pdf 2194 KB

Transcription

pdf 2194 KB

10.11.2005
VoIP bei einem Netzwerkbetreiber
November 2005
Übersicht
VoIP Einführung
Verbindungsaufbau
Gesprächsübertragung
Übertragung von nicht Sprachdaten über VoIP
Faxe
Modem (Alarm, und Meldeleitungen)
Kopplung VoIP mit klassischer Telefonie
VoIP im Internet versus im VPN
Sicherheitsrelevante Aspekte von VoIP
3.November 2005
von Volker Deterding QSC AG
2
10.11.2005
Verbindungsaufbau -AdressierungFür den Gesprächsaufbau wir eine eindeutige Adressierung
des Gesprächsteilnehmer benötig
Dynamische IP-Adresse
Firewall mit NAT-Funktionen und PAT-Funktionen
Es ist nicht bekannt unter welcher IPAdresse und welchem Port der
Gesprächsteilnehmer zu erreichen ist.
Zeitlich befristetet Anmeldung über
Signalisierungsprotokolle (u.a. SIP) an
einem Server.
3.November 2005
3
Verbindungsaufbau -SignalisierungDer Auf- und Abbau von Gesprächen erfolgt über spezielle
Signalisierungsprotokolle
H.323 - Packet-based multimedia communications system, ITU-T
SIP - Session Initiation Protocol, IETF RFC 3261
MGCP - Media Gateway Control Protocol H.248
ISDN over IP - ISDN/CAPI basiertes Protokoll
Skinny Client Control Protokoll - von Cisco
Skype – propritäres Protocol der Fa. Skype
3.November 2005
4
10.11.2005
Verbindungsaufbau -RufnummernFür die Erreichbarkeit von Teilnehmern wir ein eindeutiger
Rufnummernplan benötigt
ENUM - RFC2916
Eine auf DNS basierte eindeutige Adressierung. Die vorhandene
klassische Telefonnummer wir weltweit eindeutig in ein DNS-Name
überführt. Hierzu wurde die Domain e164.arpa geschaffen.
+49 421 123456
6.5.4.3.2.1.1.2.4.9.4.e164.arpa
Ortsrufnummer
Kurzfristige Lösung von Netzbetreibern um VoIP-Kunden für das
öffentliche Netz (PSTN) erreichbar zumachen. Teilweise werden auch
0180 Nummern genutzt. Die Nummer ist ans Ortsnetz gebunden. Die
Erreichbarkeit aus dem Internet stellt der Netzbetreiber sicher.
Internet-Rufnummer - 032
Dieses ist eine persönliche Rufnummer und kann nomadisch genutzt
werden, es gibt keine geografische Begrenzung.
Erreichbarkeit aus dem Internet stellt der Netzbetreiber sicher.
3.November 2005
5
Gesprächsübertragung -Transport der DatenDas Gespräch wir analog der herkömmlichen Telefonie
digitalisiert und dann anstelle einer exklusiven Leitung in kleinen
Datenpaketen parallel zu anderen Daten im Netzwerk übertragen.
Der Transport der Daten wir durch das Real-Time Transport
Protocol (RTP) realisiert, die Steuerung wir durch das Real-Time
Transport Control Protocol (RTCP) war genommen.
Computernetzwerk
EWSD
Paketvermittlung
3.November 2005
Leitungsvermittlung
6
10.11.2005
Gesprächsübertragung -VoIP ÜbertragungswegPCM = Puls Code Modulation
RTP = Real-time Transport Protocol
UDP = User Datagram Protocol
3.November 2005
7
Gesprächsübertragung -ÜbertragungsqualitätDie Übertragungsqualität hängt im wesentlichen von den Parametern
Laufzeit (Latenz, Delay)
Laufzeitschwankung (Jitter)
Paketverlust (packet lost)
150 ms akzeptabel (Mund-zu-Ohr)
schlägt sich auf die Laufzeit nieder
< 1% akzeptabel (Codec abhängig)
ab.
