會話邊界控制器及其在 VoIP 通信中的作用

已發表: 2020-11-09

VoIP 流量由多種編解碼器和協議組成,導致不匹配影響通信,會話邊界控制器對編解碼器和協議進行轉碼的能力可以很好地處理這些區域。

除了隱藏內部拓撲之外,它還可以具有其他功能,例如控制和監視以及 NAT 穿越,被證明是眾所周知的 VoIP 功能的瑞士軍刀。

什麼是會話邊界控制器,它是如何工作的?

會話邊界控制器 (SBC) 是一種調節和保護 IP 通信的設備。 它位於您的 VoIP 網絡的前沿,發揮著多方面的作用,涵蓋:安全監管、連接性、服務質量和合規性。 會話邊界控制器用於控制用戶的 IP 通信會話。 SBC 最初是為 VoIP 網絡創建的,但現在它們用於規範所有形式的在線通信:VoIP 文本、VoIP 即時消息、VoIP 視頻和其他協作格式。

為什麼在 VoIP 網絡中需要會話邊界控制器

Internet 協議語音 (VoIP) 與標準的傳統 PSTN 線路截然不同。 語音被“打包”並使用 IP 在開放的互聯網通道上傳播,直到到達重新組裝數據包的最終目的地。 這使得語音流量容易受到拒絕服務 (DoS) 等惡意攻擊。

還有媒體編解碼器和協議處理的另一個方面,以實現無縫通信。 三是隱藏內部網絡拓撲結構,不讓外界看到,從而維護安全,方便通信。 還有一些次要但同樣重要的任務,例如 SBC 輕鬆處理的擴展和優先級流量。

安全

為了理解 SBC 所扮演的眾多角色之一,必須了解 SIP 或會話發起協議。 隨著時間的推移,開發了幾種 SIP 風格,在 VoIP 通信中引入了它們的喚醒問題。 必須對 SIP 的工作原理進行冗長的解釋。

簡而言之,SIP會話建立時發生的是端點攜帶起點和終點的IP地址信息。 SIP 消息攜帶在鏈中使用的代理的“開放”標頭。 這意味著惡意攻擊者可以使用這些信息來攻擊代理和網關。 很容易進入網絡並發起任何類型的攻擊,例如:

  • DoS 和分佈式拒絕服務 (DDoS) 導致流量阻塞
  • 引入惡意軟件
  • 利用組織網絡中的數據
  • 濫用 VoIP 撥打電話,費用由用戶承擔

在這種情況下,會話邊界控制器會做什麼? 當 SIP 消息通過 SBC 時,它會替換內部組件的地址並對信息進行加密,從而使黑客難以瞄準網絡。

  • SBC 可以限制流量並防止 DoS
  • 它可以配置為動態黑名單以丟棄來自黑名單來源的流量。
  • 通過分析傳入的 SIP 消息並拒絕惡意或格式錯誤的內容,可以阻止 SQL 注入的嘗試。
  • 通過隱藏內部拓撲,黑客很難瞄準 VoIP 網絡。然後,它再次充當背靠背用戶代理,將 SIP 事務拆分為服務器和客戶端部分,維護狀態信息並在呼叫終止時將其刪除。
會話邊界控制器

連接性

除了 SIP 有多種變體之外,主要缺點是 SIP 忽略了網絡地址遍歷或 NAT 的問題。 大多數企業級網絡都位於防火牆後面,並且設備使用無法在 Internet 上路由的私有 IP 地址。 人們可能會使用 STUN 和 ICE 等解決方案,但結果好壞參半。

另一方面,SBC 充當公共接口,用它自己的替換用戶代理信息。 如果沒有 SBC,就會出現無法連接撥出電話或接聽來電等問題。 它走得更遠,以對稱的方式將用戶的媒體發送回起始點以繞過 NAT。

VoIP 不僅僅是語音通話。 網絡必須處理媒體和新興通信服務,例如 OTT 服務、VoLTE 和 WebRTC。 流量變得複雜,連接可能成為問題,尤其是當起點和終點使用不同的媒體編解碼器和協議時。 發生的情況是可能無法接聽電話,可能會出現故障,並且您無法讓對方聽到或看到自己,並且通常會遇到問題。

在這裡,會話邊界控制器再次發揮了關鍵作用:

  • 它負責轉碼媒體編解碼器和處理協議,包括用於 HD 和 VoLTE 以及 3G/4G 手機以及 WebRTC 和音頻視頻的協議。 您可以消除網絡中高質量 SBC 的互操作性問題。 通過固定電話、寬帶或移動電話向任何人撥打電話是一件容易的事。
  • 統一通信和豐富的通信正在成為常態。 您需要對電話、即時消息、音頻-視頻、傳真和 SMS 使用相同的路徑。 它還可以包括 WebRTC。 在這種現在和未來的使用場景中,您可以期望 SBC 輕鬆處理高數據吞吐量、執行加密和轉碼並執行服務質量。

