آشنایی با مفهوم SBC یا Session Border Controller چیست ؟

در این مقاله، نگاهی به تعریف SBC خواهیم پرداخت، تا نقش و کارکرد SBC یا Session Border Controller به عنوان یکی از مهم ترین المان های سامانه های تلفنی و مخابراتی است.

گسترش روز افزون سرویس‌های تلفنی بر پایه تکنولوژی VoIP باعث گردیده تا جلوگیری از حملات سایبری، کنترل سیگنال و صوت (مدیا) در لبه‌ی شبکه و ایمن سازی شبکه به یک نیازمندی حیاتی تبدیل شود.

SBC یا Session Border Controller چیست ؟

قبل از اینکه تعریفی از SBC چیست داشته باشیم بهتر است به جهت درک بهتر آن، با خطرات بالقوه سامانه های تلفنی و مخابراتی آشنا شویم.

بطور کلی خطرات سیستم های تلفنی بر پایه VoIP را می‌توان به سه دسته زیر تقسیم نمود:

۱-Extortion: در این نوع حملات، هکرها سعی در غیر فعال کردن سیستم VoIP به وسیله سرازیر نمودن مقادیر زیادی درخواست (پکت) و زیر بار بردن ناگهانی سیستم VoIP دارند. از جمله این حملات:

• حملات DOS/DDOS
• Registration Floods یا سرازیر نمودن مقادیر زیادی درخواست های Registration
• Malformed SIP Headers یا ارسال Sip Header های ناقص
• Call floods یا ریزش تعداد زیادی درخواست تماس کوتاه جهت برقراری و تولید Session های زیاد

۲- Intrusion یا حملات کشف اطلاعات: در این نوع حملات هکرها سعی دارند تا از طریق عملیاتی نظیر Brute Force ، Call Server یا سایر اجزا سیستم VoIP را از کار بیندازند. به این حملات، حملات Phishing نیز گفته می‌شود که در آن هدف هکرها، استخراج اطلاعات شبکه، اطلاعات حساب های اشخاص، پسوردها و ... می‌باشد. از این رو هدف این حملات را می‌توان به ۲ دسته زیر تقسیم نمود:

• Network Scanning
• Account Hacking

۳- Theft of Services یا دزدی سرویس: که در آن هکرها از سیستم VoIP و SIP Trunk شما جهت برقراری تماس ها، مخصوصاً تماس های خارجی استفاده می‌نمایند که این سبب القا هزینه های گزاف به سازمان می‌گردد.

موارد عنوان شده از قبیل حملات DDOS، Brute Force و ... باعث بروز مشکلات متفاوتی در خواهد شد که نیاز به وجود اِلمانی که بتواند سیستم تلفنی را در برابر این حملات محافظت نماید، پررنگتر می‌کند؛ به این اِلمان مهم SBC یا Session Border Controller گفته می‌شود.

حال پس از آشنایی با انواع خطرات احتمالی سیستم های VoIPبه شناخت SBC می‌پردازیم.

SBC مخفف Session Border Controller به عنوان دیوار آتشی (Firewall) ، با قرارگیری در لبه‌ی شبکه های (VoIP) هرجا که دو طرف ارتباط پیغام SIP درگیر باشد وظیفه محافظت و افزایش امنیت سیستم های تلفنی ویپ (VoIP) را در برابر حملات مختلف بر عهده دارد. البته SBC دیوار آتش (Firewall) نبوده و تفاوت های بسیاری در نقش و عملکرد این دو وجود دارد.

SBC یک المان در سامانه های VoIP است و یک المان حفاظتی در شبکه های کامپیوتری است. پیام ها و بسته های SIP که در سیستم های VoIP استفاده می‌شوند همراه خود محتوای استریم (RTP) نیز دارند و فایروال ها توانایی بررسی ماهیت پکت های SIP و ارتباط آنها با استریم های RTP را ندارند. یعنی در عمل فایروال جز انجام برخی اقدامات شبکه ای مانند فعال/غیرفعال نمودن پورت در حوزه VoIP کاری انجام نمی‌دهد.

وظایف SBC چیست

SBC در سیستم های ویپ وظیفه محافظت از آن‌ها را دارا بوده و موارد امنیتی را به روش های مختلف انجام می‌دهد که در ادامه به صورت خلاصه شده آنها را بیان خواهیم کرد:

• پنهان نمودن Topology: این قابلیت مکانیزمی را فراهم می‌نماید که سبب جلوگیری از دیده شدن IP و ارتباط بین نود های داخلی سامانه VoIP می‌گردد. به این مکانیزم (Back to Back User Agent B2BUA) گفته می‌شود به این معنا که همه درخواست ها به SBC می‌رسد و SBC در صورت تائید آنان به عنوان Agent درخواست ها را به نود های طرف درخواست SIP می‌رساند.

