Session Border Controller: Architektur- und Design-Konzepte
Dominik Zöller, [email protected]
1
Zentral vs. dezentral – Referenzarchitekturen für SBCs
SBCs als zentrale Routing-Instanz - Anschaltung von
herstellereigenen Lösungen und Third-Party-Produkten?
Firewall Bypass vs. Firewall Traversal
Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?
Übersicht
2
Zentral vs. dezentral – Referenzarchitekturen für SBCs
SBCs als zentrale Routing-Instanz - Anschaltung von
herstellereigenen Lösungen und Third-Party-Produkten?
Firewall Bypass vs. Firewall Traversal
Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?
Übersicht
3
Amtsanbindung mit ISDN und SIP
ITSPOrganisationsinternes Netz
IP-Netz
VoIP ISDN
PSTNIP-PBX SBC GatewaySBC
Internet bzw.
Provider
IP-Netz
Organisationsinternes Netz
IP-Netz
VoIP ISDN
PSTNIP-PBX Gateway
4
Standort
WAN-Router
PC-Client
Standort
WAN-Router
PC-Client
Standort
WAN-Router
PC-Client
PSTN(ISDN)
WAN
PC-Client
RZ 1
Anwendungs-Server
WAN-Router
RZ 2
Anwendungs-Server
WAN-Router
Branch-Appliance
Branch-Appliance
Branch-Appliance
IP-Phone
IP-Phone
IP-Phone
ISDN-IP-GW
ISDN-IP-GW
TK-Server
TK-Server
IP-Phone
SBC-Architektur – verbreitete Ausgangssituation auf ISDN-Basis
5
Standort
WAN-Router
PC-Client
Standort
WAN-Router
PC-Client
Standort
WAN-Router
PC-Client
PTN(SIP)
WAN
PC-Client
RZ 1
Anwendungs-Server
WAN-Router
RZ 2
Anwendungs-Server
WAN-Router
Branch-Appliance /
SBC
IP-Phone
IP-Phone
IP-Phone
SBC
SBC
UC-Server
UC-Server
IP-Phone
Branch-Appliance /
SBC
Branch-Appliance /
SBC
Grundsatzfrage SIP-Trunking – Zentrale oder dezentrale Breakouts?
6
Standort
WAN-Router
PC-Client
Standort
WAN-Router
PC-Client
Standort
WAN-Router
PC-Client
PTN(SIP)
WANPC-Client
RZ 1
Anwendungs-Server
WAN-Router
RZ 2
Anwendungs-Server
WAN-Router
IP-Phone
IP-Phone
IP-Phone
UC-Server
UC-Server
IP-Phone
SBC
SBC
SBC
SBC
SBC
Grundsatzfrage SIP-Trunking – Zentrale oder dezentrale Breakouts?
7
ISDN SIP zentral SIP dezentral
Architektur Dezentral, in
Kombination mit IP
„Survivability“ möglich
Zentraler Amtsübergang Dezentrale Amtsübergänge
Anbindung Lokale S0/S2M-
Anbindung
Über existierenden WAN-
Link, über
Internetanbindung oder
über sep. Physik
Über dezentrale
Internetanbindung oder über
sep. Physik
WAN-Traffic Nur intern bzw. zum
zentralen Breakout
VoIP-Traffic immer über
Zentrale (Stern)
Nur interner Traffic über das
WAN (any-to-any)
SBC N/A Zentraler Cluster Dezentrale SBC je Standort
(+ Zentrale)
Schutzniveau Mittel
(standortübergreifender
Traffic unverschlüsselt,
mittlere Verfügbarkeit)
Hoch (interner Traffic
vollst. verschlüsselt, hohe
Verfügbarkeit preiswert
realisierbar)
Sehr hoch (interner Traffic
vollst. verschlüsselt, hohe
Verfügbarkeit unabh. Von
Zentrale realisierbar,
Topology Hiding je Standort)
Komplexität Mittel Mittel Hoch
Kosten Hoch (IP-ISDN-
Gateways, Ggf. WAN-
Kosten für intern)
Moderat (Zentraler SBC-
Cluster, erhöhte WAN-
Kosten für
Zentralanbindung)
Sehr hoch (Dezentrale SBC,
zus. Standortanbindung,
Ggf. WAN-Kosten für intern)
Zentraler Breakout vs. dezentraler Breakout
8
Konzept mit rein dezentralen Breakouts bedarf der Abwärtsskalierung
Problem: die meisten SBC-Hersteller (und UC-Hersteller) favorisieren
leistungsstarke SBCs kleine Skalierungseinheiten sind komplett out-of-Scope
Wie viele Standorte haben Sie mit weniger als 3 Primärmultiplexern?
