El ABC del SBC: definición, características y ventajas

wireless lan controllerEl firewall es el elemento por excelencia que proporciona seguridad a una red cuando se ha de interconectar con otras, permitiendo el tráfico de salida y bloqueando el de entrada no solicitado. El firewall es un elemento necesario, pero no suficiente para la seguridad, puesto que algunas amenazas pueden ocultarse en forma de tráfico legítimo firewall, lo que origina la necesidad de otros elementos de protección especializada.

El caso de la voz sobre IP es aún más especial. Por regla general los firewalls se basan en NAT, y por desgracia, las conexiones de voz sobre IP son incompatibles con NAT. Una posibilidad es abrir excepciones en el NAT del firewall para la voz sobre IP, pero no es una buena idea porque compromete la seguridad y no protege contra ataques de denegación de servicio e intrusión. El control de intrusión merece un capítulo a parte, no solo a nivel de red (lo cual podría realizar un firewall), sino principalmente a nivel de aplicación, con el fin de controlar que las llamadas sean legítimas, evitando ataques, intrusiones y fraudes.

Por si fuera poco, a todo esto se le suma que las sesiones de voz sobre IP se crean de forma aleatoria a medida que se establecen llamadas, lo cual complica aún más el control.

¿Qué es SBC?

Para hacer frente a estos riesgos se requiere un elemento nuevo, que tome parte activa en (y que monitorice) las sesiones de voz sobre IP que se establecen entre la red interna y la red externa, garantizando que son  legítimas, seguras y fiables. Ese elemento es el Session Border Controller (SBC).

El SBC es realmente un firewall para el tráfico de voz y su función es garantizar que las sesiones que se establecen son lícitas, detectando y bloqueando posibles ataques e intrusiones. Otra función de seguridad importante (de forma similar a lo que hace un firewall para los servicios de datos) es la ocultación de los servicios de voz de la red interna hacia el exterior. Para realizar todas estas funciones, el SBC se sitúa, al igual que el firewall, en la frontera entre la red interna y la red externa (de ahí su nombre, “Border Sessión Controller”), pero a un nivel más interno que el firewall, normalmente en una red intermedia entre el firewall y la red interna, o DMZ (“Zona Desmilitarizada” ).

El SBC no se limita a monitorizar y controlar las sesiones entre la red interna y la externa, sino que las reconstruye para tener un control total. Cuando se ha de establecer una sesión desde la red interna hacia la red externa, en realidad se establecen dos sesiones. Una, desde el elemento interno hacia el SBC; y otra, desde el SBC hacia el elemento externo. El SBC negocia los parámetros de la llamada de forma diferenciada hacia ambos extremos. Con ello se consigue no solo un total control de las sesiones (quién se puede conectar, a dónde, cuándo, cómo…) y la detección de ataques, sino también la ocultación de la red interna de cara al exterior. Esta es una de las funciones básico del SBC, y recibe el nombre de Back to Back User Agent (B2BUA).

Características y funciones

Aunque la seguridad suele ser la característica principal de un SBC, no es ni mucho menos la única. Entre otras funciones, el SBC también se suele encargar de:

  • La interoperabilidad: asegurar el establecimiento de sesiones, incluso en el caso de  elementos de la red interna y externa con señalizaciones distintas (por utilizar diferentes versiones de SIP, por requerir en uno de los lados una seguridad adicional, o por utilizar protocolos de señalización distintos).
  • La gestión del plan de numeración: permitiendo conexiones legítimas y evitando intrusiones y ataques.
  • La transcodificación: Adaptación de codecs en caso de que el códec usado por la sesión interna y por la sesión externa no coincidan.
  • El control de Admisión: limitar el número de sesiones establecidas para no sobrepasar el límite soportado por la línea WAN.
  • La conectividad de usuarios remotos: por ejemplo mediante VPN.
  • La gestión de la Calidad del Servicio.

De la necesidad surgieron los SBC, que sorprendieron a los organismos de estandarización con el paso cambiado, lo que dio lugar a cierta ambigüedad acerca de sus funciones y límites. Inicialmente los SBC eran máquinas dedicadas situadas en las fronteras entre redes de proveedores hacia clientes o hacia internet, que evolucionaron hacia una virtualización, en ocasiones integrada con firewall y routers. En la actualidad es común desplegar funciones de SBC incluso en sedes remotas para proteger la red interna de la sede, especialmente en aquellas con conexión directa a internet.

SBC en Teldat

Los routers Teldat implementan un SBC completo y avanzado mediante diversas funciones incluidas en el software, como la funcionalidad B2BUA, que permite un control absoluto de las sesiones de voz sobre IP que se establecen entre la red interna y la red externa, garantizando interoperabilidad y seguridad, junto a otras funcionalidades,  como: IPSec y securización de las sesiones de voz RTSP, TLS y SRTP, control total de la calidad de servicio IP, control de admisión de llamadas de voz sobre IP según diversos parámetros, tabla de enrutado/filtrado de llamadas o selección de codecs.

Marcel Gil: Jefe de línea de negocio: SD-WAN