Viele Next-Generation Firewalls enthalten sog. SIP - Application Layer Gateway-Funktionen (SIP-ALG) oder auch SIP-Helper, die in einem NAT-basierten Umfeld dafür Sorge tragen, dass die verwendeten Ports und IP-Adressen mit den NAT-Tabellen der Firewall übereinstimmen.
Somit soll sichergestellt werden, dass einem SIP-Gateway im öffentlichen Netz eine Gegenstelle präsentiert wird, die über die öffentlichen Adresse erreicht werden kann.
Ein SIP-ALG ist ebenso notwendig wenn nicht nur eine, sondern mehrere SIP-Endgeräte ohne zusätzliche TK-Lösung bei einem Provider registriert werden sollen.
Dann sorgt der SIP-ALG dafür das nicht alle SIP-Endgeräte den Provider mit Quellport 5060 kontaktieren.
Das wird erreicht, indem sich eine SIP-ALG oder ein SIP-Helper in die Kommunikation einklinkt und IP-Adressen und/oder Medienports in den SIP-Paketen ersetzt.
Leider ist das sehr fehleranfällig und führt immer wieder zu Problemen.
Mögliche Symptome für eine störende SIP ALG bzw SIP-Helper können unter anderem sein:
- Telefone/Clients registrieren sich nicht
- Telefone/Clients registrieren sich, aber eingehenden Anrufe werden nicht signalisiert
- Sprachübertragung fehlt komplett oder ist nur in eine Richtung vorhanden
Grundsätzlich wird eine SIP-ALG auf der "aussenliegenden" Firewall zum Internet eingesetzt, damit würde diese nur dann aktiv in den Verkehr eingreifen, wenn es sich um Gespräche mit externer Beteiligung (über oder von dem SIP-Provider) handelt.
In DMZ-Szenarien kommen aber auch oft 2 Firewalls zum Einsatz, weshalb auch in solchen Fällen die reine interne Telefonie betroffen sein kann.
Daher ist es empfehlenswert in den o.a. Fällen, die SIP-ALG oder SIP-Helper-Funktionen zu deaktivieren.
Ob und wie sich der SIP ALG deaktivieren lässt, ist abhängig vom jeweils verwendeten Router, wenden Sie sich dazu bitte an den Hersteller der entsprechenden Firewall-Lösung.
Das Thema der Sicherheit einer SwyxWare wird durch die Deaktivierung dieser ALG-Funktionen nicht beeinträchtigt. Auch weitere Firewallregeln, IDS-Systeme und sonstige Techniken, werden weiterhin funktionieren. Das Deaktivieren der ALG-Funktionen für das SIP-Protokoll wirkt sich nicht auf andere Protokolle aus.
Die SwyxWare selber stellt keine öffentliche Einwahl für Endgeräte zur Verfügung. Diese erfolgt entweder über ein gesichertes VPN oder über den sog. RemoteConnector-Service. Eine direkte Kommunikation erfolgt somit ausschliesslich zu und von einem Provider. Sicherheitstechnisch kann hier bei einigen Providern auf verschlüsselte Trunks gewechselt werden, um die Sicherheits zusätzlich zu erhöhen.
Aus der Swyx-Sicht ist für die SwyxWare eine SIP-ALG als Absicherung daher so nicht notwendig bzw. würde keine erhöhte Sicherheits umsetzen.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.