AVAYA 统一通信产品
Avaya SBC

Avaya SIP边界控制器企业版提供了全面的安全保护,让企业能通过任意网络,简单方便、游刃有余的把IP语音通信和统一通信部署到任意设备上。这个即插即用的综合安全平台让用户能在客户设施上安全终止会话发起协议中继,针对话费欺诈、入侵、无授权访问和窃听等实现业界最先进保障。

它是一种采用多核、片上加密加速基础架构的实时的专用设备。 所有媒体处理、包括负载、攻击条件下的加密媒体都可以在不到50微秒内执行完毕。 它支持1+1高可用性部署和跨多站点的群集,可确保扩展能力、地理冗余性和实时呼叫保留故障切换。 所有此类设备都由Avaya网元管理系统(EMS)集中管理。

企业能够利用高性价比的SIP中继实现PSTN连接,执行灵活的最低成本路由,并提供先进的端点安全功能。主要的安全特性包括:

  • 私密性 – 提供加密功能,确保关键任务及受保护的信息处于私密状况,让用户不管身在全世界的哪个角落都能开展业务,同时,即使在公共网络上通信也能保密。
  • 访问控制 – 提供用户身份认证,包括无缝的免客户端双因素认证,以保护企业信息资源,促进策略的执行。这使企业用户能通过任意网络、使用任意设备访问重要通信资源,同时不必冒险把关键系统暴露给不受信任的人员。
  • 威胁缓解 – 根据建筑在Avaya统一通信安全专家团队长年研究基础上的业内最先进的漏洞库和威胁签名防范各类攻击。它使企业能利用新应用快速扩展IP语音通信和统一通信,例如语音邮件-电子邮件集成、软件电话和智能手机等,同时保持相同水准的安全性。
  • 策略执行 – 能够在不影响性能的前提下,根据商业需求和监管规定(包括PCI-DSS、HIPAA、PDIC、GLBA)将策略(安全、应用、路由、记录和监视)应用于统一通信流量。其中还包含了基于用户、网络、应用、时间及其它特征的差异化策略


产品概述

Avaya SIP边界控制器企业版是一种高度专业化的UC安全产品。能够高效保护所有基于IP的实时多媒体应用、终端和网络基础设施,使其免于各种潜在的灾难性攻击和滥用。 最重要的是,它赋予企业以强大的实时灵活性,让企业能协调和规范各种类型的企业通信流量,以保持最高水准的网络效率和安全性。 凭借独特设计,它能实现不断变化和扩展的UC市场所不可或缺的必要安全功能。

这一解决方案面向已经部署了统一通信产品的有线和无线企业或服务提供商。为用户提供完整保护,使他们免于随时随地发生的各种恶意攻击。 尽管核心UC资产及相关的基础设施能通过各种现有技术获得一定程度的直接攻击防护,但其中任何一种技术在与日俱增的、针对UC及相关IP通信应用中固有的大量漏洞所进行的复杂攻击的面前都束手无策。 与之相比,ASBCE是高效、无缝的把全部现存方法融入单个综合性系统的唯一一种UC专业安全解决方案。

Avaya会话边界控制器高级企业版提供了一套全方位的安全解决方案,能完整保护基于会话的实时IP通信应用,例如统一通信、即时消息、视频和多媒体等,以高效阻止未经授权的人员使用UC网络设施资产,保护实时多媒体用户的私密性。 此外,Avaya SBCE还能保护包括所有终端在内的整个网络设施,使其免于各种不同的UC专门DoS信令与媒体攻击,从简单、暴力的溢出与捕获攻击到更为复杂的僵尸、欺骗、以及用户驱动型的恶意分布式、隐身式、混合式、零日攻击和SPAM攻击无不涵盖在内。 最终,Avaya SBCE能够为所有基于SIP的UC网络提供这一无与伦比的强有力保护。

