Download - Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, [email protected]

Transcript
Page 1: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

Session Border Controller: Architektur- und Design-Konzepte

Dominik Zöller, [email protected]

Page 2: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

1

Zentral vs. dezentral – Referenzarchitekturen für SBCs

SBCs als zentrale Routing-Instanz - Anschaltung von

herstellereigenen Lösungen und Third-Party-Produkten?

Firewall Bypass vs. Firewall Traversal

Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

Übersicht

Page 3: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

2

Zentral vs. dezentral – Referenzarchitekturen für SBCs

SBCs als zentrale Routing-Instanz - Anschaltung von

herstellereigenen Lösungen und Third-Party-Produkten?

Firewall Bypass vs. Firewall Traversal

Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

Übersicht

Page 4: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

3

Amtsanbindung mit ISDN und SIP

ITSPOrganisationsinternes Netz

IP-Netz

VoIP ISDN

PSTNIP-PBX SBC GatewaySBC

Internet bzw.

Provider

IP-Netz

Organisationsinternes Netz

IP-Netz

VoIP ISDN

PSTNIP-PBX Gateway

Page 5: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

4

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

PSTN(ISDN)

WAN

PC-Client

RZ 1

Anwendungs-Server

WAN-Router

RZ 2

Anwendungs-Server

WAN-Router

Branch-Appliance

Branch-Appliance

Branch-Appliance

IP-Phone

IP-Phone

IP-Phone

ISDN-IP-GW

ISDN-IP-GW

TK-Server

TK-Server

IP-Phone

SBC-Architektur – verbreitete Ausgangssituation auf ISDN-Basis

Page 6: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

5

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

PTN(SIP)

WAN

PC-Client

RZ 1

Anwendungs-Server

WAN-Router

RZ 2

Anwendungs-Server

WAN-Router

Branch-Appliance /

SBC

IP-Phone

IP-Phone

IP-Phone

SBC

SBC

UC-Server

UC-Server

IP-Phone

Branch-Appliance /

SBC

Branch-Appliance /

SBC

Grundsatzfrage SIP-Trunking – Zentrale oder dezentrale Breakouts?

Page 7: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

6

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

PTN(SIP)

WANPC-Client

RZ 1

Anwendungs-Server

WAN-Router

RZ 2

Anwendungs-Server

WAN-Router

IP-Phone

IP-Phone

IP-Phone

UC-Server

UC-Server

IP-Phone

SBC

SBC

SBC

SBC

SBC

Grundsatzfrage SIP-Trunking – Zentrale oder dezentrale Breakouts?

Page 8: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

7

ISDN SIP zentral SIP dezentral

Architektur Dezentral, in

Kombination mit IP

„Survivability“ möglich

Zentraler Amtsübergang Dezentrale Amtsübergänge

Anbindung Lokale S0/S2M-

Anbindung

Über existierenden WAN-

Link, über

Internetanbindung oder

über sep. Physik

Über dezentrale

Internetanbindung oder über

sep. Physik

WAN-Traffic Nur intern bzw. zum

zentralen Breakout

VoIP-Traffic immer über

Zentrale (Stern)

Nur interner Traffic über das

WAN (any-to-any)

SBC N/A Zentraler Cluster Dezentrale SBC je Standort

(+ Zentrale)

Schutzniveau Mittel

(standortübergreifender

Traffic unverschlüsselt,

mittlere Verfügbarkeit)

Hoch (interner Traffic

vollst. verschlüsselt, hohe

Verfügbarkeit preiswert

realisierbar)

Sehr hoch (interner Traffic

vollst. verschlüsselt, hohe

Verfügbarkeit unabh. Von

Zentrale realisierbar,

Topology Hiding je Standort)

Komplexität Mittel Mittel Hoch

Kosten Hoch (IP-ISDN-

Gateways, Ggf. WAN-

Kosten für intern)

Moderat (Zentraler SBC-

Cluster, erhöhte WAN-

Kosten für

Zentralanbindung)

Sehr hoch (Dezentrale SBC,

zus. Standortanbindung,

Ggf. WAN-Kosten für intern)

Zentraler Breakout vs. dezentraler Breakout

Page 9: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

8

Konzept mit rein dezentralen Breakouts bedarf der Abwärtsskalierung

Problem: die meisten SBC-Hersteller (und UC-Hersteller) favorisieren

leistungsstarke SBCs kleine Skalierungseinheiten sind komplett out-of-Scope

Wie viele Standorte haben Sie mit weniger als 3 Primärmultiplexern?

Lösungsansatz: in Branch Appliances integrierte SBC-Funktionalität?!

Dezentrale Breakouts – ein Skalierungsproblem!

