Что такое пограничный контроллер сеанса (SBC)?
Опубликовано: 2020-08-03Современные VoIP-решения требуют выполнения нескольких важных шагов для обеспечения высокого качества звонков. Это включает в себя выполнение таких задач, как отключение SIP ALG и приобретение маршрутизатора, оптимизированного для соединений с передачей голоса по интернет-протоколу (VoIP). Еще один шаг, который вы можете предпринять, — это включить пограничный контроллер сеанса, который обеспечивает дополнительную безопасность ваших звонков по вашей телефонной системе, а также передачи данных.
Что такое пограничный контроллер сеанса?
Пограничный контроллер сеанса похож на брандмауэр, специально разработанный для VoIP. Это аппаратное устройство или программное приложение, которое управляет допуском вызовов к сетевой топологии на границе. В этом случае граница относится к пространству, где частная сеть встречается с общедоступным Интернетом. В рамках контроля границы система фильтрует звонки, управляет пропускной способностью и защищает от вредоносных программ и вирусов.
По сути, пограничный контроллер в вашей сети будет контролировать запуск, проведение и завершение вызовов, а также все необходимые медиапотоки и передачу данных, необходимые для осуществления вызовов. Пограничный контроллер сеанса будет действовать как брандмауэр для вашей сети VoIP, гарантируя, что каждый вызов будет происходить правильно и защищен на пути к месту назначения. Эти системы обычно развертываются со всеми сетями SIP.
В этом контексте сеанс в основном является вызовом, но пограничный контроллер также управляет другой передачей видео или данных в реальном времени во время вызовов протокола инициации сеанса. В некотором смысле контроллер сеанса отличается от традиционного брандмауэра. Он просматривает пакеты и разрешает им доступ в частную IP-сеть, открывая порт для прохождения данных, или отказывает в доступе и удаляет пакеты.
Для голосового и мультимедийного трафика требуется больше открытых портов, и это оставляет сеть открытой для уязвимостей безопасности VoIP . Контроллер отслеживает трафик, чтобы убедиться, что голосовой и другой важный трафик проходит, а вредоносное ПО — нет. Кроме того, в то время как брандмауэр предназначен для управления большими пакетами, SBC предназначен для защиты передачи гораздо меньших пакетов VoIP, поскольку традиционные брандмауэры иногда пропускают их.
Как работает пограничный контроллер сеанса
SBC действует как маршрутизатор или брандмауэр и устанавливается между сетью предприятия и сетью поставщика услуг. Он может быть настроен для большого количества пользователей и будет отличаться практически для каждого бизнеса в зависимости от того, что считается более важным.
1. Безопасность ваших звонков
На самом базовом уровне каждый SBC действует одинаково. Так же, как брандмауэр или маршрутизатор, контроллер будет действовать как привратник для вашей сети. Находясь на «границе сети», SBC будет отслеживать все телефонные звонки или сеансы. Наряду с отслеживанием каждого соединения контроллер определяет и разрешает выполнение только авторизованных сеансов. Сеансы также включают в себя другие медиапотоки данных, такие как видеоконференции или вебинары. С одной из этих систем межсетевого взаимодействия только авторизованная информация подключается и передается по сети, чтобы предотвратить нежелательный трафик.
Контроллеры сеансов также используют ограничение вызовов, чтобы ограничить трафик через активные соединения. Мошенничество с междугородной связью происходит, когда мошенники совершают мошеннические международные вызовы при соединении с открытым портом. Обычно это происходит в больших объемах с «номерами премиум-класса», и владелец соединения оплачивает счет. Этот вид мошенничества растет, поэтому наличие системы ограничения доступной полосы пропускания не позволит мошенникам использовать или даже продавать контроль доступа к вашим транкам.
Эта суженная доступность портов также предотвращает внешний доступ от несанкционированного трафика, что снижает вероятность отказа в обслуживании (DDOS) и спама через атаки IP-телефонии (SPIT). DOS-атаки и другие вредоносные атаки увеличились на 16% с 2018 года, поэтому критически важно сократить количество доступных портов для доступа.
2. Приоритизация и управление качеством обслуживания (QoS)
SBC отслеживает состояние качества обслуживания для каждого сеанса, чтобы гарантировать отсутствие задержек или дрожания вызовов. Данные проходят и передаются без каких-либо прерываний или потери пакетов , а также приоритизации различных услуг и вызовов. Например, экстренные вызовы, размещенные в сети, будут иметь более высокий приоритет, чем стандартные вызовы, чтобы гарантировать, что они выполняются с самым высоким качеством обслуживания. Они помогают с распределением ресурсов на элементах вашей сети, а также ограничивают скорость, чтобы предотвратить перегрузку полосы пропускания.
Отказоустойчивость, которая является еще одной ключевой особенностью, обеспечивает 99,999% времени безотказной работы сетей благодаря избыточности. Избыточность контроллера внутри шасси позволяет одному устройству иметь несколько внутренних экземпляров, чтобы в случае сбоя сеанса другие экземпляры восполняли резерв. Кроме того, отдельные устройства работают в тандеме с другим оборудованием или программным обеспечением в вашей сети, чтобы обеспечить избыточность.
3. Трансляция протокола и подключение
SBC может помочь преодолеть разрыв между несколькими соединениями VoIP в сетях разных поставщиков услуг. Если ваш бизнес использует не только транкинговую службу, но и общие системы на основе SIP или даже устаревшие системы PSTN, SBC может обеспечить преобразование протокола. Фактически, он может даже выступать в качестве шлюза SIP для WebRTC.