Damit die subjektive Wahrnehmung der Sprachqualität vom Mund zum
Ohr, objektiv bewertet werden kann wurde der MOS-Wert eingeführt
(MOS - Mean Opinion Score)
Die Sprachqualität auch von konkreter Implementierung abhängig ist,
sind u. a. diese Funktionen wichtig sind:
Comfort noise
Nahes Echo generieren und Fern-Echo-Unterdrückung
Automatic Gain Control (AGC, automatische Lautstärkeregelung)
Voice Activity Detection
3.November 2005
8
10.11.2005
Gesprächsübertragung -Delaybudget-
Router
Router
VoIP-Device
VoIP-Device
Dsl-Modem
Dsl-Modem
LAN
VoIP-Device
Netzwerk
Paketierung Codierung LAN
15
10
10
VoIP-Device
WAN
LAN
Empfangspuffer
Decodierung
30
10
20
10
Gesamte Delayzeit 105 ms
3.November 2005
9
Gesprächsübertragung -BandbreitenmanagementStabiles QoS durch spezielle Protokolle zur Datenpriorisierung
IntServ (Integrated Service)
Arbeitet mit RSVP (Resource ReserVation Protocol). Vor der Datenübertragung
werden die Ressourcen entlang des Übertragungsweges reserviert. Jeder
Router muss die Information währen der kompletten Session behalten.
DiffServ (Differentiated Service)
Jedes einzelne IP-Paket wird durch das Endgerät markiert, die Router im Netz
nutzen diese Info zur Priorisierung.
IEEE 802.1p/Q
Paketpriorisierung auf Layer 2, ähnlich DiffServ aber auf IP-LANs beschränkt.
WFQ (Weighted fair Quueing)
Der Router nutzt Paket-Header-Informationen wie Protokoll, Adressen Ports,
ToS, um den Datenverkehr einzuteilen und diese auf der Ausgangsschnittstelle
dyn. gewichtet Bandbreiten zuzuordnen.
Windows Size-Manipulation
Die Übertragungsgeschwindigkeit von TCP-IP-Sessions kann bei Bedarf durch
Manipulation der Windows size beeinflusst werden.
Traffic Shaping, Partitionierung, usw.
3.November 2005
10
10.11.2005
Gesprächsübertragung - Die MOS-Skala -
ISDN
PSTN
4,2 =
„Toll Quality“
GSM
3.November 2005
11
Gesprächsübertragung - Codecs Für die Kodierung und Komprimierung der Sprache können
verschiedene Codecs eingesetzt:
Codec- Codec-Bitrate
MOSAlgorithmus Sample-Rate
Name
(kbit/s)
Qualität
(kHz)
G.711
64
4,3-4,4 (4,7)
PCM
8
G.722
64
16
G.722.1
24/32
16
G.723.1
5,3
3,5
ACELP
8
G.723.1
6,4
3,65-4,0 (3,8) MP-MLQ
8
G.726-16
16
3,96
ADPCM
8
G.726-24
24
ADPCM
8
G.726-32
32
4,0-4,2
ADPCM
8
G.726-40
40
ADPCM
8
G.728
16
3,6-4,2
LD-CELP
8
G.729 (A)
8
3,9-4,2 (4,3) CS-ACELP
10
iLBC
13,33
4
LPC
8
GSM 6.10
13
3,5-3,9
8
3.November 2005
CodecPaketierungsDelay (ms)
Delay (ms)
0,125
1
37,5
37,5
68
68
1
1
3-5
15
25
12
10.11.2005
Ablauf einer VoIP Session anhand von SIP
3.November 2005
13
Übertragung von nicht Sprachdaten -Fax, ModemFax-over-IP
Entweder über einen ATA (Analoger Terminal Adapter), der den G.711Codec nutzt, da so die Fax-“Töne“ weitestgehend unverfälscht
übertragen werden – ist aber problematisch (= störanfällig) bei Delay
und Paket Loss
(insb. bei Delay-Buffer-Erhöhung -> kurzer „Slip“ = Verzögerung beim
Empfang der Sprachdatenpaketen beim Decoder)
Oder gemäß ITU T.38 über Fax-Relays arbeiten:
Die Fax-Verbindung terminiert lokal auf dem Gateway
Stark Szenarien-abhängig, braucht gewisse QoS
Modem-over-IP:
