Día NeoCenter Taller de Session Border Controllers. Moises Silva Ernesto Casas

Día NeoCenter Taller de Session Border Controllers Moises Silva Ernesto Casas CONNECT CONNECT WITH SANGOMA WITH SANGOMA

Alcances del Taller Dividido en 3 sesiones de 45 minutos cada una. Sesión 1: Introducción a Sangoma SBC s y configuración inicial. Sesión 2: Configuración de perfiles y Troncales Sesión 3: Demostración de caso de uso Una vez se haya completado este taller, y se haya aprobado dos tests, recibirán un certificado. 2014 Sangoma Technologies 2

Sangoma Session Border Controllers: Configuración básicas (Sesión 1) Moises Silva Ernesto Casas CONNECT CONNECT WITH SANGOMA WITH SANGOMA

Sesión 1 Contenido Porque un SBC? Portafolio de SBC s Sangoma Casos de uso para Empresas (Vega ESBC) Casos de uso para Operadores (NetBorder SBC) Técnicas de balanceo de carga y failover. Rápida demostración en vivo Q&A 2014 Sangoma Technologies 4

Porque un Session Border Controller? CONNECT WITH SANGOMA

Problemas típicos en VoIP sin un SBC Los Firewalls necesitan ser atravesados correctamente de extreme a extremo EL Protocolo no contempla soportar sus funcionalidades a través de un NAT/Firewall. Sin SBCs Abrir puertos o re direccionar para /RTP: Exponen debilidades de seguridad. Resolverlo con VPNs Hace mas costoso el manejo e índice problemas de eficiencia en el uso de recursos e introduce un elemento mas de gestión de usuarios. El uso de Gateways/Routers/Firewall con Application Layer aware (ALG) Es una solución, pero esta demostrado que no siempre esta bien implementado e introduce incompatibilidades asociadas a cada Vendor. 2014 Sangoma Technologies 6

Los retos de interoperabilidad de RFC3261 Uno de los mas extensos RFC No es una especificación estricta como pudiese serlo una norma ITU. Usa en su contenido muchas veces palabras como Debería, Puede, Podría, Opcionalmente, etc. Al ser simplemente una recomendación, deja mucho espacio a interpretaciones Resultado Todo el mundo dice ser compatible RFC3261 Pero la Interoperabilidad usualmente es compleja y no esta garantizada! Para Interoperabilidad extreme-aextreme, SBC vienen al rescate corrigiendo las diferencias. 2014 Sangoma Technologies 7

Adicionales de Interoperabilidad No es solo Señalización La Media (RTP) puede ser también requerido que se ajuste para asegurar comunicación de extremo a extremo: Codecs mismatch Fax T.38/Inband Fax RFC2833/INFO/Inband DTMF Methods RTP and SRTP IPV6 vs IPV4 UDP vs. TCP (ejemplo: MS Lync) TLS/SRTP interop con /RTP Firewalls usualmente no pueden resolver esto De hecho no tienen DSP para procesamiento de Media 2014 Sangoma Technologies 8

Asuntos de Seguridad La conectividad con otras redes IP introducen problemas de seguridad Ataques Denial of Service (DoS) Fraude en la manipulación de la Media Exposición de la topología ( vias, hops, etc.) Los Firewalls usualmente no son capaces de manejar estos niveles de seguridad a menos que soporten ( ALG) Pero usualmente no es suficiente 2014 Sangoma Technologies 9

Que es un SBC y para que se usa? Los SBC se instalan en el borde de las redes de VoIP para facilitar comunicación extremo a extremo sin comprometer la seguridad de la red. Es esencial por varias razones: Resolver los temas de seguridad introducidos por el uso de Asegurar Interoperabilidad Los SBC son típicamente instalados como un B2BUA (Back to Back User Agent) Tanto (señalización) como Media (RTP) transitan a través del SBC 2014 Sangoma Technologies 10

