Los E-SBC hacen cosas que los firewalls no hacen.
Es común que a la hora de definir lo que es un SBC se recurre al símil con un Firewall, dado que comparten la misión de protectores de una red frente a ataques externos, pero debemos ser conscientes, de que se trata de una simplificación que oculta tras de sí importantes diferencias entre ambas tecnologías.
Los SBCs además de proteger la red también se ocupan de otras tareas como son la transcodificación, monitorización del tráfico, interoperabilidad con elementos legacy de la red, interconexión con redes de operadores…etc.
Los e-SBC administran sesiones, los Firewalls bloquean flujos de datos:
Es importante comprender las diferencias fundamentales entre un E-SBC, que está diseñado para administrar y controlar sesiones de comunicaciones de voz y video en tiempo real, y un producto de seguridad convencional como un firewall, que está diseñado principalmente para bloquear o permitir flujos de comunicaciones de datos.
La mayoría de los firewalls de IP ofrecen solo soporte básico para SIP; proporcionan listas de control de acceso (ACL), que se pueden configurar para permitir o rechazar el tráfico SIP en función de la información de direccionamiento contenida en los flujos de señalización SIP. Los firewalls no pueden manipular ni controlar activamente las sesiones de comunicaciones IP en tiempo real de la forma en que lo hace un E-SBC.
Las sesiones de comunicaciones IP se componen de información de señalización (datos utilizados para configurar y controlar sesiones) e información de medios (voz y video digitalizados). La información de señalización y la información de los medios fluyen bajo la dirección de diferentes protocolos IP y se mueven por caminos separados:
- El protocolo SIP se utiliza para establecer y administrar sesiones. Los servidores SIP (los hay de varios tipos) son los encargados de habilitar las sesiones entre dos o más partes.
- El protocolo de transporte en tiempo real (RTP) se utiliza para entregar los flujos de audio y vídeo asociados.
A diferencia de un firewall, un E-SBC mantiene el estado de la sesión y controla y manipula la señalización SIP más los flujos de medios RTP asociados. Por ejemplo, un E-SBC mantiene los canales abiertos durante una sesión de comunicaciones, mientras que un firewall cerrará y volverá a abrir un canal utilizando diferentes números de puerto, lo que puede interrumpir una sesión.
Con la capacidad de mantener el estado de la sesión y manipular los flujos de medios RTP, así como la señalización SIP, el E-SBC puede aplicar niveles de confianza dinámicos basados en el comportamiento del endpoint observado.
Un Firewall no interviene en la ruta de medios RTP:
Un firewall SIP se implementa como un servidor proxy SIP, que es responsable de transmitir y controlar la información de señalización SIP, pero no participa activamente en la ruta de medios RTP (los flujos de audio y video).
Un E-SBC, por otro lado, se implementa como un user agent back-to-back (B2BUA), que procesa activamente tanto las rutas de señalización como las de medios. Un B2BUA finaliza una sesión de una entidad SIP (quien realiza la llamada) y establece una sesión distinta con otra entidad SIP (quien recibe la llamada). Esto permite que un E-SBC inspeccione y manipule el contenido de toda la sesión para hacer cumplir las políticas de seguridad y administrar de manera eficiente las comunicaciones empresariales.