Session Border Controller et son rôle dans les communications VoIP

Le trafic VoIP comprend une variété de codecs et de protocoles entraînant des incompatibilités affectant les communications, des domaines superbement gérés par la capacité du contrôleur de frontière de session à transcoder les codecs et à traduire les protocoles.

Il peut avoir d'autres fonctions telles que le contrôle et la surveillance et la traversée NAT en plus de cacher la topologie interne, se révélant être le couteau suisse proverbial pour la fonctionnalité VoIP.

Qu'est-ce qu'un contrôleur de session en bordure et comment fonctionne-t-il ?

Un contrôleur de session en bordure (SBC) est un dispositif qui régule et protège les communications IP. Il se situe à la frontière de votre réseau VoIP et joue un rôle multidimensionnel couvrant : la réglementation de la sécurité, la connectivité, la qualité de service et la conformité. Les contrôleurs de session en bordure sont utilisés pour contrôler les sessions de communication IP d'un utilisateur. Les SBC ont été créés à l'origine pour les réseaux VoIP, mais ils sont maintenant utilisés pour réglementer toutes les formes de communication en ligne : texte VoIP, messagerie instantanée VoIP, vidéo VoIP et autres formats de collaboration.

Pourquoi avez-vous besoin d'un contrôleur de session en bordure de votre réseau VoIP

La voix sur protocole Internet (VoIP) est très différente des anciennes lignes PSTN standard. La voix est « mise en paquets » et utilise l'IP pour voyager sur des voies Internet ouvertes jusqu'à ce qu'elle atteigne la destination finale où les paquets sont réassemblés. Cela rend le trafic vocal vulnérable aux attaques malveillantes telles que le déni de service (DoS).

Il y a aussi l'autre aspect des codecs multimédias et de la gestion des protocoles pour permettre une communication transparente. Le troisième est de cacher la topologie du réseau interne à la vue externe et ainsi de maintenir la sécurité ainsi que de faciliter les communications. Il existe des tâches moins importantes mais non moins importantes, telles que la mise à l'échelle et la hiérarchisation du trafic, que le SBC gère facilement.

Sécurité

Afin de comprendre l'un des nombreux rôles joués par le SBC, il faut jeter un coup d'œil au SIP ou au protocole d'initiation de session. Au fil du temps, plusieurs variantes de SIP se sont développées, entraînant dans leur sillage des problèmes de communications VoIP. Il faudrait entrer dans une longue explication du fonctionnement de SIP.

En bref, ce qui se passe lorsque la session SIP est établie, c'est que les points d'extrémité transportent des informations sur les adresses IP du point d'origine et de destination. Les messages SIP portent des en-têtes "ouverts" que les mandataires de la chaîne utilisent. Cela signifie que des attaquants malveillants peuvent utiliser ces informations pour attaquer les proxys et les passerelles. Il est facile de se connecter aux réseaux et de lancer tout type d'attaque, comme :

• DoS et déni de service distribué (DDoS) entraînant un blocage du trafic
• Introduire des logiciels malveillants
• Exploiter les données du réseau de l'organisation
• Abus de la VoIP pour passer des appels aux frais de l'abonné

Que fait un contrôleur de session en bordure dans ce scénario ? Lorsque les messages SIP passent par le SBC, il remplace les adresses des composants internes et crypte les informations, ce qui rend difficile pour les pirates de cibler les réseaux.

• Le SBC peut limiter le trafic et empêcher les DoS
• Il peut être configuré pour une liste noire dynamique afin de supprimer le trafic provenant de sources sur liste noire.
• Les tentatives d'injection SQL peuvent être prévenues en analysant les messages SIP entrants et en rejetant le contenu malveillant ou mal formaté.
• En masquant la topologie interne, il est difficile pour les pirates de cibler les réseaux VoIP. Là encore, il fonctionne comme un agent utilisateur dos à dos et divise les transactions SIP en parties serveur et client, conserve les informations d'état et les supprime à la fin de l'appel.

Connectivité

Outre le fait qu'il existe plusieurs variantes de SIP, le principal inconvénient est que SIP a ignoré la question de la traversée des adresses réseau ou NAT. La plupart des réseaux de niveau entreprise sont derrière un pare-feu et les appareils utilisent une adresse IP privée non routable sur Internet. On peut utiliser des solutions telles que STUN et ICE mais avec des résultats mitigés.

D'autre part, SBC agit comme l'interface publique, remplaçant les informations de l'agent utilisateur par les siennes. Sans le SBC en place, il y aura des problèmes tels que l'impossibilité de connecter des appels sortants ou de recevoir des appels entrants. Il va plus loin et renvoie les médias de l'utilisateur au point d'origine de manière symétrique pour contourner le NAT.