SBC 網絡需要發展以適應未來並提供最高水平的服務質量。

服務質量

您可能對服務質量有自己的定義。 對於那些使用語音通話的人來說,標準可能是第一次嘗試打通的能力。 對於某些人來說,音頻質量和語音清晰可見是很重要的。 SBC 解決方案應該能夠使用目的地正在使用的傳輸協議,並根據情況使用 IPv4 或 IPv6,並轉換傳入和傳出協議。

系統管理員可能會堅持 SBC 除了能夠處理任何負載和進行深度數據包檢查以確保符合安全協議之外,還能夠集成信號和媒體並維護會話狀態。 管理人員可能希望獲得 MOS 分數或了解路由性能並獲得有關使用情況的信息。 電信運營商和服務提供商可能希望將計費和計費與呼叫聯繫起來並得出統計數據。

SBC 能夠實現所有這些以及更多功能,以確保 VoIP 系統必須處理的最高級別的服務。

監管

電信運營受各種法規的約束。 其中一個方面是監控呼叫、跟踪呼叫、記錄呼叫甚至攔截您懷疑未經授權的呼叫。 不僅是必須跟踪的呼叫; 您甚至可能需要密切關注媒體。 如果您只使用 SIP 模型,那麼您只能訪問信令組件。 將 SBC 整合到網絡中,您就可以處理媒體和信號。

它可以進一步讓您設置配置以提供訪問控制並防止欺詐。 這可以通過白名單和黑名單來完成。 SBC 將 SDP 地址替換為自己的地址以支持 NAT,並且在此過程中,僅允許授權用戶可以發送媒體流量。

服務提供商可能會提供固定費用套餐,這些套餐可能會被轉售此類可用性的用戶濫用,並導致網絡過載並造成損失。 SBC 跟踪用戶行為、並行呼叫次數和其他活動以及欺詐行為。

提示:獲取更多信息,了解為什麼需要會話邊界控制器來保持消息靈通。

您可以規範您的 VoIP 系統,並且可以遵守當地法規,尤其是在醫療保健等特定領域所堅持的保密性和安全性方面。

SBC 解決方案,如果您從合適的供應商處選擇合適的解決方案,則可以在不同領域發揮作用。 如何做到這一點也是你必須知道的,以提取最大里程。

如何使用正確的會話邊界控制器保護您的網絡

您可能想更進一步,使用配置功能為您的網絡設置自定義安全性。 這可以通過幾種不同的方式來完成。

交通監管

會話邊界控制器可以配置為僅處理來自已定義用戶列表的呼叫並拒絕來自其他用戶的呼叫。 您可以將其設置為監控通話並收集用戶數據,例如撥打的號碼、此類使用的頻率以及每次通話所花費的時間。 這將幫助您定義使用限制。 監管部門還將檢測同時呼叫的惡意企圖,以使網絡氾濫。

資源分配

使用 SBC 的好處之一是,您可以將資源分配給重要性排名靠前的特定用戶,對來自特定號碼的呼叫進行優先級排序並分配帶寬以確保服務質量。 例如,您可以將信號優先於媒體,這樣語音通話就不會遇到問題。

速率限制

根據使用的 SBC 解決方案的類型,系統可能能夠處理一定數量的並發呼叫和媒體流量,但它也取決於可用帶寬和互聯網速度。 在這種情況下,系統可以配置為限制同時呼叫的數量。 SBC 可以通過靜態方式限制註冊請求或允許註冊多個電話。 您還可以在軟交換中分離信令平面和媒體平面,以允許擴展呼叫和媒體。

呼叫准入控制

防範拒絕服務攻擊的一種方法是設置呼叫准入控制策略。 這些基於註冊用戶的監控流量配置文件和標題解析以識別呼叫的真實性。 通常設置傳輸層和安全 RTP 加密來保護開放網絡上的流量。

如果發生攻擊,則係統會通過完全關閉流量來做出響應。 但是,人工智能驅動的 SBC 可以區分合法活動和可疑活動,並允許經過身份驗證的流量流動。

ToS/DSCP 位設置

另一種獲得更好安全性的方法是關注服務類型 (ToS) 並設置 DSCP 標記。 ToS 信息在 IP 標頭中以四位標誌的形式提供,您一次只能設置一位以實現最小延遲、最大吞吐量、最大可靠性或最小成本。 這支持基於 SIP、H.245 和 H.225 等協議的音頻、視頻、圖像、文本和數據等媒體。

