Standortvernetzung via SD-WAN
Mit SD-WAN vernetzen Sie Standorte schnell und zuverlässig. Legen Sie individuelle Regeln fest und nutzen Sie sämtliche verfügbaren Übertragungsmedien einschließlich Mobilfunk.
- Automatisiert
- Flexibel
- Effizient
Connectivity
Was ist ein Session Border Controller?
25.12.2024
9 Min.
Die Festnetz-Telefonie über das Internet senkt Betriebskosten und somit den OPEX-Anteil in der Bilanz Ihres Unternehmens. Deswegen nutzen immer mehr Firmen die auch als VoIP (Voice over IP) bekannte Telefontechnik. Ein Session Border Controller ist Teil einer professionellen Cloud-Telefonielösung und sorgt für zusätzliche Sicherheit. Denn auch Telefoniesysteme können von Cyberangriffen betroffen sein.
Telefonieren über die analoge Telefonanlage war gestern. Digitale Internet-Telefonsysteme sind besser skalierbar, bieten deutlich mehr Bedienkomfort und sind leichter zu warten. Mit einem Session Border Controller sichern Cloud-Telefonieanbieter Ihre Kommunikations-Umgebung gegen Gefahren aus dem Internet ab. Wie das geht, erfahren Sie hier.
Inhaltsverzeichnis
Was ist ein Session Border Controller (SBC)
Ein Session Border Controller (SBC) verbindet zwei Netzwerke für das Telefonieren per Internet (Voice over IP) miteinander. Ein SBC kommt beispielsweise dort zum Einsatz, wo benachbarte Netze unterschiedliche Sicherheitsniveaus haben und daher nicht zu einem Netz verschmolzen werden sollen. Ein typisches Einsatzgebiet sind Firmennetze, die für die VoIP-Telefonie mit dem Internet sicher verbunden werden sollen.
Die Bezeichnung Session Border Controller ließe sich im Deutschen am ehesten mit
Übergangssteuerung für digitale Telefonverbindungen übersetzen. Dieser Begriff ist allerdings nicht gebräuchlich, weil in der Regel nur der englische Fachbegriff genutzt wird.
Bei der VoIP-Telefonie werden Telefongespräche direkt über das Internet geführt. Hierfür wird die gesprochene Sprache in ein digitales Datenformat umgewandelt und dann in Datenpaketen zur Gegenseite transportiert. Damit wird das Telefonieren zu einem Internet-Service – vergleichbar dem Websurfen über das http-Protokoll oder dem Versand von E-Mails mithilfe des Simple Mail Transfer Protocol (SMTP).
Entsprechend sollten VoIP-Verbindungen beim Datentransport über das Internet sowie an den Übergängen zwischen Firmennetz und Internet auch genauso geschützt werden wie andere Datenverkehre über das Internet.
Deshalb arbeitet ein SBC ähnlich wie eine Firewall, indem er bestimmte Merkmale des Firmennetzes gegenüber dem Internet verschleiert. Dies dient dazu, mögliche Cyberattacken von dort abzuwehren oder zu erschweren. Grundsätzlich funktioniert VoIP-Telefonie zwar auch ohne SBC – aus Sicherheitsgründen richten ihn viele Kunden jedoch als Hardware-Komponente im eigenen Netz ein und/oder buchen ihn als zusätzlichen Dienst beim VoIP-Anbieter hinzu.
Zusätzlich kann ein SBC die Sprachqualität beim Telefonieren überwachen und gegebenenfalls verbessern sowie Telefongespräche mit hoher Priorität (beispielsweise Notrufe) bevorzugt durchleiten.
Ein SBC wird üblicherweise am Netzübergang zwischen dem Firmennetz und dem Internet eingerichtet. Oft gibt es sowohl auf Seiten des Telefonie-Anbieters als auch auf Seiten der Firmenkunden jeweils eigene SBC, die unabhängig voneinander operieren. Ein SBC auf Unternehmensseite wird auch Enterprise Session Bord Controller (E-SBC) genannt.