Avaya SIP边界控制器企业版融合了数据安全性各个阶段的最佳实践,确保新的UC威胁能够即时得到识别、检测和消除。 除了动态学习实时多媒体用户行为的各个方面这一独特能力之外,它还能以富于想象力的巧妙方法处理不同的UC协议滥用和语音SPAM攻击。 它采用了一整套专用于UC的安全技术,包括UC协议异常检测与过滤和基于行为学习的异常检测。 这些技术相互结合,使它能监视和检测任意UC网络,保护其免于任何已知的安全漏洞。


功能

为了支持SIP中继环境,Avaya SIP边界控制器企业版提供了下列功能:

SIP 中继

SIP中继功能允许使用了SIP中继的企业利用通过ITSP获得的SIP中继服务,全面保障互联网SIP连接的安全。 SIP中继让穿越企业网络的所有呼叫都能确保其私密性,同时在核心网络(企业)和接入网络(服务提供商)之间保持一个定义良好的分界点。 另外,SIP中继功能还允许企业通过定义良好的域策略维持精细控制,保护企业SIP实施和服务器免遭已知的SIP与媒体漏洞攻击。

由于解决方案作为可信任主机部署在企业DMZ中,以企业网络为目的地的所有SIP信令流都由外部防火墙接收和传递。 如果信令流是加密的,在把数据包经由内部防火墙转发给企业核心的恰当IP语音通信服务器、以便建立对方请求的呼叫会话之前,Avaya SIP边界控制器企业版要对所有TLS加密流进行解密,并搜索反常行为。

一旦建立了有效的呼叫会话,实时传输协议或安全实时传输协议媒体数据包将被允许通过DMZ中的外部防火墙,由后者在把RTP/SRTP流传递给目标终端之前继续搜寻媒体中的异常行为。

媒体流定向

媒体流定向(Media Anchoring)功能旨在优化接入网络的使用。 传统上,会话边界控制器应在呼叫从外部网络出发、经由接入网络、流向企业核心网络(如下图所示)的过程中处理呼叫。 然而,如果呼叫和被叫方都位于同一个专网里,则SBC能够释放媒体路径,让媒体流在主叫方和被叫方之间直接传递,不必穿越接入网络。 这不仅大大降低了带宽利用率,减少网络堵塞,还能显著减小接入网和核心网络基础设施面临的潜在安全威胁。 此外,这一媒体会话的持续过程中用户始终能保持对呼叫的控制。

媒体流定向

移动办公用户

移动办公用户(Mobile Workspace User)功能提供了多种全面的UC安全特性,例如复杂防火墙/IP地址翻译的穿越与安全通道、加密、用户身份认证、以及会话与端点呼叫策略执行等。利用它们安全许可控制远程地点的SIP用户访问企业的内部UC网络。要启用这一功能,需要ASBCE的增强特性许可

为了能实现上述所有功能,企业需要部署两台ASBCE设备;一台部署在企业DMZ,另一台则设于网络核心的IP PBX“前端”,用于处理防火墙/地址翻译和支持安全通道,以尽可能减少防火墙在任何一个时间段内、为了支持正常网络活动所必须保持在开启状态的端口数量。

移动办公用户功能可以部署在SIP环境里,利用身份认证来验证远程用户的合法性,使用TLS加密/解密SIP信令流。 一旦解密过程完成,ASBCE将分析信息流,搜寻异常行为、攻击和入侵,并应用由用户自定义的统一通信策略。 然后,数据包通过安全通道转发到第二台ASBCE,以建立用户请求的呼叫会话。

如果呼叫来自远程地点的移动办公用户(位于企业网络外部),并拨至内部用户(位于核心企业网络内部),企业DMZ里的ASBCE还能解密从外部IP网络(互联网)进入企业网络的SRTP媒体,执行用户请求的任何网络地址转换,分析流量以寻找异常行为,然后运用相关的UC媒体策略。 接下来,它把RTP媒体发送给核心ASBCE,然后再把RTP流传送到目标接收方。

高可用性

媒体和信令的高可用性保证了不管出现任何软硬件故障问题,ASBCE安全功能都能持续生效。 在企业DMZ或核心,两个设备部署为一个逻辑上的高可用性对,其中一个设备设为主动模式,另一个则以热备用备份模式工作。 HA对可以分散在不同地点,每个设备部署于一个独立设施内。

