|
'''SBC''' (''Session Border Controller'') '''systém''' funguje jako '''SIP firewall''' oddělující privátní a veřejnou část VoIP sítí<ref name=":0">{{Citace elektronického periodika
| příjmení = Havrila
| jméno = Patrik
}}</ref>. Někdy bývá taky označován jako hlasový firewall či VoIP firewall. Je velmi důležitý při ochraně proti [[VoIP podvod|VoIP podvodům]]. Důsledně ho používají všichni velcí telefonní operátoři (CETIN, O2, T-Mobile, Vodafone). Zdaleka ne vždy ho ale nasazují alternativní [[VoIP poskytovatel|VoIP operátoři]] a ještě méně provozovatelé privátních VoIP ústředen (firemních SIP-PBX).
K dispozici jsou SBCSIP systémyfirewally různých kapacit za velmi rozdílné ceny. Většinou mají podobu specifického VoIP zařízení a nabízí je řada výrobců, např.: Nokia, Oracle, Cisco, Alcatel, Awaya, AudioCodes, Genband, Sonus, Acme, Mediant, Edgewater, Frafos, Squire a Dinstar. Menší SBC systémy mohou být k dispozici i jako software, např.: OpenSBC, Hexan a Hixtel.
== Základní vlastnosti ==
Hlavním účelem SBCSIP systémufirewallu je utajení struktury SIP technologie<ref name=":0" />. Klasická ústředna fungující jako SIP proxy předává v SIP signálech IP adresy volajícího i volaného SIP telefonu a taky všech SIP ústředen podílejících se na obsluze VoIP volání. Potenciální útočník může komunikací se SIP proxy zjistit IP adresy dalších SIP zařízení a pokusit se o jejich napadení. Může na ně posílat podvodné SIP žádosti a pokoušet se o [[VoIP podvod|VoIP podvody]].
[[Soubor:SIP bez SBC.jpg|střed|náhled|880x880pixelů|SIP ústředna a SIP telefony nechráněné SBC systémem<ref name=":0" />]]
SBCSIP systémfirewall pracuje na principu SIP B2BUA (''Back to Back User Agent'') ústředny propojující veřejný a privátní segment VoIP sítí. Na každé straně SBCSIP systémufirewallu se v SIP signálech nevyskytují žádné IP adresy z jeho druhé strany. Totéž platí o hovorových RTP paketech, které SBCSIP systémfirewall přeposílá mezi veřejným a privátním segmentem VoIP sítí. SBCSIP systémfirewall proto bývá vřazen mezi datový firewall a SIP ústřednu. Potenciální útočníci tak nemohou komunikací s SBCSIP systémemfirewallem získat IP adresy dalších napadnutelných SIP zařízení.
[[Soubor:Vcetne-sbc.jpg|střed|náhled|880x880pixelů|SIP ústředna a SIP telefony chráněné SBC systémem<ref name=":0" />]]
Nasazení SBCSIP systémufirewallu je z hlediska ochrany proti [[VoIP podvod|VoIP podvodům]] důležité:
* mezi dvojici SIP ústředen propojených SIP svazkem (mezi VoIP operátory, mezi operátorem a PBX nebo mezi dvěma PBX)
* mezi SIP ústřednou a jí obsluhovanými SIP telefony (jsou-li SIP telefony na ústřednu napojeny přes veřejný internet)
SIP svazek realizující propojení přes veřejný internet má být SBCSIP systémemfirewallem chráněn na obou stranách.
== Technický princip ==
Klasická SIP proxy funguje tak, že v přijatém SIP signálu pouze doplní nebo smaže položky Route či Record-Route a přepošle ho bez dalších úprav dál. Všechny IP adresy původců SIP signálu tak zůstanou zachovány. Oproti tomu SBCSIP systémfirewall (SIP B2BUA zařízení) po příjmu SIP signálu nahradí IP adresy původců přijatého SIP signálu svou vlastní IP adresou. Zároveň jako cílové IP dosadí adresy za ním ukryté chráněné SIP-PBX. Totéž platí i v opačném směru a podobně i pro hovorové RTP pakety. Současně je vhodné potlačit typické znaky (fingerprints) chráněné SIP ústředny. Alespoň případné názvy VoIP technologie v položce User-Agent i atributech "o" (původce relace) a "s" (jméno relace) uvnitř [[Session Description Protocol|SDP]] (''Session Description Protocol'') části SIP signálu.
<pre>
</pre>
Příklad SIP signálu 200 OK odeslaného z privátní PBX (IP adresa 180.66.160.5) do SBCSIP systémufirewallu (IP adresa 217.101.29.108) a přeposlaného do veřejné VoIP ústředny (IP adresa 77.5.190.110), kde zdroj SIP signálu očekává RTP pakety na chráněném UDP portu 10610 a SBCSIP systémfirewall je očekává na veřejném UDP portu 7530:
<pre>
</pre>
Princip SIP B2BUA zároveň brání tomu, aby některé SIP signály (ACK, BYE, ...) byly posílány napřímo mezi SIP telefony (nikoli dle RFC3261, kap. 12.2). SBCSIP systémfirewall tak má zajištěnu kontrolu nad celým průběhem VoIP hovoru. Zejména nad skutečným zahájením i ukončením hovoru, což je nezbytné pro případné určení ceny hovoru. Návrh vlastností SBCSIP systémufirewallu je specifikován v RFC5853.
== Druhy SIP firewallu ==
Podle funkčnosti lze Session Border Controllery rozdělit na systémy:
* triviální, fungující pouze jako základní SIP B2BUA systém
* kombinované, např. SBCSIP systémfirewall s interním [[SIP antifraud|SIP antifraudem]]
* komplexní, zajišťující celou řadu mnoha doplňkových VoIP funkcí
== Umístění SIP firewallu ==
* Stejně jako každá privátní LAN i veřejná část internetu musí být na jiné datové sítě napojena pomocí datového firewallu, tak stejně má být každá privátní i veřejná VoIP technologie na jiné telefonní sítě napojena prostřednictvím SBCSIP systémufirewallu.
* Stejně jako datové propojení musí být na obou stranách chráněno datovými firewally provozovatelů datových subsítí, tak i SIP svazek procházející přes veřejný internet má být na obou stranách kvalitně zabezpečen SBC systémy (tj. SIP firewally).
* Stejně jako provozovatel privátní LAN nemůže spoléhat na datový firewall svého poskytovatele internetu, tak ani provozovatel privátní PBX nemůže spoléhat na SIP firewall veřejného telefonního operátora. Totéž platí mezi VoIP operátory navzájem.
| 