Session Border Controller e il suo ruolo nelle comunicazioni VoIP

Il traffico VoIP comprende una varietà di codec e protocolli che portano a disallineamenti che influiscono sulle comunicazioni, aree gestite in modo eccellente dalla capacità del controller di frontiera di sessione di transcodificare i codec e tradurre i protocolli.

Può avere altre funzioni come controllo e monitoraggio e attraversamento NAT oltre a nascondere la topologia interna, dimostrandosi il proverbiale coltellino svizzero per la funzionalità VoIP.

Che cos'è un controller di confine di sessione e come funziona?

Un Session Border Controller (SBC) è un dispositivo che regola e protegge le comunicazioni IP. Si trova alla frontiera della tua rete VoIP e svolge un ruolo multidimensionale che copre: regolamentazione della sicurezza, connettività, qualità del servizio e conformità. I controller di confine di sessione vengono utilizzati per controllare le sessioni di comunicazione IP di un utente. Gli SBC sono stati originariamente creati per le reti VoIP, ma ora vengono utilizzati per regolare tutte le forme di comunicazione online: testo VoIP, messaggistica istantanea VoIP, video VoIP e altri formati di collaborazione.

Perché hai bisogno di un controller di confine di sessione nella tua rete VoIP

Voice over Internet Protocol (VoIP) è un mondo a parte rispetto alle linee PSTN standard. La voce è "pacchettizzata" e utilizza l'IP per viaggiare su corsie Internet aperte fino a raggiungere la destinazione finale dove i pacchetti vengono riassemblati. Ciò rende il traffico vocale vulnerabile ad attacchi dannosi come Denial of Service (DoS).

C'è anche l'altro aspetto dei codec multimediali e della gestione del protocollo per consentire una comunicazione senza interruzioni. Il terzo è nascondere la topologia della rete interna alla vista esterna e quindi mantenere la sicurezza e facilitare le comunicazioni. Esistono attività minori ma non per questo meno importanti come il ridimensionamento e la definizione delle priorità del traffico che SBC gestisce con facilità.

Sicurezza

Per comprendere uno dei tanti ruoli che SBC svolge, è necessario dare un'occhiata al SIP o al protocollo di avvio della sessione. Nel corso del tempo si sono sviluppate diverse versioni di SIP, portando sulla scia di problemi nelle comunicazioni VoIP. Si dovrebbe entrare in una lunga spiegazione di come funziona SIP.

In breve, ciò che accade quando viene stabilita la sessione SIP è che gli endpoint trasportano informazioni sugli indirizzi IP del punto di origine e di destinazione. I messaggi SIP portano intestazioni "aperte" che utilizzano proxy nella catena. Ciò significa che gli aggressori dannosi possono utilizzare queste informazioni per attaccare proxy e gateway. È facile entrare nelle reti e lanciare qualsiasi tipo di attacco come:

• DoS e Distributed Denial of Service (DDoS) che portano al blocco del traffico
• Introduci malware
• Attingi ai dati nella rete dell'organizzazione
• Uso improprio del VoIP per effettuare chiamate a spese dell'abbonato

Che cosa fa un controller di confine di sessione in questo scenario? Quando i messaggi SIP passano attraverso l'SBC, sostituisce gli indirizzi dei componenti interni e crittografa le informazioni, rendendo difficile per gli hacker prendere di mira le reti.

• L'SBC può limitare il traffico e prevenire DoS
• Può essere configurato per la blacklist dinamica per eliminare il traffico dalle sorgenti nella blacklist.
• I tentativi di SQL injection possono essere prevenuti mediante l'analisi dei messaggi SIP in entrata e il rifiuto di contenuti dannosi o formattati male.
• Nascondendo la topologia interna, rende difficile per gli hacker prendere di mira le reti VoIP. Inoltre, funziona come un agente utente back to back e divide le transazioni SIP in parti server e client, mantiene le informazioni sullo stato e le elimina al termine della chiamata.

Connettività

A parte il fatto che esistono diverse varianti di SIP, lo svantaggio principale è che SIP ha ignorato il problema dell'attraversamento degli indirizzi di rete o NAT. La maggior parte delle reti a livello aziendale sono protette da un firewall e i dispositivi utilizzano indirizzi IP privati ​​non instradabili su Internet. Si possono utilizzare soluzioni come STUN e ICE ma con risultati contrastanti.

D'altra parte, SBC funge da interfaccia pubblica, sostituendo le informazioni sull'agente utente con le proprie. Senza l'SBC in atto ci saranno problemi come non essere in grado di connettere le chiamate in uscita o ricevere quelle in entrata. Va oltre e rimanda il supporto per l'utente al punto di origine in modo simmetrico per aggirare NAT.