VoIP n'est pas seulement des appels vocaux. Les réseaux doivent gérer les médias et les services de communication émergents tels que les services OTT, VoLTE et WebRTC. Le trafic devient complexe et la connectivité peut devenir un problème, en particulier lorsque les points d'origine et de destination utilisent différents codecs et protocoles multimédias. Ce qui se passe, c'est qu'un appel peut ne pas être reçu, il peut y avoir des problèmes et vous ne pouvez pas vous rendre audible ou visible pour l'autre partie et, généralement, rencontrer des problèmes.

Là encore, le contrôleur de session en bordure joue un rôle clé :

• Il s'occupe du transcodage des codecs médias et des protocoles de gestion, y compris ceux pour la HD et la VoLTE ainsi que les mobiles 3G/4G en plus du WebRTC et de l'audio-vidéo. Vous éliminez les problèmes d'interopérabilité avec un SBC de qualité dans votre réseau. Passer des appels à n'importe qui sur une ligne fixe, à large bande ou mobile est une tâche facile.
• La communication unifiée et les communications riches deviennent la norme. Vous devez utiliser le même chemin pour la téléphonie, la messagerie instantanée, l'audio-vidéo, le fax et les SMS. Il peut également inclure WebRTC. Dans un tel scénario d'utilisation actuel et futur, vous pouvez vous attendre à ce que le SBC gère sans effort des débits de données élevés, effectue le cryptage et le transcodage et applique la qualité de service.

Le réseau SBC doit évoluer pour être à l'épreuve du temps et offrir les plus hauts niveaux de qualité de service.

Qualité de service

Vous pouvez avoir votre propre définition de la qualité de service. Pour ceux qui utilisent les appels vocaux, le critère peut être la capacité à passer du premier coup. Pour certains, il est important que la qualité audio et la parole soient parfaitement claires. La solution SBC doit pouvoir utiliser le protocole de transport utilisé par la destination et utiliser IPv4 ou IPv6 selon le cas et traduire les protocoles entrants et sortants.

Les administrateurs système peuvent insister pour que le SBC soit capable d'intégrer des signaux et des médias et de maintenir l'état de la session en plus de pouvoir gérer n'importe quelle charge et effectuer une inspection approfondie des paquets pour garantir la conformité aux protocoles de sécurité. Les gestionnaires peuvent souhaiter dériver des scores MOS ou connaître les performances de routage et dériver des informations sur l'utilisation. Les opérateurs de télécommunications et les fournisseurs de services peuvent souhaiter que la facturation et la comptabilité soient liées aux appels et en dérivent des statistiques.

Le SBC est capable de tout cela et plus encore pour assurer les plus hauts niveaux de services que le système VoIP doit gérer.

Réglementaire

Les opérations de télécommunications sont soumises à diverses réglementations. L'un de ces aspects consiste à surveiller les appels, à suivre les appels, à enregistrer les appels et même à intercepter les appels que vous soupçonnez d'être non autorisés. Ce ne sont pas seulement les appels qui doivent être suivis ; vous devrez peut-être même surveiller les médias. Si vous utilisez uniquement le modèle SIP, vous n'avez accès qu'au composant de signalisation. Intégrez SBC au réseau et vous maîtrisez les médias et les signaux.

Il peut aller plus loin en vous permettant de configurer votre configuration pour donner un contrôle d'accès et prévenir la fraude. Cela peut être fait au moyen d'une liste blanche et d'une liste noire. Le SBC remplace l'adresse SDP par la sienne pour prendre en charge le NAT et, ce faisant, permet uniquement aux utilisateurs autorisés d'envoyer du trafic multimédia.

Les fournisseurs de services peuvent proposer des forfaits forfaitaires qui peuvent être utilisés à mauvais escient par l'abonné qui revend cette disponibilité et entraîne une surcharge du réseau en plus de causer une perte. Le SBC suit le comportement des utilisateurs, le nombre d'appels parallèles et d'autres activités ainsi que les fraudes.

Vous pouvez réguler votre système VoIP et vous pouvez rester en conformité avec les réglementations locales, notamment en matière de confidentialité et de sécurité, comme cela est exigé dans des domaines spécifiques comme la santé.

La solution SBC, si vous choisissez la bonne du bon fournisseur, peut faire beaucoup dans différents domaines. Comment le faire est également quelque chose que vous devez savoir pour extraire un maximum de kilométrage.

Comment protéger votre réseau avec le bon contrôleur de session en bordure

Vous voudrez peut-être aller plus loin et utiliser la fonction de configuration pour configurer une sécurité personnalisée pour votre réseau. Cela peut être fait de différentes manières.

