Session Border Controller - bezpieczeństwo sieci VoIP to podstawa Grzegorz Szmyd Business Development Manager
*Marcin Gala, Radosław Trojakowski
Acnet = Access Networks Firma założona w 1997 roku Zorientowana na dostępowe rozwiązania telekomunikacyjne Systemy SHDSL, ADSL i VDSL Systemy GPON oraz GEPON Rozwiązania VoIP Repeatery GSM/UMTS Przełącznice ODF i DDF Multipleksery, przełączniki, konwertery i wkładki optyczne Współpracujemy z takimi producentami jak: MRV, AudioCodes, Yealink, Albis, Alphion, GW Delight, Coiler, Tyco, Schmid, Ubee, Kasda i wiele innych WWW.ACNET.COM.PL
Rynek VoIP Operatorzy telekomunikacyjni Internet Service Providers Call/Contact Centers Unified Communication and Colaboration SIP trunki Usługi w chmurze Klienci biznesowi Klienci indywidualni Wyzwania Internet: ruch pożądany i niepożądany Wszyscy użytkownicy potrzebują ochrony! SIP Hosted Centrex SP WAN Service Provide SBC Interne t V P N Enterprise LAN Bad Stuff Enterprise SBC
AGENDA Co to SBC Jak działa SBC? Zastosowania Rodzaje SBC? Nasze wdrożenia Otwarta dyskusja..
Co to SBC? Session Border Controller: Urządzenie do sieci VoIP Session działa w oparciu o sesje/połączenia Border punkt demarkacyjny między sieciami Controller wpływa na stosowne połączenia RFC 5853 -Requirements from SIP SBC Deployments
Invite
Podstawowa wymiana informacji
IP Phones Soft Switch Session Border Controller IP-PBX SP IP WAN SIP SIP Variant 1 Enterprise Network SIP Trunk SIP Variant 2 Service Provider Network
Jak działa SBC?
Przed czym chcemy się zabezpieczyć? Fraudy Ataki DoS SPAM over Internet Telephony Brak szyfrowania Niechciane połączenia Transfery na Kubę Podłożenie RTP W skrócie przed utratą prywatności i pieniędzy
Jak SBC zabezpiecza ruch Akceptuje wiadomości bazując na nagłówkach SIP, np. request URI, itp.. Filtruje wiadomości SIP, które nie należą do dialogu SIP Firewall & CAC on Context Identfcat Analizuje adresy IP i porty. Filtruje niechciane pakiety i hamuje napływ pakietów Filtruje powiększone wiadomości SIP, niechciane body na podstawie polityk składni SIP Message Policy thentcaton u A d n a ty ri g te In TCP/TLS Limitng te a R d n a ll a w e ir Layer 3-4 F Ataki DoS Słabości protokołu Ataki TCP Identty spoofng Przezwyciężenie słabości TCP, autentykacja TLS Dopuszczalny ruch stęp Nieuprawniony do ow Ataki na dialog SIP y
Session Border Controller główne zadania
Ukrycie topologii WykorzystanieB2BUA: VIA stripping każda strona B2BUA będzie miała własne nagłówki VIA niezależne od drugiej strony Niezależne nagłówki Route/Record Route Modyfikacja nazw hostów (np. w To/From) E-SBC w Contact URI po obu stronach RóżneCall IDdla dwóch stron połączenia Ukrywanie topologii warstwy 3. modyfikacja źródłowego adresu w nagłówkach SIP owych
Firewall dla VoIP a SygnalizacjaSIP Dogłębna analiza pakietów dla wszystkich połączeń SIP Klasyfikacja każdy dialog SIP owy jest akceptowany/odrzucany Pakiety nie należące do sesji są odrzucane Klasyfikacja połączeń SIP wg wartości w nagłówkach RTP Otwarcie pin holes zgodnie z negocjacją offer-answer Dogłębna inspekcja pakietów również na poziomie pakietów RTP Detekcja zerwanych połączeń Black / White lists
Interoperability SIP e.g. G.729, SecureRTP Wyzwanie Interoperability Różne warianty SIP a u vendorów VoIP Service SP WAN Media Transcoding (NB i WB) Provider Korekcja DTMF, Faks, Głos, wideo e.g. SIP/TLS RTP SIP Hosted Centrex SIP SIP User Agents e.g. SIP/UDP RTP e.g. G.711, RTP Enterprise LAN IP-PBX E-SBC Konfigurowalne zachowanie SIP po obu stronach Zaimplementowane wiele stosów SIP Wykorzystanie różnych kodeków
Interoperability to działa w dwie strony! UC, IPPBX & Contact Centers SoftSwitch, serwery aplikacji Operatorzy SIP Trunking
Zastosowania
Zastosowanie: Enterprise SBC (E-SBC) Home Users/ Remote workers E-SBC Enterprise HQ PBX SIP Trunk Telco VPN Branch B Branch A PBX Bezpieczeństwo sieci VoIP przedsiębiorstwa Zasięg łączność z dowolnym operatorem SIP Migracja współpraca między różnymi vendorami PBX/UCC Mobilność pracownicy zdalni OPEX - Least cost routing QoS Monitorowanie i śledzenie SLA Polepszona jakość głosu Zgodności regulatora forkowanie połączeń do nagrywania