In größeren Firmen- oder Behördennetzen werden zusätzliche SBC zwischen internen Netzen installiert – beispielsweise dann, wenn es in den Teilnetzen abweichende Sicherheitsanforderungen gibt.
Ein SBC kann als eigene Hardware aufgesetzt werden, ähnlich einer Hardware-Firewall. Das ist besonders bei großen Netzen der Regelfall. Es gibt aber auch reine Softwarelösungen, die zusammen mit anderen Applikationen auf einem Server am Netzwerkrand oder auch direkt im Internetrouter des Firmennetzes installiert werden.
Grundsätzlich werden SBC neben Telefonnetzen auch in anderen Netzarten eingesetzt. Ihr Haupteinsatzgebiet ist aber die VoIP-Telefonie, weswegen nachfolgend hier nur solche SBC behandelt werden, die speziell das Telefonieren über das Internet sicherer und komfortabler machen.
Funktionsweise eines SBC
Große Firmennetzwerke nutzen für das Telefonieren per VoIP einen eigenen SIP-Trunk. Das ist – vereinfacht gesagt – ein Datenkanal, über den die Firmen-Telefonanlage mit dem Internet und dem Telefonanbieter verbunden. Darüber werden alle ein- und ausgehenden Gespräche gebündelt. Zwischen diesem SIP-Trunk und der Telefonanlage oder auch zwischen SIP-Trunk und Telefonie-Endgeräten wird der SBC errichtet.
Der SBC liest dort alle durchlaufenden Datenpakete mit – sowohl die Signalisierungsdaten (SIP), über die ein VoIP-Gespräch aufgebaut und wieder beendet wird, als auch die Datenpakete mit gesprochener Sprache (RTP). Genau wie eine Firewall verhindert der SBC hierbei, dass wichtige Informationen wie etwa die internen IP-Adressen Ihrer Endgeräte über das Internet weitergeleitet werden.
Je nach Konfiguration und technischer Auslegung kann ein solcher SBC unterschiedliche Aufgaben übernehmen. Dazu gehören:
Maskierung von IP-Adressen
Der SBC schaltet sich als sogenannter Back-to-Back-User-Agent in jede Telefonverbindung ein. Anschließend ersetzt er in der Richtung zum Telefonanbieter, beziehungsweise zur Gegenseite alle internen IP-Adressen der Endgeräte aus dem Firmennetz durch temporäre öffentliche IP-Adressen. So verhindert er, dass Dritte die IP-Adressen des Firmennetzes ausspionieren können. Bei einkommenden Datenpaketen wiederum tauscht er die öffentlichen IP-Adressen gegen die internen IP-Nummern aus, sodass die Datenpakete bei den richtigen Endgeräten ankommen. Diese Technik wird als „Network Address Translation“ (NAT) bezeichnet – frei übersetzt etwa „Übersetzung der Netzwerkadressen“.
Verschleierung der Netz-Topologie
Neben den IP-Adressen verschleiert ein SBC weitere Informationen, die für Cyberkriminelle von Interesse sein könnten. Beispielsweise versteckt er Modellbezeichnung und Softwareversion der internen Telefonanlage sowie weitere Informationen zum Aufbau des Firmennetzes. So erhalten Angreifer:innen keine Anhaltspunkte für gezielte Attacken auf die Schwachstellen bestimmter Systeme. Diese Funktion wird auch als „Topology Hiding“ bezeichnet, frei übersetzt etwa „Verstecken der Netzwerkstruktur“.
Umwandlung von Codecs
Bei der SIP- oder VoIP-Telefonie sind unterschiedliche Datenprotokolle für das Kodieren und Dekodieren von Sprache und Bewegtbildern in Gebrauch, sogenannte „Codecs“. Der Name ist eine Kombination aus den englischen Wörtern „Coder“ und „Decoder“. Codecs gibt es beispielsweise für Sounddateien und Videodateien. Entsprechend werden diese als Audio- oder Videocodecs bezeichnet.
