Session Border Controller und seine Rolle in der VoIP-Kommunikation

Der VoIP-Verkehr besteht aus einer Vielzahl von Codecs und Protokollen, die zu Diskrepanzen führen, die die Kommunikation beeinträchtigen, Bereiche, die von der Fähigkeit des Session Border Controllers, Codecs zu transkodieren und Protokolle zu übersetzen, hervorragend gehandhabt werden.

Es kann neben dem Verbergen der internen Topologie auch andere Funktionen wie Steuerung und Überwachung sowie NAT-Traversal haben, was sich als das sprichwörtliche Schweizer Taschenmesser für VoIP-Funktionalität erweist.

Was ist ein Session Border Controller und wie funktioniert er?

Ein Session Border Controller (SBC) ist ein Gerät, das die IP-Kommunikation reguliert und schützt. Es befindet sich an der Grenze Ihres VoIP-Netzwerks und spielt eine multidimensionale Rolle in den Bereichen: Sicherheitsregulierung, Konnektivität, Servicequalität und Compliance. Session Border Controller werden verwendet, um die IP-Kommunikationssitzungen eines Benutzers zu steuern. SBCs wurden ursprünglich für VoIP-Netzwerke entwickelt, aber sie werden jetzt verwendet, um alle Formen der Online-Kommunikation zu regulieren: VoIP-Text, VoIP-Instant-Messaging, VoIP-Video und andere Kollaborationsformate.

Warum Sie einen Session Border Controller in Ihrem VoIP-Netzwerk benötigen

Voice over Internet Protocol (VoIP) ist Welten entfernt von den standardmäßigen Legacy-PSTN-Leitungen. Sprache wird „paketiert“ und verwendet IP, um über offene Internetwege zu reisen, bis sie das endgültige Ziel erreicht, wo die Pakete wieder zusammengesetzt werden. Dadurch wird der Sprachverkehr anfällig für böswillige Angriffe wie Denial of Service (DoS).

Es gibt auch den anderen Aspekt von Medien-Codecs und Protokollhandhabung, um eine nahtlose Kommunikation zu ermöglichen. Die dritte besteht darin, die interne Netzwerktopologie vor der Außenansicht zu verbergen und somit die Sicherheit aufrechtzuerhalten sowie die Kommunikation zu erleichtern. Es gibt kleinere, aber nicht weniger wichtige Aufgaben wie das Skalieren und Priorisieren des Datenverkehrs, die der SBC mit Leichtigkeit erledigt.

Sicherheit

Um eine der vielen Rollen zu verstehen, die der SBC spielt, muss man sich das SIP- oder Sitzungsinitiierungsprotokoll ansehen. Im Laufe der Zeit entwickelten sich verschiedene SIP-Varianten, die ihre Folgeprobleme in der VoIP-Kommunikation mit sich brachten. Wie SIP funktioniert, müsste man lang und ausführlich erklären.

Kurz gesagt, was passiert, wenn eine SIP-Sitzung eingerichtet wird, ist, dass Endpunkte Informationen über IP-Adressen des Ursprungs- und Zielpunkts tragen. Die SIP-Nachrichten tragen „offene“ Header, die Proxys in der Kette verwenden. Dies bedeutet, dass böswillige Angreifer diese Informationen verwenden können, um Proxys und Gateways anzugreifen. Es ist einfach, in Netzwerke zu tunneln und jede Art von Angriff zu starten, wie zum Beispiel:

• DoS und Distributed Denial of Service (DDoS), die zu einer Blockierung des Datenverkehrs führen
• Malware einführen
• Greifen Sie auf Daten im Netzwerk der Organisation zu
• Missbrauchen Sie VoIP, um auf Kosten des Teilnehmers zu telefonieren

Was macht ein Session Border Controller in diesem Szenario? Wenn die SIP-Nachrichten den SBC durchlaufen, ersetzt er die Adressen interner Komponenten und verschlüsselt Informationen, was es Hackern erschwert, Netzwerke anzugreifen.

• Der SBC kann den Datenverkehr begrenzen und DoS verhindern
• Es kann für eine dynamische Blacklist konfiguriert werden, um Datenverkehr von Quellen auf der Blacklist zu löschen.
• Versuchen einer SQL-Einschleusung kann vorgebeugt werden, indem eingehende SIP-Nachrichten analysiert und böswillige oder falsch formatierte Inhalte zurückgewiesen werden.
• Durch das Verstecken der internen Topologie wird es Hackern erschwert, VoIP-Netzwerke anzugreifen. Andererseits fungiert es als Back-to-Back-Benutzeragent und teilt SIP-Transaktionen in Server- und Client-Teile auf, verwaltet Statusinformationen und löscht sie bei Anrufbeendigung.