Lösungsansatz: in Branch Appliances integrierte SBC-Funktionalität?!
Dezentrale Breakouts – ein Skalierungsproblem!
Hersteller Produkt
Registrierte
SIP/TLS
Endpoints
Signaled
Sessions Media Sessions
SRTP
StreamsTranscoding
1100 5.000 360 360 180 360
3820 48.000 8.000 10.000 7.200
4500 100.000 40.000 16.000 10.000 7.200
4600 175.000 80.000 32.000 16.000 15.000
6000 Serie 200.000 120000 - 200000 80.000 32.000 60.000
500 800 250 250 180 -
800 800 250 250 180 57
1000 600 150 150 120 96
2600 8.000 600 600 600 600
3000 3000-5000 1.008 1.008 882 1.008
4000 20.000 5.000 5.000 3.000 2.400
4000B 20.000 5.000 5.000 3.000 5.000
9000 120.000 32.000 24.000 16.000 -
Virtual Edition 30.000 6.000 60.000 4.000
Q10 40.000 25.000 9.000 6.000 -
Q20 200.000 160.000 18.000 7.320
Q21 200.000 160.000 70.000 7.320
Oracle
(Acme Packet)
AudioCodes
GENBAND
9
Zentral vs. dezentral – Referenzarchitekturen für SBCs
SBCs als zentrale Routing-Instanz - Anschaltung von
herstellereigenen Lösungen und Third-Party-Produkten?
Firewall Bypass vs. Firewall Traversal
Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?
Übersicht
10
SBC als zentrale Routing-Instanz – Klassische Vorgehensweise IP-Migration
RZ B RZ A
UC-System
S2M S2M
S2MS2M
Bestandssystem Bestandssystem
IP-ISDN-GWIP-ISDN-GW
Sanfte Migration des ISDN-basierten Bestandssystems
11
SBC als zentrale Routing-Instanz – Vorgehensweise All-IP-Migration (1)
Sanfte Migration zu IP-basiertem Anlagenanschluss
12
RZ B RZ A
UC-System
S2MS2M
Bestandssystem Bestandssystem
IP-ISDN-GWIP-ISDN-GWSBCSBC
SIP SIP
SBC als zentrale Routing-Instanz – Vorgehensweise All-IP-Migration (2)
Sanfte Migration zu IP-basiertem Anlagenanschluss
13
RZ B RZ A
UC-System
SIP SIP
Bestandssystem Bestandssystem
SBCSBC
SIP SIP
SBC als zentrale Routing-Instanz – Vorgehensweise All-IP-Migration (3)
Sanfte Migration zu IP-basiertem Anlagenanschluss
14
SBC als zentrale Routing-Instanz – Normalisierung in Multivendor-Szenarien
Legacy
UC-System
Bestandssystem
IP-ISDN-GW
SIP SIP
Routing Layer
SBCSBC
PSTN / NGN Multivendor
IP-PBX A
IP-PBX B
15
Legacy
Bestandssystem
IP-GW
SIP SIP
PSTN / NGNAccess Layer
SBCSBC
Routing Layer
SIP
UC-System UC-System UC-System
UC-System
prop.
Alternative herstellerspezifisches Routing-Layer – SBC als reiner Amtsabschluss
16
Herstellerspezifisches
Routing-Layer (z.B. Cisco
UCM SME, Unify OSV, etc.)
Session Border Controller als
zentrales Routing Layer
Architektur Zentrales Routing-Layer, separates SBC-
Layer für Amtsanbindung
Zentrale Routing-Instanz,
gleichzeitig Amtsabschluss
Herstellerneutral Nein Ja
Flexibilität Mittel (einfache Hinzunahme von
Standorten, flexibles Routing,
Eingeschränkte Auswahl von CODECs
und Protokollen)
Hoch (einfache Hinzunahme von
Standorten, flexibles Routing, breite
Unterstützung von CODECs und
Protokollen)
Kosten Moderat Moderat
Interoperabilität Gering Sehr hoch
Funktionalität Hoch (innerhalb Hersteller-Ökosystem) Niedrig (wenige übergreifende
Leistungsmerkmale)
Management Ja (meistens) Nein (separates Management)
RNP-Verwaltung Einheitlich, zentral Dezentral
PTN-Breakout Zentral oder dezentral Vorzugsweise zentral
Empfohlen bei Große und sehr große
Single-Vendor-Szenarien
Mittlere bis sehr große Multivendor-
Szenarien
Zentrales Routing Layer – herstellerspezifische vs. herstellerneutrale SBC
17
Zentral vs. dezentral – Referenzarchitekturen für SBCs
SBCs als zentrale Routing-Instanz - Anschaltung von
herstellereigenen Lösungen und Third-Party-Produkten?