Hersteller Produkt

Registrierte

SIP/TLS

Endpoints

Signaled

Sessions Media Sessions

SRTP

StreamsTranscoding

1100 5.000 360 360 180 360

3820 48.000 8.000 10.000 7.200

4500 100.000 40.000 16.000 10.000 7.200

4600 175.000 80.000 32.000 16.000 15.000

6000 Serie 200.000 120000 - 200000 80.000 32.000 60.000

500 800 250 250 180 -

800 800 250 250 180 57

1000 600 150 150 120 96

2600 8.000 600 600 600 600

3000 3000-5000 1.008 1.008 882 1.008

4000 20.000 5.000 5.000 3.000 2.400

4000B 20.000 5.000 5.000 3.000 5.000

9000 120.000 32.000 24.000 16.000 -

Virtual Edition 30.000 6.000 60.000 4.000

Q10 40.000 25.000 9.000 6.000 -

Q20 200.000 160.000 18.000 7.320

Q21 200.000 160.000 70.000 7.320

Oracle

(Acme Packet)

AudioCodes

GENBAND

Page 10: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

9

Zentral vs. dezentral – Referenzarchitekturen für SBCs

SBCs als zentrale Routing-Instanz - Anschaltung von

herstellereigenen Lösungen und Third-Party-Produkten?

Firewall Bypass vs. Firewall Traversal

Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

Übersicht

Page 11: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

10

SBC als zentrale Routing-Instanz – Klassische Vorgehensweise IP-Migration

RZ B RZ A

UC-System

S2M S2M

S2MS2M

Bestandssystem Bestandssystem

IP-ISDN-GWIP-ISDN-GW

Sanfte Migration des ISDN-basierten Bestandssystems

Page 12: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

11

SBC als zentrale Routing-Instanz – Vorgehensweise All-IP-Migration (1)

Sanfte Migration zu IP-basiertem Anlagenanschluss

Page 13: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

12

RZ B RZ A

UC-System

S2MS2M

Bestandssystem Bestandssystem

IP-ISDN-GWIP-ISDN-GWSBCSBC

SIP SIP

SBC als zentrale Routing-Instanz – Vorgehensweise All-IP-Migration (2)

Sanfte Migration zu IP-basiertem Anlagenanschluss

Page 14: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

13

RZ B RZ A

UC-System

SIP SIP

Bestandssystem Bestandssystem

SBCSBC

SIP SIP

SBC als zentrale Routing-Instanz – Vorgehensweise All-IP-Migration (3)

Sanfte Migration zu IP-basiertem Anlagenanschluss

Page 15: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

14

SBC als zentrale Routing-Instanz – Normalisierung in Multivendor-Szenarien

Legacy

UC-System

Bestandssystem

IP-ISDN-GW

SIP SIP

Routing Layer

SBCSBC

PSTN / NGN Multivendor

IP-PBX A

IP-PBX B

Page 16: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

15

Legacy

Bestandssystem

IP-GW

SIP SIP

PSTN / NGNAccess Layer

SBCSBC

Routing Layer

SIP

UC-System UC-System UC-System

UC-System

prop.

Alternative herstellerspezifisches Routing-Layer – SBC als reiner Amtsabschluss

Page 17: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

16

Herstellerspezifisches

Routing-Layer (z.B. Cisco

UCM SME, Unify OSV, etc.)

Session Border Controller als

zentrales Routing Layer

Architektur Zentrales Routing-Layer, separates SBC-

Layer für Amtsanbindung

Zentrale Routing-Instanz,

gleichzeitig Amtsabschluss

Herstellerneutral Nein Ja

Flexibilität Mittel (einfache Hinzunahme von

Standorten, flexibles Routing,

Eingeschränkte Auswahl von CODECs

und Protokollen)

Hoch (einfache Hinzunahme von

Standorten, flexibles Routing, breite

Unterstützung von CODECs und

Protokollen)

Kosten Moderat Moderat

Interoperabilität Gering Sehr hoch

Funktionalität Hoch (innerhalb Hersteller-Ökosystem) Niedrig (wenige übergreifende

Leistungsmerkmale)

Management Ja (meistens) Nein (separates Management)

RNP-Verwaltung Einheitlich, zentral Dezentral

PTN-Breakout Zentral oder dezentral Vorzugsweise zentral

Empfohlen bei Große und sehr große

Single-Vendor-Szenarien

Mittlere bis sehr große Multivendor-

Szenarien

Zentrales Routing Layer – herstellerspezifische vs. herstellerneutrale SBC

Page 18: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

17

Zentral vs. dezentral – Referenzarchitekturen für SBCs

SBCs als zentrale Routing-Instanz - Anschaltung von

herstellereigenen Lösungen und Third-Party-Produkten?

