Session Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com
Übersicht Zentral vs. dezentral Referenzarchitekturen für SBCs SBCs als zentrale Routing-Instanz - Anschaltung von herstellereigenen Lösungen und Third-Party-Produkten? Firewall Bypass vs. Firewall Traversal Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus? 1
Übersicht Zentral vs. dezentral Referenzarchitekturen für SBCs SBCs als zentrale Routing-Instanz - Anschaltung von herstellereigenen Lösungen und Third-Party-Produkten? Firewall Bypass vs. Firewall Traversal Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus? 2
Amtsanbindung mit ISDN und SIP Organisationsinternes Netz IP-Netz IP-PBX Gateway PSTN VoIP ISDN Organisationsinternes Netz ITSP IP-Netz Internet bzw. Provider IP-PBX SBC IP-Netz SBC Gateway PSTN VoIP ISDN 3
SBC-Architektur verbreitete Ausgangssituation auf ISDN-Basis Standort WAN-Router Branch- Appliance RZ 1 PC-Client IP-Phone WAN-Router Standort WAN-Router WAN ISDN-IP-GW TK-Server Anwendungs-Server PC-Client IP-Phone Branch- Appliance PC-Client IP-Phone RZ 2 Standort PSTN (ISDN) WAN-Router ISDN-IP-GW TK-Server Anwendungs-Server WAN-Router Branch- Appliance PC-Client IP-Phone 4
Grundsatzfrage SIP-Trunking Zentrale oder dezentrale Breakouts? Standort WAN-Router Branch- Appliance / SBC RZ 1 PC-Client IP-Phone WAN-Router Standort WAN-Router WAN SBC UC-Server Anwendungs-Server PC-Client IP-Phone Branch- Appliance / SBC PC-Client RZ 2 IP-Phone Standort PTN (SIP) WAN-Router SBC UC-Server Anwendungs-Server WAN-Router Branch- Appliance / SBC PC-Client IP-Phone 5
Grundsatzfrage SIP-Trunking Zentrale oder dezentrale Breakouts? Standort WAN-Router SBC RZ 1 PC-Client IP-Phone WAN-Router Standort SBC UC-Server Anwendungs-Server WAN-Router SBC WAN PC-Client IP-Phone PC-Client IP-Phone RZ 2 Standort WAN-Router PTN (SIP) WAN-Router SBC UC-Server Anwendungs-Server SBC PC-Client IP-Phone 6
Zentraler Breakout vs. dezentraler Breakout Architektur Anbindung WAN-Traffic ISDN SIP zentral SIP dezentral Dezentral, in Kombination mit IP Survivability möglich Lokale S0/S2M- Anbindung Nur intern bzw. zum zentralen Breakout Zentraler Amtsübergang Über existierenden WAN- Link, über Internetanbindung oder über sep. Physik VoIP-Traffic immer über Zentrale (Stern) Dezentrale Amtsübergänge Über dezentrale Internetanbindung oder über sep. Physik Nur interner Traffic über das WAN (any-to-any) SBC N/A Zentraler Cluster Dezentrale SBC je Standort (+ Zentrale) Schutzniveau Mittel (standortübergreifender Traffic unverschlüsselt, mittlere Verfügbarkeit) Hoch (interner Traffic vollst. verschlüsselt, hohe Verfügbarkeit preiswert realisierbar) Komplexität Mittel Mittel Hoch Kosten Hoch (IP-ISDN- Gateways, Ggf. WAN- Kosten für intern) Moderat (Zentraler SBC- Cluster, erhöhte WAN- Kosten für Zentralanbindung) Sehr hoch (interner Traffic vollst. verschlüsselt, hohe Verfügbarkeit unabh. Von Zentrale realisierbar, Topology Hiding je Standort) Sehr hoch (Dezentrale SBC, zus. Standortanbindung, Ggf. WAN-Kosten für intern) 7
