セッション ボーダー コントローラーと VoIP 通信におけるその役割

公開: 2020-11-09

VoIP トラフィックは、さまざまなコーデックとプロトコルで構成されており、通信に影響を与える不一致につながります。これらの領域は、セッション ボーダー コントローラーのコーデックのトランスコードとプロトコルの変換機能によって見事に処理されます。

内部トポロジを隠す以外に、制御と監視、NAT トラバーサルなどの他の機能を持つことができ、VoIP 機能のスイス アーミー ナイフとして知られています。

セッション ボーダー コントローラーとは何ですか? また、どのように機能しますか?

セッション ボーダー コントローラー (SBC) は、IP 通信を規制および保護するデバイスです。 VoIP ネットワークの最前線に位置し、セキュリティ規制、接続性、サービス品質、コンプライアンスなど、多面的な役割を果たします。 セッション ボーダー コントローラーは、ユーザーの IP 通信セッションを制御するために使用されます。 SBC はもともと VoIP ネットワーク用に作成されましたが、現在では、VoIP テキスト、VoIP インスタント メッセージング、VoIP ビデオ、およびその他のコラボレーション形式など、あらゆる形態のオンライン通信を規制するために使用されています。

VoIP ネットワークにセッション ボーダー コントローラーが必要な理由

ボイス オーバー インターネット プロトコル (VoIP) は、標準の従来の PSTN 回線とは別世界です。 音声は「パケット化」され、IP を使用してオープンなインターネット レーンを通過し、最終的な宛先に到達してパケットが再構成されます。 これにより、音声トラフィックは、サービス拒否 (DoS) などの悪意のある攻撃に対して脆弱になります。

シームレスな通信を可能にするメディア コーデックとプロトコル処理のもう 1 つの側面もあります。 3 つ目は、内部ネットワーク トポロジを外部から隠して、セキュリティを維持し、通信を容易にすることです。 SBC が簡単に処理するトラフィックのスケーリングや優先順位付けなど、それほど重要ではありませんが重要なタスクがあります。

安全

SBC が果たす多くの役割の 1 つを理解するには、SIP またはセッション開始プロトコルを調べる必要があります。 時間の経過とともに、SIP のいくつかのフレーバーが開発され、VoIP 通信にスリープ状態の問題がもたらされました。 SIP がどのように機能するかについては、長々と説明する必要があります。

簡単に言うと、SIP セッションが確立されると、エンドポイントが発信元と宛先の IP アドレスの情報を運ぶことになります。 SIP メッセージは、チェーン内のプロキシが使用する「オープン」ヘッダーを伝送します。 これは、悪意のある攻撃者がこの情報を使用してプロキシやゲートウェイを攻撃できることを意味します。 ネットワークにトンネリングして、次のようなあらゆる種類の攻撃を開始するのは簡単です。

  • トラフィックのブロックにつながる DoS および分散型サービス拒否 (DDoS)
  • マルウェアを導入する
  • 組織のネットワーク内のデータを利用する
  • VoIP を悪用して加入者の費用で電話をかける

このシナリオで、セッション ボーダー コントローラーは何をしますか? SIP メッセージが SBC を通過すると、内部コンポーネントのアドレスが置き換えられ、情報が暗号化されるため、ハッカーがネットワークを標的にすることが困難になります。

  • SBC はトラフィックを制限し、DoS を防ぐことができます
  • ブラックリストに登録された送信元からのトラフィックをドロップするように動的ブラックリストを設定できます。
  • SQL インジェクションの試みは、着信 SIP メッセージを分析し、悪意のあるコンテンツや不正な形式のコンテンツを拒否することで未然に防ぐことができます。
  • 内部トポロジを隠すことで、ハッカーが VoIP ネットワークを標的にすることを困難にします。また、バック ツー バックのユーザー エージェントとして機能し、SIP トランザクションをサーバー部分とクライアント部分に分割し、状態情報を維持し、通話終了時にそれを削除します。
セッションボーダーコントローラー

コネクティビティ

SIP にはいくつかのバリエーションがあるという事実とは別に、主な欠点は、SIP がネットワーク アドレス トラバーサルまたは NAT の問題を無視したことです。 ほとんどのビジネス レベル ネットワークはファイアウォールの背後にあり、デバイスはインターネット上でルーティングできないプライベート IP アドレスを使用します。 STUN や ICE などのソリューションを使用することもできますが、結果はまちまちです。