Konnektivität

Abgesehen von der Tatsache, dass es mehrere Varianten von SIP gibt, besteht der Hauptnachteil darin, dass SIP das Thema Network Address Traversal oder NAT ignoriert. Die meisten Netzwerke auf Unternehmensebene befinden sich hinter einer Firewall und Geräte verwenden private IP-Adressen, die nicht im Internet geroutet werden können. Man kann Lösungen wie STUN und ICE verwenden, aber mit gemischten Ergebnissen.

Auf der anderen Seite fungiert SBC als öffentliche Schnittstelle und ersetzt die Informationen des Benutzeragenten durch seine eigenen. Ohne den SBC treten Probleme auf, z. B. dass ausgehende Anrufe nicht verbunden oder eingehende Anrufe nicht empfangen werden können. Es geht noch weiter und sendet Medien für den Benutzer auf symmetrische Weise zurück zum Ursprungspunkt, um NAT zu umgehen.

VoIP ist nicht nur Sprachanrufe. Netzwerke müssen Medien und neue Kommunikationsdienste wie OTT-Dienste, VoLTE und WebRTC handhaben. Der Datenverkehr wird komplex und die Konnektivität kann zu einem Problem werden, insbesondere wenn Ausgangs- und Zielpunkte unterschiedliche Medien-Codecs und -Protokolle verwenden. Was passiert, ist, dass ein Anruf möglicherweise nicht empfangen wird, es möglicherweise Störungen gibt und Sie sich für die andere Partei nicht hörbar oder sichtbar machen können und im Allgemeinen Probleme auftreten.

Auch hier spielt der Session Border Controller eine Schlüsselrolle:

• Es kümmert sich um die Transcodierung von Medien-Codecs und die Handhabung von Protokollen, einschließlich derer für HD und VoLTE sowie 3G/4G-Mobilfunkgeräte zusätzlich zu WebRTC und Audio-Video. Sie beseitigen Interoperabilitätsprobleme mit einem hochwertigen SBC in Ihrem Netzwerk. Es ist eine einfache Aufgabe, jemanden über Festnetz, Breitband oder Mobiltelefon anzurufen.
• Unified Communication und Rich Communications werden zur Norm. Sie müssen denselben Weg für Telefonie, Instant Messaging, Audio-Video, Fax und SMS verwenden. Es kann auch WebRTC beinhalten. In einem solchen gegenwärtigen und zukünftigen Anwendungsszenario können Sie erwarten, dass der SBC mühelos hohe Datendurchsätze bewältigt, Verschlüsselung und Transcodierung durchführt und die Servicequalität durchsetzt.

Das SBC-Netzwerk muss sich weiterentwickeln, um zukunftssicher zu sein und ein Höchstmaß an Servicequalität zu bieten.

Servicequalität

Möglicherweise haben Sie Ihre eigene Definition von Servicequalität. Für diejenigen, die Sprachanrufe verwenden, kann das Kriterium die Fähigkeit sein, beim ersten Versuch durchzukommen. Für manche ist es wichtig, dass Audioqualität und Sprache kristallklar rüberkommen. Die SBC-Lösung sollte in der Lage sein, das vom Ziel verwendete Transportprotokoll und je nach Fall IPv4 oder IPv6 zu verwenden und eingehende und ausgehende Protokolle zu übersetzen.

Systemadministratoren können darauf bestehen, dass der SBC in der Lage ist, Signale und Medien zu integrieren und den Sitzungsstatus aufrechtzuerhalten, außerdem in der Lage ist, jede Last zu bewältigen und eine Deep Packet Inspection durchzuführen, um die Einhaltung von Sicherheitsprotokollen sicherzustellen. Manager möchten möglicherweise MOS-Bewertungen ableiten oder die Routing-Leistung kennen und Informationen zur Nutzung ableiten. Telekommunikationsbetreiber und Dienstanbieter möchten möglicherweise Abrechnungen und Abrechnungen mit Anrufen verknüpfen und Statistiken ableiten.

Der SBC ist zu all dem und mehr in der Lage, um die höchsten Dienstniveaus zu gewährleisten, die das VoIP-System bewältigen muss.