Dezentrale Breakouts ein Skalierungsproblem! Konzept mit rein dezentralen Breakouts bedarf der Abwärtsskalierung Problem: die meisten SBC-Hersteller (und UC-Hersteller) favorisieren leistungsstarke SBCs kleine Skalierungseinheiten sind komplett out-of-scope Wie viele Standorte haben Sie mit weniger als 3 Primärmultiplexern? Lösungsansatz: in Branch Appliances integrierte SBC-Funktionalität?! Hersteller Oracle (Acme Packet) AudioCodes GENBAND Produkt Registrierte SIP/TLS Endpoints Signaled Sessions Media Sessions SRTP Streams Transcoding 1100 5.000 360 360 180 360 3820 48.000 8.000 10.000 7.200 4500 100.000 40.000 16.000 10.000 7.200 4600 175.000 80.000 32.000 16.000 15.000 6000 Serie 200.000 120000-200000 80.000 32.000 60.000 500 800 250 250 180-800 800 250 250 180 57 1000 600 150 150 120 96 2600 8.000 600 600 600 600 3000 3000-5000 1.008 1.008 882 1.008 4000 20.000 5.000 5.000 3.000 2.400 4000B 20.000 5.000 5.000 3.000 5.000 9000 120.000 32.000 24.000 16.000 - Virtual Edition 30.000 6.000 60.000 4.000 Q10 40.000 25.000 9.000 6.000 - Q20 200.000 160.000 18.000 7.320 Q21 200.000 160.000 70.000 7.320 8
Übersicht Zentral vs. dezentral Referenzarchitekturen für SBCs SBCs als zentrale Routing-Instanz - Anschaltung von herstellereigenen Lösungen und Third-Party-Produkten? Firewall Bypass vs. Firewall Traversal Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus? 9
SBC als zentrale Routing-Instanz Klassische Vorgehensweise IP-Migration Sanfte Migration des ISDN-basierten Bestandssystems RZ A S 2M S 2M RZ B IP-ISDN-GW IP-ISDN-GW S 2M S 2M UC-System Bestandssystem Bestandssystem 10
SBC als zentrale Routing-Instanz Vorgehensweise All-IP-Migration (1) Sanfte Migration zu IP-basiertem Anlagenanschluss 11
SBC als zentrale Routing-Instanz Vorgehensweise All-IP-Migration (2) Sanfte Migration zu IP-basiertem Anlagenanschluss RZ A SIP SIP RZ B S 2M IP-ISDN-GW SBC SBC IP-ISDN-GW S 2M UC-System Bestandssystem Bestandssystem 12
SBC als zentrale Routing-Instanz Vorgehensweise All-IP-Migration (3) Sanfte Migration zu IP-basiertem Anlagenanschluss RZ A SIP SIP RZ B SIP SBC SBC SIP UC-System Bestandssystem Bestandssystem 13
SBC als zentrale Routing-Instanz Normalisierung in Multivendor-Szenarien Legacy PSTN / NGN Multivendor SIP SIP IP-ISDN-GW Routing Layer IP-PBX A Bestandssystem SBC SBC UC-System IP-PBX B 14
Alternative herstellerspezifisches Routing-Layer SBC als reiner Amtsabschluss PSTN / NGN Access Layer SBC SBC Legacy SIP SIP Routing Layer UC-System SIP prop. IP-GW UC-System UC-System UC-System Bestandssystem 15
Zentrales Routing Layer herstellerspezifische vs. herstellerneutrale SBC Architektur Herstellerspezifisches Routing-Layer (z.b. Cisco UCM SME, Unify OSV, etc.) Zentrales Routing-Layer, separates SBC- Layer für Amtsanbindung Herstellerneutral Nein Ja Flexibilität Mittel (einfache Hinzunahme von Standorten, flexibles Routing, Eingeschränkte Auswahl von CODECs und Protokollen) Kosten Moderat Moderat Interoperabilität Gering Sehr hoch Session Border Controller als zentrales Routing Layer Zentrale Routing-Instanz, gleichzeitig Amtsabschluss Hoch (einfache Hinzunahme von Standorten, flexibles Routing, breite Unterstützung von CODECs und Protokollen) Funktionalität Hoch (innerhalb Hersteller-Ökosystem) Niedrig (wenige übergreifende Leistungsmerkmale) Management Ja (meistens) Nein (separates Management) RNP-Verwaltung Einheitlich, zentral Dezentral PTN-Breakout Zentral oder dezentral Vorzugsweise zentral Empfohlen bei Große und sehr große Single-Vendor-Szenarien Mittlere bis sehr große Multivendor- Szenarien 16
Übersicht Zentral vs. dezentral Referenzarchitekturen für SBCs SBCs als zentrale Routing-Instanz - Anschaltung von herstellereigenen Lösungen und Third-Party-Produkten? Firewall Bypass vs. Firewall Traversal Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus? 17