Police de la circulation

Le contrôleur de bordure de session peut être configuré pour gérer uniquement les appels de la liste d'utilisateurs définie et rejeter les appels des autres. Vous pouvez le configurer pour surveiller les appels et collecter des données utilisateur telles que les numéros composés, la fréquence d'utilisation et le temps passé sur chaque appel. Cela vous aidera à définir les limites d'utilisation. Le maintien de l'ordre détectera également les tentatives malveillantes d'appels simultanés avec l'intention d'inonder le réseau.

Affectation des ressources

L'un des avantages de la mise en place du SBC est que vous pouvez allouer des ressources à des utilisateurs spécifiques ayant une importance élevée, hiérarchiser les appels de certains numéros et distribuer la bande passante pour garantir la qualité du service. Par exemple, vous pouvez donner la priorité aux signaux par rapport aux médias afin que les appels vocaux ne rencontrent pas de problème.

Limitation de débit

Selon le type de solution SBC utilisée, le système peut être en mesure de gérer une certaine quantité d'appels simultanés et de trafic multimédia, mais il dépend également de la bande passante disponible et de la vitesse Internet. Dans de tels cas, le système peut être configuré pour limiter le nombre d'appels simultanés. Le SBC peut limiter les demandes d'enregistrement par des moyens statiques ou autoriser l'enregistrement de plusieurs téléphones. Vous pouvez également séparer les plans de signalisation et de médias dans le commutateur logiciel pour permettre la mise à l'échelle des appels et des médias.

Contrôle d'admission d'appel

Une façon de se prémunir contre les attaques par déni de service consiste à mettre en place des politiques de contrôle d'admission des appels. Ceux-ci sont basés sur les profils de trafic surveillés des utilisateurs enregistrés et l'analyse des en-têtes pour identifier l'authenticité des appels. Il est courant de configurer une couche de transport et un cryptage RTP sécurisé pour protéger le trafic sur des réseaux ouverts.

Si une attaque se produit, le système réagit en fermant complètement le trafic. Cependant, les SBC alimentés par l'IA peuvent faire la distinction entre les activités légitimes et suspectes et permettre le flux de trafic authentifié.

Réglage des bits ToS/DSCP

Une autre façon d'avoir une meilleure sécurité est de se concentrer sur le type de service (ToS) et de mettre en place le marquage DSCP. Les informations ToS sont disponibles sous forme d'indicateurs à quatre bits dans l'en-tête IP et vous ne pouvez définir qu'un seul bit à la fois pour un délai minimum, un débit maximum, une fiabilité maximum ou un coût minimum. Cela prend en charge les médias tels que l'audio, la vidéo, l'image, le texte et les données basés sur des protocoles tels que SIP, H.245 et H.225.

Les valeurs ToS vous permettent de créer une combinaison de types de médias. Vous pouvez être assez précis en définissant et en manipulant des paramètres tels que le gestionnaire de médias, la politique des médias et les paramètres, entre autres.

La RFC 1349 sous-tend le ToS, mais vous pouvez également utiliser la RFC 4594 sous-jacente aux services différenciés pour définir le ToS. Cependant, cela peut ne s'appliquer qu'aux paquets RTP. Vous pouvez mapper les valeurs DSCP (DiffServ Code Point) sur les valeurs ToS, puis choisir le paramètre ToS dans le profil de support IP pour affiner l'aspect sécurité. Il est préférable de laisser un expert affiner le système pour une sécurité et des performances optimales basées sur les applications SBC et le réseau SBC.

Demandes SBC

Dans son avatar précédent, le SBC n'avait qu'une seule application principale et c'était pour assurer la sécurité des appels VoIP. Cependant, à mesure que l'utilisation de la VoIP se répandait et que les codecs ainsi que les protocoles proliféraient, il devait assumer un autre rôle de facilitateur.

• L'émergence de la VoLTE, de la voix HD, de la communication riche et du WebRTC a également vu le SBC évoluer pour devenir à la fois un commutateur logiciel et une passerelle de contrôle multimédia.
• Les fournisseurs de services et les opérateurs de télécommunications devaient également suivre, surveiller, analyser et facturer les clients pour lesquels une solution de facturation distincte ne serait pas pratique. L'intégration de la fonctionnalité dans le SBC a permis d'améliorer la précision, la vitesse et la charge réduite.
• Le volume de trafic ne cesse d'augmenter pour les appels VoIP et le SBC se charge de gérer facilement les appels simultanés en masse, de diriger le trafic et de hiérarchiser les appels tout en gardant un œil ouvert sur les appels non autorisés, les utilisateurs sur liste noire et les tentatives d'intrusion. Dans le même temps, il doit maintenir une faible latence tout en augmentant la capacité ainsi que le cryptage et le transcodage.
• Il gère également la tâche de contrôle des appels, en décidant quels appels admettre, lesquels rejeter, surveiller les métriques et fournir des données pour aider les administrateurs à affiner le système et à contrôler les appels ainsi que les coûts.
• Les SBC d'aujourd'hui intègrent généralement une fonction de routage intelligent à moindre coût pour acheminer le trafic sur le réseau le moins cher mais de bonne qualité.
• Vous pouvez vous attendre à ce qu'un SBC bien conçu prenne en charge la commutation SSRC, la commutation TCP, le mappage DPT et le tunneling TLS.