一方、SBC はパブリック インターフェイスとして機能し、ユーザー エージェント情報を独自のものに置き換えます。 SBC が設置されていないと、発信通話を接続できない、着信通話を受信できないなどの問題が発生します。 さらに進んで、NAT を回避するために対称的な方法でユーザーのメディアを送信元ポイントに送り返します。

VoIP は単なる音声通話ではありません。 ネットワークは、メディアや、OTT サービス、VoLTE、WebRTC などの新しい通信サービスを処理する必要があります。 トラフィックが複雑になり、接続が問題になる可能性があります。特に、起点と終点で異なるメディア コーデックとプロトコルが使用されている場合に顕著です。 何が起こるかというと、通話が受信されなかったり、不具合が発生したり、自分の声が相手に聞こえたり見えたりすることができず、一般的に問題が発生する可能性があります.

ここでも、セッション ボーダー コントローラーが重要な役割を果たします。

  • WebRTC とオーディオ ビデオに加えて、HD と VoLTE だけでなく 3G/4G モバイル用のものを含む、メディア コーデックと処理プロトコルのトランスコーディングを処理します。 ネットワーク内の高品質の SBC を使用すると、相互運用性の問題を解決できます。 固定電話、ブロードバンド、またはモバイルを介して誰にでも電話をかけるのは簡単な作業です。
  • ユニファイド コミュニケーションとリッチ コミュニケーションが当たり前になりつつあります。 電話、インスタント メッセージング、オーディオ ビデオ、ファックス、および SMS に同じ経路を使用する必要があります。 WebRTC を含めることもできます。 このような現在および将来の使用シナリオでは、SBC が高いデータ スループットを簡単に処理し、暗号化とトランスコーディングを実行し、サービス品質を強化することが期待できます。

SBC ネットワークは、将来に備えて進化し、最高レベルのサービス品質を提供する必要があります。

サービスの質

サービス品質の独自の定義がある場合があります。 音声通話を使用している人にとっては、最初の試みでうまくいくかどうかが基準になるかもしれません。 一部の人にとっては、オーディオ品質とスピーチが非常にクリアに聞こえることが重要です. SBC ソリューションは、宛先で使用されているトランスポート プロトコルを使用し、場合によっては IPv4 または IPv6 を使用し、着信プロトコルと発信プロトコルを変換できる必要があります。

システム管理者は、SBC が信号とメディアを統合し、セッション状態を維持できることを主張する場合があります。また、安全プロトコルへの準拠を保証するために、負荷を処理し、詳細なパケット検査を実行することもできます。 管理者は、MOS スコアを取得したり、ルーティング パフォーマンスを知り、使用状況に関する情報を取得したりする場合があります。 通信事業者やサービス プロバイダーは、課金とアカウンティングを通話に関連付けて、統計情報を取得することを希望する場合があります。

SBC は、VoIP システムが処理しなければならない最高レベルのサービスを保証するために、これらすべての機能を備えています。

規制

通信事業は、さまざまな規制の対象となります。 そのような側面の 1 つは、通話の監視、通話の追跡、通話の録音、さらには不正と思われる通話の傍受です。 追跡する必要があるのは通話だけではありません。 メディアを監視する必要さえあるかもしれません。 SIP モデルのみを使用する場合は、シグナリング コンポーネントのみにアクセスできます。 SBC をネットワークに組み込むと、メディアと信号を処理できます。

さらに、構成をセットアップして、アクセス制御を提供し、詐欺を防ぐことができます. これは、ホワイトリストとブラックリストを使用して行うことができます。 SBC は SDP アドレスを独自のアドレスに置き換えて NAT をサポートし、その過程で、許可されたユーザーのみがメディア トラフィックを送信できるようにします。

サービス プロバイダーは、そのような可用性を転売し、損失を引き起こすだけでなく、ネットワークの過負荷につながる加入者によって悪用される可能性がある定額料金パッケージを提供する場合があります。 SBC は、ユーザーの行動、並行呼び出しの数、その他のアクティビティ、および詐欺を追跡します。

ヒント:情報を入手するためにセッション ボーダー コントローラーが必要な理由について、さらに詳しい情報を入手してください。

VoIP システムを規制することができ、特に医療などの特定の分野で要求される機密性とセキュリティに関して、地域の規制に準拠し続けることができます。

SBC ソリューションは、適切なベンダーから適切なものを選択すれば、さまざまな分野で多くのことを実行できます。 それを行う方法は、最大のマイレージを引き出すために知っておく必要があることでもあります.