ASBCE高可用对能以并行模式配置部署在企业环境内,此时,信令包只路由到主动服务器,由后者执行所有数据处理任务。 备用服务器的连接端口不负责处理任何流量。 两个ASBCE设备上的管理接口采用不同的IP地址,但信令/媒体接口的IP地址则相同。 ASBCE设备对通过专用接口上的心跳保持同步,并且都和网元管理系统(EMS)持续通信。

一旦网元管理系统检测到主动SBC出现故障,它的网络端口会被自动禁用,备用系统上的相应端口则被打开。 然后,备用系统广播其MAC,将其为通用信令及媒体IP地址的二层地址,并接管数据处理工作。 故障检测和操作转移既不会导致数据包丢失,也不会显著增加数据路径的延迟。 接下来,网关管理系统会报告状态变化,以便系统管理员能采取任何必要措施。

高可用性配置共有两种:在标准配置里,主用和备用设备位于同一个区域内;地理分散型的高可用性配置下,主动设备和备用设备则分别部署在不同的地点。

统一通信入侵防护

传统的入侵防护系统通常会监视网络流量,收集和分析来自网络各个不同部分的信息,找出可能的安全缺口,随后设法预防或缓和问题;ASBCE则与之不同。独特的设计使其不仅能检测任何异常事件,包括未知攻击,还能预防几乎所有类型的入侵(来自企业外部的攻击)和滥用(来自企业内部的攻击), 从而让网络安全管理员在建立统一通信规则时能获得无与伦比的灵活性和精细调整支持。

IPS安全特性所提供的功能包括:

  • 溢出与模糊预防 – 它有助于防止基于卷的DoS和畸形消息攻击。客户化定制的协议清洗(protocol scrubbing)规则负责检测和移除畸形消息,这类消息可能导致呼叫服务器或其它关键网络组件的崩溃,或者由于关键统一通信系统组件(例如服务器和终端)的性能降级让通信基础设施的其它部分易受攻击。
  • 媒体异常预防 – 它能选择性的支持媒体流,根据协商信令及其它配置策略执行承载流量类型的相关规则(例如,预防视频或调制解调器/FAX)。
  • 欺诈预防 – 它运用了多种不同的验证技术检测和防范欺诈,其中包括利用不同消息字段端点“指纹”来触发其它校验和验证。
  • 隐身攻击预防 – 它能根据已知的用户端点呼叫行为模式,检测拨至特定目标或用户的任意妨害与骚扰呼叫,并选择性的将用户和此类呼叫的发起方隔离开。

溢出与端口扫描防范和系统强化

IP网络三层/四层安全特性包含了IP防火墙端口规则,可用于限制入站流量(在数据流量的内容过滤流程之后生效),以保护Avaya SBCE自身免遭IP/ICMP/TCP级攻击。 需要注意的是,出站流量不受限制。

三层/四层溢出与端口扫描防范包括了:

  • ICMP溢出防范-------一旦检测到某个主机发生ICMP溢出,则在未来特定时间段内来自该主机的所有请求都将被拦截。
  • 端口扫描拦截------- 一旦检测到某个主机发生端口扫描,则在未来特定时间段内来自该主机的所有请求都将被拦截
  • 管理接口端口限制------ 在系统的管理接口上,对允许通行的IP端口有所限制。管理接口上的所有其它TCP/UDP流量都会被拦截。 此外,不考虑TCP端口,在特定时间段内只允许来自主机的指定数量TCP数据包。
  • 数据接口限制 ------ 一般保护面向所有数据接口,TCP信令级溢出控制规则动态适用于应用特定的监听IP与监听端口。
  • TCP信令级溢出控制 – 在特定时间段内只允许特定数量的请求,支持TCP SYN、FIN和RST类型的请求。
  • 系统范围安全设置 – 系统范围安全设置适用于ASBCE系统,包括一般保护、管理接口限制和数据接口限制。
  • 防火墙规则 – 这些规则包含在规则模板中,其中包括了适用于所有接口的通用规则,只适用于管理接口的管理规则,以及只适用于数据接口的数据接口规则,还包括默认保护规则和其它动态生成的保护规则。