Les contrôleurs de session en bordure peuvent être disponibles sous forme de matériel ou de logiciel, ce dernier devenant de plus en plus populaire de jour en jour car il existe une limite prédéfinie dans le dispositif matériel alors que le logiciel évolue. De plus, la tendance est à la virtualisation comme voie vers une meilleure assimilation et une réduction des coûts.

Il est possible de personnaliser SBC en fonction de domaines d'application spécifiques. Par exemple, les SBC utilisés entre deux opérateurs peuvent mettre l'accent sur la sécurité, le transcodage du codec multimédia et le volume élevé d'appels. La normalisation de SIP est une autre fonction dont le SBC s'occupe sans effort.

Le SBC se situe à la périphérie du réseau entre l'opérateur et l'abonné.

Une entreprise peut opter pour SBC pour protéger son réseau et améliorer les performances des appels et l'interopérabilité des médias en plus de mettre en place des contrôles, la détection des fraudes et d'autres mesures pour contrôler les coûts et assurer la sécurité. Il est également pratique pour le masquage de la topologie et la traversée NAT. L'une des préoccupations est d'assurer la sécurité du système IP PBX et le SBC y répond admirablement.

Opérateur-opérateur-abonné

Le SBC joue divers rôles lorsqu'il est utilisé dans le segment des opérateurs de télécommunications et des fournisseurs de services VoIP :

• Il normalise SIP et permet l'interopérabilité avec facilité, améliorant ainsi la réputation du service.
• Il peut être configuré pour gérer un grand nombre d'appels simultanés sans détérioration des performances ni pertes de paquets.
• Les administrateurs peuvent configurer le contrôle d'accès et la prévention de la fraude, tels que les listes noires et blanches et les niveaux de confiance entre pairs.
• Masquer la topologie interne et autoriser la traversée NAT

Application d'entreprise

Les entreprises passent au PBX basé sur VoIP, mais elles peuvent encore avoir des lignes PSTN existantes. Outre le PBX IP, il peut y avoir des communications unifiées couvrant les e-mails, les fax, les SMS, les appels vocaux et vidéo et le chat. Cependant, le téléphone est le pilier et même ici, le flux et l'utilisation sont complexes lorsqu'il y a des centaines ou des milliers d'utilisateurs essayant d'appeler en même temps. Le SBC doit donc être capable de gérer des appels simultanés sans aucune perte de qualité de service.

Étant donné que le réseau interne contient des données précieuses et sensibles, il est impératif que le SBC masque la topologie et ferme les sessions à la fin de l'appel tout en permettant la traversée NAT. Le PBX se connecte à l'interface privée et l'adresse publique est utilisée pour se connecter avec l'opérateur de télécommunications.

Les entreprises sont de plus en plus sujettes aux attaques de piratage. Le SBC anticipe et rejette simplement de telles tentatives de DoS, d'écoute clandestine, de tunnellisation, d'injection, etc., en gardant son réseau interne sécurisé tout en cryptant les paquets multimédias pour empêcher le vol de données vocales.

Conclusion

Beaucoup considèrent le SBC comme une dépense inutile. L'hypothèse est que si l'opérateur de télécommunications ou l'entreprise à l'autre extrémité a SBC, pourquoi s'embêter avec un ici à cette extrémité ? C'est un raisonnement fallacieux puisque le SBC à l'autre bout protège ce réseau, pas le vôtre. En outre, sans le contrôleur de frontière de session, vous rencontrerez des problèmes tels que la connectivité des appels, le transcodage des codecs multimédias et la gestion des protocoles, ce qui enlève le plaisir de la téléphonie et de la vidéo sur Internet.

Le plus grand avantage est la sécurité de votre réseau VoIP et des données de votre réseau interne. Le SBC gère tout cela avec facilité, ne vous laissant jamais savoir qu'il est là, mais travaillant jour après jour pour faciliter les communications à moindre coût, augmentant ainsi vos revenus. C'est un investissement, pas une dépense.