Kontroler granic sesji i jego rola w komunikacji VoIP

Ruch VoIP składa się z różnych kodeków i protokołów prowadzących do niezgodności wpływających na komunikację, obszary doskonale obsługiwane przez zdolność kontrolera granic sesji do transkodowania kodeków i tłumaczenia protokołów.

Oprócz ukrywania wewnętrznej topologii może mieć inne funkcje, takie jak sterowanie i monitorowanie oraz przechodzenie przez NAT, co udowadnia, że ​​jest przysłowiowym szwajcarskim scyzorykiem dla funkcji VoIP.

Co to jest sesyjny kontroler graniczny i jak działa?

Kontroler granic sesji (SBC) to urządzenie, które reguluje i chroni komunikację IP. Znajduje się na granicy Twojej sieci VoIP i odgrywa wielowymiarową rolę, obejmując: regulacje bezpieczeństwa, łączność, jakość usług i zgodność. Kontrolery granic sesji służą do kontrolowania sesji komunikacyjnych IP użytkownika. SBC zostały pierwotnie stworzone dla sieci VoIP, ale obecnie są używane do regulowania wszystkich form komunikacji online: tekstu VoIP, wiadomości błyskawicznych VoIP, wideo VoIP i innych formatów współpracy.

Dlaczego potrzebujesz kontrolera granic sesji w swojej sieci VoIP?

Protokół Voice over Internet Protocol (VoIP) jest czymś innym niż standardowe, starsze linie PSTN. Głos jest „spakowany” i wykorzystuje protokół IP do przemieszczania się przez otwarte łącza internetowe, aż dotrze do miejsca docelowego, w którym pakiety są ponownie składane. To sprawia, że ​​ruch głosowy jest podatny na złośliwe ataki, takie jak odmowa usługi (DoS).

Istnieje również inny aspekt kodeków mediów i obsługi protokołów, aby umożliwić bezproblemową komunikację. Trzecim jest ukrycie topologii sieci wewnętrznej przed widokiem z zewnątrz, a tym samym utrzymanie bezpieczeństwa, a także ułatwienie komunikacji. Istnieją mniejsze, ale nie mniej ważne zadania, takie jak skalowanie i ustalanie priorytetów ruchu, które SBC obsługuje z łatwością.

Bezpieczeństwo

Aby zrozumieć jedną z wielu ról, jakie odgrywa SBC, należy przyjrzeć się protokołowi SIP lub inicjacji sesji. Z biegiem czasu rozwinęło się kilka odmian protokołu SIP, powodując problemy z komunikacją VoIP. Trzeba by przejść do długiego wyjaśnienia, jak działa SIP.

Krótko mówiąc, to, co dzieje się po ustanowieniu sesji SIP, polega na tym, że punkty końcowe przenoszą informacje o adresach IP punktu początkowego i docelowego. Wiadomości SIP zawierają „otwarte” nagłówki, których używają serwery proxy w łańcuchu. Oznacza to, że złośliwi atakujący mogą wykorzystać te informacje do atakowania serwerów proxy i bram. Łatwo jest tunelować do sieci i przeprowadzać wszelkiego rodzaju ataki, takie jak:

• DoS i Distributed Denial of Service (DDoS) prowadzące do zablokowania ruchu
• Wprowadź złośliwe oprogramowanie
• Korzystaj z danych w sieci organizacji
• Niewłaściwe wykorzystywanie VoIP do wykonywania połączeń na koszt abonenta

Co robi kontroler granic sesji w tym scenariuszu? Gdy wiadomości SIP przechodzą przez SBC, zastępują adresy wewnętrznych komponentów i szyfrują informacje, co utrudnia hakerom atakowanie sieci.

• SBC może ograniczać ruch i zapobiegać atakom DoS
• Można go skonfigurować do dynamicznej czarnej listy, aby odrzucać ruch ze źródeł znajdujących się na czarnej liście.
• Próbom wstrzyknięcia SQL można zapobiec, analizując przychodzące wiadomości SIP i odrzucając złośliwe lub źle sformatowane treści.
• Ukrywając wewnętrzną topologię, utrudnia hakerom atakowanie sieci VoIP. Z drugiej strony działa jako agent użytkownika typu back-to-back i dzieli transakcje SIP na części serwera i klienta, przechowuje informacje o stanie i usuwa je po zakończeniu połączenia.

