Контроллер граничных сессий для корпоративных сетей AudioCodes Enterprise Session Border Controllers (E-SBC)

Краткая история вопроса обеспечения сетевой безопасности корпоративной сети

Когда-то эффективной границей безопасности предприятия являлся секретарь, который разбирал входящую почту, встречал посетителей, а позднее, с появлением телефонной сети, принимал необходимые вызовы и сообщения, вежливо отклоняя остальных. С развитием технологий активно внедрялись новые методы автоматизации управления коммуникаций. В конце 60-ых для этого были разработаны способы использования тональных сигналов DTMF для автоматического управления соединениями, нашедшие применение сначала в корпоративных сетях, а затем и в телефонной сети общего пользования (PSTN). Вместе с этим в мире появились первые сетевые хакеры - “phone phreaks”. Их основная цель состояла в том, чтобы, обманывая автоматику, не платить за соединения телефонным компаниям, внедряющим новые технологии. Внеполосная сигнализация (PRI и позже SS7) была ответом этому вызову. В то время это было настолько успешно, что за четверть века повлекло за собой замену всей инфраструктуры коммутации сетей, стоившую миллиарды долларов, но до некоторых пор достаточно хорошо выполнявшую свою задачу граничного контроля.

Затем началось бурное развитие «глобальной паутины» - Интернет: Электронная почта, Web-навигация, Файловый обмен и прочие виды коммуникаций были направлены в сети, исходно не предусматривающие высокого уровня безопасности. Результат был предсказуем: «трояны», «черви», вирусы, спам и другие сетевые «гады» продолжают изводить сеть и ее пользователей способами, по сравнению с которыми деяния “phone phreaks” - невинная забава. Естественно, наибольший ущерб от этого испытывают предприятия.

Но прогресс не остановить. Благодаря постоянно совершенствующимся системам сетевой защиты шлюзов прикладного уровня (Application Level Gateways - ALG) и антивирусному программному обеспечению, современные корпоративные сети не плохо оснащены для отражения многих угроз и поддержания безопасности обмена данными с удаленными пользователями, в которых идентифицируется их тождественность, шифруется сигнализация и данные для защиты любого информационного наполнения.

Однако, до сих пор, не было предложено идеального решения безопасности универсальных коммуникаций. В настоящее время все большее распространение находит сервис голосовых соединений по сетям передачи данных (VoIP). Существующие системы сетевой защиты Firewall и ALG обрабатывают сеансы VoIP не слишком хорошо, блокируют входящие сеансы, если порты не открыты полностью, и, при этом явно недостаточно обеспечивают сетевую безопасность, необходимую для VoIP так же, как и для любых других сеансов информационного обмена. Чтобы решить эту задачу, система сетевой защиты должна знать о запросе больше, чем предоставляет Layer 3, к которому у ALG есть доступ.

Средством реализации этой функции для VoIP является Контроллер Граничных Сеансов (Session Border Controller - SBC), ставший необходимым базовым элементом любой сети провайдера услуг (ITSP),. использующей преимущества функциональных возможностей VoIP. SBC, имеющиеся на рынке и устанавливаемые ITSP, могут быть отдельным автономным устройством или интегрирован в другие сетевые элементы – маршрутизаторы, шлюзы. Но ITSP SBC защищает сеть ITSP, а не сеть Предприятия, использующего его услуги. Даже если провайдер и хотел бы обеспечить политики защиты Предприятия (что весьма сомнительно), для него это не единственный объект с доступом к сетевому подключению - единых политик быть не может. Кроме того, подключение Enterprise LAN к ITSP может осуществляться через сети других провайдеров, в т.ч. предоставляющих доступ к публичному Интернет, и соответственно, об обеспечения безопасности своей сети каждому необходимо заботиться самому. При подключении корпоративной сети к сети ITSP, все запросы из сети должны проходить через корпоративный контроллер граничных сеансов (Enterprise SBC), обеспечивающий защиту сети Предприятия и отвечающий ее специфическим требованиям, в т.ч по экономичности, компактности, масштабируемости и т.д..

Функции, которые должен выполнять Enterprise SBC:

