¿Cuáles son los principales problemas y los controles recomendados al exponer SIP y H.323 a Internet (podrían ser para tráfico de voz, video y mensajería instantánea o los tres)?
Específicamente, estoy buscando las mejores prácticas en arquitectura de firewall / DMZ y cualquier otro control de seguridad recomendado al implementar las puertas de enlace SIP y H.323.
La lista rápida de verificación de dos páginas de Avaya es, en términos generales, neutral con respecto a los proveedores. Los primeros pasos clave incluyen:
Para configurarlo de manera que se mantengan la seguridad y la calidad del servicio, necesitará un conjunto de firewall que sea compatible con H.323 / SIP. De este documento SANS :
Muchos de los protocolos utilizados con la suite H.323 utilizan puertos aleatorios que causan problemas en la seguridad a través de cortafuegos, pero se pueden mitigar mediante el uso de llamadas enrutadas directas. Dado que los puertos requeridos para H.323 no están configurados, un firewall de filtrado tendría que dejar abiertos todos los puertos posiblemente necesarios. Por lo tanto, el firewall tendría que ser H.323 para permitir la comunicación sin abrir el firewall a otro tráfico. Se requiere un firewall de estado y / o firewall de aplicación para asegurar la consistencia de las características de las conexiones.
No hay una gran cantidad de cortafuegos que admitan SIP / H.323 bien, pero los habituales de las empresas con estado como Juniper, Cisco y Palo Alto parecen funcionar.
Lea otras preguntas en las etiquetas network instant-messaging voip