Regulierung

Der Telekommunikationsbetrieb unterliegt einer Vielzahl von Vorschriften. Ein solcher Aspekt besteht darin, Anrufe zu überwachen, Anrufe zu verfolgen, Anrufe aufzuzeichnen und sogar Anrufe abzufangen, von denen Sie vermuten, dass sie nicht autorisiert sind. Es sind nicht nur Anrufe, die verfolgt werden müssen; Möglicherweise müssen Sie sogar die Medien im Auge behalten. Wenn Sie nur das SIP-Modell verwenden, haben Sie nur Zugriff auf die Signalisierungskomponente. Integrieren Sie SBC in das Netzwerk und Sie haben Medien und Signale im Griff.

Es kann noch weiter gehen, indem es Ihnen ermöglicht, Ihre Konfiguration einzurichten, um Zugriffskontrolle zu ermöglichen und Betrug zu verhindern. Dies kann mittels Whitelist und Blacklist erfolgen. Der SBC ersetzt die SDP-Adresse durch seine eigene, um NAT zu unterstützen, und erlaubt dabei, dass nur autorisierte Benutzer Medienverkehr senden können.

Dienstanbieter können Flatrate-Pakete anbieten, die von Abonnenten missbraucht werden können, die eine solche Verfügbarkeit weiterverkaufen, und zu einer Überlastung des Netzwerks führen, abgesehen davon, dass sie einen Verlust verursachen. Der SBC verfolgt das Benutzerverhalten, die Anzahl der parallelen Anrufe und andere Aktivitäten sowie Betrug.

Sie können Ihr VoIP-System regulieren und lokale Vorschriften einhalten, insbesondere in Bezug auf Vertraulichkeit und Sicherheit, wie sie in bestimmten Bereichen wie dem Gesundheitswesen gefordert werden.

Die SBC-Lösung kann, wenn Sie die richtige vom richtigen Anbieter auswählen, in verschiedenen Bereichen viel leisten. Wie es geht, ist auch etwas, das Sie wissen müssen, um die maximale Kilometerleistung zu erzielen.

So schützen Sie Ihr Netzwerk mit dem richtigen Session Border Controller

Vielleicht möchten Sie noch einen Schritt weiter gehen und die Konfigurationsfunktion verwenden, um eine benutzerdefinierte Sicherheit für Ihr Netzwerk einzurichten. Dies kann auf verschiedene Arten erfolgen.

Verkehrspolizei

Der Session Border Controller kann so konfiguriert werden, dass er nur Anrufe von definierten Benutzerlisten verarbeitet und Anrufe von anderen ablehnt. Sie können es so einrichten, dass es Anrufe überwacht und Benutzerdaten wie gewählte Nummern, Häufigkeit dieser Nutzung und für jeden Anruf aufgewendete Zeit sammelt. Dies hilft Ihnen, Nutzungsgrenzen zu definieren. Die Überwachung erkennt auch böswillige Versuche gleichzeitiger Anrufe mit der Absicht, das Netzwerk zu überfluten.

Ressourcenzuweisung

Einer der Vorteile des SBC besteht darin, dass Sie Ressourcen bestimmten Benutzern mit hoher Priorität zuweisen, Anrufe von bestimmten Nummern priorisieren und Bandbreite verteilen können, um die Servicequalität sicherzustellen. Sie können beispielsweise Signale gegenüber Medien priorisieren, sodass bei Sprachanrufen keine Probleme auftreten.

Ratenbegrenzung

Abhängig von der Art der verwendeten SBC-Lösung kann das System möglicherweise eine bestimmte Menge an gleichzeitigen Anrufen und Medienverkehr verarbeiten, hängt jedoch auch von der verfügbaren Bandbreite und Internetgeschwindigkeit ab. In solchen Fällen kann das System so konfiguriert werden, dass die Anzahl gleichzeitiger Anrufe begrenzt wird. Der SBC kann Registrierungsanfragen durch statische Mittel einschränken oder die Registrierung für mehrere Telefone zulassen. Sie könnten auch Signalisierungs- und Medienebenen im Softswitch trennen, um eine Skalierung von Anrufen und Medien zu ermöglichen.