Zastosowanie: Dostęp do sieci operatora SBC Service Provider Core network Enterprise A Enterprise B Enterprise C P B X SIP trunk Access SBC Hosted PBX users Applicaton Server Dostępowe SBC Bezpieczeństwo chroni core operatora Poufność szyfruje media i sygnalizację w kierunku przedsiębiorstwa Zasięg łączy i normalizuje dowolny PBX SLA- monitoruje jakość głosu Peering - least cost routing Load balancing odciążą serwery aplikacyjne Również chmura
Zastosowanie: Chmura on-premise Bezpieczeństwo Sieci VoIP przedsiębiorstwa Elastyczne wdrozenie Czysta chmura Hybrid - z lokalnym wyjściem na PSTN Mobilność pracownicy zdalni Uproszczenie topologii QoS Monitorowanie i śledzenie SLA Polepszona jakość głosu Zgodności regulatora forkowanie połączeń do nagrywania Mobility Home User/ Remote worker Enterprise HQ SBC UCC sessions VPN Branch Telco UCC Hoster
Jedno urządzenie do dostępu i peeringu Enterprise B Bezpieczeństow hostingu Szyfrowanie NAT traversal(lokalne i zdalne) off loadingrejestracji MonitorowanieQoE Strona styku (Peering) Peering Side UC session Access Side Enterprise A Audiocodes SBC Strona dostępowa (abonenci) UCC Hoster Telco 1 Telco 2 Współdziałanie SIP Transcoding Szyfrowanie i bezpieczeństwo Load balancing Routing i least cost routing
Gdzie SBC? Call/Contact Center Firmowe sieci VoIP Unified Communication Rozwiązania chmurowe Remote Agents NAT Contact Center ze Zdalnymi agentami Business Applicaton Servers SIP trunk do IP PBX P SIP/RT IP PBX SIP/SR TP SIP/RTP IP Contact Center PSTN Fallback Legacy PSTN IP/NGN Bezpieczeństwo i normalizacja SIP IP PBX PSTN Fallback SIP/RTP SIP/RTP SIP Trunk dla rozwiązań UC Lync xdsl/fiber/3g, Data & SIP/RTP Lync Jasny punkt demarkacji IP Phones Intranet Exchange server
Rodzaje SBC
W kierunku chmury Wiele formsbc przystosowanych do różnych zastosowań Wersja wirtualna Dedykowany serwer Dla operatorów i usługodawców preferujących kompletne środowisko wirtualne Dedykowane maszyny wirtualne per użytkownik Wysoka wydajność COTS (Commercial off-the-shelf) SprzętoweSBC Pasuje do wszelkich zastosowań wymagających transcoding
Multi tenancy multi options Podejście multi tenant Service Provider Podejście wielu wirtualnych SBC Service Provider Cloud Cloud EMS EMS SBC Enterprises Jedno SBC dla wielu klientów Dla chmury publicznej vsbc vsbc vsbc Enterprises Jedno wirtualne SBC per klient Pełne rozdzielenie klientów Idealne do chmury prywatnej
Software SBC najlepsze dla operatorów SBC działa na standardowych serwerach common-of-the-shelf ujednolicając infrastrukturę w Data Center Mniej części zamiennych Takie samo wsparcie i jedna umowa z wendorem Zgone z trendem wirtualizacji zasobów sieciowych Software owe SBC pozwala na outsource infrastruktury do dostawcy chmury Dłuższy cykl życia rozwiązania niż rozwiązania hardware owego Własnościowe SBC kończy żywot wraz z end of life/end of support Stary serwer wymieniany na nowy i rozwiązanie działa dalej. Zalety z punktu widzenia kosztowego Hardware zwykle kosztuje więcej niż serwer+soft Choć dobrze wybrać vendora, który posiada oba rozwiązania (kwes transcodingu)
Zalety rozdzielenie SBC w core od SBC w dostępie Można wydzielić SBC na serwery w data center udostępnione jako IaaS Optymalne kosztowo SBC na małą skalę vs. duże rozwiązanie Dla zapewnienia dostępu w małych/wyniesionych oddziałach Osobne SBC do rozwiązań UCC np. MS Lync Kwestie kompatybilności rozwiązań Łatwość podłączenia dowolnego rozwiązania IP PBX owego ze względu na interop po stronie SBC. Możliwość wyboru innego vendora.
Case studies
Operator ViewQwest Wdrożenie Medianta 4000 na brzegu sieci Po stronie core: działa z BroadWorksem oraz Cisco C4 Po stronie access: działa z różnymi telefonami (klienci indywidualni), różnymi IP PBX Zapewnia: Płynny interop Bezpieczeństwo Obniża koszty (pay-as-you-grow) Rozwiązanie end-to-end Partnerstwo
W Polsce: Kilkanaście instytucji w zakresie Interop do MS Lync, ININ, Genesys, Skype Alcatel-Lucent, Avaya Wdrożenie z wykorzystaniem funkcjonalności interoperability Wdrożenie na początkowym etapie wersji software owej SBC w wersji Acces u operatora Wdrożenie w wersji hardware owej u operatorów
Gdzie : Warszawa siedziba Acnet Kto : wszyscy uczestnicy prezentacji Kiedy: 21.03.2014 Co: Szkolenie z SBC teoria i praktyka na fizycznym sprzęcie. Dzień wagarowicza z SBC!
Pytania?
Dziękuję za uwagę ACNET Sp. z o.o. phone +48 22 863 81 19 ext. 37 mobile +48 509 809 534 grzegorz.szmyd@ acnet.com.pl www.acnet.com.pl