1
2
Presentasjonene vektlegger tilgjengelighetsfasetten. Det er innen denne at begrepene robusthet og redundans ligger. 3
4
Mange tekniske begrep i grensesnittet mellom tale og IP Det er.. telefoniske begreper datakommunikasjons begreper sikkerhetsbegreper 5
Stadig fornying av teknologi. IPT vil gradvis ta over for ISDN. Det er ingen grunn for å vente med å ta i bruk IPT. 6
BRUT er synonymt med Telenors landsdekkende IP-nettverk. Dette er et såkalt all IP nett, dvs. at det er bærer av en rekke tjenester som produserer med IP som nettverksprotokoll. Allerede i 2012 ble Telenors fasttelefoni trafikk flyttet over på IP og BRUT 7
Figuren ovenfor viser i grove trekk det nye optiske transportnettet (DWDM) som er etablert. CORE er et landsdekkende transportnett som består av to uavhengige nett (rødt og blått nett). IP/MPLS kjernenettet vil sammenfalle med dette nettet, noe som innebærer at det alltid vil være mer enn to veier i hele landsnettet. Det norske core nettet er tilknyttet et nordisk nett. 8
METRO CORE er regionsnett, og det vil være en nær sammenheng mellom dette og IP/MPLS aksessnettet hvor PE rutere er plassert. Alle PE rutere vil ha redundant føring til CORE. Med BRUT 2.0 er det en klarere sammenheng mellom transportnettet og IP infrastruktur. Dette innebærer at det alltid er mer enn 2 veier i hele landsnettet, og at alle PE noder i aksessnettet (METRO CORE) har redundant føring til CORE. 9
IPT er mer sentralisert enn «gårdagens» telefoniløsninger Et hundretalls ISDN sentraler vil på sikt fases ut til fordel for sentralisert IPT på en «håndfull» lokasjoner 10
IPT knytter offentlig telenett mot moderne IP basert kommunikasjon Alle systemer og komponenter er bygget med redundans og med failover for høy grad av oppetid. 11
Synliggjøre lagdelt kommunikasjon ihht OSI modellen. Dette for å få et klart skille mellom hva som er SIP «laget» og IP laget. Det ulike lagene kan hver ha sine egenskaper med hensyn på feiltoleanse/failover mekanismer. 12
Hvordan bringe fasttelefoni inn til kunde med høy oppetid? PSTN og IP (Nordic Connect) ligger som tjenester på toppen av det fullredundante kjernenettet. Vi kan bygge fullredundante løsninger helt inn til kunden med svært høy grad av tilgjengelighet og oppetid. SIP trunkens «splitt» (her på OSI layer 7, ref foregående skisse) fordelt over flere mottakende PBX er 13
Tjenestene tillater redundans spredt ut på geografisk adskilte lokasjoner. Det kan dermed bygges multiple regionale datasentre hvor telefonitjenestene terminerer. 14
15
Tale er «realtime» kommunikasjon som er sårbar for forsinkelser og forsinkelsesvariasjoner. QoS er mekanismene for å skape forutsigbar og god kvalitet for tale over datanettverk. QoS er å sammenligne med vei og kollektivfelt. PBX er og SBC er må konfigureres med korresponderende QoS parametre som IP WAN. Vanlige parametre er EF for talestrømmer og AF3 for signalering. Dette kan tunes inn på det meste av endeutstyr, men MÅ korrespondere med oppsettetet på IP kommunikasjonen/wan et. 16
Ved bruk av internett som bærer av SIP trunk.. IP adresseoversetting mellom offentlige IP og private IP adresser kan skape problemer dersom FW ikke har ALG støtte (application layer gateway) Dette har sin årsak i at det i SIP pakkene ligger godt innpakket informasjon om talestrømmenes IP endepunkter.. og den blir ikke nødvendigvis korrigert ift SIP IP headeren. 17
Man har erfart at fragmenterte UDP SIP invites har blitt kun delvis overført grunnet mer eller mindre intelligente filtre i FW eller rutere. Ufullstendige pakkefragmenter forkastes. 18
19
Redundans i kjernenett, framføringsnett, telefonisystem vil sørge for stabile tjenester Feiltoleransen vil sørge for å rute om trafikken dersom feil skulle oppstå. Ref OSI lag 3 IP og lag 7 SIP Feiltoileranse for samtaler kan bygges inn i «skyen» og sørge for at samtalene rutes til andre mottakere ved teknisk utilgjengelighet Mottakere kan utstyres med flere terminaler for økt tilgjengelighet. For oppgraderinger og endinger er det viktig å etablere gode rutiner for planlegging og testing av nye versjoner og ny funksjonalitet. 20
Skissen viser en Aktiv/Aktiv på SIP laget, men med Aktiv/Passiv på IP laget. Fordel her: homogen ruting i nettet, én GW å forholde seg til for PBX ene. Ulemper: konvergens tid ved å rekalkulere ruting ved feil. 1-3 minutter i worst case. Ved å la hver SIP trunk «grein» gå over Aktiv/Aktiv IP aksess vil SIP options ping kunne avdekke og korrigere feil raskere. 21
Vi beveger oss inn i trusselbildet på SIP. Informasjon i SIP vil kunne utnyttes til andre formål. Det kan dreie seg om påloggingsinformasjon.. Signalering kan påvirkes til å lede strømmene via fremmede. Avlytting og avspilling av tale kan tenkes å brukes til mer enn «guttestreker» Default passord på terminalutstyr kan utnyttes til å kunne komme videre inn via til dels avanserte funksjoner på tlf apparater: WWW server, TFP server.. Blokkering av tjenester via denial of service etc. kan for eksempel ta ned konkurrenters tjenester, både mhp data og telefoni. 22
23
Generelt Telefoni har lenge hatt issues med svindel, bakdører, etc. VoIP og SIP de samme, og åpner for nye angrepsvektorer. 24
25
26
Innbruddsdeteksjon, IDS og loggetjeneter hos Telenor Security Operations Center..for å kunne fange opp og agere på unormalitet. 27
I denne analogien er belte og bukseseler verktøy, som for eksempel redundans.. Innhold og verdi på hva som skal sikres symboliseres med buksa.. og fører til neste slide om beredskap 28
29
Samfunnssikkerhet, kriseberedskap, øvelser, Lovverk 30
31
32
33