Zugangskontrolle anrufen

Eine Möglichkeit zum Schutz vor Denial-of-Service-Angriffen besteht darin, Richtlinien zur Anrufzulassungssteuerung einzurichten. Diese basieren auf überwachten Verkehrsprofilen registrierter Benutzer und dem Analysieren von Headern, um die Authentizität von Anrufen zu identifizieren. Es ist üblich, eine Transportschicht und eine sichere RTP-Verschlüsselung einzurichten, um den Datenverkehr über offene Netzwerke zu schützen.

Wenn ein Angriff stattfindet, reagiert das System, indem es den Datenverkehr vollständig unterbindet. KI-gestützte SBCs können jedoch zwischen legitimen und verdächtigen Aktivitäten unterscheiden und den Fluss von authentifiziertem Datenverkehr zulassen.

ToS/DSCP-Bit-Einstellung

Eine weitere Möglichkeit für mehr Sicherheit besteht darin, sich auf den Type of Service (ToS) zu konzentrieren und die DSCP-Markierung einzurichten. Die ToS-Informationen sind als Vier-Bit-Flags im IP-Header verfügbar, und Sie können jeweils nur ein Bit setzen, um minimale Verzögerung, maximalen Durchsatz, maximale Zuverlässigkeit oder minimale Kosten zu erzielen. Dies unterstützt Medien wie Audio, Video, Bild, Text und Daten basierend auf Protokollen wie SIP, H.245 und H.225.

Mit den ToS-Werten können Sie Medientypkombinationen erstellen. Sie können sehr spezifisch sein, indem Sie unter anderem Parameter wie Medienmanager, Medienrichtlinie und Einstellungen definieren und manipulieren.

RFC 1349 liegt ToS zugrunde, aber Sie können auch RFC 4594 verwenden, das den Differentiated Services zugrunde liegt, um ToS zu definieren. Es kann jedoch nur für RTP-Pakete gelten. Sie können DSCP-Werte (DiffServ Code Point) ToS-Werten zuordnen und dann die ToS-Einstellung im IP-Trägerprofil auswählen, um den Sicherheitsaspekt zu optimieren. Die Feinabstimmung des Systems für optimale Sicherheit und Leistung auf der Grundlage von SBC-Anwendungen und dem SBC-Netzwerk sollte am besten einem Experten überlassen werden.

SBC-Anwendungen

In seiner früheren Form hatte der SBC nur eine Hauptanwendung, und das war die Bereitstellung von Sicherheit für VoIP-Anrufe. Als sich jedoch die VoIP-Nutzung ausbreitete und sich Codecs sowie Protokolle vermehrten, musste es eine andere Rolle als Vermittler übernehmen.

• Mit dem Aufkommen von VoLTE, HD Voice, Rich Communication und WebRTC entwickelte sich auch der SBC zu einem teils Softswitch und teils Media Control Gateway.
• Dienstanbieter und Telekommunikationsbetreiber mussten auch Kunden verfolgen, überwachen, analysieren und abrechnen, für die eine separate Abrechnungslösung nicht praktikabel wäre. Die Integration der Funktion in den SBC führte zu Genauigkeit, Geschwindigkeit und geringerer Belastung.
• Das Verkehrsaufkommen für VoIP-Anrufe nimmt weiter zu, und der SBC übernimmt die Aufgabe, gleichzeitige Massenanrufe mit Leichtigkeit abzuwickeln, den Datenverkehr zu lenken und Anrufe zu priorisieren, während er ein Auge auf nicht autorisierte Anrufe, Benutzer auf der schwarzen Liste und Eindringversuche hat. Gleichzeitig muss es eine niedrige Latenz aufrechterhalten und gleichzeitig die Kapazität sowie die Verschlüsselung und Transcodierung steigern.
• Es übernimmt auch die Aufgabe der Anrufsteuerung, entscheidet, welche Anrufe zugelassen und welche abgelehnt werden, überwacht Metriken und liefert Daten, um Administratoren dabei zu helfen, das System zu verfeinern und Anrufe sowie Kosten zu kontrollieren.
• Heutige SBCs enthalten normalerweise auch eine intelligente Least-Cost-Routing-Funktion, um den Datenverkehr über das kostengünstigste, aber qualitativ hochwertige Netzwerk zu leiten.
• Sie können erwarten, dass ein gut gestalteter SBC SSRC-Switching, TCP-Switching, DPT-Mapping und TLS-Tunneling übernimmt.

Session Border Controller können in Form von Hardware oder Software verfügbar sein, wobei letztere von Tag zu Tag beliebter werden, da es eine vordefinierte Grenze für Hardwaregeräte gibt, während Software skaliert. Darüber hinaus geht der Trend zur Virtualisierung als Weg zu besserer Assimilation und reduzierten Kosten.

