Для защиты внутренней сети от внешнего воздействия рекомендуется на периметре сети применять межсетевые экраны. На границе сети оператора телефонии необходимо уметь анализировать и обрабатывать трафик не только на L3-/L4-уровнях (IP/TCP/UDP), но и уметь работать непосредственно с сигнальным и медиатрафиком (SIP, RTP). Для реализации этой задачи в номенклатуре изделий Eltex имеются пограничные контроллеры сессий (Session Border Controller, SBC) моделей SBC-3000, ESBC-3200 и vESBC.
SBC используются на границах сети оператора связи и другими сетями. Будь то:
Основные функции SBC:
Дополнительные функции SBC:
В настоящее время для заказа доступны два поколения SBC:
На Рисунке 1 приведена типовая схема организации транка между двумя IP АТС. Будь то АТС разных операторов или оператора и корпоративного клиента.
Рисунок 1. Транковое подключение
Характерной особенностью данной схемы является то, что обычно адреса встречной стороны и кодеки, поддерживаемые ей, неизменны. Эти параметры указываются при настройке транка и сами по себе отсекают значительную часть нелегитимного трафика.
На Рисунке 2 приведена типовая схема подключения "внешних" абонентов. Под "внешними" подразумеваются любые абоненты из-за периметра защищаемого контура.
Рисунок 2. Подключение абонентов
При подключении абонентов, как правило, заранее не известны их адреса, а зачастую неизвестны типы абонентских устройств и поддерживаемые ими кодеки. При такой схеме на первый план выходят динамические фильтры и правила фаервола, способные отличить легитимный трафик от нелигитимного в условиях значительной неопределенности.
SBC-3000 — пограничный контроллер сессий, созданный на базе гибридной платформы SMG-3016. Программное обеспечение SBC-3000 может быть установлено на любой SMG-3016, но для работы в качестве SBC также необходимо наличие соответствующей лицензии. Для SBC-3000 есть три лицензионные опции: на 500, 1000 и 2000 одновременных вызовов.
Устройство обеспечивает нормализацию сигнального протокола, защиту сети оператора от несанкционированного доступа и различных атак, сбор статистики. Устройство не производит транскодирование медиатрафика.
Два устройства SBC-3000 могут работать в режиме облегченного резерва 1+1. Настройки между основным и резервным устройствами синхронизируются автоматически. При выходе из строя основного устройства резервное включается в работу автоматически. Для работы функционала резервирования необходимо наличие соответствующей лицензионной опции.
Без дополнительных лицензий SBC-3000 может работать не более чем с 40 VLAN-интерфейсами. При необходимости работы с большим количеством виртуальных сетевых интерфейсов необходимо наличие лицензионной опции на 500 VLAN-интрефейсов.
Подробнее с перечнем функций можно ознакомиться в Datasheet и Руководстве по эксплуатации на странице продукта.
ESBC-3200 — аппаратная реализация нового поколения SBC Eltex. vESBC — программная реализация, практически полностью повторяющая функционал аппаратного решения. Единственное отличие аппаратного и программного решения по функционалу — отсутствие в vESBC возможности резервирования. Два устройства ESBC-3200 могут работать в режиме облегченного резерва 1+1. Настройки между основным и резервным устройствами синхронизируются автоматически. При выходе из строя основного устройства резервное включается в работу автоматически. Аналогичный функционал для vESBC пока не реализован.
vESBC реализуется в виде виртуальной машины. Поддерживаются все популярные гипервизоры. В зависимости от аппаратных характеристик хоста виртуализации программное решение может значительно превосходить аппаратное по производительности.
ESBC-3200 и vESBC без установленных лицензий поддерживают шесть одновременных вызовов и один новый вызов в секунду. Для полноценной работы требуется активация лицензионных опций. Есть два вида опций: на количество одновременных соединений; на интенсивность входящей нагрузки. Опции можно комбинировать в любых вариантах. Допустим, требуется обеспечить до 700 одновременных вызовов при интенсивности не более 20 вызовов в секунду, тогда необходимо приобрести одну лицензию на 20 CPS, одну лицензию на 500 одновременных вызовов, и две лицензии на 100 одновременных вызовов.