• شناسایی و جلوگیری از حملات DOS/DDOS: در این نوع حملات، هکرها با ارسال هزاران درخواست Register یا SIP Header های ناقص و ... بوسیله ربات ها از سورس های متفاوت یا یکسان سیستم را تحت فشار قرار داده و سبب از کار افتادن آن می‌گردند. از این رو وظیفه SBC شناسایی این قبیل حملات و تعیین حد مشخص دریافت پکت از یک سورس خاص می‌باشد.

• رمزنگاری پیام های سیگنالینگ و مدیا: با ایجاد بستری امن می‌شود و ازطریق پروتکل های رمزگذاری مانند TLS از محتوای سیگنالینگ و مدیا، پروتکل‌‌های IPsec، SRTP و ZRTP محافظت می‌کند.

• NAT Traversal یا بررسی تغییر آدرس IP درخواست ها: جهت رفع محدودیت تعداد IPv4 ها در شبکه های کامپیوتری از پروتکل NAT Network Address translation استفاده می‌شود. استفاده از پروتکل NAT مشکلی برای دسترسی عمومی به وب و ایمیل ایجاد نمی‌کند اما در برخی سرویس ها نظیر سرویس های VoIP سبب بروز مشکلاتی می‌گردد. اما بطور کلی NAT Traversal یکی از ویژگی های مهم SBC های بکار رفته در اپراتورهای شبکه می‌باشد

در شکل زیر وظایف SBC در رابطه با NAT آورده شده است.

• SIP Interoperability: در بعضی مواقع بین سیستم های VoIP اپراتورها و مشترکین تفاوت هایی در فرمت پیام ها وجود دارد، به همین دلیل نیاز هست شماره ای جهت راهیابی نرمالایز شود یا حتی SIP Header تعویض گردد. لذا این موارد سبب می‌گردند تا فرمت درخواست های ارسالی از یک طرف به طرف دیگر مغایرت داشته باشد؛ وظیفه تبدیل پیام ها به پیام های استاندارد برعهده SBC است.

• مسیریابی و مدیریت ترافیک :SBC در سیستم VoIP وظیفه مسیریابی و متعادل نمودن بار ترافیکی (Load Balancing) ترافیک ارسالی به سیستم را دارد.

• تبدیل فرمت های مختلف مدیا به یکدیگر: در دریافت و ارسال مدیا بین سیستم های تلفنی اپراتور- اپراتور یا اپراتور- مشترک ممکن است فرمت ها به دلایلی مختلف متفاوت باشند. لذا وظیفه تبدیل این فرمت ها به یکدیگر برعهده SBC خواهد بود.

• شناسایی و جلوگیری از مغایرت در پیام های : SIP استفاده از وندورهای مختلف سیستم های VoIP توسط اپراتور در بعضی مواقع سبب ارسال درخواست های SIP با پی لود و فرمت متفاوت بین اپراتورها می‌شود.

• ضبط تماس ها و اندازه گیری کیفیت تماس ها: از آنجایی که تمامی محتوای استریم ها از داخل SBC عبور می‌کند بهترین جای ممکن جهت ضبط تماس ها و اندازه گیری کیفیت ارتباط SBC است.

• شنودهای قانونی: چنانچه مراجع قانونی و قضایی بخواهند مخاطب یا شماره ای را تحت پیگیرد قانونی قرار دهند می‌توانند با استفاده از بستر امن فراهم شده توسط اپراتور و اتصال به SBC این کار را انجام دهند.

SBC چگونه کار می‌کند؟

همانطور که در قسمت وظایف SBC چیست در سیستم های ویپ اشاره شد بطور کلی عملکرد SBC را می‌توان حداقل در ۴ بخش تقسیم نمود:

Security

B2BUA Interoperability

Media Services

Routing or Traffic Management

درخواست های بیرون سیستم تلفنی که می‌توانند درخواست رجیستر نمودن، برقراری تماس و ... باشد در ابتدای امر به نود (SBC بعنوان B2BUA سایر اجزا) رسیده و این نود در صورت نبود مشکل و بنابر درخواست آن را به درون سیستم راهیابی می‌کند که پس از اعمال Policy های مربوطه نظیر AAA، شارژ رول ها و ... مسیر مدیا از مبدا تا مقصد را تخصیص می‌دهد به نحوی که مدیا از سایر نودهای سیستم تلفنی عبور نمی‌کند. شکل بالا شماتیک عملکرد SBC را نشان می‌دهد.