Пограничный контроллер сеанса и его роль в VoIP-коммуникациях

Трафик VoIP состоит из множества кодеков и протоколов, что приводит к несоответствиям, влияющим на связь, области, которые превосходно обрабатываются способностью пограничного контроллера сеанса транскодировать кодеки и преобразовывать протоколы.

Помимо сокрытия внутренней топологии, он может иметь и другие функции, такие как контроль и мониторинг, а также обход NAT, что доказывает, что он является общеизвестным швейцарским армейским ножом для функциональности VoIP.

Что такое пограничный контроллер сеанса и как он работает?

Пограничный контроллер сеанса (SBC) — это устройство, которое регулирует и защищает IP-коммуникации. Он находится на границе вашей сети VoIP и играет многогранную роль, охватывающую: регулирование безопасности, возможность подключения, качество обслуживания и соблюдение нормативных требований. Пограничные контроллеры сеанса используются для управления сеансами связи IP пользователя. Первоначально SBC были созданы для сетей VoIP, но теперь они используются для регулирования всех форм онлайн-коммуникации: текстовые сообщения VoIP, обмен мгновенными сообщениями VoIP, видео VoIP и другие форматы совместной работы.

Зачем вам нужен пограничный контроллер сеанса в вашей сети VoIP

Передача голоса по Интернет-протоколу (VoIP) сильно отличается от стандартных устаревших линий PSTN. Голос «пакетируется» и использует IP для перемещения по открытым интернет-каналам, пока не достигнет конечного пункта назначения, где пакеты собираются заново. Это делает голосовой трафик уязвимым для вредоносных атак, таких как отказ в обслуживании (DoS).

Есть и другой аспект работы с медиакодеками и протоколами, обеспечивающий бесперебойную связь. В-третьих, скрыть топологию внутренней сети от внешнего вида и, таким образом, обеспечить безопасность, а также облегчить обмен данными. Есть меньшие, но не менее важные задачи, такие как масштабирование и приоритизация трафика, с которыми SBC справляется легко.

Безопасность

Чтобы понять одну из многих ролей, которые играет SBC, необходимо взглянуть на SIP или протокол инициации сеанса. Со временем появилось несколько разновидностей SIP, что привело к проблемам в коммуникациях VoIP. Придется долго объяснять, как работает SIP.

Вкратце, когда устанавливается сеанс SIP, конечные точки передают информацию об IP-адресах точки отправления и назначения. Сообщения SIP несут «открытые» заголовки, которые используют прокси в цепочке. Это означает, что злоумышленники могут использовать эту информацию для атаки на прокси-серверы и шлюзы. Легко туннелировать в сети и запускать любые атаки, такие как:

• DoS и распределенный отказ в обслуживании (DDoS), приводящие к блокировке трафика
• Внедрить вредоносное ПО
• Получите доступ к данным в сети организации
• Злоупотребление VoIP для совершения звонков за счет абонента

Что делает пограничный контроллер сеанса в этом сценарии? Когда SIP-сообщения проходят через SBC, он заменяет адреса внутренних компонентов и шифрует информацию, что затрудняет доступ хакеров к сетям.

• SBC может ограничивать трафик и предотвращать DoS
• Его можно настроить для динамического черного списка, чтобы отбрасывать трафик из источников, занесенных в черный список.
• Попытки SQL-инъекций можно предотвратить, проанализировав входящие SIP-сообщения и отклонив вредоносное или неправильно отформатированное содержимое.
• Скрывая внутреннюю топологию, хакерам становится труднее атаковать сети VoIP. Опять же, он функционирует как пользовательский агент и разделяет SIP-транзакции на серверную и клиентскую части, сохраняет информацию о состоянии и удаляет ее при завершении вызова.

Связь

Помимо того, что существует несколько вариантов SIP, основным недостатком является то, что SIP игнорировал проблему обхода сетевых адресов или NAT. Большинство сетей бизнес-уровня защищены брандмауэром, а устройства используют частный IP-адрес, не маршрутизируемый в Интернете. Можно использовать такие решения, как STUN и ICE, но со смешанными результатами.

С другой стороны, SBC действует как общедоступный интерфейс, заменяя информацию пользовательского агента своей собственной. Без SBC возникнут такие проблемы, как невозможность подключения исходящих вызовов или приема входящих. Он идет дальше и отправляет медиа для пользователя обратно в точку происхождения симметричным способом, чтобы обойти NAT.