Устройство обеспечивает нормализацию сигнального протокола, защиту сети оператора от несанкционированного доступа и различных атак, сбор статистики. Может производить транскодирование медиатрафика. Подробнее с перечнем функций можно ознакомиться в Datasheet и Руководстве по эксплуатации на странице продукта. Рассмотрим некоторые из функций:
Динамический режим для SIP-транков позволяет определить фактический адрес назначения вызова с использованием внешнего сервиса.
В текущей версии ПО поддержана работа только с DNS в качестве внешнего сервиса. |
SIP-абоненты при осуществлении вызова отправляют SIP-запрос на IP-адрес ESBC. ESBC анализирует поле hostname в части RURI и, в зависимости от этого значения, маршрутизирует запрос на определенный SIP-прокси. Несколько разных hostname могут привести к маршрутизации на один и тот же SIP-прокси. Данный функционал удобен, если оператор предоставляет услуги виртуальных АТС, и на одном IP-адресе обслуживаются несколько виртуальных АТС.
ESBC позволяет модифицировать любые части SIP-заголовков с использованием регулярных выражений. Модификация может производиться на входе, до маршрутизации и обработки ядром, или на выходе, перед передачей сообщения следующему узлу. Возможно добавление, удаление, замена заголовков, а также копирование значения или части значения заголовка для использовании в другом заголовке в рамках одной таблицы модификаций.
Поддерживается более простой, без использования регулярных выражений, способ модификации полей CgPN и CpDN.
При организации связи через недоверенные сети, такие как сеть Интернет, бывает целесообразно скрыть и защитить от подмены содержимое телефонных переговоров. В этом случае поможет функция шифрования сигнального и медиатрафика.
Для шифрования медиатрафика применяется протокол SRTP (Secure Real-time Transport Protocol) — это расширенная версия протокола RTP с набором защитных механизмов. Протокол описан в RFC 3711. Для обмена ключами шифрования доступны два метода: DTLS-SRTP (RFC 5763) и SDES (RFC 4568).
Для шифрования сигнального трафика можно использовать протоколы TLS или WebSocket Secure (WSS) в качестве SIP-транспорта.
По умолчанию для работы протоколов TLS, WSS и DTLS-SRTP используются сертификаты автоматически сгенерированные самим ESBC, дополнительных настроек для их использования не требуется. Имеется возможность сгенерировать новые сертификаты на ESBC или загрузить и использовать сертификаты и ключи из внешнего хранилища.
Шифровать можно как транковые соединения с внешними АТС, так и абонентские подключения. Оборудование и ПО второй стороны должно поддерживать данный функционал.
ESBC работает по принципу B2BUA (Back to Back User Agent). Все проходящие через ESBC соединения разбиваются на два плеча (соединения). Таким образом, в рамках соединения сторона А и сторона Б общаются с ESBC, а не друг с другом. Это позволяет как угодно подробно разобрать, отфильтровать и модифицировать трафик на ESBC.
Минимальными рекомендованными настройками безопасности являются:
Для защиты от атак методом перебора реализован модуль fail2ban. Модуль занимается анализом возникающих ошибок для дальнейшей блокировки источников "подозрительного SIP-трафика". При возникновении ошибки в модуль отправляется информация о типе ошибки и об источнике. При накоплении достаточного количества ошибок источник помещается в черный список и блокируется. Виды анализируемых ошибок:
Лимит количества ошибок, при котором сработает блокировка зависит от нескольких факторов:
ESBC поддерживает создание флуд-фильтров для механизма конфигурируемой защиты от SIP-flood, а также для фильтрации клиентских приложений. Фильтр применяется ко всему SIP-сообщению (включая тело — SDP, XML и т. д.).
Флуд-фильтр просматривает SIP-сообщения на наличие заданных строк. В случае нахождения сообщение определяется как флуд и отбрасывается. Уведомление о срабатывании фильтра отправляется модулю fail2ban, который при накоплении достаточного количества ошибок блокирует источник.
Опция проверки IP-адреса источника SIP-сообщения позволяет защититься от SIP-spoofing атак. IP-адрес и порт, с которого поступает SIP-сообщение от абонента, сравнивается с IP-адресом и портом, с которого ранее регистрировался этот абонент. Если абонент неизвестен или запрос пришёл с неизвестного направления, то запрос игнорируется, а в модуль fail2ban отправляется оповещение.