B2BUA Explicado Un B2BUA es un elemento lógico de red definido en aplicaciones (Session Initiation Protocol) Opera entre dos endpoints en una sesión de comunicaciones y divide el canal de comunicación en dos patas diferentes (Call legs) Intermedia señalización entre ambos extremos de la llamada B2BUA se implementa usualmente entre compuertas de media (Media gateways) 2014 Sangoma Technologies 11

B2BUA Explicado SBC Eth pipe port RTP ports Media Normalization Security Transcoding CDRs RTCP QoS report Call Access Control Management GUI / config DSP resources Etc. Media port RTP ports Eth pipe Dado que el SBC ve tanto como RTP viniendo de ambos extremos, puede analizarlo, corregirlo, controlarlo, etc. 2013 Sangoma Technologies 12

Donde están los User Agents (UA)? SBC UA UA Eth pipe port RTP ports Media Normalization Security Transcoding CDRs RTCP QoS report Call Access Control Management GUI / config DSP resources Etc. Ellos son back to back! Media port RTP ports Eth pipe 2013 Sangoma Technologies 13

Portafolio Sangoma Session Border Controller CONNECT WITH SANGOMA

Vega Enterprise SBC Appliance 25-250 Sesiones H/W DSP aceleración 1U/2 x 1 GE puertos Version Software 25-500 Sessions/Self- Contained ISO VM requirements 1 Core/1 GB RAM/Bridged Software/Hybrid Version UNICO en el Mercado!!!! 25-500 Sessions/Self- Contained ISO VM requirements 1 Core/1 GB RAM/Bridged H/W DSP acceleration D150 2014 Sangoma Technologies 15

NetBorder Carrier SBC Appliance 250-4000 Sessions H/W DSP acceleration 1U/2 x 1 GE ports RAID 1 2014 Sangoma Technologies 16

Resaltantes Todos los SBCs Simplicidad de Uso WebGUI configuración, operación, respaldo and restauración, REST API Licenciamiento Simplificado, Actualizable en campo, todas las funcionalidades son comunes a toda la línea Políticas de sesiones y Media Manipulacion de encabezados via WebGUI Avanzado o XML, upper registration NAT traversal, call forking Seguridad DDOS attack protection, advanced firewall for signaling and data Call Routing Avanzado Advanced WebGUI or XML dialplan, database routing, load balancing Troubleshooting PCAP signaling and media capture on the SBC, email notifications Redundancia/HA Active - Active or Active - Standby 2014 Sangoma Technologies 17

Simplicidad de Uso Configuración basada en WebGUI operación, respaldo y restauración REST API Para integrar el SBC en procesos del negocio. Para simplificar y automatizar la configuración de perfiles (, Troncales, Media, Dial Plan, etc..) Licenciamiento Simple y actualizable en campo Todas la funcionalidades disponibles en cualquier versión del producto sin limitaciones Todo esta incluido: Transcoding, SRTP, voice quality features Las sesiones/llamadas on actualizables por software Notificaciones por Email Monitoreo y notificaciones, programable para notificar por email 2014 Sangoma Technologies 18

Politicas de Sesiones Manipulación Avanzada de Cabeceras Tanto GUI como XML de cualquier cabecera en cualquier paquete. INVITE, 180,183,200, etc Upper Registration Usuarios Remotos Pass-through registration Escenarios avanzados de call flow para usuarios remotos NAT Traversal Auto IP detection Call Forking Múltiples destinos simultáneos para una misma llamada. El primer 200 Ok completa la llamada, para el resto la llamada es cancelada Soporte para condiciones de Ocupado, no registrado o inactivo Numero Ilimitado de Perfiles Numero Ilimitado de Troncales y Transporte de media TCP, UDP, TLS, RTP, SRTP 2014 Sangoma Technologies 19