Łączność

Oprócz faktu, że istnieje kilka odmian SIP, główną wadą jest to, że SIP ignorował kwestię przechodzenia adresów sieciowych lub NAT. Większość sieci na poziomie biznesowym znajduje się za zaporą ogniową, a urządzenia korzystają z prywatnego adresu IP, którego nie można rutować w Internecie. Można stosować rozwiązania takie jak STUN i ICE, ale z mieszanymi wynikami.

Z drugiej strony SBC działa jako interfejs publiczny, zastępując informacje o agencie użytkownika swoimi własnymi. Bez SBC na miejscu będą problemy, takie jak brak możliwości łączenia połączeń wychodzących lub odbierania połączeń przychodzących. Idzie dalej i wysyła media dla użytkownika z powrotem do punktu początkowego w sposób symetryczny, aby obejść NAT.

VoIP to nie tylko połączenia głosowe. Sieci muszą obsługiwać media i nowe usługi komunikacyjne, takie jak usługi OTT, VoLTE i WebRTC. Ruch staje się złożony, a łączność może stać się problemem, zwłaszcza gdy punkty początkowe i docelowe używają różnych kodeków i protokołów mediów. Dzieje się tak, że połączenie może nie zostać odebrane, mogą wystąpić usterki i nie możesz być słyszalny lub widoczny dla drugiej strony i ogólnie doświadczać problemów.

Tutaj ponownie kontroler granic sesji odgrywa kluczową rolę:

• Zajmuje się transkodowaniem kodeków multimedialnych i obsługą protokołów, w tym tych dla HD i VoLTE, a także telefonów komórkowych 3G/4G, oprócz WebRTC i audio-wideo. Usuwasz problemy ze współdziałaniem dzięki wysokiej jakości SBC w swojej sieci. Wykonywanie połączeń przez telefon stacjonarny, szerokopasmowy lub komórkowy jest łatwym zadaniem.
• Zunifikowana komunikacja i bogata komunikacja stają się normą. Musisz użyć tej samej ścieżki dla telefonii, wiadomości błyskawicznych, audio-wideo, faksu i SMS-ów. Może również obejmować WebRTC. W takim obecnym i przyszłym scenariuszu użytkowania można oczekiwać, że SBC będzie bez wysiłku obsługiwać wysoką przepustowość danych, przeprowadzać szyfrowanie i transkodowanie oraz egzekwować jakość usług.

Sieć SBC musi ewoluować, aby być przyszłościową i zapewniać najwyższy poziom jakości usług.

Jakość usługi

Możesz mieć własną definicję jakości usług. Dla osób korzystających z połączeń głosowych kryterium może być umiejętność dodzwonienia się za pierwszym razem. Dla niektórych ważne jest, aby jakość dźwięku i mowa były krystalicznie czyste. Rozwiązanie SBC powinno być w stanie korzystać z protokołu transportowego używanego przez miejsce docelowe i używać IPv4 lub IPv6 w zależności od przypadku oraz tłumaczyć protokoły przychodzące i wychodzące.

Administratorzy systemu mogą nalegać, aby SBC był w stanie integrować sygnały i media oraz utrzymywać stan sesji, oprócz obsługi dowolnego obciążenia i przeprowadzania głębokiej inspekcji pakietów w celu zapewnienia zgodności z protokołami bezpieczeństwa. Menedżerowie mogą chcieć uzyskać wyniki MOS lub znać wydajność routingu i uzyskać informacje na temat użytkowania. Operatorzy telekomunikacyjni i dostawcy usług mogą chcieć, aby rozliczenia i księgowość były powiązane z połączeniami i uzyskiwać statystyki.

SBC jest w stanie to wszystko i więcej, aby zapewnić najwyższy poziom usług, które musi obsługiwać system VoIP.

