DMZ-Hosting para servicios VOIP… ¿Para usar o no usar?

No. No es un problema de seguridad en sí mismo, ya que el alojamiento DMZ solo se aplicaría al dispositivo VOIP, no a su computadora, por ejemplo, ingresa la IP del dispositivo para abrir todos los puertos. Sin embargo, si el dispositivo VOIP tuviera vulnerabilidades de seguridad, el dispositivo VOIP podría usarse como un salto para llegar a sus computadoras.

Una mejor idea es preguntar a su proveedor de VOIP qué puertos entrantes utiliza el proveedor de servicios y abrirlos manualmente en el puerto hacia adelante.

La razón por la que te piden que te dirijas a DMZ es que sea sencillo para los novatos.

La razón por la que funciona el servicio es que las llamadas salientes utilizan el tráfico saliente. También el dispositivo "prueba" el servicio VOIP con intervalos regulares. Esto mantiene abiertos los puertos UDP para que funcionen las llamadas entrantes. Pero a veces, puede suceder que la Conexión en la tabla de estado se agote, y entonces no podrá recibir llamadas hasta la próxima prueba o la próxima vez que realice una llamada saliente.

Los dispositivos NAT también pueden causar problemas de audio "unidireccionales" con el VOIP, donde una parte escucha a la otra parte, pero la otra parte no escucha a la otra parte.

Mantenga cerrada la DMZ, pero si recibe informes sobre personas que no pueden llamarlo (por ejemplo, amigos que dicen que fue difícil comunicarse con usted) o problemas de audio de una sola vía, ellos lo escuchan pero usted no los escucha, o al contrario, debe abrir manualmente los puertos individuales que utiliza el servicio VOIP en su lugar.

Muchos ITSP (proveedores de servicios de telefonía por Internet) solicitan que el cliente coloque dispositivos basados en VoIP en DMZ porque muchos enrutadores son cortafuegos que realizan paquetes de manipulación de traducción de direcciones de red (NAT), y producen una forma de audio (el cliente puede escuchar, el que llama no puede viceversa). Los dispositivos basados en VoIP funcionan como a través de mensajes SIP:

Llamador - > Interruptor SS7 - > voip - > proveedor - > tu dispositivo (SIP)

Por lo general, un mensaje se verá así:

   MESSAGE sip:[email protected] SIP/2.0
   Via: SIP/2.0/TCP ss7-2-voip.yourprovider.com;branch=1337
   Max-Forwards: 70
   From: sip:[email protected];tag=1337
   To: sip:[email protected]
   CSeq: 1 MESSAGE
   Content-Type: text/plain
   Content-Length: 18

Esto se hace a través de SIP en el puerto 5060. Si su dispositivo estaba detrás de un firewall, bastaría con una simple regla de uno a uno que permita que 5060 se conecte para hacer que su teléfono suene, pero cuando comienza una conversación, las cosas se ponen interesantes. Dentro del mensaje SIP, hay un puerto RTP. RTP es la forma en que el audio toma vuelo, y este es un puerto aleatorio entre 20000-30000 en la mayoría de los casos. Lo que significa que tendrías que perforar aún más agujeros en tu firewall para permitir que estos pasen.

Para los proveedores, es más fácil para ellos decir: coloque esto fuera de su DMZ, que decir: está bien, necesita abrir los puertos 5060, y también, 20000-30000 porque habrá ocasiones en las que alguien vaya volver (no entiendo las redes) y decir: " ¡Oh, no hay manera de que esté abriendo tantos puertos! ¡Un atacante me matará! "

En el lado NAT de la ecuación, muchos firewalls cambiarán la información de direccionamiento (esto es lo que NAT hace), pero no son capaces de modificar la información de direccionamiento IP DENTRO del mensaje SIP. Entonces, lo que ocurre es esto:

PAQUETE DE SIP ORIGINAL

   MESSAGE sip:[email protected] SIP/2.0
   Via: SIP/2.0/TCP ss7-2-voip.yourprovider.com;branch=1337
   Max-Forwards: 70
   From: sip:[email protected];tag=1337
   To: sip:[email protected] <---- TAKE NOTE

PAQUETE NAT MODIFICADO

   MESSAGE sip:[email protected] SIP/2.0
   Via: SIP/2.0/TCP ss7-2-voip.yourprovider.com;branch=1337
   Max-Forwards: 70
   From: sip:[email protected];tag=1337
   To: sip:[email protected]:23456 <--- NAT REWRITE PORT TUPLE

Lo mejor es superar el miedo, es hacer una regla de uno a uno hacia y desde su proveedor. Si algo sucede a través de su proveedor, ellos tienen la culpa.

Hacer una DMZ en un adaptador de teléfono VoIP no causa daño a su red.

La forma correcta de realizar una DMZ es asignando un Host DMZ a su enrutador y asignando la misma IP para su VTA, esto resultará en que su VTA esté expuesto a Internet; los otros dispositivos conectados a su enrutador (computadoras, teléfonos, etc.) seguirán estando protegidos detrás del firewall del enrutador.

Un adaptador de teléfono VoIP (como el Grandstream HT802) no puede ser pirateado porque no tiene nada que piratear (sin Sistema Operativo, procesador lógico o almacenamiento local) el único daño que pueden hacer a un dispositivo de este tipo está dañado su firmware no lo hace operativo, pero no puede robar información de su computadora (no tiene el hardware para hacerlo), no puede comunicarse con una computadora, y también porque su computadora todavía está protegida con el firewall, es como una caja falsa que inicia sesión en el servidor ISP de su proveedor de servicios y transmite la conversación a través del teléfono analógico conectado a él.

La diferencia con un dispositivo que puede ser pirateado es que el adaptador de teléfono VoIP no tiene nada que piratear, pero un servidor normal sí lo tiene.

Sí, es un problema de seguridad en sí mismo. El dispositivo VoIP se convierte en un objetivo para el fraude de llamadas basado en VoIP. La mayoría de los dispositivos de VoIP orientados a Internet tienden a tener nombres de usuario y contraseñas.