Viele VoIP-Telefonanlagen nutzen nach wie vor ISDN als Schnittstelle zum Amt. Diese Technik wird künftig von symmetrischen DSL-Anschlüssen abgelöst, die nur noch Ethernet-Verbindungen und das SIP-Protokoll für die Telefonie nutzen. Die bisher eingesetzten Firewalls haben jedoch mit der zeitkritischen Übertragung der Sprachpakete ihre Probleme. Beispielsweise muss bei Verwendung von Network Address Translation (NAT) die private auf die von außen kommende beziehungsweise gehende IP-Adresse umgesetzt werden. Für den Rückkanal ist wiederum eine Übersetzung notwendig, da das Netzgerät nicht weiß, an welche Adresse gesendet werden soll.
Außerdem setzt Telefonie offene SIP-Standard-Ports (5060 oder 5061) voraus. Die Ports 5060 und 5061 werden für unverschlüsselte beziehungsweise die mit TLS verschlüsselte SIP-Signalisierung verwendet. Für jedes Gespräch werden zusätzlich 2 UDP- oder TCP-Ports für den Mediastream frei geschaltet. Um Sicherheitslücken für Angreifer zu schließen, schaltet der Siparator diese Ports nach dem Ende des Gespräches sofort wieder ab. Alleine dieses Beispiel zeigt, dass für die Einführung einer sicheren Telefonie ein Gerät benötigt wird, das die Übersetzung der IP-Adressen vornimmt und die Ports dynamisch verwaltet.
Der Siparator lässt sich in drei Varianten betreiben: Er kann neben der existierenden Firewall angeschlossen werden, um die bisherigen Investitionen zu schützen. Zusätzlich lässt sich das Gerät parallel zur Firewall betreiben - mit und ohne Verbindung für die Lastverteilung. Der Siparator verfügt über einen SIP-Proxy und einen eingebauten SIP-Registrar, sodass auch für NAT kein spezieller Server notwendig ist. QoS-Mechanismen, die verschlüsselte Signalisierung (TLS Transport Layer Security) und verschlüsselte SIP-Verbindungen über das Secure Realtime Protocol (SRTP) werden unterstützt.
Abgestufte Lösung für 20 bis 8.000 SIP-Verbindungen
Weitere Sicherheitsmechanismen sind die SIP-Nutzer-Authentifizierung, die Authentifizierung der VPN-Nutzer über RADIUS und die vorbereitete Überprüfung via RSA SecureID. Der Siparator wurde nach den Richtlinien des Standards Middlebox Communications (Midcom) entwickelt, die eine externe Steuerung der Sicherheitsanwendungen erlaubt. Zusätzlich gibt es Erweiterungen wie etwa eine externe SIP-Anbindung, ein erweitertes SIP-Routing und eine VoIP-Absicherung, in der die SIP-Server überwacht werden und bei der im Störfall die Firewall als Registrar einspringt.
Mit dem erweiterten SIP-Routing lassen sich die Anrufe wie bei einer Anrufverteilung auf bestimmte Gruppen übertragen. Das Sicherheitsniveau beim Einsatz des Siparators entspricht dem einer ISDN-Telefonanlage. Weder das Abhören, Denial-of-Service-Angriffe oder Viren sind mit dem Gerät ein Problem. Die Geräte wurden von den herstellerunabhängigen ICSA Labs hinsichtlich der Performance in VoIP-Umgebungen getestet und zertifiziert. Der Siparator ist also die richtige Wahl, um beim VoIP-Umstieg auf der sicheren Seite zu bleiben.