Regulacyjne

Operacje telekomunikacyjne podlegają różnym regulacjom. Jednym z takich aspektów jest monitorowanie rozmów, śledzenie rozmów, nagrywanie rozmów, a nawet przechwytywanie rozmów, które podejrzewasz, że są nieautoryzowane. Nie tylko połączenia muszą być śledzone; być może będziesz musiał nawet pilnować mediów. Jeśli używasz tylko modelu SIP, masz dostęp tylko do komponentu sygnalizacyjnego. Włącz SBC do sieci i masz kontrolę nad mediami i sygnałami.

Może pójść dalej, umożliwiając skonfigurowanie konfiguracji, aby zapewnić kontrolę dostępu i zapobiegać oszustwom. Można to zrobić za pomocą białej i czarnej listy. SBC zastępuje adres SDP swoim własnym, aby obsługiwać NAT i jednocześnie zezwala tylko autoryzowanym użytkownikom na wysyłanie ruchu multimedialnego.

Dostawcy usług mogą oferować pakiety opłat ryczałtowych, które mogą być nadużywane przez abonenta, który odsprzedaje taką dostępność i prowadzi do przeciążenia sieci, oprócz powodowania strat. SBC śledzi zachowanie użytkowników, liczbę równoległych połączeń i innych działań, a także oszustwa.

Możesz regulować swój system VoIP i zachować zgodność z lokalnymi przepisami, zwłaszcza w zakresie poufności i bezpieczeństwa, co jest wymagane w określonych dziedzinach, takich jak opieka zdrowotna.

Rozwiązanie SBC, jeśli wybierzesz właściwe rozwiązanie od właściwego dostawcy, może wiele zdziałać w różnych obszarach. Jak to zrobić, to również coś, co musisz wiedzieć, aby wydobyć maksymalny przebieg.

Jak chronić swoją sieć za pomocą odpowiedniego kontrolera granic sesji?

Możesz pójść o krok dalej i użyć funkcji konfiguracji, aby skonfigurować niestandardowe zabezpieczenia dla swojej sieci. Można to zrobić na kilka różnych sposobów.

Policja drogowa

Kontroler granic sesji można skonfigurować tak, aby obsługiwał tylko połączenia ze zdefiniowanej listy użytkowników i odrzucał połączenia od innych. Możesz skonfigurować go tak, aby monitorował połączenia i zbierał dane użytkownika, takie jak wybierane numery, częstotliwość takiego użycia i czas spędzony na każdym połączeniu. Pomoże Ci to określić limity użytkowania. Policing wykryje również złośliwe próby równoczesnych połączeń z zamiarem zalania sieci.

Alokacja zasobów

Jedną z korzyści wynikających z posiadania SBC jest możliwość przydzielania zasobów określonym użytkownikom o wysokim znaczeniu, priorytetyzacji połączeń z określonych numerów i dystrybucji przepustowości w celu zapewnienia jakości usług. Na przykład możesz nadać priorytet sygnałom w stosunku do mediów, aby połączenia głosowe nie napotykały problemów.

Ograniczenie szybkości

W zależności od rodzaju używanego rozwiązania SBC system może obsłużyć określoną ilość jednoczesnych połączeń i ruchu w mediach, ale jest to również zależne od dostępnej przepustowości i szybkości Internetu. W takich przypadkach system można skonfigurować tak, aby ograniczał liczbę jednoczesnych połączeń. SBC może ograniczyć żądania rejestracji za pomocą środków statycznych lub zezwolić na rejestrację dla wielu telefonów. Możesz także oddzielić płaszczyzny sygnalizacyjne i medialne w softswitchu, aby umożliwić skalowanie połączeń i mediów.

Kontrola dostępu do połączeń

Jednym ze sposobów ochrony przed atakami typu „odmowa usługi” jest skonfigurowanie zasad kontroli dostępu do połączeń. Opierają się one na monitorowanych profilach ruchu zarejestrowanych użytkowników i parsowaniu nagłówków w celu identyfikacji autentyczności połączeń. Powszechne jest konfigurowanie warstwy transportowej i bezpiecznego szyfrowania RTP w celu ochrony ruchu w otwartych sieciach.