VoIP non è solo chiamate vocali. Le reti devono gestire i media e i servizi di comunicazione emergenti come i servizi OTT, VoLTE e WebRTC. Il traffico diventa complesso e la connettività può diventare un problema, soprattutto quando i punti di origine e di destinazione utilizzano codec e protocolli multimediali diversi. Quello che succede è che una chiamata potrebbe non essere ricevuta, potrebbero esserci problemi e non puoi renderti udibile o visibile all'altra parte e, in generale, avere problemi.

Anche in questo caso il Session Border Controller gioca un ruolo chiave:

• Si occupa della transcodifica dei codec multimediali e dei protocolli di gestione, inclusi quelli per HD e VoLTE, nonché i cellulari 3G/4G oltre a WebRTC e audio-video. Elimina i problemi di interoperabilità con un SBC di qualità nella tua rete. Effettuare chiamate a chiunque su rete fissa, banda larga o mobile è un compito facile.
• La comunicazione unificata e le comunicazioni ricche stanno diventando la norma. È necessario utilizzare lo stesso percorso per telefonia, messaggistica istantanea, audio-video, fax e SMS. Può anche includere WebRTC. In tale scenario di utilizzo presente e futuro, ci si può aspettare che l'SBC gestisca facilmente un'elevata velocità effettiva di dati, esegua la crittografia e la transcodifica e applichi la qualità del servizio.

La rete SBC deve evolversi per essere a prova di futuro e fornire i massimi livelli di qualità del servizio.

Qualità del servizio

Potresti avere la tua definizione di qualità del servizio. Per chi usa le chiamate vocali, il criterio potrebbe essere la capacità di farcela al primo tentativo. Per alcuni, è importante che la qualità dell'audio e il parlato risultino cristallini. La soluzione SBC dovrebbe essere in grado di utilizzare il protocollo di trasporto in uso dalla destinazione e utilizzare IPv4 o IPv6 a seconda dei casi e tradurre i protocolli in entrata e in uscita.

Gli amministratori di sistema possono insistere affinché l'SBC sia in grado di integrare segnali e media e mantenere lo stato della sessione oltre a essere in grado di gestire qualsiasi carico e condurre un'ispezione approfondita dei pacchetti per garantire la conformità ai protocolli di sicurezza. I gestori potrebbero voler ricavare punteggi MOS o conoscere le prestazioni di routing e ricavare informazioni sull'utilizzo. Gli operatori di telecomunicazioni e i fornitori di servizi potrebbero voler avere la fatturazione e la contabilità collegate alle chiamate e ricavare statistiche.

L'SBC è in grado di tutto questo e altro per garantire i massimi livelli di servizi che il sistema VoIP deve gestire.

Regolamentare

Le operazioni di telecomunicazione sono soggette a una serie di normative. Uno di questi aspetti è monitorare le chiamate, tenere traccia delle chiamate, registrare le chiamate e persino intercettare le chiamate che si sospetta non siano autorizzate. Non sono solo le chiamate che devono essere tracciate; potresti anche aver bisogno di tenere d'occhio i media. Se utilizzi solo il modello SIP, hai accesso solo al componente di segnalazione. Incorpora SBC nella rete e avrai un controllo su media e segnali.

Può andare oltre permettendoti di impostare la tua configurazione per dare il controllo dell'accesso e prevenire le frodi. Questo può essere fatto tramite whitelist e blacklist. L'SBC sostituisce l'indirizzo SDP con il proprio per supportare NAT e, nel processo, consente solo agli utenti autorizzati di inviare il traffico multimediale.

I fornitori di servizi possono offrire pacchetti a tariffa fissa che possono essere utilizzati in modo improprio dall'abbonato che rivende tale disponibilità e porta al sovraccarico della rete oltre a causare una perdita. L'SBC tiene traccia del comportamento degli utenti, del numero di chiamate parallele e di altre attività, nonché delle frodi.

Puoi regolare il tuo sistema VoIP e rimanere conforme alle normative locali, soprattutto per quanto riguarda la riservatezza e la sicurezza, come si insiste in settori specifici come l'assistenza sanitaria.

La soluzione SBC, se scegli quella giusta dal fornitore giusto, può fare molto in diverse aree. Come farlo è anche qualcosa che devi sapere per estrarre il massimo chilometraggio.

Come proteggere la tua rete con il giusto controller di confine di sessione

Potresti voler fare un ulteriore passo avanti e utilizzare la funzione di configurazione per impostare la sicurezza personalizzata per la tua rete. Questo può essere fatto in diversi modi.

