защита как сети VoIP, так и поддерживающей ее инфраструктуры

Свойства

Работа со сложными, различными протоколами VoIP
Компании могут выбрать для применения самые различные протоколы VoIP, в том числе и такие по параметрам взаимодействия с безопасностью, которые неспособны обеспечить традиционные межсетевые экраны. Программный блейд Voice over IP обеспечивает наиболее гибкую защиту для широкого спектра протоколов VoIP, доступных в решении периметра безопасности. Защита в блейде Voice over IP дает два преимущества, которые не способны предоставить другие решения периметра защиты. Во-первых, блейд выполняет комплексную проверку как сетевого уровня, так и дополнительной нагрузки — где размещены данные VoIP. Во-вторых, поскольку шлюзы безопасности Check Point разработаны с учетом того, как работают сеансы VoIP, то шлюзы способны обнаруживать и останавливать вредоносную активность VoIP без вмешательства со стороны администратора.

Защита конвергированной сети
Накладывание голосового трафика на сеть данных подвергает ее традиционным атакам информационной безопасности. Программный блейд Voice over IP обеспечивает не просто поддержку протоколов VoIP, но и понимание процессов работы VoIP, а также проактивную защиту как сети VoIP, так и поддерживающей ее инфраструктуры.

Высокое качество голосовой связи
Основной задачей при использовании услуг VoIP является достижение высокого уровня качества голосовой связи, к которой люди привыкли при применении традиционной телефонии. В программном блейде Voice over IP задействованы механизмы Quality of Service (QoS), выполняющие проверку качества голосового трафика при высоком уровне защиты.

Решение проблемы с NAT
Трансляция сетевых адресов (Network address translation, NAT) является функцией безопасности, чаще всего несовместимой с предоставлением услуг VoIP. Программный блейд Voice over IP обеспечивает широкий спектр вариантов предоставления услуг VoIP в среде NAT, без применения продуктов сторонних производителей.

Спецификации

Свойства Описание
Signaling protocols

H.323
Session Initiation Protocol (SIP)
SCCP
Media Gateway Control Protocol (MGCP)
Media protocols

Real-time Transport Protocol (RTP)
Real Time Control Protocol
SIP

RFC 3261 - Latest SIP RFC, RFC 3372 - SIP-T, RFC 3311 - UPDATE message, RFC 2976 - INFO message, RFC 3515 - REFER message , RFC 3265 - SIP Events, RFC 3266 – IPv6 in SDP, RFC 3262 - Reliability of Provisional responses, RFC 3428 - MESSAGE message, MSN messenger over SIP, SIP over TCP, SIP over UDP, SIP early media
H.323
H.323 V.2, V.3, V.4 , H.225 V.2, V.3, V.4 , H.245 V.3, V.5, V.7
SCCP Supported
MGCP RFC 3435 – MCGP v1, J.171 – TGCP
Quality of Service (QoS) methods
Low Latency Queuing (LLQ) LLQ enables highly sensitive traffic such as VoIP to be given the highest priority for security processing, including setting a maximum delay
Guaranteed bandwidth A portion of bandwidth can be set aside specifically for VoIP transmissions
Weighted priorities Different types of traffic can be assigned different priorities. For example, VoIP traffic may be given a weight of 50 compared to a weight of 5 for file sharing. During congested network conditions, the ratio between VoIP and file sharing traffic will be 10:1.
Differentiated Service (DiffServ) Integrated DiffServ support allows service providers to identify and prioritize VoIP traffic as it travels across the corporate wide area network (WAN).
NAT support for SIP networks
Endpoints can be installed with static NAT or hide NAT in the internal network, external network, or DMZ
Incoming calls to hide endpoints that are behind a gateway using hide NAT are supported
SIP-PSTN gateways with hide NAT can be installed in the internal network, external network, or DMZ
SIP-PSTN gateways with static NAT can be installed in the internal network, external network, or DMZ
NAT support for H.323 networks
Gatekeepers can be installed in the external network, internal network, or DMZ using static NAT
Gateways/PBXes can be installed in the external network, internal network, or DMZ using static NAT
Endpoints can be installed everywhere using static NAT
Endpoints can be installed everywhere using hide NAT
Incoming calls to hide NAT are supported
H.323-PSTN gateways can be installed everywhere with static NAT
H.323-PSTN gateways can be installed everywhere with hide NAT

 

SIP security H.323 advanced security

Stateful Inspection of SIP messages

  • Open RTP/RTCP connection dynamically
  • Close RTP/RTCP connection if there is no signaling connection
  • Continuous enforcement of control-data connection relationship

Use of streaming mechanism in SIP over TCP

  • All messages are fully inspected even if divided in several packets

Restricting the following fields

  • RFC enforcement
  • Protocol state machine
  • Usernames
  • Call-ID
  • SDP headers

Special syntax control of the following SIP messages

  • Registration (REGISTER, ACK)
  • Admission control (INVITE)
  • Capability exchange (SDP, OPTION)

Handover domain

  • Provide security enforcement of VoIP redirection and handover

Stateful Inspection of H.323 messages

  • Open RTP/RTCP connection dynamically
  • Close RTP/RTCP connection if there is no signaling connection
  • Open T.120 connection dynamically
  • Close T.120 connection if there is no signaling connection
  • Continuous enforcement of the control-data connection relationship

Use of streaming mechanism for H.225 and H.245

  • All messages are fully inspected even if divided in several packets

Special treatment for the following H.323 messages

  • H.225 RAS messages
  • Q.931 messages
  • H.245
  • Support for fast start—encapsulate H.245 in H.225 messages
  • Support of H.245 tunneling—encapsulate H.245 in H.225 messages

Restricting the following fields

  • RFC enforcement
  • Phone numbers
  • Presence of IP addresses in specific messages
  • Presence of phone numbers in specific messages
  • Protocol flow logic

Handover domain

  • Provide security enforcement of VoIP redirection and handover

Поддержка

Сетевые угрозы постоянно эволюционируют и усложняются. Для сохранения высокой производительности и непрерывности ведения Вашего бизнеса средства защиты должны развиваться теми же темпами. Служба Check Point Services предлагает обновления безопасности, критические обновления, сервис-паки, а также новые версии ПО.

Преимущества

  • Неизменно высокий уровень защиты благодаря доступу к критическим обновлениям и сервис-пакам
  • Максимизация окупаемости инвестиций благодаря новым версиям и обновлениям ПО
  • Повышение уровня защиты благодаря применению современных приложений, функциональным характеристикам и используемым технологиям

More information

>