Jeśli nastąpi atak, system zareaguje, całkowicie odcinając ruch. Jednak kontrolery SBC oparte na sztucznej inteligencji potrafią odróżnić legalną i podejrzaną aktywność oraz umożliwić przepływ uwierzytelnionego ruchu.

Ustawienie bitów ToS/DSCP

Innym sposobem uzyskania lepszego bezpieczeństwa jest skupienie się na typie usługi (ToS) i skonfigurowanie znakowania DSCP. Informacje ToS są dostępne jako cztery flagi bitowe w nagłówku IP i można ustawić tylko jeden bit naraz, aby uzyskać minimalne opóźnienie, maksymalną przepustowość, maksymalną niezawodność lub minimalny koszt. Obsługuje media takie jak audio, wideo, obraz, tekst i dane w oparciu o protokoły takie jak SIP, H.245 i H.225.

Wartości ToS umożliwiają tworzenie kombinacji typów mediów. Możesz być dość konkretny, definiując i manipulując między innymi parametrami, takimi jak menedżer multimediów, polityka multimedialna i ustawienia.

RFC 1349 stanowi podstawę ToS, ale można również użyć RFC 4594 leżących u podstaw usług zróżnicowanych, aby zdefiniować ToS. Jednak może dotyczyć tylko pakietów RTP. Możesz mapować wartości DSCP (DiffServ Code Point) na wartości ToS, a następnie wybrać ustawienie ToS w profilu nośnika IP, aby dostroić aspekt bezpieczeństwa. Najlepiej pozostawić ekspertowi dostrojenie systemu pod kątem optymalnego bezpieczeństwa i wydajności w oparciu o aplikacje SBC i sieć SBC.

Aplikacje SBC

W swoim poprzednim awataru SBC miał tylko jedną główną aplikację, która miała zapewniać bezpieczeństwo połączeń VoIP. Jednak wraz z rozprzestrzenianiem się użycia VoIP i rozpowszechnianiem kodeków i protokołów, musiał on przyjąć inną rolę jako ułatwienie.

• Pojawienie się VoLTE, HD Voice, Rich Communication i WebRTC spowodowało, że SBC ewoluował, stając się częściowo softswitchem, a częściowo bramą kontroli mediów.
• Dostawcy usług i operatorzy telekomunikacyjni musieli również śledzić, monitorować, analizować i rozliczać klientów, dla których oddzielne rozwiązanie rozliczeniowe byłoby niepraktyczne. Włączenie tej funkcji w SBC doprowadziło do dokładności, szybkości i zmniejszenia obciążenia.
• Natężenie ruchu w przypadku połączeń VoIP stale rośnie, a SBC przejmuje z łatwością obsługę masowych jednoczesnych połączeń, kierując ruchem i ustalając priorytety połączeń, jednocześnie pilnując nieautoryzowanych połączeń, użytkowników znajdujących się na czarnej liście i prób włamań. Jednocześnie musi utrzymywać niskie opóźnienia, jednocześnie zwiększając pojemność, a także szyfrowanie i transkodowanie.
• Obsługuje również zadanie kontroli połączeń, decydowania, które połączenia należy przyjąć, a które odrzucić, obserwować metryki i dostarczać dane, aby pomóc administratorom udoskonalić system i kontrolować połączenia, a także koszty.
• Dzisiejsze SBC zazwyczaj zawierają inteligentną funkcję routingu po najniższych kosztach, aby kierować ruch przez najtańszą, ale dobrej jakości sieć.
• Można oczekiwać, że dobrze zaprojektowany SBC zajmie się przełączaniem SSRC, przełączaniem TCP, mapowaniem DPT i tunelowaniem TLS.

Kontrolery granic sesji mogą być dostępne w postaci sprzętu lub oprogramowania, które z dnia na dzień staje się coraz bardziej popularne, ponieważ istnieje wstępnie zdefiniowany limit w urządzeniu sprzętowym, podczas gdy oprogramowanie skaluje się. Co więcej, trend zmierza w kierunku wirtualizacji jako sposobu na lepszą asymilację i zmniejszenie kosztów.