適切なセッション ボーダー コントローラーでネットワークを保護する方法

さらに一歩進んで、構成機能を使用して、ネットワークのカスタム セキュリティを設定することもできます。 これにはいくつかの方法があります。

交通規制

セッション境界コントローラーは、定義されたユーザー リストからの呼び出しのみを処理し、他のユーザーからの呼び出しを拒否するように構成できます。 通話を監視し、ダイヤルされた番号、そのような使用頻度、各通話に費やされた時間などのユーザーデータを収集するように設定できます。 これは、使用制限を定義するのに役立ちます。 ポリシングは、ネットワークをフラッディングする目的で同時通話を試みる悪意のある試みも検出します。

資源配分

SBC を配置する利点の 1 つは、重要度の高い特定のユーザーにリソースを割り当て、特定の番号からの通話に優先順位を付け、帯域幅を分散してサービスの品質を確保できることです。 たとえば、音声通話が問題に直面しないように、メディアよりも信号を優先することができます。

レート制限

使用中の SBC ソリューションの種類によっては、システムが一定量の同時通話とメディア トラフィックを処理できる場合がありますが、利用可能な帯域幅とインターネット速度にも依存します。 このような場合、システムは同時通話の数を制限するように構成されている場合があります。 SBC は、静的な方法で登録要求を制限したり、複数の電話機の登録を許可したりできます。 また、ソフトスイッチでシグナリング プレーンとメディア プレーンを分離して、コールとメディアのスケーリングを可能にすることもできます。

コール アドミッション コントロール

DoS 攻撃を防ぐ方法の 1 つは、通話受付管理ポリシーを設定することです。 これらは、登録ユーザーの監視されたトラフィック プロファイルと、呼び出しの信頼性を識別するためのヘッダーの解析に基づいています。 オープン ネットワーク上のトラフィックを保護するために、トランスポート層と安全な RTP 暗号化を設定するのが一般的です。

攻撃が発生した場合、システムはトラフィックを完全に遮断して対応します。 ただし、AI を利用した SBC は、正当なアクティビティと疑わしいアクティビティを区別し、認証されたトラフィックのフローを許可できます。

ToS/DSCP ビットの設定

セキュリティを強化するもう 1 つの方法は、サービスの種類 (ToS) に注目し、DSCP マーキングを設定することです。 ToS 情報は、IP ヘッダーの 4 ビット フラグとして利用できます。遅延を最小にする、スループットを最大にする、信頼性を最大にする、またはコストを最小にするために、一度に 1 ビットだけ設定できます。 これは、SIP、H.245、H.225 などのプロトコルに基づいて、オーディオ、ビデオ、画像、テキスト、データなどのメディアをサポートします。

ToS 値により、メディア タイプの組み合わせを作成できます。 メディア マネージャ、メディア ポリシー、設定などのパラメータを定義および操作することで、非常に具体的なものにすることができます。

RFC 1349 は ToS の基盤ですが、差別化サービスの基盤となる RFC 4594 を使用して ToS を定義することもできます。 ただし、RTP パケットにのみ適用される場合があります。 DSCP (DiffServ コード ポイント) 値を ToS 値にマッピングし、IP ベアラー プロファイルで ToS 設定を選択して、セキュリティ面を微調整できます。 SBC アプリケーションと SBC ネットワークに基づいて最適なセキュリティとパフォーマンスが得られるようにシステムを微調整することは、専門家に任せるのが最善です。

SBC アプリケーション

初期のアバターでは、SBC のメイン アプリケーションは 1 つだけで、VoIP 通話のセキュリティを提供することでした。 しかし、VoIP の使用が広がり、コーデックとプロトコルが急増するにつれて、ファシリテーターとしての別の役割を担う必要がありました。

