Quali sono i problemi principali e i controlli consigliati durante l'esposizione di SIP e H.323 a Internet (potrebbe essere per il traffico voce, video e di messaggistica istantanea o tutti e tre)?
In particolare, sto cercando le migliori pratiche nell'architettura firewall / DMZ e qualsiasi altro controllo di sicurezza raccomandato durante la distribuzione dei gateway SIP e H.323.
L'elenco di controllo rapido di due pagine di Avaya è sostanzialmente neutrale rispetto al fornitore. I primi passi chiave includono:
Per configurarlo in modo che la sicurezza e il QoS siano mantenuti, avrai bisogno di un set di firewall che sia H.323 / SIP-aware. Da questo documento SANS :
Many of the protocols used with the H.323 suite use random ports causing problems securing through firewalls but may be able to be mitigated by using direct routed calls. Since the ports required for H.323 are not set, a filtering firewall would have to have all possibly needed ports left open. Therefore, the firewall would need to be H.323 aware allowing communication without opening up the firewall to other traffic. A stateful firewall and/or application firewall is required to ensure consistency of the characteristics of connections.
Non c'è un numero enorme di firewall che supportano bene SIP / H.323, ma le solite aziende di stato come Juniper, Cisco e Palo Alto sembrano funzionare.
Leggi altre domande sui tag network voip instant-messaging