Ce v6 SP

Conceptos y ejemplos Manual de referencia de ScreenOS
Volumen 6: Voz sobre el protocolo de Internet (VoIP)
Versin 6.0.0, Rev. 02
Juniper Networks, Inc.

1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000
www.juniper.net
Nmero de pieza: 530-017772-01-SP, Revisin 02
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen vii Convenciones del documento ........................................................................ vii Convenciones de la interfaz de usuario web ........................................... viii Convenciones de interfaz de lnea de comandos .................................... viii Convenciones de nomenclatura y conjuntos de caracteres ....................... ix Convenciones para las ilustraciones .......................................................... x Asistencia y documentacin tcnica................................................................ xi Captulo 1 Puerta de enlace en la capa de aplicacin H.323 1
Vista general .................................................................................................... 1 Ejemplos .......................................................................................................... 2 Ejemplo: Equipo selector en la zona Trust ................................................. 2 Ejemplo: Equipo selector en la zona Untrust.............................................. 3 Ejemplo: Llamadas salientes con NAT ....................................................... 5 Ejemplo: Llamadas entrantes con NAT ......................................................8 Ejemplo: Equipo selector en la zona Untrust con NAT ............................. 10 Captulo 2 Puerta de enlace de la capa de aplicacin del protocolo de inicio de sesin 13 Vista general .................................................................................................. 13 Mtodos de peticin del protocolo SIP ..................................................... 14 Clases de respuestas SIP .......................................................................... 16 Puerta de enlace en la capa de aplicacin SIP.......................................... 17 Sesiones con protocolo de descripcin de sesiones ................................. 18 Creacin de ojos de aguja ........................................................................ 20 Tiempo de espera por inactividad de la sesin ........................................ 21 Proteccin contra ataques SIP .................................................................22 Ejemplo: SIP Protect Deny ................................................................ 22 Ejemplo: Tiempos de espera por inactividad de sealizacin o de medios ..............................................................................................23 Ejemplo: Proteccin contra inundaciones UDP ................................. 23 Ejemplo: Mximo de conexiones SIP ................................................ 24 SIP con traduccin de direcciones de red (NAT) ............................................. 24 Llamadas salientes................................................................................... 25 Llamadas entrantes ................................................................................. 25 Llamadas reenviadas ............................................................................... 26 Terminacin de la llamada ...................................................................... 26 Mensajes de llamada Re-INVITE .............................................................. 26 Temporizadores de sesiones de llamadas ................................................ 26 Cancelacin de la llamada ....................................................................... 27 Bifurcacin ..............................................................................................27 Mensajes SIP ........................................................................................... 27 Encabezados SIP ..................................................................................... 28
CONTENIDO
iii
Concepts & Examples ScreenOS Reference Guide
Cuerpo SIP............................................................................................... 29 Supuesto de NAT con el protocolo SIP ..................................................... 30 Ejemplos ........................................................................................................ 31 Soporte de llamadas SIP entrantes utilizando el registrador SIP............... 32 Ejemplo: Llamada entrante (DIP de interfaz)..................................... 33 Ejemplo: Llamada entrante (conjunto de DIP) ................................... 36 Ejemplo: Llamada entrante con MIP ................................................. 38 Ejemplo: Proxy en la zona privada....................................................40 Ejemplo: Proxy en la zona pblica ....................................................43 Ejemplo: Zona triple, proxy en DMZ ................................................. 45 Ejemplo: Untrust intrazonal .............................................................. 49 Ejemplo: Trust intrazonal .................................................................. 52 Ejemplo: VPN de malla completa para SIP ........................................ 55 Administracin del ancho de banda para servicios de VoIP ..................... 65 Captulo 3 Puerta de enlace en la capa de aplicacin de protocolo de control de la puerta de medios
67
Vista general .................................................................................................. 67 Seguridad de MGCP........................................................................................ 68 Protocolo MGCP ............................................................................................. 68 Entidades en MGCP ................................................................................. 69 Punto final ........................................................................................ 69 Conexin .......................................................................................... 69 Llamada ............................................................................................ 69 Agente de llamada ............................................................................ 70 Comandos ............................................................................................... 70 Cdigos de respuesta............................................................................... 73 Ejemplos ........................................................................................................ 74 Puerta de enlace en las residencias de los abonados: agente de llamada en el ISP............................................................................................ 74 Servicio alojado en ISP ............................................................................ 77 Captulo 4 Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
83
Vista general .................................................................................................. 83 Seguridad del SCCP........................................................................................ 84 Protocolo SCCP ..............................................................................................85 Componentes del SCCP ........................................................................... 85 Cliente del SCCP ............................................................................... 85 Gestor de llamadas............................................................................ 85 Clster ..............................................................................................85 Transacciones con SCCP.......................................................................... 86 Inicializacin del cliente .................................................................... 86 Registro del cliente............................................................................ 86 Establecimiento de la llamada........................................................... 87 Configuracin de medios .................................................................. 87 Mensaje de control del SCCP y flujo del RTP............................................ 88 Mensajes del SCCP .................................................................................. 89 Ejemplos ........................................................................................................ 89 Ejemplo: Gestor de llamadas/servidor TFTP en la zona Trust ............ 90 Ejemplo: Gestor de llamadas/servidor TFTP en la zona Untrust......... 92 Ejemplo: Zona triple, gestor de llamadas/servidor TFTP en DMZ....... 94
iv
CONTENIDO
CONTENIDO
Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Trust ........................................................................................... 98 Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Untrust .....................................................................................102 Ejemplo: VPN de malla completa para el SCCP ...............................104 NDICE .......................................................................................................................IX-I
CONTENIDO
Concepts & Examples ScreenOS Reference Guide
vi
CONTENIDO
Acerca de este volumen