攻击防护

为了保证所有实时IP应用、而不仅仅是统一通信应用的完整性,ASBCE能全面执行维持最高水准通信网络安全性、可靠性和可用性所至关重要、不可或缺的三大功能:监控、检测和保护。

  • 监控:ASBCE提供的网络安全监控与管理功能全方位涵盖整个统一通信网络,包括所有媒体网关、以及呼叫、语音邮件和应用服务器。 此外,这些监控与管理功能还带来了一套级联式的多层检测、规避与报告系统,能根据用户自定义的事件阈值提供实时信息。 该系统支持详细GUI、控制中心、SMS等。 控制中心可以安装在任意ASBCE上,以此为运行基础,担当独立的网元管理系统,监督和协调安装在网络里的所有Avaya会话边界控制器高级企业版的安全活动。
  • 检测:检测功能采用了多种基于用户自定义的ToD和DoW标准的动态自适应算法,能检测出已知主叫方行为的任何异常。 这些算法非常灵活,足以应对各种特殊情况,例如周末、节假日或其它用户指定的时间段。

- 作为这些功能的补充,它还能“学习”和运用动态信任指数,从一个未知指数开始,根据呼叫方的行为模式(信任、已知、未知、可疑或“Spammer”)和被叫方的反馈(白名单和黑名单)将其提高或降低到不同的级别,以进一步增强检测异常行为的即时性。

- 检测功能还能从网络内部的不同节点与终端收集和关联多个事件和活动,以准确检测攻击行为,这些行为如果仅由网络中的单个节点报告,则很有可能被用户忽略。 它也能执行一种基于已知主叫方指纹的独特检测技术,验证可疑的恶意呼叫或攻击行为的来源。

- ASBCE不但能持续学习呼叫模式,还能根据用户自定义的具体标准,不断分析原始事件数据并自动采取行动,因而能够独立发展和适应,高效应对任何新生或现有的威胁

  • 保护:作为第三种关键的安全功能,它能在拦截攻击行为的同时,允许合法呼叫顺畅通过,实现完整网络保护。 根据可由用户自定义的一组高度灵活的规则 – “统一通信策略”,保护级别能扩展到单个端点、一组特定端点、或者网络内部的全部资产。 用户可以通过此类策略的实施,对任何入站或出站信令流或多媒体流加以精确的区分化或标准化。

- 通过这种方式,所有IP通信设备(包括硬件电话、软件电话、IP无线(WiFi)电话和智能手机)、呼叫服务器、语音邮件服务器、媒体服务器、媒体网关和应用服务器都可得到保护,从而高效保障整个网络免于所有类型的攻击。

其他功能

在配置了ASBCE增强版功能特性许可后,ASBCE还具有下述功能:

  • UC设备配置代理: 它提供了一个UC设备配置代理,可用于管理网络上的远程UC设备,允许它们利用TFTP或类似应用,从自己的配置服务器下载配置文件。 这些配置文件用于网络上受保护的UC设备,用户可以根据通过EMS定义的策略重新改写配置文件的某些部分。
  • 信令以及媒体流镜像:这一功能使ASBCE能把信令以及媒体流数据的副本转发给外部录制设备。 利用这个功能,客户即可的保存每个呼叫信令流的记录,以便进行录音,通话质量监控等功能。 在这种工作模式下,相关原始呼叫正常进行,ASBCE只创建一个副本,发送给另一个目的地。
  • “逆向图灵测试”:使用这一特性,可以让企业的电话使用者清楚的意识到这是来自企业外部的呼叫,并根据需要适当屏蔽。当用户接听外部来电(也即发源自企业外部的呼叫)时,用户会听到一条预先录制好的消息,附带一个随机四位码。 他可以输入代码来接通呼叫,也可以忽略呼叫,挂断来电。 如果呼叫接通,用户会意识到来电者来自企业外部,因而在透露敏感或机密信息时会更加谨慎小心