Firewall Bypass vs. Firewall Traversal

Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

Übersicht

Page 19: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

18

Welche Deployment-Varianten gibt es?

Je nach erfordertem Schutzniveau gibt es Varianten ohne oder mit einer/zwei Firewalls

Gehärtete SBC können direkt mit dem Internet/unsicheren Netz verbunden werden

Alle vorgestellten Varianten haben jeweils Vor- und Nachteile in Bezug auf

Sicherheit

Flexibilität

Performance

Kosten

SBC-Architektur – Firewall Bypass vs. Firewall Traversal

Page 20: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

19

Eigenschaften:

SBC befindet sich in der DMZ der Firewall

Ist nur über ein Interface mit Firewall verbunden

Firewall benötigt mindestens drei Netzwerkanschlüsse (WAN, LAN, DMZ / SBC)

Alle SIP-Funktionen der Firewall müssen deaktiviert sein

SIP- RTP-Pakete müssen direkt zum SBC weitergeleitet werden

Traffic auf Port 5060 (SIP)/5061 (TLS) und RTP

Vorteil(e):

Sicher, da die Daten durch die

Firewall und den SBC gehen

Flexibel, weil so alle Netzwerke,

die mit der Firewall verbunden sind,

SIP-enabled werden

Nachteil(e):

Die Daten müssen zwei mal durch die Firewall

Firewall als Bottleneck schlecht für die Performance

DMZ-Konfiguration (klassisch)

Page 21: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

20

Exkurs: Bottleneck Firewall und IPS – Performance-Engpässe am Beispiel IPS

One-Way-Delay einer Datenkommunikation auf Segment 1 eines IPS

in Abhängigkeit zur Auslastung eines benachbarten zweiten

Segments des IPS

0

50

100

150

200

250

1 2 3 4 5 6 7

Volllast

50% Last

0% Last

Zeit (s)

Dela

y (

ms)

x x

xx

Paketverluste

Page 22: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

21

Eigenschaften:

Die erste Firewall trennt das unsichere Netz von der DMZ,

die zweite Firewall die DMZ vom sicheren Netz

Im Idealfall Firewalls verschiedener Hersteller

Vermeidung herstellerabhängiger Schwachstellen

Vorteil(e):

Das interne Netz ist gut geschützt

Eine einzelne Schwachstelle kompromittiert

nicht das interne Netz

Bessere Performance als einstufige Firewall

Nachteil(e):

Höhere Kosten durch zwei Firewalls

Höherer Administrationsaufwand

Ggf. höhere Troubleshooting-Komplexität

(zwei Hersteller)

DMZ-Konfiguration (klassisch) mit zweistufiger Firewall

Page 23: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

22

Eigenschaften:

Der SBC befindet sich an einem DMZ-Interface der Firewall

Das zweite Interface des SBC ist mit dem internen Netzwerk verbunden

Auch hier müssen alle SIP-Funktionen der Firewall deaktiviert sein

SIP- und RTP-Pakete müssen direkt zum SBC weitergeleitet werden

Vorteil(e):

Der Datendurchsatz wird erhöht, da die

Daten nur einmal die Firewall durchqueren

müssen

Nachteil(e):

Abweichungen in Regelwerken für zwei

Pfade möglich „Sicherheitskurzschluss“

Firewall als Bottleneck

Firewall-Traversal-Konfiguration

Page 24: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

23

Eigenschaften:

Der SBC ist direkt mit dem internen und dem externen Netz verbunden

Nur zu empfehlen, wenn die Firewall nicht die nötige Performance hat

Die SIP-Daten müssen getrennt von anderen Traffic an den SBC geleitet werden

Separate WAN-Verbindung für SIP oder ein VLAN für SIP-Daten und ein

weiteres für die die restlichen Daten (http,…)

Vorteil(e):

Keine zusätzlichen Anforderungen

an die Firewall (Funktionalität,

Anschlüsse, Performance)

Nachteil(e):

Geringeres Sicherheitsniveau

„Sicherheitskurzschluss by Design“

Schutzniveau bestimmt sich aus

dem schwächsten Element

Firewall-Policy ggf. auf SBC nicht

realisierbar

Firewall-Bypass-Konfiguration

Page 25: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

24

Eigenschaften:

SBC ist mit direkt mit dem unsicheren Netz verbunden

Setz voraus, dass SBC besonders gehärtet ist

SIP-/RTP-Daten müssen getrennt von sonstigem

Traffic an den SBC geleitet werden

Im Gegensatz zur reinen Bypass-

Lösung werden Datenströme durch

eine zweite Firewall geführt

Vorteil(e):

Erhöhtes Schutzniveau

Entlastung der Edge-Firewall im Vergleich

zur zweistufigen DMZ-Variante

Nachteil(e):

Der SBC muss gehärtet sein, sonst

kommt es zu Sicherheitsproblemen

Firewall-Bypass-Konfiguration mit zweistufiger Firewall

Page 26: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

25

Zentral vs. dezentral – Referenzarchitekturen für SBCs

SBCs als zentrale Routing-Instanz - Anschaltung von

herstellereigenen Lösungen und Third-Party-Produkten?