El Volumen 6: Voz sobre el protocolo de Internet (VoIP) describe las puertas de enlace de la capa de aplicacin (ALG) de VoIPs admitidas e incluye los siguientes captulos: Captulo 1, Puerta de enlace en la capa de aplicacin H.323, donde se describe el protocolo H.323 y proporciona ejemplos de situaciones tpicas. Captulo 2, Puerta de enlace de la capa de aplicacin del protocolo de inicio de sesin, donde se describe el protocolo de inicio de sesin (SIP) y muestra cmo la ALG con SIP procesa llamadas con los modos de rutas y de traduccin de direcciones de red NAT (Network Address Translation). Despus de un resumen de la arquitectura del SIP se presentan ejemplos de las situaciones tpicas. Captulo 3, Puerta de enlace en la capa de aplicacin de protocolo de control de la puerta de medios, donde se ofrece una vista general de la ALG del Protocolo de control de la puerta de medios (Gateway Control Protocol o MGCP) y enumera las caractersticas de seguridad del cortafuegos de la implementacin. Despus de un resumen de la arquitectura de MGCP se presentan ejemplos de las situaciones tpicas. Captulo 4, Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes, donde se ofrece una vista general de la ALG con el protocolo Skinny de control de clientes (Skinny Client Control Protocol o SCCP) y enumera las funciones de seguridad de cortafuegos de la implementacin. Despus de un resumen de la arquitectura del SCCP se presentan ejemplos de las situaciones tpicas.
Convenciones del documento

Este documento utiliza las convenciones que se describen en las secciones siguientes: Convenciones de la interfaz de usuario web en la pgina viii Convenciones de interfaz de lnea de comandos, en la pgina viii Convenciones de nomenclatura y conjuntos de caracteres en la pgina ix Convenciones para las ilustraciones en la pgina x
vii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Convenciones de la interfaz de usuario web

En la interfaz de usuario web (WebUI), el conjunto de instrucciones de cada tarea se divide en ruta de navegacin y establecimientos de configuracin. Para abrir una pgina de WebUI e introducir parmetros de configuracin, navegue hacia la pgina en cuestin haciendo clic en un elemento del men en el rbol de navegacin en el lado izquierdo de la pantalla, luego en los elementos subsiguientes. A medida que avanza, su ruta de navegacin aparece en la parte superior de la pantalla, cada pgina separada por signos de mayor y menor. Lo siguiente muestra los parmetros y ruta de WebUI para la definicin de una direccin: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo de interrogacin (?) en la parte superior izquierda de la pantalla. El rbol de navegacin tambin proporciona una pgina de configuracin de Ayuda > Gua de configuracin para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
Convenciones de interfaz de lnea de comandos

Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de lnea de comandos (CLI) en ejemplos y en texto. En ejemplos: Los elementos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios. Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
Las variables aparecen en cursiva:

set admin user nombre1 contrasea xyz
En el texto, los comandos estn en negrita y las variables en cursiva.
viii
NOTA:
Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54 se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aqu se encuentran presentes en su totalidad.
Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en las configuraciones de ScreenOS: Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber estar entre comillas dobles; por ejemplo:
set address trust local LAN 10.1.1.0/24
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
ix
Convenciones para las ilustraciones

