Session-Border-Controller
Die Session-Border-Controller (SBC) sind die heute noch am wenigsten verstanden Bestandteile der SIP-Sicherheit. Im vereinfachten Sinn ist ein SBC eine Art SIP/RTP-Firewall. Diese Sicherheitskomponente verhindert, dass unberechtigter SIP-Datenverkehr in das Netzwerk des eigenen Unternehmens eindringen kann. Ein SBC führt darüber hinaus auch eine Deep-Packet-Inspection für alle SIP-Nachrichten durch und stellt sicher, dass in den Mediaströmen keine bösartigen Codes enthalten sind.
Warum macht es keinen Sinn den SIP-Datenverkehr durch die vorhandenen Firewalls kontrollieren zu lassen? Natürlich könnte man dies machen, doch würde man diese Entscheidung wahrscheinlich sehr schnell bedauern. Firewalls wurden für die Bearbeitung von (größeren) gleichmäßigen Paketströmen entwickelt, während die Spezialität von SBCs in der Kontrolle von burstartigen Paketströmen (kleine Pakete von 200 bis 250 Byte) besteht. Wird die Verzögerung und der Jitter durch die Kontrolle eines VoIP-Gespräch zu groß, werden diese vom Empfänger verworfen und verhindern einen vernünftigen Sprachfluss. Zu den weiteren Einsatzgebieten von SBCs gehören:
- das SIP-Trunking: Der Rückbau der ISDN-Technologie und den Umstieg der Carrier auf NGN und IMS erfordert die Bereitstellung von SIP-Dienstleistungen. Das SIP-Trunking ist ein Schlüsselangebot in den Portfolios der Dienstanbieter, bei dem die Unternehmens-TK-Anlage oder IP-TK-Anlage nativ über das SIP-Protokoll mit der zentralen VoIP-Infrastruktur verbunden wird, ohne dass TDM-Gateways zum Einsatz kommen.
- Garantie der SIP-Interoperabilität: SIP-Trunking-Implementierungen können sich zwischen IP-TK-Anlagen und NGN/IMS-Netzwerken unterscheiden. Der SBC sorgt durch eine „Protokollnormalisierung“ für eine Anpassung der vom ISP und von der Telefonanlage genutzten SIP-Optionen bzw. SIP-Dialekte. Die SBCs können auch eine Protokollkonvertierung (beispielsweise IPv4 > IPv6 oder H.323 >SIP) vornehmen und somit inkompatible Protokollwelten zusammenschalten.
- das NAT-Traversal: Das bei IP übliche Network-Address-Translation (NAT) stellt für VoIP ein unüberwindliches Hindernis dar. Das IP-Telefon und auch die IP-Telefonanlage kennen in der Regel nur die „private“ interne IP-Adresse der Geräte. Soll eine Verbindung zu einem externen VoIP/Video-Teilnehmer aufgebaut werden, muss die innere auf die äußere IP-Adresse gemapped werden. Die hierfür notwendigen Prozesse können SBCs bereitstellen.
- das SIP-Routing: Die innere Netzwerkstruktur (beispielsweise bei der Bereitstellung von mehreren TK-Anlagen mit jeweils eigenem SIP-Gateway) eines Unternehmen geht den SIP-Service-Provider nichts an. Aus diesem Grund sorgen SBCs für die Verschleierung der internen Netzstrukturen und für das gezielte Routing von SIP-Sitzungen zwischen dem ISP und den IP-TK-Anlagen. Für den Fall, dass das Unternehmen Dienste von mehreren SIP-Providern bezieht, sorgt der SBC auch für das Routing zwischen den verschiedenen Providern.
- zusätzliche Sicherheitsfunktionen: Ein SBC dient der sicheren Kopplung von verschiedenen Rechnernetzen bzw. Rechnernetzen mit unterschiedlichen Sicherheitsanforderungen. SBC koppeln externe (unsichere) Datennetze mit internen (sicheren) IT-Strukturen. SBCs ergänzen die Unternehmens-Firewalls, um einen dedizierten Schutz vor SIP-basierten Angriffen. Moderne SBCs bieten darüber hinausgehende Sicherheitsfunktionen. So werden der Schutz vor DoS-Angriffen, IP-Spoofing und SIP-Denial-of-Service, eine Integritätsprüfung, Stateful-Inspection und VoIP-Firewall-Funktionen, der Schutz vor Betrug und Abhören im Unternehmensbereich zur Verfügung gestellt.
- Anbindung von Telearbeitern: Mitarbeiter arbeiten im zunehmenden Maße von außerhalb des Unternehmens. Dieser Mitarbeitergruppe sollen jedoch dieselben Dienste wie im Unternehmen zur Verfügung stehen. Aus Kostengesichtspunkten wird zunehmend das klassische Internet zur Sprachübertragung zwischen Mitarbeitern und Unternehmen genutzt. Ein SBC löst bei der Anbindung eines Remote-SIP-Geräts über das Internet eine Reihe von Aufgaben: hostbasiertes NAT-Traversal für SIP, Sicherheit, QoS, Bandbreitenverwaltung, Routing-Funktionen und SIP-Interoperabilität. Auf diese Weise ist über SIP-basierte Terminals/Clients ein sicherer Zugriff auf das Unternehmensnetzwerk möglich, ohne dass ein zusätzlicher VPN-Client unterstützt werden muss. Darüber hinaus kann der SBC dazu genutzt werden, nicht mit dem Unternehmen verbundene Benutzer (anonyme Benutzer) in Audio/Video-Konferenzen einzubinden.
- Quality-of-Experience- (QoE-) Merkmale: SBCs werden in der Regel an der Grenze des Unternehmens zwischen die Verbindung zum SIP Provider geschaltet. Daher kann die Komponente die vereinbarte Dienstgüte (Service-Level-Agreement, SLA) von Sprach- und Videoanrufen überwachen und sicherstellen. Auch lässt sich eine Anrufzugangskontrolle (Call-Admission-Control, CAC), als Ergänzung zur CAC der TK-Anlage, realisieren. Dies verhindert die Überbuchung der WAN-Bandbreite mit Echtzeit-Datenverkehr. Die zentrale Position zwischen dem Provider und dem Unternehmensnetz ermöglicht auch eine Umschreibung von TOS/DiffServ-Dienstklassen zur Anpassung an die vom Provider vorgegebenen Beschränkungen.
Fazit
Voice over IP (VoIP) ist nicht unsicherer als die altbekannten Telefontechniken. Heute ist es selbstverständlich, dass die Rechnerressourcen in den Unternehmen von Firewalls, Virenscannern und sicheren Browser geschützt werden. Aus diesem Grund muss bei der SIP- und VoIP-Kommunikation in die gleiche Richtung gedacht werden. Die Verschlüsselung der Datenströme und der Einsatz von Session-Border-Controller (SBCs) erfüllen auch die unterschiedlichen Sicherheitsanforderungen im Bereich der Echtzeitkommunikation. (mh)