Ein leistungsfähiger SBC kennt verschiedene Codec-Protokolle wie z.B. H.323, G711, G722 oder G729a. Er konvertiert Datenpakete in Echtzeit in Pakete anderer Codec-Protokolle und macht so auch inkompatible Telefon- oder Videokonferenz-Services untereinander kompatibel – durch die sogenannte Transcodierungs-Fähigkeit.
Gewährleistung der Dienstgüte
Ein SBC überwacht die Qualität von Telefonverbindungen, die sogenannte Dienstgüte oder Quality of Service (QoS). Er bemerkt beispielsweise, wenn einzelne Datenpakete lange Laufzeiten haben oder verloren gehen. Er kann auf technische Probleme reagieren, indem er beispielsweise die Datenrate von Verbindungen anpasst und sehr datenhungrige Verbindungen komplett blockiert.
So kann der SBC beispielsweise auch DDoS-Attacken erkennen, bei denen Angreifer:innen aus dem Internet mit einer Vielzahl verteilter Anfragen Webseiten und andere Dienste gezielt blockieren. Gleichzeitig muss er Notrufe erkennen und diese priorisiert weiterleiten. Denn diese dürfen nicht durch Maßnahmen des Netzmanagements behindert werden.
Verschlüsselung von Sprachverbindungen
Über Protokolle wie TLS (Transport Layer Security) und SRTP (Secure Real Time Protocol) können Sprachverbindungen über einen SBC verschlüsselt werden. Entsprechende Telefonate können somit auch bei gezieltem Abfangen und Mitlesen aller Datenpakete im Internet oder einem anderen Transportweg nicht abgehört werden.
In der Praxis gibt es noch weitere Sicherheitsfunktionen, die VoIP-Telefonate schützen. Mit TLS/SRTP zieht ein SBC hier eine weitere Sicherheitsebene ein, sofern er entsprechend konfiguriert wird und die Verschlüsselung unterstützt.
Verknüpfung inkompatibler Netze
Ein entsprechend aufgesetzter SBC kann unterschiedliche Netze miteinander verbinden, beispielsweise ein VoIP-Netz, Microsoft Teams oder eine ISDN-Anlage mit dem öffentlichen Telefonnetz, dem sogenannten Public Switched Telephone Network (PSTN). Letzteres ist in Deutschland auch als Leitungsvermitteltes Telefonnetz bekannt. In dieser Funktion wird der SBC dann auch als PSTN-Gateway bezeichnet.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer Datenschutzerklärung.
Vorteile eines Session Border Controllers
Ein voll ausgestatteter Session Border Controller bietet Ihnen drei große Vorteile für die Telefonie in Ihrem Firmennetz:
- Mehr Sicherheit beispielsweise durch Verschleierung von IP-Adressen und Netz-Topologie und weitere, optionale Sicherheitsfunktionen
- Bessere Gesprächsqualität durch Überwachung der Datenströme und aktives Netzmanagement der VoIP-Kanäle
- Mehr Komfort und Kompatibilität durch die Verknüpfung unterschiedlicher Endgeräte, Protokolle und Netztypen
Nicht jeder SBC bietet alle oben aufgeführten Funktionen und Vorteile. Vor der Wahl eines eigenen SBC sollten Sie daher genau prüfen, welche Funktionen Sie wirklich benötigen. Einige davon werden möglicherweise bereits von Ihrem VoIP-Anbieter bereitgestellt oder sind schon in Ihrer Telefonanlage, Ihrer UCC-Lösung oder sogar den SIP-Telefonen umgesetzt.
Einsatzbereiche und Anwendungen
Die wichtigste Aufgabe eines SBC ist der Schutz von Firmennetzen gegen Angriffe aus anderen Netzen, vorzugsweise aus dem Internet. Daher kommen eigene SBC überall dort zum Einsatz, wo Unternehmen nicht bereits über die SIP-Lösung eines VoIP-Telefonanbieters geschützt werden, sondern einen eigenen digitalen Schutzwall errichten möchten. Auch in besonders großen Firmen- und Behördennetzen mit gestaffelten Sicherheitsniveaus ist der eigene SBC die bevorzugte Lösung, um die Teilnetze geschützt zu verknüpfen.