La siguiente figura muestra el conjunto bsico de imgenes utilizado en las ilustraciones de este volumen:
Figura 1: Imgenes de las ilustraciones
Sistema autnomo o bien dominio de enrutamiento virtual Red de rea local (LAN) con una nica subred o bien zona de seguridad
Internet
Rango dinmico de IP (DIP)
Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust)
Motor de directivas
Dispositivo de red genrico
Interfaz de tnel Servidor Tnel VPN
Enrutador Dispositivos de seguridad Juniper Networks
Conmutador
Concentrador
Asistencia y documentacin tcnica

Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web http://www.juniper.net/customers/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algn error u omisin en este documento, pngase en contacto con Juniper Networks al techpubs-comments@juniper.net.
xi
xii
Captulo 1
Puerta de enlace en la capa de aplicacin H.323

En este captulo se describe el protocolo H.323 y se ofrecen ejemplos para la configuracin de la puerta de enlace en la capa de aplicacin (Aplication Layer Gateway o ALG) en un dispositivo de seguridad de Juniper Networks. Este captulo consta de las siguientes secciones: Vista general en esta pgina Ejemplos en la pgina 2
Vista general
La puerta de enlace en la capa de aplicacin (ALG) con protocolo H.323 permite asegurar la comunicacin de voz por IP (Voice-over-IP o VoIP) entre hosts terminales, como telfonos IP y dispositivos de multimedia. En estos sistemas de telefona, los equipos selectores (gatekeeper) gestionan el registro y la admisin de llamadas, as como el estado de las llamadas VoIP. Los equipos selectores pueden residir en dos zonas diferentes o en la misma zona.
Figura 2: Protocolo H.323
Equipo selector Permitir Equipo selector
Zona Trust
Permitir Punto final Punto final
Internet
Zona Untrust
NOTA:
En las ilustraciones de este captulo se utilizan telfonos IP con fines ilustrativos, aunque pueden configurarse otros hosts que utilicen el protocolo VoIP, como dispositivos multimedia de NetMeeting.
Vista general
Ejemplos
Esta seccin contiene los siguientes supuestos de configuraciones: Ejemplo: Equipo selector en la zona Trust en esta pgina Ejemplo: Equipo selector en la zona Untrust en la pgina 3 Ejemplo: Llamadas salientes con NAT en la pgina 5 Ejemplo: Llamadas entrantes con NAT en la pgina 8 Ejemplo: Equipo selector en la zona Untrust con NAT en la pgina 10
Ejemplo: Equipo selector en la zona Trust

En el ejemplo siguiente configurar dos directivas para permitir al trfico H.323 pasar entre los hosts de telefona IP y un equipo selector en la zona Trust y un telfono IP en la direccin IP 2.2.2.5 de la zona Untrust. En este ejemplo, el dispositivo de seguridad puede estar en modo transparente (Transparent) o de rutas (Route). Las dos zonas de seguridad Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.
Figura 3: Equipo selector H.323 en la zona Trust
Zona Trust
Equipo selector Telfonos IP de punto final
Zona Untrust
Internet Telfono IP de punto final 2.2.2.5
WebUI
1. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: IP_Phone IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.5/32 Zone: Untrust
2. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), IP_Phone Service: H.323 Action: Permit
Ejemplos
Captulo 1: Puerta de enlace en la capa de aplicacin H.323
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone Destination Address: Address Book Entry: (seleccione), Any Service: H.323 Action: Permit
CLI
1. Direccin
set address untrust IP_Phone 2.2.2.5/32

2. Directivas
set policy from trust to untrust any IP_Phone h.323 permit set policy from untrust to trust IP_Phone any h.323 permit save
Ejemplo: Equipo selector en la zona Untrust