Es ist möglich, SBC an spezifische Anwendungsbereiche anzupassen. Beispielsweise können SBCs, die zwischen zwei Trägern verwendet werden, den Schwerpunkt auf Sicherheit, Medien-Codec-Transcodierung und ein hohes Anrufvolumen legen. Das Normalisieren von SIP ist eine weitere Funktion, die der SBC mühelos erledigt.

Der SBC steht am Rand des Netzwerks zwischen Betreiber und Teilnehmer.

Ein Unternehmen kann sich für SBC entscheiden, um sein Netzwerk zu schützen und die Leistung von Anrufen und die Interoperabilität von Medien zu verbessern, neben der Einführung von Kontrollen, Betrugserkennung und anderen Maßnahmen zur Kostenkontrolle und Bereitstellung von Sicherheit. Es ist auch praktisch für das Verbergen von Topologien und NAT-Traversal. Ein Anliegen besteht darin, die Sicherheit des IP-PBX-Systems zu gewährleisten, und der SBC geht dies bewundernswert an.

Carrier-Carrier-Subscriber

Der SBC spielt eine Vielzahl von Rollen, wenn er im Segment der Telekommunikationsanbieter und VoIP-Dienstanbieter eingesetzt wird:

• Es normalisiert SIP und ermöglicht problemlose Interoperabilität, wodurch der Ruf des Dienstes verbessert wird.
• Es kann so eingerichtet werden, dass es eine große Anzahl gleichzeitiger Anrufe ohne Leistungseinbußen oder verlorene Pakete verarbeiten kann.
• Administratoren können Konfigurationen für Zugriffskontrolle und Betrugsprävention wie schwarze und weiße Listen und Vertrauensebenen zwischen Peers einrichten.
• Interne Topologie ausblenden und NAT-Traversal zulassen

Unternehmensanwendung

Unternehmen stellen auf VoIP-basierte PBX um, haben aber möglicherweise noch bestehende PSTN-Leitungen. Abgesehen von IP PBX kann es Unified Communications geben, die E-Mail, Fax, SMS, Sprach- und Videoanrufe und Chat umfassen. Das Telefon ist jedoch die Hauptstütze, und selbst hier ist der Ablauf und die Nutzung komplex, wenn Hunderte oder Tausende von Benutzern gleichzeitig versuchen, anzurufen. Daher muss der SBC in der Lage sein, gleichzeitige Anrufe ohne Dienstqualitätsverlust zu handhaben.

Da das interne Netzwerk wertvolle und sensible Daten enthält, ist es unbedingt erforderlich, dass der SBC die Topologie verbirgt und Sitzungen bei der Anrufbeendigung schließt, während NAT-Traversal zugelassen wird. Die PBX verbindet sich mit der privaten Schnittstelle und die öffentliche Adresse wird verwendet, um sich mit dem Telekommunikationsbetreiber zu verbinden.

Unternehmen werden zunehmend Opfer von Hackerangriffen. Der SBC antizipiert einfach solche DoS-, Abhör-, Tunneling-, Injektionsversuche usw. und weist sie zurück, wobei er sein internes Netzwerk sicher hält und gleichzeitig Medienpakete verschlüsselt, um den Diebstahl von Sprachdaten zu verhindern.

Fazit

Viele halten den SBC für eine unnötige Ausgabe. Die Annahme ist, dass, wenn der Telekommunikationsbetreiber oder das Unternehmen am anderen Ende SBC hat, warum sich hier an diesem Ende die Mühe mit einem machen? Dies ist eine falsche Argumentation, da der SBC am anderen Ende dieses Netzwerk schützt, nicht Ihres. Außerdem werden Sie ohne den Session Border Controller Probleme wie Anrufkonnektivität, Transcodierung von Mediencodecs und Protokollhandhabung erleben, die Ihnen die Freude an Internettelefonie und Video nehmen.

Der größte Vorteil ist die Sicherheit Ihres VoIP-Netzwerks und der Daten in Ihrem internen Netzwerk. Der SBC handhabt all dies mit Leichtigkeit und lässt Sie nie wissen, dass er da ist, sondern arbeitet Tag für Tag daran, die Kommunikation zu geringeren Kosten zu erleichtern und Ihre Einnahmen zu steigern. Es ist eine Investition, keine Ausgabe.