40. Algunos Clientes Enterprise
MIT
Northwestern Mutual
Acme Packet Page
AcmeAcme Packet Enterprise OverviewONLY
Packet Confidential - INTERNAL 40
41. Retos en Servicios IP Real Time
Seguridad, Interoperabilidad,
Continuidad de Negocio
Acme Packet Enterprise Overview
42. Retos
• 1: Universalizar Servicios IP Real Time
– Problemas de Interoperabilidad (VoIP, Video).
• De Protocolos (SIP-H.323).
• De Transporte (TCP/UDP)
• Entre Fabricantes y entre Fabricantes y Operadores
– Problemas de Time to Market
• Homologaciones Parciales de Verdors y Versiones en SP
• Meses de Homologación
• Pérdida de Agilidad
2: Asegurar SLAs, Calidad Servicio, Continuidad Negocio,
- CAC. Medida QoS. Troubleshooting
• Asegurar CAC, desde Red o en Cliente por varios Métodos, o Dinámico
• Trabajar a Nivel Sesión en Soluciones HA/DRP con Load Balancing, Routing.
• Si hay Problemas es Necesario un Elemento Externo que Audite la Red: Troubleshooting
3: Seguridad Especializada para VoIP en Cliente.
- Seguridad en Casa del Cliente = Continuidad Negocio
• Amenazas Específicas VoIP que Hay que Tratar de Forma Especializada
• Intentos de Fraude Periódicos, Amenazas Internas Fortuitas
• Es la VoIP Estratégica?. Protegerla ES IMPORTANTE? ES CLAVE.
Acme Packet Page
Acme Packet Enterprise Overview
Acme Packet confidential 42
43. SBC:Resuelve los Retos
1: La Herramienta de Interoperabilidad Mas Potente
– Interworking Señalización, Transporte, en Cliente y hacia SP
– ROI: Protección Inversión, Integración, Costes, Eficiencia, Agilidad
(Time to Market)
2: Seguridad: Firewall Dedicado y Especializado VoIP
– Interna y Externa, Mantiene Servicio Operativo. Control Fraude.
Encriptación, VPNs. Usuarios Remotos sobre Red Pública.
– ROI: Disponibilidad y Continuidad de Negocio. Privacidad. Seguridad.
3: Control QoS y de Negocio
– CAC, Medida e Informes QoS. Troubleshooting.
– CDRs para Tarificación por Entornos / VPNs
– Alta Disponibilidad, R. Geográfica. Sin Perder Llamadas en Failover.
– ROI: Alta Disponibilidad y Continuidad Negocio. Ahorro y Control
Costes.
Acme Packet Page
Acme Packet confidential
45. Nuevas Reglas, Nuevas Amenazas
• Ataques a Nivel de Sesión que pueden Arruinar la
Continuidad y Productividad del Negocio
– Ataques DoS/DDoS
– Fraude
– Spam VoIP
– Register / Signalling Overload (Malicioso / Fortuito)
• Las brechas en la Privacidad de las comunicaciones
pueden producir Pérdidas de Negocio y Violaciones
Regulatorias
– Robo Indentidad
– Eavesdropping (escuchas)
– Fraudes
Las Soluciones de Seguridad Deben estar Diseñadas para Proteger
Comunicaciones de Tiempo Real – A nivel Sesión
Acme Packet Beta footer test Page
46. Herramientas Actuales: No 100% Adecuadas
• Firewalls: No Están Diseñados para Servicios Real Time
– Impactan en Calidad de Servicio (Añadiendo Jitter y Latencia)
– No Pueden Manejar cientos o miles de Sesiones en Tiempo real
– No Trabajan a Nivel de Sesión. No fueron Diseñados para Eso
– No Proporcionan Alta Disponibilidad (p.e. No perder sesiones en Failover)
• Problemas:
– Prevenir Condiciones de Sobrecarga específicas de SIP y Ataques Malintencionados,
– Abrir / Cerrar de Forma Dinámica Puertos RTP Medios en sincronización con la
Señalización SIP.
– Seguir el Estado de la Sesión y Proveer Servicio Ininterrumpido.
– No Seguridad en Sesiones Encriptadas
Acme Packet Acme Packet confidential Page
47. Acme Packet Net SAFE: Solución Específica
Seguridad para Servicios Real Time
Monitoriza, Informa y Registra Se Protege a Sí Mismo frente
ataques, información de Hackers y ataques DoS o Sobrecargas
provee info para auditorías. Maliciosos/Fortuitos
Auto Control de Acceso
Dinámico y a Nivel de
Previene Malas protección
Prácticas, Fraude y Sesión para
DoS, DDoS Seálización y Medios.
Robo Servicio Control e
Prevención Acceso y
Fraude Separación
VPNs Soporte para
Protege Servicios y
Infraestructura, Privacidad, Seguridad VPN
previene de Prevención Topology de L2 y L3
ataques externos,
internos y limita el DoS Hiding,
impacto Servicio Encriptación
Worm/Virus .