Dado que los modos transparente y de rutas no requieren ningn tipo de asignacin de direcciones, la configuracin del dispositivo de seguridad para un equipo selector en la zona Untrust es generalmente idntica a la configuracin de un equipo selector en la zona Trust. En el ejemplo siguiente configurar dos directivas para permitir al trfico H.323 pasar entre los hosts de telefona IP en la zona Trust y el telfono IP en la direccin IP 2.2.2.5 (y el equipo selector) de la zona Untrust. El dispositivo puede estar en modo transparente o de rutas. Las dos zonas de seguridad Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.
Figura 4: Equipo selector H.323 en la zona Untrust
Zona Trust LAN Zona Untrust Internet
IP_Phones
IP_Phone 2.2.2.5/32
WebUI
1. Direcciones
Address Name: IP_Phone IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.5/32 Zone: Untrust
Ejemplos
Address Name: Gatekeeper IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.10/32 Zone: Untrust
2. Directivas
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), IP_Phone Service: H.323 Action: Permit
Source Address: Address Book Entry: (seleccione), IP_Phone Destination Address: Address Book Entry: (seleccione), Any Service: H.323 Action: Permit
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Gatekeeper Service: H.323 Action: Permit
CLI
1. Direcciones
set address untrust IP_Phone 2.2.2.5/32 set address untrust gatekeeper 2.2.2.10/32
2. Directivas
set policy from trust to untrust set policy from trust to untrust set policy from untrust to trust set policy from untrust to trust save
any IP_Phone h.323 permit any gatekeeper h.323 permit IP_Phone any h.323 permit gatekeeper any h.323 permit
Ejemplos
Ejemplo: Llamadas salientes con NAT

Cuando el dispositivo de seguridad utiliza la traduccin de direcciones de red (Network Address Translation o NAT), un equipo selector o dispositivo de punto final de la zona Trust tiene una direccin privada, y cuando se encuentra en la zona Untrust tiene una direccin pblica. Cuando un dispositivo de seguridad se establece en el modo NAT, debe asignarse una direccin IP pblica a cada dispositivo que necesite recibir trfico entrante con una direccin privada. En este ejemplo, los dispositivos de la zona Trust son el host de punto final (10.1.1.5) y el equipo selector (10.1.1.25). IP_Phone2 (2.2.2.5) est en la zona Untrust. Configurar el dispositivo de seguridad para permitir trfico entre el host de punto final IP_Phone1 y el equipo selector en la zona Trust y el host IP_Phone2 de punto final en la zona Untrust. Las dos zonas de seguridad Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.
Figura 5: Traduccin de direcciones de red: Llamadas salientes
ethernet1 10.1.1.1/24 Zona Trust Equipo selector 10.1.1.25 IP_Phone1 10.1.1.5 ethernet3 1.1.1.1/24 Zona Untrust Internet MIP 1.1.1.25 -> 10.1.1.25 MIP 1.1.1.5 -> 10.1.1.5 Puerta de enlace 1.1.1.250 IP_Phone2 2.2.2.5
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
2. Direcciones
Address Name: IP_Phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/32 Zone: Trust
Ejemplos
Address Name: Gatekeeper IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.25/32 Zone: Trust
Address Name: IP_Phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.5/32 Zone: Untrust
3. Direcciones IP asignadas
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.5 Netmask: 255.255.255.255 Host IP Address: 10.1.1.5 Host Virtual Router Name: trust-vr
4. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
5. Directivas
Source Address: Address Book Entry: (seleccione), IP_Phone1 Destination Address: Address Book Entry: (seleccione), IP_Phone2 Service: H.323 Action: Permit
Ejemplos
Source Address: Address Book Entry: (seleccione), Gatekeeper Destination Address: Address Book Entry: (seleccione), IP_Phone2 Service: H.323 Action: Permit
Source Address: Address Book Entry: (seleccione), IP_Phone2 Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.5) Service: H.323 Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust IP_Phone1 10.1.1.5/32 set address trust gatekeeper 10.1.1.25/32 set address untrust IP_Phone2 2.2.2.5/32
set interface ethernet3 mip 1.1.1.5 host 10.1.1.5 set interface ethernet3 mip 1.1.1.25 host 10.1.1.25
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250

5. Directivas
set policy from trust to untrust IP_Phone1 IP_Phone2 h.323 permit set policy from trust to untrust gatekeeper IP_Phone2 h.323 permit set policy from untrust to trust IP_Phone2 mip(1.1.1.5) h.323 permit set policy from untrust to trust IP_Phone2 mip (1.1.1.25) h.323 permit save
Ejemplos
Ejemplo: Llamadas entrantes con NAT