Możliwe jest dostosowanie SBC do konkretnych obszarów zastosowań. Na przykład SBC używane między dwoma operatorami mogą kłaść nacisk na bezpieczeństwo, transkodowanie kodeków multimedialnych i dużą liczbę połączeń. Normalizacja SIP to kolejna funkcja, którą SBC zajmuje się bez wysiłku.

SBC stoi na skraju sieci między operatorem a abonentem.

Przedsiębiorstwo może zdecydować się na SBC, aby chronić swoją sieć i poprawić wydajność połączeń i interoperacyjność mediów, oprócz wprowadzenia kontroli, wykrywania oszustw i innych środków kontroli kosztów i zapewnienia bezpieczeństwa. Przydaje się również do ukrywania topologii i przechodzenia przez NAT. Jednym z problemów jest zapewnienie bezpieczeństwa systemu IP PBX, a SBC doskonale się tym zajmuje.

Przewoźnik-przewoźnik-abonent

SBC odgrywa różne role, gdy jest używany w segmencie operatorów telekomunikacyjnych i dostawców usług VoIP:

• Normalizuje SIP i umożliwia interoperacyjność z łatwością, poprawiając w ten sposób reputację usługi.
• Można go skonfigurować do obsługi dużej liczby jednoczesnych połączeń bez pogorszenia wydajności lub porzuconych pakietów.
• Administratorzy mogą skonfigurować kontrolę dostępu i zapobieganie oszustwom, takie jak czarne i białe listy oraz poziomy zaufania między równorzędnymi użytkownikami.
• Ukryj wewnętrzną topologię i zezwól na przechodzenie NAT

Aplikacja korporacyjna

Przedsiębiorstwa przechodzą na PBX oparte na VoIP, ale mogą nadal mieć istniejące linie PSTN. Oprócz IP PBX może istnieć ujednolicona komunikacja obejmująca pocztę elektroniczną, faks, SMS, połączenia głosowe i wideo oraz czat. Jednak telefon jest podstawą i nawet tutaj przepływ i użytkowanie są złożone, gdy setki lub tysiące użytkowników próbują dzwonić w tym samym czasie. Tak więc SBC musi być w stanie obsłużyć równoczesne połączenia bez utraty jakości usług.

Ponieważ sieć wewnętrzna zawiera cenne i wrażliwe dane, konieczne jest, aby SBC ukrywał topologię i zamykał sesje po zakończeniu połączenia, jednocześnie zezwalając na przechodzenie przez NAT. PBX łączy się z prywatnym interfejsem, a adres publiczny służy do łączenia się z operatorem telekomunikacyjnym.

Przedsiębiorstwa coraz częściej stają się celem ataków hakerskich. SBC po prostu przewiduje i odrzuca takie próby ataków DoS, podsłuchiwania, tunelowania, wstrzykiwania itd., zapewniając bezpieczeństwo sieci wewnętrznej, a także szyfrując pakiety multimedialne, aby zapobiec kradzieży danych głosowych.

Wniosek

Wielu uważa SBC za zbędny wydatek. Założenie jest takie, że jeśli operator telekomunikacyjny lub przedsiębiorstwo po drugiej stronie ma SBC, po co zawracać sobie głowę jednym tutaj na tym końcu? Jest to błędne rozumowanie, ponieważ SBC po drugiej stronie chroni tę sieć, a nie twoją. Poza tym bez kontrolera granic sesji możesz napotkać problemy, takie jak łączność połączeń, transkodowanie kodeków multimedialnych i obsługa protokołów, które czerpią radość z telefonii internetowej i wideo.

Największą korzyścią jest bezpieczeństwo Twojej sieci VoIP oraz danych w Twojej sieci wewnętrznej. SBC radzi sobie z tym wszystkim z łatwością, nigdy nie informując Cię, że tam jest, ale codziennie pracuje, aby ułatwić komunikację przy niższych kosztach, zwiększając Twoje przychody. To inwestycja, a nie wydatek.