Polizia stradale

Il controller di confine di sessione può essere configurato per gestire solo le chiamate dall'elenco di utenti definito e rifiutare le chiamate da altri. È possibile configurarlo per monitorare le chiamate e raccogliere i dati dell'utente come i numeri composti, la frequenza di tale utilizzo e il tempo trascorso per ciascuna chiamata. Questo ti aiuterà a definire i limiti di utilizzo. La polizia rileverà anche tentativi dannosi di chiamate simultanee con l'intento di inondare la rete.

Assegnazione delle risorse

Uno dei vantaggi di avere l'SBC in atto è che puoi allocare risorse a utenti specifici di importanza elevata, dare priorità alle chiamate da determinati numeri e distribuire la larghezza di banda per garantire la qualità del servizio. Ad esempio, puoi dare la priorità ai segnali rispetto ai media in modo che le chiamate vocali non abbiano problemi.

Limitazione di velocità

A seconda del tipo di soluzione SBC in uso, il sistema potrebbe essere in grado di gestire una certa quantità di chiamate simultanee e di traffico multimediale, ma dipende anche dalla larghezza di banda disponibile e dalla velocità di Internet. In questi casi il sistema può essere configurato per limitare il numero di chiamate simultanee. L'SBC può limitare le richieste di registrazione tramite mezzi statici o consentire la registrazione per più telefoni. È inoltre possibile separare i piani di segnalazione e multimediali nel softswitch per consentire il ridimensionamento di chiamate e media.

Controllo di ammissione alle chiamate

Un modo per proteggersi dagli attacchi Denial of Service consiste nell'impostare criteri di controllo dell'ammissione delle chiamate. Questi si basano sui profili di traffico monitorati degli utenti registrati e sull'analisi delle intestazioni per identificare l'autenticità delle chiamate. È comune impostare il livello di trasporto e proteggere la crittografia RTP per proteggere il traffico su reti aperte.

Se si verifica un attacco, il sistema risponde chiudendo completamente il traffico. Tuttavia, gli SBC basati sull'intelligenza artificiale possono distinguere tra attività legittime e sospette e consentire il flusso di traffico autenticato.

Impostazione del bit ToS/DSCP

Un altro modo per avere una maggiore sicurezza è concentrarsi sul tipo di servizio (ToS) e impostare il contrassegno DSCP. Le informazioni ToS sono disponibili come flag a quattro bit nell'intestazione IP ed è possibile impostare solo un bit alla volta per il ritardo minimo, per il massimo throughput, per la massima affidabilità o per il minimo costo. Questo supporta media come audio, video, immagini, testo e dati basati su protocolli come SIP, H.245 e H.225.

I valori ToS consentono di creare una combinazione di tipi di supporto. Puoi essere abbastanza specifico definendo e manipolando parametri come media manager, criteri media e impostazioni, tra gli altri.

RFC 1349 è alla base di ToS, ma puoi anche utilizzare RFC 4594 servizi differenziati sottostanti per definire ToS. Tuttavia, può applicarsi solo ai pacchetti RTP. È possibile mappare i valori DSCP (DiffServ Code Point) sui valori ToS e quindi selezionare l'impostazione ToS nel profilo portante IP per ottimizzare l'aspetto della sicurezza. È meglio lasciare a un esperto la messa a punto del sistema per garantire sicurezza e prestazioni ottimali in base alle applicazioni SBC e alla rete SBC.

Applicazioni SBC

Nel suo precedente avatar l'SBC aveva solo un'applicazione principale e quella era quella di fornire sicurezza per le chiamate VoIP. Tuttavia, poiché l'utilizzo del VoIP si è diffuso e i codec e i protocolli sono proliferati, ha dovuto assumere un altro ruolo di facilitatore.

• L'emergere di VoLTE, HD Voice, Rich communication e WebRTC ha visto anche l'evoluzione dell'SBC per diventare in parte softswitch e in parte gateway di controllo multimediale.
• I fornitori di servizi e gli operatori di telecomunicazioni avevano anche bisogno di tracciare, monitorare, analizzare e fatturare i clienti per i quali una soluzione di fatturazione separata sarebbe stata impraticabile. L'incorporazione della funzione nell'SBC ha portato a precisione, velocità e onere ridotto.
• Il volume di traffico continua ad aumentare per le chiamate VoIP e SBC assume il ruolo di gestire facilmente le chiamate simultanee in blocco, dirigere il traffico e dare priorità alle chiamate, tenendo d'occhio le chiamate non autorizzate, gli utenti nella lista nera e i tentativi di intrusione. Allo stesso tempo, deve mantenere una bassa latenza, aumentando al contempo la capacità, nonché la crittografia e la transcodifica.
• Gestisce anche l'attività di controllo delle chiamate, decidendo quali chiamate ammettere, quali rifiutare, controllare le metriche e fornire dati per aiutare gli amministratori a perfezionare il sistema e controllare le chiamate nonché i costi.
• Gli SBC odierni di solito incorporano anche funzionalità di instradamento intelligente a basso costo per instradare il traffico sulla rete a basso costo ma di buona qualità.
• Puoi aspettarti che un SBC ben progettato si occupi di commutazione SSRC, commutazione TCP, mappatura DPT e tunneling TLS.