Es ist keine komprimierte Übertragung von Modemdaten über VoIP möglich
Modemverbindungen sollen immer auf dem Gateway terminieren
3.November 2005
14
10.11.2005
Kopplung von VoIP mit der klassischen Telefonie
(PSTN)
QSC gehört zu den wenigen Carriern mit eigenem
„POI-Vollausbau“: über 475 „Point Of Interconnects“
mit der DT AG werden TDM-Sprachverbindungen in
das eigene Sprachnetz überführt.
Dieses Sprachnetz wird durch die marktführende VoiceSwitch-Technik der EWSDs von Siemens gesteuert.
3.November 2005
15
(VoIP-VPN)
Zusätzlich hat QSC eine hoch-moderne, IP-basierte
Voice Over IP-Infrastruktur aufgebaut.
Zentrale Elemente sind die hoch-performanten
und redundanten Softswitche X3000 und
Universal Media-Gateways UMG8900 von Huawei.
3.November 2005
16
10.11.2005
(Internet-Kopplung)
Die VoIP-Infrastruktur der QSC enthält
u. a. drei weitere, wichtige
Komponenten:
SIP-Server: dem Softswitch ist ein
SIP-Express-Router (SER) vorgeschaltet.
Hochleistungs Session Border Controller (SBC) liegen
im Übertragungsweg aller VoIP-Verbindungen. Die SBCs
kümmern sich sehr zuverlässig um alle NAT-Probleme.
Im VoIP-SIP-Client ist daher keinerlei Intelligenz erforderlich.
Auch sicherheitstechnisch überzeugt das SBC-Konzept: in der
Kunden- Firewall ist nur ausgehend der Port zu den IP-Adressen der
SBC zu öffnen. Da die SBCs als „Back-to-Back-User Agents“ betrieben
werden, leiten sie nur RFC3261-konforme Pakete weiter.
Ein marktführendes, Probe-basiertes QoS-Management und -Monitoing Tool
ermöglicht es QSC u. a.die MOS-Werte der VoIP-Verbindungen zu überwachen
3.November 2005
17
(VPN-Kopplung)
Sind die Kunden-Lokationen über ein MPLS-basiertes
IP-VPN der QSC angebunden, kann QSC weitere, VoIPrelevante Dienste liefern:
Eine auf DSCP-Mapping (der Kunde kann Layer 3
DiffServ-Marking oder Layer 2 802.1p/Q Paket-Priority
im LAN verwenden) basierende, Ende-zu-Ende
IP-Priorisierung
Über eine im QSC-IP-Netz plazierte
SIP-Proxy- und Firewall-Komponente
werden die VoIP-Daten sicher und
schnell vom Kunden-VPN
zur QSC-VoIP-Infrastruktur
überführt.
3.November 2005
18
10.11.2005
(LAN über Internet gekoppelt)
Sind die Kunden-Lokationen über einen fremden
Internet-Uplink angebunden und soll dieser auch für den
VoIP-Traffic mit benutzt werden, ist das hier abgebildete
Szenario sinnvoll:
In der Firewall müssen keine VoIP-relevanten Ports
geöffnet werden (wenn keine SIP User Agents im
LAN eingesetzt werden).
Die QSC-IAD nimmt über eine integrierte
IP-QoS-Router-Funktion eine
IP-Priorisierung vor, indem sie
TCP/IP-Sessions nur so viel
Bandbreite gewährt, wie
gerade nicht für die
VoIP-Kommunikation
benötigt wird.
3.November 2005
19
VoIP im Internet versus im VPN –MPLS-Netz Das physikalische Netz basiert auf MPLS (Multi
Protocol Label Switching)
Auf diesem Netz sind verschieden „VPNs“
abgebildet, die mit unterschiedlicher QoSParametern eingerichtet sind.
Kunden VPNs haben verhandelte und
vertraglich zugesicherte QoS-Parameter
Kunden- VPN1
Kunden-VPN2
Kunden-VPNn
VoIP-VPN
PSTN
Internet
Internet
anderer Provider
3.November 2005
MPLS-Netz
20