Firewall Bypass vs. Firewall Traversal

Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

Übersicht

Page 27: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

26

Zielarchitektur „groß“: Energieversorger

Page 28: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

27

Zielarchitektur „groß“: Großklinikum

Page 29: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

28

Zielarchitektur „sehr groß“: Großkonzern

Page 30: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

29

Zielarchitektur „sehr groß“: Großkonzern (Detail)

Page 31: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

30

Session Border Controller sind aus einem All-IP-Szenario nicht wegzudenken.

Von der Architektur hängen maßgeblich

Schutzniveau,

Komplexität, und

Kosten ab.

Ein zentrales SBC-Design empfiehlt sich in Hinblick auf Kosten und Flexibilität.

Zentrale SBC-Architekturen eignen sich sehr gut als zentrale Routing-Instanz.

In Single-Vendor-Szenarien sind herstellerspezifische Lösungen ggf. leistungsfähiger.

Jede SBC-Installation muss sich sinnvoll ins Firewall-Konzept (und allg. Security-

Konzept) einfügen.

Integrationskonzept abhängig von Anwendungsfall und Budget

Zweistufige Konzepte (DMZ und Firewall-Bypass) bieten höchste Sicherheit

Das durch das BSI für den erhöhten Schutzbedarf empfohlene Konzept ist ein

hochverfügbares, dezentrales DMZ-Konzept (gerne auch zweistufig).

Fazit

Page 32: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

Gemeinsame Ziele verbinden

ComConsult Beratung und Planung GmbH

Pascalstraße 27, 52076 Aachen, Deutschland

Telefon: +49 2408 951-0 E-Mail: [email protected]

Fax: +49 2408 951-200 Web: www.comconsult.com

© ComConsult Beratung und Planung GmbH, 10. November 2015

Page 33: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

32

Skalierung von Session Border Controllern (1)

Hersteller Produkt

Registrierte

SIP/TLS

Endpoints

Signaled

Sessions Media Sessions

SRTP

StreamsTranscoding

1100 5.000 360 360 180 360

3820 48.000 8.000 10.000 7.200

4500 100.000 40.000 16.000 10.000 7.200

4600 175.000 80.000 32.000 16.000 15.000

6000 Serie 200.000 120000 - 200000 80.000 32.000 60.000

Server Edition 6.000 6.000 6.000 3.000

Virtual Edition

High End 4.000 4.000 4.000

Virtual Edition

Low End 1.000 250 250

500 800 250 250 180 -

800 800 250 250 180 57

1000 600 150 150 120 96

2600 8.000 600 600 600 600

3000 3000-5000 1.008 1.008 882 1.008

4000 20.000 5.000 5.000 3.000 2.400

4000B 20.000 5.000 5.000 3.000 5.000

9000 120.000 32.000 24.000 16.000 -

Virtual Edition 30.000 6.000 60.000 4.000

Dell R210II XL 6.000 2.000 1.200

Vmware 250 250 250

Oracle

(Acme Packet)

Alcatel-Lucent

AudioCodes

Avaya

Page 34: Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

33

Skalierung von Session Border Controllern (2)

Hersteller Produkt

Registrierte

SIP/TLS

Endpoints

Signaled

Sessions Media Sessions

SRTP

StreamsTranscoding

5Gbps ASR 1001

integrated ESP25.000 10.000 2.000

36Gbps ASR 1002-X

integrated ESP120.000 10.000 2.000

10 Gbps ASR 1000 ESP 50.000 9.000 4.000

20 Gbps ASR 1000 ESP 100.000 64.000 4.000

40 Gbps ASR 1000 ESP 100.000 64.000 4.000

100 Gbps ASR 1000 ESP 400.000 64.000 4.000

Q10 40.000 25.000 9.000 6.000 -

Q20 200.000 160.000 18.000 7.320

Q21 200.000 160.000 70.000 7.320

SIParator S21 400 300

SIParator S52 2.000 1.500

SIParator S95 4.000 2.500

SIParator S97 8.000 3.000

SIParator S98 20.000 8.000

TE-Systems anynode bis 1000

IBM x3250 M3 6.000 1.600 2.700 8.000

IBM x3250 M5 6.000 2.700 2.700 2.160

IBM x3550 M3/M4 oder

Fujitsu RX200 S6/S7 50.000 8.000 8.000 6.400

Unify

GENBAND

Ingate Systems

Cisco