ToS 值允許您創建媒體類型組合。 通過定義和操作媒體管理器、媒體策略和設置等參數,您可以非常具體。

RFC 1349 是 ToS 的基礎,但您也可以使用 RFC 4594 基礎的差異化服務來定義 ToS。 但是,它可能僅適用於 RTP 數據包。 您可以將 DSCP(DiffServ 代碼點)值映射到 ToS 值,然後在 IP 承載配置文件中選擇 ToS 設置以微調安全方面。 最好讓專家根據 SBC 應用程序和 SBC 網絡微調系統以獲得最佳安全性和性能。

單板計算機應用

在其早期的化身中,SBC 只有一個主要應用程序,即為 VoIP 呼叫提供安全性。 然而,隨著 VoIP 使用的普及以及編解碼器和協議的激增,它不得不扮演另一個促進者的角色。

  • VoLTE、高清語音、富通信和 WebRTC 的出現也見證了 SBC 演變為部分軟交換和部分媒體控製網關。
  • 服務提供商和電信運營商還需要跟踪、監控、分析和計費客戶,而單獨的計費解決方案對這些客戶來說是不切實際的。 在 SBC 中加入該功能可提高準確性、速度並減輕負擔。
  • VoIP 呼叫的流量不斷增加,SBC 承擔著輕鬆處理大量並發呼叫、引導流量和優先呼叫的職責,同時密切關注未經授權的呼叫、列入黑名單的用戶和入侵企圖。 同時,它必須保持低延遲,同時提高容量以及加密和轉碼。
  • 它還處理呼叫控制任務,決定允許哪些呼叫,拒絕哪些呼叫,觀察指標並提供數據,以幫助管理員改進系統和控制呼叫以及成本。
  • 今天的 SBC 通常還包含智能最低成本路由功能,以通過最低成本但質量好的網絡路由流量。
  • 您可以期待一個設計良好的 SBC 來處理 SSRC 交換、TCP 交換、DPT 映射和 TLS 隧道。

會話邊界控制器可以硬件或軟件的形式提供,後者變得越來越流行,因為硬件設備有一個預定義的限制,而軟件可以擴展。 此外,趨勢是將虛擬化作為實現更好的同化和降低成本的一種方式。

可以定制 SBC 以適應特定的應用領域。 例如,兩個運營商之間使用的 SBC 可能強調安全性、媒體編解碼器轉碼和大量呼叫。 標準化 SIP 是 SBC 輕鬆處理的另一個功能。

SBC 位於運營商和用戶之間的網絡邊緣。

除了實施控制、欺詐檢測和其他措施來控製成本和提供安全性之外,企業還可以選擇 SBC 來保護其網絡並提高呼叫性能和媒體互操作性。 它還可以用於拓撲隱藏和 NAT 遍歷。 一個問題是確保 IP PBX 系統的安全性,而 SBC 很好地解決了這個問題。

運營商-運營商-用戶

SBC 在電信運營商和 VoIP 服務提供商領域中發揮著多種作用:

  • 它使 SIP 標準化並允許輕鬆地進行互操作,從而提高服務的聲譽。
  • 它可以設置為處理大量並發調用,而不會降低性能或丟包。
  • 管理員可以設置訪問控制和欺詐預防配置,例如黑白名單和對等點之間的信任級別。
  • 隱藏內部拓撲並允許 NAT 穿越

企業應用

企業正在切換到基於 VoIP 的 PBX,但他們可能仍然擁有現有的 PSTN 線路。 除了 IP PBX 之外,還可能有統一通信,包括電子郵件、傳真、SMS、語音和視頻通話以及聊天。 然而,電話是主要支柱,即使在這裡,當有成百上千的用戶試圖同時打電話時,流程和使用也很複雜。 因此,SBC 必須能夠處理並發呼叫而不會降低服務質量。

由於內部網絡包含寶貴且敏感的數據,因此 SBC 必須隱藏拓撲並在呼叫終止時關閉會話,同時允許 NAT 穿越。 PBX 連接到私有接口,公共地址用於連接電信運營商。

企業越來越多地受到黑客攻擊。 SBC 只是預測並拒絕此類 DoS、竊聽、隧道、注入等嘗試,在保持其內部網絡安全的同時還加密媒體數據包以防止語音數據被盜。

結論

許多人認為 SBC 是不必要的開支。 假設是,如果電信運營商或另一端的企業有 SBC,為什麼還要在這一端設置一個? 這是錯誤的推理,因為另一端的 SBC 保護的是該網絡,而不是您的網絡。 此外,如果沒有會話邊界控制器,您將遇到呼叫連接、媒體編解碼器轉碼和協議處理等問題,這些問題會讓互聯網電話和視頻失去樂趣。

最大的好處是您的 VoIP 網絡和內部網絡中的數據的安全性。 SBC 輕鬆處理所有這些,從不讓您知道它的存在,而是日復一日地工作,以較低的成本促進通信,增加您的收入。 這是一項投資,而不是一項支出。