10.11.2005
VoIP im Internet versus im VPN -Internet-Internet-Internet-PSTN Bei IP wird die Bandbreite von
allen Session gleichberechtigt
genutzt.
Im Internet und auf der
Accessltg. wird keine
Priorisierung vorgenommen.
Einem Download (ftp) wird die
max. angebotenen Bandbreite
nutzen.
PSTN
VoIP VPN
INTERNET
3.November 2005
21
VoIP im Internet versus im VPN –VPN-Internet Download im Internet
VoIP-Gespräch Niederlassung – Internet (25+10+30+10+30+10+30=145 ms)
VoIP-Gespräch Außendienst (IPsec-Tunnel) - Internet (25+30+10+30+10+30=135 ms)
10 ms
10 ms
10 ms
10 ms
30 ms
INTERNET
30
30ms
ms
30 ms
30 ms
Kunden VPN
30 ms
25 ms
10 ms
3.November 2005
25 ms
22
10.11.2005
VoIP im Internet versus im VPN -VPN-PSTN Download im Internet
VoIP-Gespräch Niederlassung – Internet FW am Kundenstandort (25+10+30+10+30+30+12+30=177 ms)
VoIP-Gespräch Niederlassung – Internet ProviderLösung (25+10+30+30+12+30=137 ms)
INTERNET
30 ms
10ms
Kunden
30ms VPN
VoIP
VPN
30
ms
30ms
12
ms
12ms
PSTN
30
30 ms
ms
30 ms
25ms
25 ms
10 ms
10ms
3.November 2005
23
Sicherheitsrelevante Aspekte von VoIP
Angriff durch Voice Spam (Spit = Spam over Internet Telephony):
massenhafte Beschickung von IP-basierten Telefonanschlüssen mit
Werbebotschaften, sinnlosen Nachrichten und unerwünschten Inhalten.
(Ein SIP-Paket (Ringall)kann alle Telefone eines Unternehmens über
Broadcast-ähnliche Klingelrundrufe außer Funktion setzen)
Registrations- und Highjacking bei SIP-Telefonen öffentlicher VoIPProvider
alle über das VoIP-Netz eingehenden Anrufe erreichen den Nutzer nicht
Caller ID Spoofing: Vortäuschung einer falschen Anrufer-Identität
H.323 nutzt 7 bis 11 Ports je Anruf, nur 2 davon sind statisch fixiert
Problem, wenn Firewall VoIP- bzw. SIP/H.323-Pakete tiefer inspizieren soll:
Hohe Last für Firewall -> höheres Delay
Lösungsansatz: Voice-Proxies einsetzen, die der Firewall signalisieren, welche
Ports zu öffnen sind und wie z. B. NAT zu handhaben ist
IETF erarbeitet Vorschlag (Arbeitsgruppe MIDCOM) zur Integration der Proxies
in Firewalls
3.November 2005
24
10.11.2005
Sicherheitsrelevante Aspekte von VoIP -NATZu VoIP-Endgeräten hinter einer FW mit NAT kann normalerweise kein
Gespräch aufgebaut werden.
Welche Adresse und welchen Port teilen VoIP-Endgeräte dem
Registrierungsserver mit?
3.November 2005
25
Sicherheitsrelevante Aspekte von VoIP –SBC (B2BUA)NAT
INTERNET
Signalisierung
SBC
(B2BUA)
Gesprächsdaten
VoIP VPN
SIPServer
PSTN
3.November 2005
Session durch die Anmeldung wird logisch
vom SBC offen gehalten.
Ein externer VoIP-Client nimmt Verbindung
zum SIP-Server auf, die aber direkt vom
SBC übernommen wird.
Der RTP Datenstrom der Cleints wird
jeweils auf dem SBC terminiert
Weitere Vorteile:
SPIT kann nicht direkt den Client
erreichen
Manipulierte Datenpaket werden vom
SBC erkannt
26

pdf 2194 KB

Transcription

Similar documents

Inhaltsverzeichnis

SIP PBX-Trunking mit SIP-DDI Dokumentation 110915

als PDF

Allgemeines zur Teststrecke

allsip_spbx - DIALOG Kommunikation

rechenzentren in berlin

Kurzanleitung - SI-TECH GmbH, Sicherheitstechnik