Firewall Bypass vs. Firewall Traversal
Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?
Übersicht
18
Welche Deployment-Varianten gibt es?
Je nach erfordertem Schutzniveau gibt es Varianten ohne oder mit einer/zwei Firewalls
Gehärtete SBC können direkt mit dem Internet/unsicheren Netz verbunden werden
Alle vorgestellten Varianten haben jeweils Vor- und Nachteile in Bezug auf
Sicherheit
Flexibilität
Performance
Kosten
SBC-Architektur – Firewall Bypass vs. Firewall Traversal
19
Eigenschaften:
SBC befindet sich in der DMZ der Firewall
Ist nur über ein Interface mit Firewall verbunden
Firewall benötigt mindestens drei Netzwerkanschlüsse (WAN, LAN, DMZ / SBC)
Alle SIP-Funktionen der Firewall müssen deaktiviert sein
SIP- RTP-Pakete müssen direkt zum SBC weitergeleitet werden
Traffic auf Port 5060 (SIP)/5061 (TLS) und RTP
Vorteil(e):
Sicher, da die Daten durch die
Firewall und den SBC gehen
Flexibel, weil so alle Netzwerke,
die mit der Firewall verbunden sind,
SIP-enabled werden
Nachteil(e):
Die Daten müssen zwei mal durch die Firewall
Firewall als Bottleneck schlecht für die Performance
DMZ-Konfiguration (klassisch)
20
Exkurs: Bottleneck Firewall und IPS – Performance-Engpässe am Beispiel IPS
One-Way-Delay einer Datenkommunikation auf Segment 1 eines IPS
in Abhängigkeit zur Auslastung eines benachbarten zweiten
Segments des IPS
0
50
100
150
200
250
1 2 3 4 5 6 7
Volllast
50% Last
0% Last
Zeit (s)
Dela
y (
ms)
x x
xx
Paketverluste
21
Eigenschaften:
Die erste Firewall trennt das unsichere Netz von der DMZ,
die zweite Firewall die DMZ vom sicheren Netz
Im Idealfall Firewalls verschiedener Hersteller
Vermeidung herstellerabhängiger Schwachstellen
Vorteil(e):
Das interne Netz ist gut geschützt
Eine einzelne Schwachstelle kompromittiert
nicht das interne Netz
Bessere Performance als einstufige Firewall
Nachteil(e):
Höhere Kosten durch zwei Firewalls
Höherer Administrationsaufwand
Ggf. höhere Troubleshooting-Komplexität
(zwei Hersteller)
DMZ-Konfiguration (klassisch) mit zweistufiger Firewall
22
Eigenschaften:
Der SBC befindet sich an einem DMZ-Interface der Firewall
Das zweite Interface des SBC ist mit dem internen Netzwerk verbunden
Auch hier müssen alle SIP-Funktionen der Firewall deaktiviert sein
SIP- und RTP-Pakete müssen direkt zum SBC weitergeleitet werden
Vorteil(e):
Der Datendurchsatz wird erhöht, da die
Daten nur einmal die Firewall durchqueren
müssen
Nachteil(e):
Abweichungen in Regelwerken für zwei
Pfade möglich „Sicherheitskurzschluss“
Firewall als Bottleneck
Firewall-Traversal-Konfiguration
23
Eigenschaften:
Der SBC ist direkt mit dem internen und dem externen Netz verbunden
Nur zu empfehlen, wenn die Firewall nicht die nötige Performance hat
Die SIP-Daten müssen getrennt von anderen Traffic an den SBC geleitet werden
Separate WAN-Verbindung für SIP oder ein VLAN für SIP-Daten und ein
weiteres für die die restlichen Daten (http,…)
Vorteil(e):
Keine zusätzlichen Anforderungen
an die Firewall (Funktionalität,
Anschlüsse, Performance)
Nachteil(e):
Geringeres Sicherheitsniveau
„Sicherheitskurzschluss by Design“
Schutzniveau bestimmt sich aus
dem schwächsten Element
Firewall-Policy ggf. auf SBC nicht
realisierbar
Firewall-Bypass-Konfiguration
24
Eigenschaften:
SBC ist mit direkt mit dem unsicheren Netz verbunden
Setz voraus, dass SBC besonders gehärtet ist
SIP-/RTP-Daten müssen getrennt von sonstigem
Traffic an den SBC geleitet werden
Im Gegensatz zur reinen Bypass-
Lösung werden Datenströme durch
eine zweite Firewall geführt
Vorteil(e):
Erhöhtes Schutzniveau
Entlastung der Edge-Firewall im Vergleich
zur zweistufigen DMZ-Variante
Nachteil(e):
Der SBC muss gehärtet sein, sonst
kommt es zu Sicherheitsproblemen
Firewall-Bypass-Konfiguration mit zweistufiger Firewall
25
Zentral vs. dezentral – Referenzarchitekturen für SBCs
SBCs als zentrale Routing-Instanz - Anschaltung von
herstellereigenen Lösungen und Third-Party-Produkten?
