Надёжная защита и маршрутизация VoIP-трафика с пограничным контроллером ESBC

Комплексное решение Eltex для безопасности VoIP-сетей с пограничным контроллером ESBC и vESBC

Описание

Телефония давно перешла на IP, и это дало операторам гибкость, масштабируемость и экономию. Но одновременно открыло новые уязвимости. Незащищённая VoIP-сеть становится объектом злоумышленников: от DDoS-атак до несанкционированных вызовов, перехвата трафика и взлома внутренней инфраструктуры.

Проблема безопасности IP-телефонии особенно остро стоит у операторов связи, госструктур, промышленных предприятий и корпоративных клиентов с развитой филиальной структурой. Требуется решение, которое:

изолирует внутреннюю сеть от внешних угроз;
обеспечивает прозрачную маршрутизацию VoIP-трафика;
сохраняет совместимость оборудования разных производителей;
поддерживает масштабирование и централизованное управление.

Наш путь в телеком-индустрии начался именно с разработки решений для IP-телефонии. Логичным этапом эволюции впоследствии стало создание пограничного контроллера сессий ESBC, который решает эти задачи. Разберём архитектуру

Ознакомьтесь с подробным дизайн-гайдом по развёртыванию системы и настройке ESBC.

Архитектура решения

Пограничный контроллер сессий Eltex представлен аппаратным решением ESBC-3200 и программным vESBC, которое может быть интегрировано в существующие системы виртуализации (KVM, Oracle VirtualBox, VMWare ESXi). Функционал обеих версий идентичен.

Функции безопасности

Контроллер обеспечивает комплексную безопасность VoIP-инфраструктуры от несанкционированного доступа, атак и попыток перехвата данных. Встроенные механизмы защиты, в том числе динамический межсетевой экран, предотвращают DoS/DDoS-атаки и специфические угрозы VoIP, включая SIP-флуд. ESBC работает в режиме Back-to-Back User Agent (B2BUA), что позволяет скрывать внутреннюю топологию сети, изолируя устройства и сервисы от внешних воздействий.

Для защиты сигнализации используется шифрование с использованием протокола TLS, а медиатрафик передаётся по SRTP.

Функции маршрутизации

ESBC также управляет маршрутизацией сигнализации и медиапотоков с помощью архитектуры B2BUA peering, что даёт гибкое распределение вызовов и контроль доступности направлений.

Реализована возможность балансировки нагрузки между группами направлений и автоматической перемаршрутизации вызовов при сбоях или отказах. Для контроля состояния узлов используется механизм SIP OPTIONS, который позволяет своевременно выявлять недоступные направления и выполнять переключение без потери вызовов.

Производительность

Контроллер рассчитан на эксплуатацию в сетях с высокой нагрузкой – например, в масштабных корпоративных сценариях или в операторских сетях. Устройство обрабатывает до 300 вызовов в секунду и поддерживает до 6 000 и 19 500 одновременных вызовов (для ESBC-3200 и vESBC соответственно).

Обработка медиатрафика

Передача мультимедийных данных в реальном времени осуществляется благодаря проксированию медиапотоков RTP и RTCP. Для совместимости между различными устройствами и сервисами реализовано транскодирование аудио- и видеокодеков, включая G.711, G.729, G.722, Opus, H.264, VP8 и другие. Управление кодеками и медиасекциями выполняется через медиапрофили.

Отказоустойчивость

Для обеспечения непрерывной работы ESBC-3200 реализовано резервирование по схеме 1+1 (Active-Standby). Конфигурации, версии и время синхронизируются между узлами в случае сбоя.

ESBC хранит данные о регистрациях абонентов в базе данных с возможностью их восстановления, что позволяет избежать потери сессий при перезапуске.

Дополнительные компоненты VoIP сети

Решение на базе ESBC/vESBC – часть комплексной экосистемы Eltex, включающей аналоговые и транковые шлюзы, IP-телефоны, программный комплекс для ядра телефонии ECSS-10 Softswitch и клиентское приложение для звонков Elph.

Общая схема решения

Рис. 1. Межоператорское взаимодействие

Пограничный контроллер сессий может применяться в классическом сценарии peering, в котором оборудование или его программная версия размещается на границе сетей операторов связи. Данная схема иллюстрирует, как ESBC выступает центральным элементом безопасности и управления трафиком, создавая доверенную зону между операторами и стандартизированное, безопасное взаимодействие между разными типами сетей.

В центре схемы находится публичная сеть, через которую организован обмен VoIP-трафиком между тремя независимыми участками – локальными сетями операторов. Каждый участок содержит свой комплекс средств телефонии – например, ECSS-10 Softswitch – программную платформу для обеспечения функций ядра VoIP-инфраструктуры.

ESBC выступает как Back-to-Back User Agent (B2BUA) – принимает и пересобирает SIP-сообщения, скрывая внутреннюю топологию сети и защищает её от несанкционированного доступа. При этом ECSS-10 управляет логикой маршрутизации и выполняет функции Softswitch-ядра – распределяет вызовы между абонентами, контролирует услуги и тарификацию. ESCC-10 также взаимодействует с IP АТС SMG, которая подключена к телефонной сети общего пользования (ТфОП).

Такое построение позволяет оператору объединить VoIP-платформу и традиционную телефонную инфраструктуру в единую систему. ESBC здесь играет роль контроллера границы IP-сегмента, а также нормализует SIP-сигнализацию и медиапотоки.

Рис. 2. Корпоративная телефония

Данный сценарий иллюстрирует работу архитектуры access, при которой пограничный контроллер сессий ESBC размещён между публичной сетью и внутренней инфраструктурой корпоративной средой. Основная задача оборудования – обеспечить контроль доступа, безопасность и корректную маршрутизацию трафика от многочисленных удалённых абонентов и филиалов, использующих различные типы клиентских устройств и протоколов.

В центре схемы находится публичная сеть, через которую осуществляется подключение к операторской VoIP-платформе. На схеме предложены несколько сценариев, каждый из которых демонстрирует один из возможных способов взаимодействия абонентов с услугой «Виртуальная АТС», реализованной на базе ECSS-10 Softswitch и контроллера ESBC.

Например, выход в сеть по SIP осуществляется через абонентские шлюзы TAU. К ним подключаются аналоговые телефоны и IP-телефоны Eltex серии VP, что позволяет сформировать единую VoIP-экосистему. В таких сценариях ESBC выступает как единая точка регистрации и контроля вызовов, защищая сеть от SIP-флуда или несанкционированных регистраций.

В общей системе также может быть задействован мобильный или веб-клиент Elph – решение для унифицированных коммуникаций (UC), связанное с ESBC по технологии WebRTC. С помощью приложения пользователь совершает видео- и аудиозвонки через мобильный интернет или Wi-Fi, оставаясь подключённым к IP-сети. WebRTC обеспечивает работу не только приложений Eltex, но и сторонних браузерных или десктопных.

В этом контуре ESBC выполняет функции защиты, нормализации сигнализации и маршрутизации, а ECSS-10 управляет логикой вызовов, регистрацией абонентов, тарификацией и предоставлением VoIP-сервисов.