10 may 2010

Networking-VoIP-Seguridad Informatica

Networking-VoIP-Seguridad Informatica
Quizas una pregunta considerada obvia pero no tan facil de responder.

Si para que funcione mi conexion VoIP con SIP o H323 debo hacer port forwarding o poner en la DMZ cuando aplica cada opcion?

Generalmente para facilitar, H323 va en DMZ y SIP en port forwardong, mas abajo veremos porque, aunque siempre hay excepciones.

RECORDEMOS

Ports a Forwardear en SIP

10000-20000 (udp)
5060-5061 (udp)
69-69 (udp)
53-53 (udp)
16384-16482 (tcp)


Ports a Forwardear en H323

Rangos
Ports TCP 18000 - 18999 (All interval), 8020 - 8080 (All interval), 10000-10999 (all inteval)
Ports UDP 22000, 22001, 23000 - 23100 (All interval)


Precise ports

Ports TCP
1720,8020,8021,8023,8080,10000,10001,10002,10003,18000,18001,18003,18004,18005
Ports UDP
22000, 22001 , 23000, 23001, 23002, 23003, 23004, 23005


Bien, con esto en mente recordemos que poner un equipo en la DMZ equivale a "ponerlo en la linea de fuego", o sea, le pueden pegar de cualquier lado porque esta visible a todo aquel que este "mirando" la web, y el hacer un port forwarding o mejor aun, un port triggering, implica tener al/los equipos "ocultos" y solo abiertas estas puertas arriba detalladas.

Por experiencia, cuando hay problemas entre el proveedor de internet, el de VoIP y nuestro/s equipos gateway o como quieran llamarlo, colocando el , por ejemplo Addpac 200 que usa un servicio H323, en la DMZ, FUNCIONA, o sea, registra contra el gateway y esta ok para recibir y efectuar llamados.

Si ahora migramos esa cuenta a SIP, probablemente NO funcione mas y haya que forwardear los ports de todas maneras y pasarlo "para adentro" o sea, sacarlo de la DMZ y dejarlo dentro de nuestra LAN, con algun metodo de NAT que permita que el equipo registre o bien usar un server STUN.
Esto pasa por dos motivos, o bien la combinacion de hardware, por ejemplo, el Addpac con el modem 2wire (e Mexico generalmente) se "pelean" y NO acepta el port forwarding, asi que si o si hay que poner el Addpac en la DMZ
Por otro lado, como ven el H323 necesita una cantidad enorme de ports abiertos, por lo que dependiendo de la capacidad del router, este se "cuelga" por lo que es mas sencillo y administrable poner el dispositivo VoIP en la DMZ
Resumiendo, prueba y error, dependiendo de la combinacion de protocolos, hardware y dispositivo VoIP + ISP + VoIP provider, habra que empezar de cero con la instalacion basica y si hay problemas, probar las alternativas

Gracias
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)