VoIP — это не только голосовые вызовы. Сети должны поддерживать мультимедиа и новые услуги связи, такие как услуги OTT, VoLTE и WebRTC. Трафик становится сложным, и подключение может стать проблемой, особенно когда точки отправления и назначения используют разные медиакодеки и протоколы. Что происходит, так это то, что вызов может не быть получен, могут быть сбои, и вы не можете сделать себя слышимым или видимым для другой стороны и, как правило, сталкиваетесь с проблемами.

Здесь снова пограничный контроллер сеанса играет ключевую роль:

• Он заботится о транскодировании медиакодеков и обработке протоколов, в том числе для HD и VoLTE, а также для мобильных телефонов 3G/4G в дополнение к WebRTC и аудио-видео. Вы избавляетесь от проблем совместимости с помощью качественного SBC в своей сети. Звонить кому угодно по стационарному, широкополосному или мобильному телефону — простая задача.
• Унифицированная коммуникация и богатые коммуникации становятся нормой. Вы должны использовать один и тот же путь для телефонии, обмена мгновенными сообщениями, аудио-видео, факса и SMS. Он также может включать WebRTC. В таком сценарии использования в настоящем и будущем вы можете ожидать, что SBC без труда справится с высокой пропускной способностью данных, выполнит шифрование и транскодирование и обеспечит качество обслуживания.

Сеть SBC должна развиваться, чтобы быть ориентированной на будущее и обеспечивать высочайший уровень качества обслуживания.

Качество обслуживания

У вас может быть собственное определение качества обслуживания. Для тех, кто использует голосовые вызовы, критерием может быть возможность дозвониться с первой попытки. Для некоторых важно, чтобы качество звука и речь были кристально чистыми. Решение SBC должно иметь возможность использовать транспортный протокол, используемый пунктом назначения, и использовать IPv4 или IPv6, в зависимости от обстоятельств, и преобразовывать входящие и исходящие протоколы.

Системные администраторы могут настаивать на том, чтобы SBC был способен интегрировать сигналы и мультимедиа и поддерживать состояние сеанса, помимо возможности обрабатывать любую нагрузку и проводить глубокую проверку пакетов для обеспечения соответствия протоколам безопасности. Менеджеры могут захотеть получить оценки MOS или узнать производительность маршрутизации и получить информацию об использовании. Операторы связи и поставщики услуг могут захотеть связать биллинг и учет со звонками и получить статистику.

SBC способен на все это и многое другое, чтобы обеспечить высочайший уровень услуг, которые должна поддерживать система VoIP.

нормативный

Телекоммуникационные операции регулируются различными правилами. Одним из таких аспектов является мониторинг вызовов, отслеживание вызовов, запись вызовов и даже перехват вызовов, которые, как вы подозреваете, являются несанкционированными. Необходимо отслеживать не только звонки; вам может даже понадобиться следить за СМИ. Если вы используете только модель SIP, то у вас есть доступ только к сигнальному компоненту. Включите SBC в сеть, и вы получите доступ к медиа и сигналам.

Это может пойти дальше, позволяя вам настроить свою конфигурацию, чтобы обеспечить контроль доступа и предотвратить мошенничество. Это можно сделать с помощью белого и черного списков. SBC заменяет адрес SDP своим собственным для поддержки NAT и в процессе разрешает только авторизованным пользователям отправлять мультимедийный трафик.

Поставщики услуг могут предлагать пакеты с фиксированной оплатой, которыми может злоупотреблять подписчик, который перепродает такую ​​доступность, что приводит к перегрузке сети, помимо причинения убытков. SBC отслеживает поведение пользователей, количество параллельных вызовов и другие действия, а также случаи мошенничества.

Вы можете регулировать свою систему VoIP и оставаться в соответствии с местным законодательством, особенно в отношении конфиденциальности и безопасности, на чем настаивают в определенных областях, таких как здравоохранение.

Решение SBC, если вы выберете правильное решение от правильного поставщика, может многое сделать в разных областях. Как это сделать, вы также должны знать, чтобы извлечь максимальный пробег.