Media y Networking Procesamiento de Media por Hardware Sangoma SBCs usan Procesadores DSP para procesar el audio (RTP) tanto interno como en red Media pass through de baja latencia Alta capacidad de transcoding y encripcion any to any Mejoras en calidad de voz Cancelacion de eco, reducción de ruido, control de auto ganancia Networking Dirección IP única para la señalización y media Separado de señalización y media VLAN bonding 2014 Sangoma Technologies 20

Seguridad Señalización Firewall adaptativo y de tiempo de bloqueo basado en ataques de inundación de Paquete mal formado, tormentas de registro, invitar a las inundaciones, los errores de autenticación Detección de escáner y de bloqueo Detección y bloqueo basado en normas El uso de estándares basados en reglas y exploits conocidos y listas negras Media RTP media port pin hole basado en sesión activa Los puertos RTP solo se abren cuando una sesión esta activa Detección de sobre carga de RTP. En caso de un ataque de inundación de RTP a un puerto especifico. Firewall de datos Advanced state full data firewall Port forwarding and NAT DDOS Bloqueo firewall adaptativo y de tiempo sobre la base de los ataques de inundación de IP Detección de sniffers IP conocidos y generadores de ataque DDOS 2014 Sangoma Technologies 21

Call Routing Avanzado ( Softswitch ) Dial Plan basado en GUI Avanzado o XML Ruteo de llamadas basado en cualquier información de la cabecera o DID o IP Anidamiento de dial plan con uso avanzado deregex matching Ruteo apoyado en bases de datos Ruteo con búsqueda en base de datos usando http/https Ruteo basado en conexión a base de datos vía ODBC Soporte a base de datos Mongo Balanceo de cargas Ponderada o round robin entre multiples interfaces dentro de un dominio Least Cost Routing Soporte a base de datos local LCR. Importar/exportar LCR dese el GUI DNS/SRV Routing DHCP Options 2014 Sangoma Technologies 22

Troubleshooting Reporte y Notificación de errores desde el GUI Representación grafica de problemas con escala de tiempo Errores de Sistema, Sesiones y capacidades Conteo de mensajes de error Trazas PCAP Habilidad de trazar señalización y media No se requiere de puertos espejo externos o hubs. Troubleshooting auto contenido. Decodificación PCAP usando Wireshark Alta capacidad de almacenamiento para almacenar buffers circulares de PCAP para hacer depuración de larga duración Búsqueda RTCP Búsqueda de llamadas con umbrales malos de RTCP. Notificación por email de cada llamada mala en RTCP. Consola SSH y CLI Habilidad de ejecutar análisis de logs en tiempo real y traza en consola. Logging Extenso logging por llamada marcadas con un UUID Soporte a Syslog remoto Proteccion a Hardware Crash Reboot automático en bloqueo del sistema o falla de hardware 2014 Sangoma Technologies 23

Aplicaciones de empresa y casos de uso Vega Series SBC CONNECT WITH SANGOMA

Enterprise Trunking DMZ Deployment Vega esbc IP-PBX ITSP IP Direct Deployment on Public IP address Vega esbc IP-PBX ITSP IP 2014 Sangoma Technologies 25

Secure Access Control para Usuarios Remotos External FW/NAT Internal FW Vega esbc IP-PBX ITSP IP Ext 101 Home Office, Mobile Users, Telecommuters Ext 102 Vega esbc: Pass-through registration on IP-PBX Remote FW/NAT traversal Call Admission Control Topology Hiding TLS and SRTP encryption No VPN required 2014 Sangoma Technologies 26

Consolidacion Multi-Site Vega esbc IP-PBX ITSP IP SBC: Retire Multi-Sitios PRI IP-PBX Realiza las funciones de seguridad WAN Armonización Medios Armonización Ruteo Inteligente Planes de marcado sofisticados WAN IP-PBX 2014 Sangoma Technologies 27