Firewall Bypass vs. Firewall Traversal
Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?
Übersicht
26
Zielarchitektur „groß“: Energieversorger
27
Zielarchitektur „groß“: Großklinikum
28
Zielarchitektur „sehr groß“: Großkonzern
29
Zielarchitektur „sehr groß“: Großkonzern (Detail)
30
Session Border Controller sind aus einem All-IP-Szenario nicht wegzudenken.
Von der Architektur hängen maßgeblich
Schutzniveau,
Komplexität, und
Kosten ab.
Ein zentrales SBC-Design empfiehlt sich in Hinblick auf Kosten und Flexibilität.
Zentrale SBC-Architekturen eignen sich sehr gut als zentrale Routing-Instanz.
In Single-Vendor-Szenarien sind herstellerspezifische Lösungen ggf. leistungsfähiger.
Jede SBC-Installation muss sich sinnvoll ins Firewall-Konzept (und allg. Security-
Konzept) einfügen.
Integrationskonzept abhängig von Anwendungsfall und Budget
Zweistufige Konzepte (DMZ und Firewall-Bypass) bieten höchste Sicherheit
Das durch das BSI für den erhöhten Schutzbedarf empfohlene Konzept ist ein
hochverfügbares, dezentrales DMZ-Konzept (gerne auch zweistufig).
Fazit
Gemeinsame Ziele verbinden
ComConsult Beratung und Planung GmbH
Pascalstraße 27, 52076 Aachen, Deutschland
Telefon: +49 2408 951-0 E-Mail: [email protected]
Fax: +49 2408 951-200 Web: www.comconsult.com
© ComConsult Beratung und Planung GmbH, 10. November 2015
32
Skalierung von Session Border Controllern (1)
Hersteller Produkt
Registrierte
SIP/TLS
Endpoints
Signaled
Sessions Media Sessions
SRTP
StreamsTranscoding
1100 5.000 360 360 180 360
3820 48.000 8.000 10.000 7.200
4500 100.000 40.000 16.000 10.000 7.200
4600 175.000 80.000 32.000 16.000 15.000
6000 Serie 200.000 120000 - 200000 80.000 32.000 60.000
Server Edition 6.000 6.000 6.000 3.000
Virtual Edition
High End 4.000 4.000 4.000
Virtual Edition
Low End 1.000 250 250
500 800 250 250 180 -
800 800 250 250 180 57
1000 600 150 150 120 96
2600 8.000 600 600 600 600
3000 3000-5000 1.008 1.008 882 1.008
4000 20.000 5.000 5.000 3.000 2.400
4000B 20.000 5.000 5.000 3.000 5.000
9000 120.000 32.000 24.000 16.000 -
Virtual Edition 30.000 6.000 60.000 4.000
Dell R210II XL 6.000 2.000 1.200
Vmware 250 250 250
Oracle
(Acme Packet)
Alcatel-Lucent
AudioCodes
Avaya
33
Skalierung von Session Border Controllern (2)
Hersteller Produkt
Registrierte
SIP/TLS
Endpoints
Signaled
Sessions Media Sessions
SRTP
StreamsTranscoding
5Gbps ASR 1001
integrated ESP25.000 10.000 2.000
36Gbps ASR 1002-X
integrated ESP120.000 10.000 2.000
10 Gbps ASR 1000 ESP 50.000 9.000 4.000
20 Gbps ASR 1000 ESP 100.000 64.000 4.000
40 Gbps ASR 1000 ESP 100.000 64.000 4.000
100 Gbps ASR 1000 ESP 400.000 64.000 4.000
Q10 40.000 25.000 9.000 6.000 -
Q20 200.000 160.000 18.000 7.320
Q21 200.000 160.000 70.000 7.320
SIParator S21 400 300
SIParator S52 2.000 1.500
SIParator S95 4.000 2.500
SIParator S97 8.000 3.000
SIParator S98 20.000 8.000
TE-Systems anynode bis 1000
IBM x3250 M3 6.000 1.600 2.700 8.000
IBM x3250 M5 6.000 2.700 2.700 2.160
IBM x3550 M3/M4 oder
Fujitsu RX200 S6/S7 50.000 8.000 8.000 6.400
Unify
GENBAND
Ingate Systems
Cisco
Top Related