En este ejemplo configurar el dispositivo de seguridad para aceptar llamadas entrantes sobre a travs de un lmite NAT. Para ello puede crear un conjunto de direcciones DIP para direcciones de destino de asignacin dinmica. Esto difiere de la mayora de configuraciones, en las que un conjunto DIP slo proporciona direcciones de origen.
Figura 6: Traduccin de direcciones de red: Llamadas entrantes
ethernet1 10.1.1.1/24 Zona Trust ethernet3 1.1.1.1/24 Zona Untrust Internet LAN Conjunto de DIP con ID 5 1.1.1.12 ~ 1.1.1.150
El nombre del conjunto de DIP puede ser DIP(nm_id) para un DIP definido por el usuario o DIP (interface) cuando el conjunto de DIP utilice la misma direccin que una direccin IP de interfaz. Puede utilizar tales entradas de direcciones como direcciones de destino en directivas, junto con servicios H.323, SIP u otros protocolos VoIP (voz sobre IP) para admitir llamadas entrantes. En el ejemplo siguiente se utiliza DIP en una configuracin VoIP H.323. La palabra clave entrante ordena al dispositivo agregar las direcciones DIP y de interfaz a la zona global. WebUI
1. Interfaces
Ejemplos
2.
DIP con NAT entrante
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en OK:
ID: 5 IP Address Range: (seleccione), 1.1.1.12 ~ 1.1.1.150 Port Translation: (seleccione) In the same subnet as the interface IP or its secondary IPs: (seleccione) Incoming NAT: (seleccione)
3. Direcciones
Policy > Policy Elements > Addresses > List > New (for Trust): Introduzca los siguientes datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New (for Untrust): Introduzca los siguientes datos y haga clic en OK:
4. Directivas
Source Address: Address Book Entry: (seleccione), IP_Phone1 Destination Address: Address Book Entry: (seleccione), Any Service: H.323 Action: Permit
Source Address: Address Book Entry: (seleccione), IP_Phone2 Destination Address: Address Book Entry: (seleccione), DIP(5) Service: H.323 Action: Permit
CLI
1. Interfaces
2. DIP con NAT entrante
set interface ethernet3 dip 5 1.1.1.12 1.1.1.150 incoming

Ejemplos
3.
Direcciones
set address trust IP_Phones1 10.1.1.5/24 set address untrust IP_Phone2 2.2.2.5/32
4. Directivas
set policy from trust to untrust IP_Phones1 any h.323 nat src dip 5 permit set policy from untrust to trust IP_Phone2 dip(5) h.323 permit save
Ejemplo: Equipo selector en la zona Untrust con NAT

En este ejemplo, el equipo selector (2.2.2.25) y el host IP_Phone2 (2.2.2.5) se encuentran en la zona Untrust y el host IP_Phone1 (10.1.1.5) en la zona Trust. Configurar el dispositivo de seguridad para permitir trfico entre el host IP_Phone1 en la zona Trust y el host IP_Phone2 (ms el equipo selector) en la zona Untrust. Las dos zonas de seguridad Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.
Figura 7: Equipo selector en la zona Untrust
ethernet1 10.1.1.1/24 Modo NAT Zona Trust LAN ethernet3 1.1.1.1/24 Puerta de enlace 1.1.1.250 Equipo selector 2.2.2.25 Zona Untrust Internet IP_Phone2 2.2.2.5
IP_Phone1 10.1.1.5
MIP 1.1.1.5 -> 10.1.1.5
WebUI
1. Interfaces
10
Ejemplos
2.
Direcciones
Address Name: Gatekeeper IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.25/32 Zone: Untrust
3. Direccin IP asignada
Mapped IP: 1.1.1.5 Netmask: 255.255.255.255 Host IP Address: 10.1.1.5
4. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
5. Directivas
Source Address: Address Book Entry: (seleccione), IP_Phone1 Destination Address: Address Book Entry: (seleccione), IP_Phone2 Service: H.323 Action: Permit
Ejemplos
11
Source Address: Address Book Entry: (seleccione), IP_Phone1 Destination Address: Address Book Entry: (seleccione), Gatekeeper Service: H.323 Action: Permit
Source Address: Address Book Entry: (seleccione), Gatekeeper Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.5) Service: H.323 Action: Permit
CLI
1. Interfaces
2. Direcciones
set address trust IP_Phone1 10.1.1.5/32 set address untrust gatekeeper 2.2.2.25/32 set address untrust IP_Phone2 2.2.2.5/32
set interface ethernet3 mip 1.1.1.5 host 10.1.1.5