Migracion de Legacy PBX a Microsoft Lync IP-PBX ITSP Vega esbc Mediation Server Lync Server Active Directory SBC: Realiza las funciones de seguridad UDP / TCP Traducción Armonización Armonización de Medios Intelligent Call Routing Enrutamiento de Active Directory Dial Plan Unificado Lync User 2014 Sangoma Technologies 28

Transición Microsoft Lync Transición con Líneas Análogas Vega 5000 5000 Analog Vega esbc ITSP Mediation Server Lync Server Lync User Active Directory SBC: Realiza las funciones de seguridad UDP / TCP Traducción Armonización Armonización de Media Ruteo Inteligente Enrutamiento de Active Directory Dial Plan Unificado 2014 Sangoma Technologies 29

Conversión Señalización Convertir sobre TCP a sobre UDP Algunos dispositivos requieren / TCP por ejemplo Microsoft Lync 2014 Sangoma Technologies 30

Aplicaciones y casos de uso Carrier/Service Provider NetBorder Series SBC CONNECT WITH SANGOMA

Carrier SBC para Dial Tone Residential Softswitch NAT/FW ITSP SBC Broadband NAT/FW ATA Residential SBC: Realiza las funciones de seguridad Intercambio con otros proveedores de Armonización Armonización de Medios Extremo lejano NAT Trasversal Call Admission Control NAT/FW SOHO 2014 Sangoma Technologies 32

Carrier SBC para Hosted PBX Ventajas Punto de demarcación Conocido Reduce los problemas de interoperabilidad / recursos con el core Transcodificación si es necesario VoIP Service Provider LAN VoIP IP Network IP Phones Multi-Tenant IP PBX 2014 Sangoma Technologies 33

Trunking This NetBorder SBC protects the ITSPs network 2014 Sangoma Technologies 34

Network Peering/IP Carrier Interconnect Utilice IP para enlaces entre Operadores Ninguna conversión TDM es requerido: Disminuya la complejidad Una mejor calidad de voz, menos retrasos, menos transcodificación 2014 Sangoma Technologies 35

Mediacion en la Interconexion de Carrier Red de Carrier Segura Normalización (Simplifica Interop) Transcodificacion entre carriers 2014 Sangoma Technologies 36

SBC Balanceo de Cargas y Técnicas de Failover CONNECT WITH SANGOMA

Implementación Típica de Carrier Servicio Hosted PBX SBC protege la red del SP; resuelve far end NAT transversal, etc Cada teléfono VoIP envía todos los mensajes del protocolo para Softswitch de SP a través de SBC (configuración de proxy salientes del teléfono) SBC es crítico; si no hay servicio para 1000s de los usuarios Router NAT FW Internet Service Provider Softswitch 2014 Sangoma Technologies 38

Balanceo de cargas usando DNS/SRV Router NAT FW Internet DNS Server sbc1 10.10.0.10 sbc2 10.10.0.20 Domain: carrier.com Service Provider Softswitch Prioritarios y peso entradas mismos: SBC1 y SBC2 obtendrían cada uno el 50% de la carga de tráfico Si uno SBC no está disponible, la máquina restante lleva la carga 1 DNS SVR Record Query for carrier.com _sip._udp.carrier.com 60 IN SRV 10 50 5060 sbc1.carrier.com _sip._udp.carrier.com 60 IN SRV 10 50 5060 sbc2.carrier.com 2 DNS A Record Query sbc1.carrier.com = 10.10.0.10 sbc2.carrier.com = 10.10.0.20 2014 Sangoma Technologies 39

Failover SBCs con DNS SRV Router NAT FW Internet DNS Server sbc1 10.10.0.10 sbc2 10.10.0.20 Domain: carrier.com Service Provider Softswitch Diferentes prioridades Baja Prioridad se intenta en primer lugar: sbc1.carrier.com Si sbc1.carrier.com no disponible: sbc2.carrier.com 1 DNS SVR Record Query for carrier.com _sip._udp.carrier.com 60 IN SRV 10 50 5060 sbc1.carrier.com _sip._udp.carrier.com 60 IN SRV 20 50 5060 sbc2.carrier.com 2 DNS A Record Query sbc1.carrier.com = 10.10.0.10 sbc2.carrier.com = 10.10.0.20 2014 Sangoma Technologies 40