• Call Admission Control (CAC) – граничная функция, которую когда-то выполнял секретарь офиса: селекция и экранирование запросов,. САС может быть основан на множестве критериев, например: разрешение/отклонение трафика определенных типов или из определенных источников. Ограничение может быть основано на IP адресах, SIP идентификации сети, группы пользователей, протокола и т.д., а также на классификации приоритетов определенных типов запросов (например, экстренные вызовы, согласно E911).
• Denial of Service - ограничение количества или длины пакетов для гарантии защита от перегрузок сети и отказа в сервисе даже от разрешенных источников.
• Topology Hiding - сокрытие внутренней топологии сети, затрудняет злоумышленникам определение инфраструктуры Предприятия и уменьшает вероятность атаки извне, а также обеспечивается конфиденциальность внутренней корпоративной и личной информации (например, имена, идентификаторы и адреса электронной почты).
• Authentication – аутентификация вызывающих повышает гарантию тождественности источника трафика указанным идентификаторам, исключая возможность их "имитации" злонамеренным агентом.
• Encryption - кодирование защищает управляющую информацию (TLS, SIPS) и информационное наполнение (SRTP) сеансов не только от внешних, но и от не санкционированных внутренних пользователей сети Предприятия. Аутентификация и кодирование необходимы также для управлении доступом непосредственно к SBC
• Interoperability - функциональная совместимость SIP оборудования (SIP Proxy, PBX, Softswitch, Gateway, etc.), достигаемая за счет независимого подключения каждого «плеча» участвующего в сеансе (B2BUA), не менее важна, чем безопасность. Далеко не все оборудование идентично реализует спецификации достаточно сложного протокола SIP, описываемого многочисленными стандартами (IETF RFC). Например, некоторые системы используют для транспорта SIP протокол TCP (Transmission Control Protocol), а другие не совместимый с ним - UDP (User Datagram Protocol).
• Transcoding – согласование и преобразование используемых голосовых кодеков (например, в локальной сети Предприятия для передачи качества голоса обычно используется кодек G.711 или Huge Definition G.722, а в условиях ограниченной полосы пропускания, а также при подключения к ITSP, предпочтительней использовать G.729)
• Registrar Users In Remote Locations – регистрация удаленных пользователей корпоративной сети для преодоления NAT (Network Address Translation), необходимость которой обусловлена находящей все большее распространение распределенностью офисов и контакт-центров, отсутствием географической привязки местоположения сотрудников и агентов предприятий. Для сохранения обычно ограниченного несколькими минутами канала (pinhole) через экраны внешних сетей, в которых находятся эти удаленные пользователи корпоративной сети, E-SBC периодически обновляет его для поддержки зарегистрированных удаленных пользователей.
• QoS&Voice Quality Assurance – контроль качества сервиса и измеримые в процессе каждого сеанса показатели качества передачи голоса, статистически объединяемые в соответствии с маршрутом, датой и временем суток, обеспечивают быструю идентификацию и возможность предотвращения любых возникающих сетевых проблем

AudioCodes Enterprise Session Border Controllers (E-SBC) - реальное предложение обеспечения функционирования и безопасности корпоративным сетям VoIP.

Интегрированное программно-аппаратное решение AudioCodes E-SBC базируется на Мульти-сервисных граничных шлюзах и успешно выполняет все выше перечисленные функции Enterprise SBC. Кроме того, за счет использования великолепно зарекомендовавшей себя технологии AudioCodes VolPerfect™ обработки голоса, обеспечивает ряд не менее существенных, полезных функций, а иногда и уникальных дополнительных возможностей:

• Wan Isolation – физическая изоляция корпоративной локальной сети от внешней сети ITSP за счет наличия в граничных шлюзах AudioCodes MSBG встроенных IP switches WAN/LAN ports , а также IP Routers с функциями статической и динамической маршрутизации (RIP, BGP, OCPF)
• PSTN Connectivity – сопряжение с унаследованными TDM сетями (PSTN и TDM PBX) по цифровым потокам Е1/Т1, BRI или аналоговым линиям FXO/FXS, необходимость сопряжения с которыми диктуется современным состоянием коммуникаций, а также с требованиями регуляторов (например, обеспечение экстренных вызовов). При этом не только сокращается количество необходимых сетевых элементов, но и обеспечивается действенная интеграция между подключениями ITSP и PSTN. Например, при возникновении сбоев или перегрузок в одной из глобальных сетей, возможно изменение маршрутов соединений или изменение трафика загрузки для сохранения гарантий сервиса.
• Media Processing– многократно проверенная на практике технология AudioCodes VolPerfect™ обработки голоса, включающая поддержку всех доступных типов медиа кодеков, а также Echo Cancellation, Dynamic Jitter Buffers, Packet Loss Concealment, etc., гарантируют качество передачи голоса, соответствующее современным высоки требованиям корпоративных сетей.
• Stand Alone Survivability (SAS) - поддержание отказоустойчивости, гарантии сервиса в критических ситуациях и жизнеспособности удаленных офисов в конфигурациях IP Centrex /Hosted PBX, при которых потеря глобальной сети могла бы привести к полной изоляции и даже потери внутренних соединений. E-SBC отлично позиционирован для обеспечения автономной жизнеспособности, поскольку обладает всеми пользовательскими регистрациями, в т.ч. удаленных пользователей, и может выполнить основную маршрутизацию, а также направить соединения через сеть PSTN, при наличии ее подключения.

AudioCodes E-SBC может и должен стать базовой компонентой любых современных корпоративных сетей, предоставляя целостную инфраструктуру и гарантию сервиса в критических ситуациях, облегчая их миграцию к голосовым службам VoIP, обеспечивая защиту и функциональную совместимость с сетями поставщики услуг и удаленными пользователями.

• Mediant™ 800 MSBG E-SBC – поддерживает до 24 одновременны сессий IP-to-IP
• Mediant™ 1000 MSBG E-SBC – поддерживает от 10 до 150 одновременны сессий IP-to-IP, в т.ч. до 60 сессий RTP Transcoding (с использованием одного или двух интегрированных аппаратных модулей М1К/МРМ.
• Mediant™ 3000 E-SBC – поддерживает от 252 (или от 336, в зависимости от модификации шлюза) до 1008 одновременны сессий IP-to-IP, в т.ч. с возможностью полного горячего резервирования и 100% RTP Transcoding