Как защитить свою сеть с помощью правильного пограничного контроллера сеанса

Возможно, вы захотите пойти еще дальше и использовать функцию конфигурации для настройки индивидуальной безопасности для вашей сети. Это можно сделать несколькими способами.

Контроль трафика

Пограничный контроллер сеанса можно настроить для обработки вызовов только из определенного списка пользователей и отклонения вызовов от других. Вы можете настроить его для отслеживания вызовов и сбора пользовательских данных, таких как набранные номера, частота такого использования и время, затраченное на каждый вызов. Это поможет вам определить пределы использования. Полиция также обнаружит злонамеренные попытки одновременных вызовов с намерением затопить сеть.

Распределение ресурсов

Одно из преимуществ использования SBC заключается в том, что вы можете выделять ресурсы для конкретных пользователей с высоким уровнем важности, устанавливать приоритеты вызовов с определенных номеров и распределять пропускную способность для обеспечения качества обслуживания. Например, вы можете установить приоритет сигналов над мультимедиа, чтобы голосовые вызовы не сталкивались с проблемами.

Ограничение скорости

В зависимости от типа используемого решения SBC система может обрабатывать определенное количество одновременных вызовов и мультимедийного трафика, но это также зависит от доступной полосы пропускания и скорости Интернета. В таких случаях система может быть настроена на ограничение количества одновременных вызовов. SBC может ограничивать запросы на регистрацию с помощью статических средств или разрешать регистрацию для нескольких телефонов. Вы также можете разделить плоскости сигнализации и мультимедиа в программном коммутаторе, чтобы разрешить масштабирование вызовов и мультимедиа.

Контроль допуска звонков

Одним из способов защиты от атак типа «отказ в обслуживании» является настройка политик контроля допуска вызовов. Они основаны на отслеживаемых профилях трафика зарегистрированных пользователей и анализе заголовков для определения подлинности вызовов. Обычно для защиты трафика в открытых сетях настраивают транспортный уровень и безопасное шифрование RTP.

Если происходит атака, система отвечает, полностью закрывая трафик. Однако SBC на базе ИИ могут различать законную и подозрительную активность и разрешать поток аутентифицированного трафика.

Установка бита ToS/DSCP

Еще один способ улучшить безопасность — сосредоточиться на типе обслуживания (ToS) и настроить маркировку DSCP. Информация ToS доступна в виде четырехбитных флагов в заголовке IP, и вы можете установить только один бит за раз для минимальной задержки, максимальной пропускной способности, максимальной надежности или минимальной стоимости. Это поддерживает медиа, такие как аудио, видео, изображения, текст и данные, на основе таких протоколов, как SIP, H.245 и H.225.

Значения ToS позволяют создавать комбинации типов мультимедиа. Вы можете быть достаточно конкретными, определяя и манипулируя такими параметрами, как медиа-менеджер, медиа-политика и настройки среди прочих.

RFC 1349 лежит в основе ToS, но вы также можете использовать RFC 4594, лежащий в основе дифференциальных служб, для определения ToS. Однако это может применяться только к пакетам RTP. Вы можете сопоставить значения DSCP (кодовая точка DiffServ) со значениями ToS, а затем выбрать настройку ToS в профиле IP-носителя для точной настройки аспекта безопасности. Лучше всего доверить эксперту тонкую настройку системы для обеспечения оптимальной безопасности и производительности на основе приложений SBC и сети SBC.

SBC-приложения

В своем более раннем воплощении SBC имел только одно основное приложение, которое должно было обеспечивать безопасность вызовов VoIP. Однако по мере распространения использования VoIP и распространения кодеков, а также протоколов ему пришлось взять на себя еще одну роль посредника.