Ocultación
Malicious Completa
SW Infraestructura y
Privacidad
Detección y Eliminación de Virus, Usuarios
Gusanos y Malware
Acme Packet Acme Packet confidential Page
48. Diferencias Básicas con Otras Soluciones
Dispositivos B2BUA (SBC) Firewall con SIP ALG
Data center Data center
IP PBX IP PBX
UC server UC server
SIP trunk SIP trunk
• Terminan, Inician y Reinician • La Sesión Atraviesa el FW
Señalización y SDP • No puede Terminar, Iniciar y re
• 2 Sesiones, una a Cada Lado del Iniciar Señalización y SDP
Sistema • Trabaja en Capas 2-4
• Capas 2-7 • Solo Inspecciona y Modifica
• Inspecciona y Modifica toda Direccionamiento a Nivel Sesión
información cabeceras de la capa de (SIP, SDP, etc.)
Sesión (SIP, SDP, etc.) • Solo ACLs Estáticas
• ACLs estáticas y Dinámicas • Cierra los Puertos ante Ataques:
• Mantiene Servicio operativo Pérdida Servicio.
Acme Packet Page
Acme PacketPacket confidential 2009
Acme Packet Enterprise -Overview
Acme SE Training July 48
49. …Soluciones Complementarias
• Control Separado de Aplicaciones de Tiempo
Real (SBC) y Tráfico Tradicional (FW).
• Mantiene Gestión separada si se Requiere
• Sin Cambiar Configuración de Firewalls
• Optimización de Tráfico
– Los pequeños paquetes de Media no
atraviesan en FW
• No Impacta en la QoS de la VoIP
– Sin latency ni jitter adicional introducido por
FW
SIP Carrier
– Latencia SBC en medios menor que 15µs
Carrier Termination Router
• Se recomienda Despliegue en Paralelo
Data SBC
– En Serie Posible en Situaciones en las que
Firewall
IT security impone un modelo con DMZ
Data Network or VLAN
Acme Packet VoIP NetworkPageVLAN
or
Acme Packet confidential
50. Por Qué un SBC sí?
• Solución DoS Basada en Appliance Hardware & Software
– Sin Cuellos de Botella / Colas de elementos Confiables y No Confiables
– Manejo Dinámico de la “Confiabilidad”: Solo replica las Sesiones “confiables” al otro lado
– El resto se queda en la cola de “no Confiables” cuya capacidad es Configurable
– Limitación del tráfico Señalización SIP hacia la red
– Tratamiento separado de Invites y registers. work
• Real-time
– Autoajusta Dinámicamente Niveles Confiabilidad y Apertura / Cierre Puertos
– Bloqueo Automático de usuarios no Confiables: Whitelists/Blacklist Servicios IP/SIP/SDP
– Evita Riesgos de Falsos DoS
• Extiende Privacidad y Confiabilidad a los End Points
– IPsec, TLS, and SRTP
Acme Packet Acme Packet confidential Page
51. Certificado Por Labs Independientes
• “Flawlessly passed all of CT Labs’ grueling attack tests”
– Total of 34 different test cases, using over 4600 test scripts
– Rate of 300,000 messages / second (approximate)
– No failed or dropped calls, even for new calls made during attacks
– Sourced from over 1 billion randomly generated addresses
– No lost RTP packets during attacks
• Protected the core service
infrastructure equipment
– Stopped flood attacks into core
– Stopped malicious packets at edge
• SBC performance not impacted
during attack
– SBC CPU utilization
- only 10% increase
– Signaling latency - only 2 ms
average increase
– RTP jitter – less than 1 ms increase
(not measurable by test equipment)
Acme Packet Page
Acme Packet confidential
54. SBC scenarios supported by OpenScape Voice
Centralized Users Centralized
Applications OSV Applications OSV
Users
WAN
Centralized Centralized
Main Office SBC SBC Main Office
(Geographically Separated) (Geographically Separated)
Internet
NAT+FW NAT+FW
1. SIP Carrier 1. SIP Carrier
SIP trunking SIP trunking
3a. Branch Office
in corporate/trusted 3b. Branch Office
NAT+FW across untrusted
infrastructure
infrastructure
NAT+FW
OpenScapeBranch OpenScapeBranch
(Proxy mode), (SBC mode)
RG8700
NAT+FW Integrated SBC for NAT+FW Integrated SBC for
Branch SIP trunking Branch SIP trunking
2. Remote User Access
(Planned for OSB V1R3) (User behind NAT FW) (Planned for OSB V1R3)
Acme Packet Page
Acme Packet Enterprise Overview
55. Escenario 1a: Carrier SIP Trunking
Enterprise Network
SIP Carrier SIP
Internet Trunking PSTN
RTP Service
OpenScape SBC Untrusted
Voice
IP Service
l SBC enables enterprises to use broadband SIP trunking services for inbound /
outbound off-net calls
– Less expensive, IP based alternative to traditional channelized TDM trunking
services
l SBC provides signalling and media security, management and visibility at the
edge of the enterprise network
– Including QoS monitoring/logging for SLA
(not tested as part of the OpenScape Voice solution)
l SBC provides for SIP interoperability between diverse SIP trunking providers and
OpenScape Voice’s normalized SIP Interface to Service Providers.