  • VoLTE、HD 音声、リッチ コミュニケーション、および WebRTC の出現により、SBC が進化し、一部がソフトスイッチになり、一部がメディア コントロール ゲートウェイになりました。
  • サービス プロバイダーと電気通信事業者は、個別の請求ソリューションが実用的でない顧客を追跡、監視、分析、および請求する必要もありました。 この機能をSBCに組み込むことで、正確性、速度、負担の軽減につながりました。
  • VoIP 通話のトラフィック量は増加し続けており、SBC は大量の同時通話を簡単に処理し、トラフィックを誘導し、通話に優先順位を付けながら、不正な通話、ブラックリストに登録されたユーザー、および侵入の試みに目を光らせています。 同時に、キャパシティと暗号化およびトランスコーディングを強化しながら、低レイテンシを維持する必要があります。
  • また、コール制御のタスクを処理し、どのコールを許可するか、どのコールを拒否するかを決定し、メトリックを監視してデータを配信することで、管理者がシステムを改良し、コールとコストを制御できるようにします。
  • 今日の SBC には通常、インテリジェントな最小コスト ルーティング機能も組み込まれており、トラフィックを低コストで高品質のネットワークにルーティングします。
  • 適切に設計された SBC は、SSRC スイッチング、TCP スイッチング、DPT マッピング、および TLS トンネリングを処理することが期待できます。

セッション ボーダー コントローラーは、ハードウェアまたはソフトウェアの形式で利用できる場合があります。ハードウェア デバイスには事前に定義された制限があるため、後者は日ごとに人気が高まっていますが、ソフトウェアはスケーリングします。 さらに、トレンドは、より良い同化とコスト削減への道として仮想化に向かっています。

特定のアプリケーション領域に合わせて SBC をカスタマイズすることが可能です。 たとえば、2 つの通信事業者間で使用される SBC は、セキュリティ、メディア コーデックのトランスコーディング、および大量の通話に重点が置かれている場合があります。 SIP の正規化は、SBC が簡単に処理するもう 1 つの機能です。

SBC は、事業者と加入者の間のネットワークの端に位置します。

企業は、ネットワークを保護し、通話のパフォーマンスとメディアの相互運用性を向上させるために SBC を選択することができます。また、コストを制御し、セキュリティを提供するための制御、不正検出、およびその他の手段を導入することもできます。 また、トポロジの隠蔽と NAT トラバーサルにも役立ちます。 懸念事項の 1 つは、IP PBX システムのセキュリティを確保することであり、SBC はこれに見事に対応しています。

キャリア-キャリア-加入者

SBC は、通信事業者および VoIP サービス プロバイダー セグメントで使用される場合、さまざまな役割を果たします。

  • SIP を正規化し、相互運用性を簡単に許可することで、サービスの評判を向上させます。
  • パフォーマンスの低下やパケットのドロップなしで、多数の同時通話を処理するように設定できます。
  • 管理者は、ブラックリストとホワイトリスト、ピア間の信頼レベルなど、アクセス制御と不正防止の構成を設定できます。
  • 内部トポロジを隠し、NAT トラバーサルを許可する

エンタープライズ アプリケーション

企業は VoIP ベースの PBX に切り替えていますが、まだ既存の PSTN 回線を持っている可能性があります。 IP PBX とは別に、電子メール、ファックス、SMS、音声およびビデオ通話、チャットをカバーするユニファイド コミュニケーションが存在する場合があります。 ただし、電話が主力であり、数百または数千のユーザーが同時に電話をかけようとしている場合でも、フローと使用法は複雑です。 そのため、SBC は、サービスの品質を損なうことなく同時通話を処理できる必要があります。

内部ネットワークには貴重で機密性の高いデータが含まれているため、NAT トラバーサルを許可しながら、SBC がトポロジを隠し、通話の終了時にセッションを閉じることが最優先事項です。 PBX はプライベート インターフェイスに接続し、パブリック アドレスは通信事業者との接続に使用されます。

企業はますますハッキング攻撃を受けやすくなっています。 SBC は、DoS、盗聴、トンネリング、インジェクションなどの試みを予測して拒否し、内部ネットワークを安全に保ちながら、メディア パケットを暗号化して音声データの盗難を防ぎます。

結論

多くの人は、SBC は不必要な費用であると考えています。 通信事業者または反対側の企業が SBC を持っている場合、なぜこの側でわざわざ SBC を使用する必要があるのでしょうか。 反対側の SBC はあなたのネットワークではなくそのネットワークを保護するため、これは間違った推論です。 さらに、セッション ボーダー コントローラーがないと、通話接続、メディア コーデックのトランスコーディング、プロトコル処理などの問題が発生し、インターネット電話やビデオの楽しみが奪われます。

最大のメリットは、VoIP ネットワークと内部ネットワークのデータのセキュリティです。 SBC はこれらすべてを簡単に処理し、存在を知らせることはありませんが、低コストでコミュニケーションを促進するために日々働き、収益を増やします。 出費ではなく投資です。