SBC-Architektur Firewall Bypass vs. Firewall Traversal Welche Deployment-Varianten gibt es? Je nach erfordertem Schutzniveau gibt es Varianten ohne oder mit einer/zwei Firewalls Gehärtete SBC können direkt mit dem Internet/unsicheren Netz verbunden werden Alle vorgestellten Varianten haben jeweils Vor- und Nachteile in Bezug auf Sicherheit Flexibilität Performance Kosten 18
DMZ-Konfiguration (klassisch) Eigenschaften: SBC befindet sich in der DMZ der Firewall Ist nur über ein Interface mit Firewall verbunden Firewall benötigt mindestens drei Netzwerkanschlüsse (WAN, LAN, DMZ / SBC) Alle SIP-Funktionen der Firewall müssen deaktiviert sein SIP- RTP-Pakete müssen direkt zum SBC weitergeleitet werden Traffic auf Port 5060 (SIP)/5061 (TLS) und RTP Vorteil(e): Sicher, da die Daten durch die Firewall und den SBC gehen Flexibel, weil so alle Netzwerke, die mit der Firewall verbunden sind, SIP-enabled werden Nachteil(e): Die Daten müssen zwei mal durch die Firewall Firewall als Bottleneck schlecht für die Performance 19
Exkurs: Bottleneck Firewall und IPS Performance-Engpässe am Beispiel IPS 250 One-Way-Delay einer Datenkommunikation auf Segment 1 eines IPS in Abhängigkeit zur Auslastung eines benachbarten zweiten Segments des IPS Delay (ms) 200 150 x x x x 100 Paketverluste Volllast 50% Last 0% Last 50 0 1 2 3 4 5 6 7 Zeit (s) 20
DMZ-Konfiguration (klassisch) mit zweistufiger Firewall Eigenschaften: Die erste Firewall trennt das unsichere Netz von der DMZ, die zweite Firewall die DMZ vom sicheren Netz Im Idealfall Firewalls verschiedener Hersteller Vermeidung herstellerabhängiger Schwachstellen Vorteil(e): Das interne Netz ist gut geschützt Eine einzelne Schwachstelle kompromittiert nicht das interne Netz Bessere Performance als einstufige Firewall Nachteil(e): Höhere Kosten durch zwei Firewalls Höherer Administrationsaufwand Ggf. höhere Troubleshooting-Komplexität (zwei Hersteller) 21
Firewall-Traversal-Konfiguration Eigenschaften: Der SBC befindet sich an einem DMZ-Interface der Firewall Das zweite Interface des SBC ist mit dem internen Netzwerk verbunden Auch hier müssen alle SIP-Funktionen der Firewall deaktiviert sein SIP- und RTP-Pakete müssen direkt zum SBC weitergeleitet werden Vorteil(e): Der Datendurchsatz wird erhöht, da die Daten nur einmal die Firewall durchqueren müssen Nachteil(e): Abweichungen in Regelwerken für zwei Pfade möglich Sicherheitskurzschluss Firewall als Bottleneck 22
Firewall-Bypass-Konfiguration Eigenschaften: Der SBC ist direkt mit dem internen und dem externen Netz verbunden Nur zu empfehlen, wenn die Firewall nicht die nötige Performance hat Die SIP-Daten müssen getrennt von anderen Traffic an den SBC geleitet werden Separate WAN-Verbindung für SIP oder ein VLAN für SIP-Daten und ein weiteres für die die restlichen Daten (http, ) Vorteil(e): Keine zusätzlichen Anforderungen an die Firewall (Funktionalität, Anschlüsse, Performance) Nachteil(e): Geringeres Sicherheitsniveau Sicherheitskurzschluss by Design Schutzniveau bestimmt sich aus dem schwächsten Element Firewall-Policy ggf. auf SBC nicht realisierbar 23
Firewall-Bypass-Konfiguration mit zweistufiger Firewall Eigenschaften: SBC ist mit direkt mit dem unsicheren Netz verbunden Setz voraus, dass SBC besonders gehärtet ist SIP-/RTP-Daten müssen getrennt von sonstigem Traffic an den SBC geleitet werden Im Gegensatz zur reinen Bypass- Lösung werden Datenströme durch eine zweite Firewall geführt Vorteil(e): Erhöhtes Schutzniveau Entlastung der Edge-Firewall im Vergleich zur zweistufigen DMZ-Variante Nachteil(e): Der SBC muss gehärtet sein, sonst kommt es zu Sicherheitsproblemen 24