Они позволяют трансверсальный транслятор сетевых адресов (NAT) и преобразование IPv4 в Ipv6. Пересечение NAT имеет решающее значение для однорангового обмена файлами и голосовой связи, поскольку оно устанавливает туннель между двумя устройствами через сетевой уровень. NAT предназначены для того, чтобы помочь сетям преодолеть ограниченное количество частных адресов IP версии 4. Современные соединения протокола инициации сеанса имеют тенденцию игнорировать NAT, и в результате для создания соединения необходим SBC.
SBC также помогает поддерживать соединения через шлюзы или при преобразовании IP-протокола версии 4 в версию 6. Это важно, поскольку версия 6 более удобна для VoIP и предоставляет бесконечное количество IP-адресов по сравнению с IPv4. Это упрощает работу маршрутизатора по установлению соединений, а SBC служит интерфейсом для совершения вызовов через NAT.
Как развернуть SBC
Существует несколько разных мест, где можно разместить SBC:
- На границе между оператором связи и клиентом. Это самое распространенное место, где вы можете его найти.
- На границе двух разных провайдеров, у которых есть пиринговое соглашение, которое называется межсетевым интерфейсом.
- Внутри провайдера, предлагающего виртуальные частные сети. SBC обеспечивает маршрутизацию вызовов в каждой VPN.
- Внутри частной сети. Если два сайта с высокой пропускной способностью связаны магистралью с низкой пропускной способностью, SBC гарантирует, что магистраль не будет перегружена голосовым трафиком.
Пограничные контроллеры сеансов растут вместе с размером бизнеса. Аппаратное обеспечение SBC, предназначенного для обработки дюжины вызовов, может стоить около 2000 долларов, но корпоративный SBC предназначен для обработки тысяч вызовов и стоит десятки тысяч долларов. Неудивительно, что на рынке SBC идет ожесточенная борьба, и крупные производители аппаратного обеспечения выпускают официальные документы о важности стандартных и корпоративных пограничных контроллеров сеансов.
Безопасность часто является серьезной проблемой, когда речь идет о сети для большинства предприятий, особенно для предприятий. Даже при развертывании облачной АТС или сети SIP для связи в режиме реального времени безопасность является серьезной проблемой, поскольку передаваемые голосовые данные могут быть перехвачены и услышаны посторонними лицами. Это также относится к передаче файлов или тексту, отправляемому с помощью средств унифицированных коммуникаций.
Если вы хотите защитить свою сеть во время SIP-вызовов , аппаратные или программные сетевые брандмауэры должны действовать как привратник для этой сети. Кроме того, пограничный контролер помогает заблокировать любую информацию, проходящую через ваши телефонные звонки.
Общие сведения о пограничных контроллерах сеанса
При развертывании решения для передачи голоса через Интернет вам никогда не придется беспокоиться о SBC, особенно при развертывании на хостинге. Это связано с тем, что все обрабатывается на сервере провайдера, поэтому у вашего бизнеса не будет реального контакта с сетью, центрами обработки данных или любым оборудованием или программным обеспечением SBC. Однако для локального решения разместите по одному на обоих концах корпоративной сети.
Любому предприятию, заботящемуся о безопасности, полезно знать, как пограничный контроллер сеанса защищает ваши вызовы VoIP, чтобы принять наилучшее решение при поиске нового решения.
Решение проблем с NAT
Часто у бизнеса возникают проблемы с трансляцией сетевых адресов или NAT. Это метод повторного использования IP-адресов для нескольких подключений. Поскольку с нашим текущим IPv4 существует ограниченное количество IP-адресов, NAT необходим, чтобы одно устройство могло выступать в качестве привратника между локальной сетью и Интернетом.
При использовании NAT для всей сети компьютеров требуется только один IP-адрес. Конечно, это всего лишь одно из применений NAT для повышения безопасности сети. На практике настройки NAT часто путают сети и делают невозможным соединение из общедоступного Интернета с конечным пользователем. Однако они часто используются для решения любых проблем с обходом NAT.
Поскольку SBC действует как общедоступное соединение пользователя в этой сети, соединения всегда будут иметь путь для межсоединения через SBC с пользователем. Это заменяет поиск конкретного пользователя общим IP-адресом для всей сети.
Пограничные контроллеры виртуальных сеансов
Другим вариантом, помимо аппаратного устройства, является облачный и оптимизированный виртуальный пограничный контроллер. SBC с виртуализацией устанавливается на сетевом компьютере и выполняет те же функции, что и аппаратный аналог.
Преимущества виртуального SBC по сравнению с локальным оборудованием перекликаются с общими преимуществами решения, развернутого в облаке. Проще говоря, поскольку все размещается и, следовательно, обрабатывается провайдером на серверной части облака, нет необходимости в каких-либо аппаратных устройствах, кроме IP-телефонов (VoIP-телефонов) и компьютеров. Поскольку все это находится в облаке, защита обладает отличной масштабируемостью. На самом деле, его можно даже настроить как автоматическую функцию.
Должна ли ваша сеть использовать SBC?
Считает ли ваш бизнес необходимым включение SBC в голосовое решение, зависит от ряда факторов. Не только это, но и ваши бизнес-приоритеты помогут определить, используется ли контроллер и настроен ли он для ваших нужд.
Если ваш провайдер уже использует пограничный контроллер, рекомендуется также дополнить вашу сеть локальным или виртуализированным SBC. Если вы предпочитаете избежать дополнительных проблем с оборудованием и расходов, может быть достаточно виртуального SBC. Если считается, что безопасность имеет большое значение для вашего бизнеса, то пограничный контроллер сеанса имеет решающее значение для обеспечения высочайшего уровня безопасности вашей сети.
Хотите узнать больше о том, как защитить ценные SIP-транки ? Ознакомьтесь с нашими руководствами по этому вопросу; мы также познакомим вас с некоторыми из ведущих провайдеров и расскажем о плюсах и минусах каждого из них.