I controllori di frontiera di sessione possono essere disponibili sotto forma di hardware o software, quest'ultimo che sta diventando più popolare di giorno in giorno poiché esiste un limite predefinito nel dispositivo hardware mentre il software è scalabile. Inoltre, la tendenza è verso la virtualizzazione come mezzo per una migliore assimilazione e una riduzione dei costi.

È possibile personalizzare l'SBC per adattarsi a specifiche aree di applicazione. Ad esempio, gli SBC utilizzati tra due vettori possono porre l'accento sulla sicurezza, sulla transcodifica del codec multimediale e sull'elevato volume di chiamate. La normalizzazione del SIP è un'altra funzione che SBC si occupa senza sforzo.

L'SBC si trova ai margini della rete tra operatore e abbonato.

Un'impresa può optare per SBC per salvaguardare la propria rete e migliorare le prestazioni delle chiamate e l'interoperabilità dei media oltre a mettere in atto controlli, rilevamento delle frodi e altre misure per controllare i costi e fornire sicurezza. È anche utile per nascondere la topologia e attraversare il NAT. Una preoccupazione è garantire la sicurezza del sistema IP PBX e l'SBC affronta questo problema in modo ammirevole.

vettore-vettore-abbonato

L'SBC svolge una varietà di ruoli quando viene utilizzato nel segmento dell'operatore di telecomunicazioni e del provider di servizi VoIP:

• Normalizza SIP e consente l'interoperabilità con facilità, migliorando così la reputazione del servizio.
• Può essere configurato per gestire un gran numero di chiamate simultanee senza deterioramento delle prestazioni o caduta di pacchetti.
• Gli amministratori possono impostare la configurazione del controllo degli accessi e della prevenzione delle frodi come black list e white list e livelli di affidabilità tra peer.
• Nascondi la topologia interna e consenti l'attraversamento NAT

Applicazione aziendale

Le aziende stanno passando al PBX basato su VoIP ma potrebbero avere ancora linee PSTN esistenti. Oltre all'IP PBX ci possono essere comunicazioni unificate che coprono e-mail, fax, SMS, chiamate vocali e video e chat. Tuttavia, il telefono è il cardine e anche qui il flusso e l'utilizzo sono complessi quando ci sono centinaia o migliaia di utenti che tentano di chiamare contemporaneamente. Quindi l'SBC deve essere in grado di gestire chiamate simultanee senza alcuna perdita di qualità del servizio.

Poiché la rete interna contiene dati preziosi e sensibili, è fondamentale che l'SBC nasconda la topologia e chiuda le sessioni alla terminazione della chiamata consentendo l'attraversamento NAT. Il PBX si collega all'interfaccia privata e l'indirizzo pubblico viene utilizzato per connettersi con l'operatore di telecomunicazioni.

Le aziende sono sempre più soggette ad attacchi di hacking. L'SBC semplicemente anticipa e rifiuta tali tentativi di DoS, intercettazioni, tunneling, iniezione e così via, mantenendo la sua rete interna sicura e crittografando anche i pacchetti multimediali per prevenire il furto di dati vocali.

Conclusione

Molti considerano l'SBC una spesa non necessaria. Il presupposto è che se l'operatore di telecomunicazioni o l'impresa dall'altra parte ha SBC perché preoccuparsi di uno qui a questa estremità? Questo è un ragionamento fallace poiché l'SBC dall'altra parte protegge quella rete, non la tua. Inoltre, senza il controller di confine di sessione si verificheranno problemi come la connettività delle chiamate, la transcodifica dei codec multimediali e la gestione dei protocolli che eliminano il piacere della telefonia Internet e dei video.

Il più grande vantaggio è la sicurezza della tua rete VoIP e dei dati nella tua rete interna. L'SBC gestisce tutto questo con facilità, non facendoti mai sapere che c'è ma lavorando giorno dopo giorno per facilitare le comunicazioni a un costo inferiore, aumentando i tuoi ricavi. È un investimento, non una spesa.