Übersicht Zentral vs. dezentral Referenzarchitekturen für SBCs SBCs als zentrale Routing-Instanz - Anschaltung von herstellereigenen Lösungen und Third-Party-Produkten? Firewall Bypass vs. Firewall Traversal Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus? 25
Zielarchitektur groß : Energieversorger 26
Zielarchitektur groß : Großklinikum 27
Zielarchitektur sehr groß : Großkonzern 28
Zielarchitektur sehr groß : Großkonzern (Detail) 29
Fazit Session Border Controller sind aus einem All-IP-Szenario nicht wegzudenken. Von der Architektur hängen maßgeblich Schutzniveau, Komplexität, und Kosten ab. Ein zentrales SBC-Design empfiehlt sich in Hinblick auf Kosten und Flexibilität. Zentrale SBC-Architekturen eignen sich sehr gut als zentrale Routing-Instanz. In Single-Vendor-Szenarien sind herstellerspezifische Lösungen ggf. leistungsfähiger. Jede SBC-Installation muss sich sinnvoll ins Firewall-Konzept (und allg. Security- Konzept) einfügen. Integrationskonzept abhängig von Anwendungsfall und Budget Zweistufige Konzepte (DMZ und Firewall-Bypass) bieten höchste Sicherheit Das durch das BSI für den erhöhten Schutzbedarf empfohlene Konzept ist ein hochverfügbares, dezentrales DMZ-Konzept (gerne auch zweistufig). 30
Gemeinsame Ziele verbinden ComConsult Beratung und Planung GmbH Pascalstraße 27, 52076 Aachen, Deutschland Telefon: +49 2408 951-0 E-Mail: info@comconsult.com Fax: +49 2408 951-200 Web: www.comconsult.com ComConsult Beratung und Planung GmbH, 10. November 2015
Skalierung von Session Border Controllern (1) Hersteller Oracle (Acme Packet) Alcatel-Lucent Produkt Registrierte SIP/TLS Endpoints Signaled Sessions Media Sessions SRTP Streams Transcoding 1100 5.000 360 360 180 360 3820 48.000 8.000 10.000 7.200 4500 100.000 40.000 16.000 10.000 7.200 4600 175.000 80.000 32.000 16.000 15.000 6000 Serie 200.000 120000-200000 80.000 32.000 60.000 Server Edition 6.000 6.000 6.000 3.000 Virtual Edition High End 4.000 4.000 4.000 Virtual Edition Low End 1.000 250 250 AudioCodes Avaya 500 800 250 250 180-800 800 250 250 180 57 1000 600 150 150 120 96 2600 8.000 600 600 600 600 3000 3000-5000 1.008 1.008 882 1.008 4000 20.000 5.000 5.000 3.000 2.400 4000B 20.000 5.000 5.000 3.000 5.000 9000 120.000 32.000 24.000 16.000 - Virtual Edition 30.000 6.000 60.000 4.000 Dell R210II XL 6.000 2.000 1.200 Vmware 250 250 250 32
Skalierung von Session Border Controllern (2) Hersteller Produkt Registrierte SIP/TLS Endpoints Signaled Sessions Media Sessions SRTP Streams Transcoding Cisco 5Gbps ASR 1001 integrated ESP 25.000 10.000 2.000 36Gbps ASR 1002-X integrated ESP 120.000 10.000 2.000 10 Gbps ASR 1000 ESP 50.000 9.000 4.000 20 Gbps ASR 1000 ESP 100.000 64.000 4.000 40 Gbps ASR 1000 ESP 100.000 64.000 4.000 100 Gbps ASR 1000 ESP 400.000 64.000 4.000 GENBAND Q10 40.000 25.000 9.000 6.000 - Q20 200.000 160.000 18.000 7.320 Q21 200.000 160.000 70.000 7.320 Ingate Systems SIParator S21 400 300 SIParator S52 2.000 1.500 SIParator S95 4.000 2.500 SIParator S97 8.000 3.000 SIParator S98 20.000 8.000 TE-Systems anynode bis 1000 Unify IBM x3250 M3 6.000 1.600 2.700 8.000 IBM x3250 M5 6.000 2.700 2.700 2.160 IBM x3550 M3/M4 oder Fujitsu RX200 S6/S7 50.000 8.000 8.000 6.400 33