Anbieter von Session Border Controllern
Viele VoIP-Anbieter haben eigene SBC in ihr Netz integriert, die Sie als Kund:innen standardmäßig oder gegen einen Aufpreis nutzen können. Betreiben Sie eine größere VoIP-Installation, deren Infrastruktur Sie selbst einrichten und warten, können Sie auch einen eigenen SBC für Ihr Unternehmen mieten oder kaufen – wahlweise als Hardware-Lösung oder als Software. Hierfür sollten Sie vorab Ihren VoIP-Anbieter konsultieren, damit der gewählte SBC auch kompatibel zur Technik Ihres Anbieters ist.
Wie viele andere Dienste gibt es auch SBC inzwischen als Software-as-a-Service aus der Cloud. Diese Dienstleistung wird dementsprechend SBC-as-a-Service genannt. Bei Appliance-Lösungen wird der SBC auf einer hierfür speziell eingerichteten Hardware installiert. Im Unterschied dazu können Cloud-Lösungen leichter mitwachsen – wenn Ihr Unternehmen beispielsweise größer wird, Sie weitere Standorte in Ihr VoIP-Netz aufnehmen oder Maschinen und Geräte im Internet of Things um Telefonfunktionen erweitern.
Bei Hardware-SBC haben Sie wiederum die Wahl zwischen einem SBC, den Ihre eigene IT-Abteilung überwacht; und einem sogenannten Managed SBC, den Ihre VoIP-Telefongesellschaft oder ein Drittanbieter administriert, beispielsweise ein Systemhaus.
Achtung: Sogenannte Ein-Platinen-Computer wie der Raspberry Pi werden manchmal als Single-Board-Computer bezeichnet und ebenfalls mit SBC abgekürzt. Tatsächlich gibt es sogar Session Border Controller für kleinere und mittelgroße Telefonanlagen, wie den 3CX SBC, die auf einem Raspberry Pi installiert werden können, was manchmal für Verwirrung sorgt.
Für Firmennetze ist der Session Border Controller beim Telefonieren per VoIP ein wichtiger Schutz gegen Cyberattacken aus dem Internet.
Das Wichtigste zu Session Border Controllern in Kürze
- Ein Session Border Controller (SBC) schützt Netze, insbesondere bei der VoIP-Telefonie, vor Gefahren aus anderen Netzen.
- Ein SBC schützt Ihr Firmennetz und sorgt für eine höhere Gesprächsqualität sowie die bessere Integration unterschiedlicher Endgeräte und Applikationen.
- Je nach Funktionsumfang übernimmt ein SBC auch weitere Aufgaben, beispielsweise die Lastüberwachung und das Übersetzen von Datenströmen in andere Protokolle.
- Auch innerhalb von größeren Behörden- oder Firmennetzen kann ein SBC kleinere Teilnetze mit jeweils unterschiedlichen Sicherheitsanforderungen miteinander verknüpfen.
- SBC gibt es wahlweise als Software-Lösung oder als separate Hardware-Server.
- Einige VoIP-Anbieter stellen ihren Kunden einen SBC standardmäßig oder auch optional als zubuchbare Option zur Verfügung.
25.12.2024
Das könnte Sie auch interessieren:
Connectivity
Was leisten DSL und VDSL? Die Breitbandtechnik einfach erklärt
DSL-Anschlüsse versorgen in Deutschland Millionen Privathaushalte sowie kleine und mittelständische Unternehmen (KMU) mit schnellem Internet und machen Homeoffice und verteiltes Arbeiten möglich. Aber wie genau funktionieren DSL und VDSL eigentlich? Und welche Bandbreiten sind damit erzielbar? Rund 40 Millionen Kund:innen surfen in Deutschland über einen Internetschluss auf DSL- oder VDSL-Basis. Damit ist das Kupferkabel der Marktführer unter den Breitbandangeboten. Gleichzeitig wird die Technik stetig weiterentwickelt und auch der Ausbau schreitet voran. Was das für Nutzer:innen bedeutet, erfahren Sie hier.