Acme Packet Page
Acme Packet Enterprise Overview
56. Scenario 1b: Intra- & Inter-Enterprise SIP Trunking
Federations
Enterprise Network A Enterprise Network B
Internet
OpenScape SBC Untrusted SBC OpenScape
Voice IP Service Voice
SBC enables enterprise to use broadband SIP trunks (SIP or SIP-Q tie lines)
between OpenScape systems over untrusted IP networks.
Eliminates need for carrier SIP trunking services
– Peer-to-peer SIP trunks run over Layer 3 IP services
Provides SIP-aware NAT functions, attack protection, signalling and media
encryption, session detail recording…
Protects communications from attacks based on visibility and mutability of
signalling and media streams (eavesdropping, media injection attacks, call
hijacking, etc)
Provides complete application level security (SIP firewall function)
Bandwidth and QoS based call admission control, QoS mapping, monitoring and
marking, QoS based routing (not tested as part of the OpenScape Voice solution)
Acme Packet Page
Acme Packet Enterprise Overview
57. Scenario 2: Remote User Access
Enterprise HQ
SIP
NAT
FW RTP
Internet
RTP OpenScape
SBC
SIP Voice
Public IP
Address Corporate IP Address Space
NAT
Space
FW
Security
Encryption, authentication
Media handling, dynamic pin-holing
Application availability
Hosted NAT Traversal
IP-address & VPN management
Media anchoring and release
Acme Packet Page
Acme Packet Enterprise Overview
58. Scenario 3a:
Branch Office connection
Enterprise HQ Branch Office
Proxy:
OpenScape
Branch,
RG8700
WAN
PSTN
OpenScape SBC
Voice Near + far end Trusted
IP Service PSTN
NAT Gateway
•Security
– Encryption
•Application availability
– Multi-vendor Interworking
– IP-address & VPN management
– Media anchoring and release
•Regulatory compliance
– Domain separation (VPNs)
Acme Packet Page
59. Scenario 3b:
Branch Office connection
Enterprise HQ Branch Office
Proxy&SBC:
OpenScape
Branch
Internet
PSTN
OpenScape SBC
Voice Untrusted NAT
NAT PSTN
IP Service
Gateway
•Security
– Encryption
•Application availability
– Multi-vendor Interworking •Note:
– IP-address & VPN management De-centralized deployment of Acme Packet
– Media anchoring and release SBCs in branch office locations is not supported.
OpenScape Branch has integrated SBC
•Regulatory compliance functionality, for use in branch offices.
– Domain separation (VPNs)
Acme Packet Page
60. OpenScape Branch V1 R2 Proxy Operating Mode
Enterprise HQ 1. Branch SIP Users are primarily registered
Centralized
OSV
to the OpenScape Branch.
Users Applications
2. OpenScape Branch operates as a Proxy and
forwards messages from the branch SIP User
to the OSV for call control.
2a
Centralized
SBC Note:
Centralized The LAN infrastructure in the Main Office
GWs
2b can be either
2a) directly connected to the WAN or
PSTN SIP trunking
WAN 2b) connected to the WAN through the SBC
(in case that NAT is required to handle overlapping
Branch Office
private IP address ranges in various Branch Offices).
Users
OpenScape Branch
(Proxy mode) For the event that the OpenScape Branch in Proxy
1
mode fails, the SIP Users also have the OSV SIP
NAT+FW
address as the Backup Server Address and can reach
Optiona
SIP trunking l the OSV with no service disruption.
GW
(Planned for OSB V1R3) PSTN
Acme Packet Page
Acme Packet Enterprise Overview
61. OpenScape Branch V1 R2 SBC operating mode
Enterprise HQ
Centralized
Applications OSV
Users 1. Branch SIP User are primarily registered
to the OpenScape Branch.
2. Even in the so called “SBC mode” OpenScape Branch
operates as a Proxy and forwards messages from the
Centralized branch SIP User to the OSV for call control.
SBC
Centralized 2 Internet
GWs
PSTN SIP trunking
Branch Office
For OpenScape Branch in SBC Mode, a unit failure is
NAT+FW OpenScape Branch more critical than in Proxy mode.
(SBC mode) No communication to the OSV is then available.
1 One method to avoid this very unlikely condition is to
NAT+F have a redundant OpenScape Branch unit at the branch.
Optiona
W l
GW
SIP trunking PSTN
(Planned for OSB V1R3)
Acme Packet Page
Acme Packet Enterprise Overview
83. Comunicaciones Unificadas: como protegerlas
¿Puedo presentar mi
trabajo o producto
remotamente y a una
amplia audiencia
geográficamente
dispersa como si
estuviera presente?