• Появление VoLTE, HD Voice, Rich Communication и WebRTC также привело к тому, что SBC превратился в частично программный коммутатор и частично шлюз управления мультимедиа.
• Поставщикам услуг и операторам связи также необходимо отслеживать, контролировать, анализировать и выставлять счета клиентам, для которых отдельное решение для выставления счетов было бы непрактичным. Включение этой функции в SBC привело к точности, скорости и снижению нагрузки.
• Объем трафика для вызовов VoIP продолжает расти, и SBC с легкостью берет на себя функции обработки массовых одновременных вызовов, направляя трафик и приоритизируя вызовы, отслеживая при этом несанкционированные вызовы, пользователей из черного списка и попытки вторжения. В то же время он должен поддерживать низкую задержку, увеличивая пропускную способность, а также шифрование и транскодирование.
• Он также выполняет задачу управления вызовами, решая, какие вызовы принимать, какие отклонять, отслеживать показатели и предоставлять данные, помогающие администраторам оптимизировать систему и контролировать вызовы, а также расходы.
• Современные SBC обычно включают в себя функцию интеллектуальной маршрутизации с наименьшими затратами, а также маршрутизацию трафика по самой дешевой, но качественной сети.
• Вы можете ожидать, что хорошо спроектированный SBC позаботится о коммутации SSRC, коммутации TCP, сопоставлении DPT и туннелировании TLS.

Пограничные контроллеры сеанса могут быть доступны в виде аппаратного или программного обеспечения, последнее становится все более популярным с каждым днем, поскольку существует предопределенный предел в аппаратном устройстве, тогда как программное обеспечение масштабируется. Кроме того, наблюдается тенденция к виртуализации как способу лучшего усвоения и снижения затрат.

Можно настроить SBC в соответствии с конкретными областями применения. Например, SBC, используемые между двумя операторами связи, могут уделять особое внимание безопасности, транскодированию медиакодеков и большому количеству вызовов. Нормализация SIP — это еще одна функция, о которой SBC легко заботится.

SBC находится на границе сети между оператором и абонентом.

Предприятие может выбрать SBC для защиты своей сети и повышения производительности вызовов и совместимости мультимедиа, помимо внедрения средств контроля, обнаружения мошенничества и других мер для контроля затрат и обеспечения безопасности. Это также удобно для сокрытия топологии и обхода NAT. Одной из проблем является обеспечение безопасности системы IP-АТС, и SBC превосходно справляется с этой задачей.

Оператор-перевозчик-абонент

SBC играет различные роли при использовании в сегменте оператора связи и поставщика услуг VoIP:

• Он нормализует SIP и позволяет легко взаимодействовать, тем самым улучшая репутацию службы.
• Его можно настроить для обработки большого количества одновременных вызовов без ухудшения производительности или потери пакетов.
• Администраторы могут настраивать параметры контроля доступа и предотвращения мошенничества, такие как черные и белые списки и уровни доверия между одноранговыми узлами.
• Скрыть внутреннюю топологию и разрешить обход NAT

Корпоративное приложение

Предприятия переходят на АТС на основе VoIP, но у них могут оставаться существующие линии PSTN. Помимо IP-АТС могут быть унифицированные коммуникации, охватывающие электронную почту, факс, SMS, голосовые и видеозвонки и чат. Тем не менее, телефон является основой, и даже здесь поток и использование сложны, когда сотни или тысячи пользователей пытаются позвонить одновременно. Таким образом, SBC должен иметь возможность обрабатывать одновременные вызовы без потери качества обслуживания.

Поскольку внутренняя сеть содержит ценные и конфиденциальные данные, крайне важно, чтобы SBC скрывал топологию и закрывал сеансы при завершении вызова, разрешая при этом обход NAT. АТС подключается к частному интерфейсу, а публичный адрес используется для связи с оператором связи.

Предприятия все чаще становятся объектами хакерских атак. SBC просто предвидит и отклоняет такие попытки DoS, прослушивания, туннелирования, внедрения и т. д., обеспечивая безопасность своей внутренней сети, а также шифруя медиа-пакеты для предотвращения кражи голосовых данных.

Вывод

Многие считают SBC ненужными расходами. Предполагается, что если у оператора связи или предприятия на другом конце есть SBC, зачем возиться с ним здесь, на этом конце? Это ошибочное рассуждение, поскольку SBC на другом конце защищает эту сеть, а не вашу. Кроме того, без пограничного контроллера сеанса вы столкнетесь с такими проблемами, как подключение вызовов, транскодирование медиакодеков и обработка протоколов, которые лишают вас удовольствия от интернет-телефонии и видео.

Самым большим преимуществом является безопасность вашей сети VoIP и данных в вашей внутренней сети. SBC с легкостью справляется со всем этим, никогда не давая вам знать, что он есть, но работает изо дня в день, чтобы облегчить связь с меньшими затратами, увеличивая ваши доходы. Это инвестиции, а не расходы.