DNS SRV: Diversidad de otros escenarios DNS SRV No están limitados a 2 líneas de registro Se pueden implementar múltiples escenarios: M-ways load balancing M-ways load balancing; N-way failover Por ejemplo: _sip._udp.carrier.com 60 IN SRV 10 60 5060 sbc1.carrier.com _sip._udp.carrier.com 60 IN SRV 10 20 5060 sbc2.carrier.com _sip._udp.carrier.com 60 IN SRV 10 10 5060 sbc3.carrier.com _sip._udp.carrier.com 60 IN SRV 10 10 5060 sbc4.carrier.com _sip._udp.carrier.com 60 IN SRV 20 0 5060 sbc5.carrier.com Los primeros 4 SBC comparten la carga a 60%, 20%, 10% y 10% respectivamente Si los primeros 4 SBCs quedan sin disponibilidad, sbc5 tomaría toda la carga 2014 Sangoma Technologies 41

SBC Demostración I CONNECT WITH SANGOMA

SBC Tutorial Para el tutorial, vamos a cubrir los siguientes temas: Inicio de sesión en el SBC Descripción general del sistema y los Servicios Configuración de los interfaces de señalización Configuración de los interfaces de medios 2014 Sangoma Technologies 43

SBC Estado del Sistema 2014 Sangoma Technologies 44

Signaling Interfaces Highlights Se muestra cada interfaz que se utiliza para la señalización, con la posibilidad de editar la interfaz El usuario puede crear múltiples interfaces virtuales Múltiples interfaces virtuales pueden crearse y aplicarse a una sola interfaz física El usuario puede crear interfaces VLAN si el SBC está sentado en una VLAN específica Múltiples interfaces de VLAN se pueden aplicar a una única interfaz física 2014 Sangoma Technologies 45

Interfaces de Señalización Configurando una Interface Configuración simplista de interfaz de señalización Seleccione ya sea de una asignación de IP estática o una asignación de DHCP dinámico Aplicar una dirección IP adecuada y la máscara de red para la interfaz Las opciones pueden ser una variación de cualquier opción ethtool Linux Ethernet Ex. speed 1000 duplex full autoneg off 2014 Sangoma Technologies 46

Interfaces Señalización - sngdsp La Interface SNGDSP es especial dentro del SBC Esta controla todas las interacciones con los adaptadores de Media (DSP) Cuando se configura el SBC, la interface sngdsp puede estar en una red non-routable o en una WAN/DMZ IP address Configuración de la dirección IP depende de si va a configurar los adaptadores de medios en el modo expuesto u oculto. Esto se explicará cuando hablemos de las interfaces de medios. 2014 Sangoma Technologies 47

Interfaces de Media Describe la forma como se configuran las interfaces de media y los detalles de información de cada adaptador de DSP Configuración Media Server es el método en el que se configuran los DSPs Modo oculto esconde los DSPs de la red El modo expuesto expone los DSPs para hacia la red. Si en el modo de exposición, cada DSP debe tener una dirección IP enrutable configurada. Modo de Software identifica que no hay interfaz SngDsp instalado (Tomar en cuenta limitaciones). Transcodificación y TLS / SRTP se desactivan. Cada interfaz SngDsp vendrá con adaptadores preinstalados. Esto dependerá de la versión de hardware del SBC que se compra (Vega, NetBoder, Hibrida) La versión de DSP, la dirección MAC y puertos IP y RTP asignados aparecerán. Puede editar cada uno individualmente, si es necesario. 2014 Sangoma Technologies 48

Interfaces de Media Configuración 2014 Sangoma Technologies 49

Preguntas? CONNECT WITH SANGOMA