4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250

5. Directivas
set policy from trust to untrust IP_Phone1 IP_Phone2 h.323 permit set policy from trust to untrust IP_Phone1 gatekeeper h.323 permit set policy from untrust to trust IP_Phone2 mip(1.1.1.5) h.323 permit set policy from untrust to trust gatekeeper mip(1.1.1.5) h.323 permit save
12
Ejemplos
Captulo 2
Puerta de enlace de la capa de aplicacin del protocolo de inicio de sesin

Este captulo describe la puerta de enlace de la capa de aplicacin (ALG) del protocolo de inicio de sesin (SIP) y contiene las siguientes secciones: Vista general en esta pgina SIP con traduccin de direcciones de red (NAT) en la pgina 24 Ejemplos en la pgina 31
Vista general
El protocolo de inicio de sesin (SIP) es un protocolo que sigue la norma del equipo de ingeniera para el desarrollo de Internet (IETF) en el que se define cmo iniciar, modificar y finalizar sesiones multimedia a travs de Internet. Estas sesiones pueden ser de conferencias, telefona o transferencias de datos multimedia, con prestaciones como la mensajera inmediata y la movilidad de aplicaciones en entornos de red. Los dispositivos de seguridad Juniper Networks admiten SIP como servicio y pueden monitorizar el trfico SIP, permitindolo o rechazndolo segn una directiva configurada por el usuario. SIP es un servicio predefinido en ScreenOS y utiliza el puerto 5060 como puerto de destino. La funcin principal de SIP es distribuir la informacin de la descripcin de la sesin y, durante sta, negociar y modificar sus parmetros. SIP tambin se utiliza para terminar una sesin multimedia. La informacin de la descripcin de la sesin se incluye en los mensajes INVITE y ACK e indica el tipo de multimedia de la sesin, por ejemplo, voz o vdeo. Aunque el SIP puede utilizar varios protocolos para describir la sesin, la ALG con SIP de Juniper Networks admite el protocolo de descripcin de sesiones (SDP).
Vista general
13
El SDP proporciona la informacin necesaria para que un sistema pueda incorporarse a una sesin multimedia. SDP puede proporcionar datos como direcciones IP, nmeros de puerto, fechas y horas. Observe que la direccin IP y el nmero de puerto que figuran en el encabezado del protocolo SDP (los campos c= y m=, respectivamente) corresponden a la direccin y al puerto donde el cliente desea recibir las secuencias multimedia, y no representan la direccin IP y el nmero de puerto donde se origina la peticin SIP (aunque pueden coincidir). Para obtener ms informacin, consulte Sesiones con protocolo de descripcin de sesiones en la pgina 18. Los mensajes del protocolo SIP consisten en peticiones de un cliente a un servidor y en las correspondientes respuestas a esas peticiones enviadas por el servidor al cliente con el propsito de establecer una sesin (o llamada). Un agente de usuario (UA) es una aplicacin que se ejecuta en los puntos finales de la llamada y consta de dos partes: el cliente del agente de usuario (UAC), que enva peticiones SIP de parte del usuario; y un servidor del agente del usuario (UAS), que escucha las respuestas y notifica al usuario cuando llegan. Como ejemplos de UA pueden citarse los servidores proxy SIP y los telfonos.
Mtodos de peticin del protocolo SIP

El modelo transaccional SIP contempla una serie de mensajes de peticin y de respuesta, cada uno con un campo method que describe el propsito del mensaje. ScreenOS admite los siguientes tipos de mtodos y cdigos de respuesta: INVITE: Un usuario enva una peticin INVITE para invitar a otro usuario a participar en una sesin. El cuerpo de una peticin INVITE puede contener la descripcin de la sesin. En el modo NAT, las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. ACK: El usuario que gener la peticin INVITE enva una peticin ACK para confirmar la recepcin de la respuesta final a la peticin INVITE. Si la peticin INVITE original no contena la descripcin de la sesin, entonces la peticin ACK debe incluirla. En el modo NAT, las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. OPTIONS: Utilizado por el agente del usuario (UA) para obtener informacin sobre las capacidades del proxy del protocolo SIP. Un servidor responde con informacin sobre los mtodos, protocolos de descripcin de sesiones y codificacin de mensajes que admite. En el modo NAT, cuando la peticin OPTIONS se enva desde un NAT fuera del UA a un NAT dentro del proxy, la ALG del protocolo SIP traduce la direccin en Request-URI y la direccin IP del campo To: a la direccin IP correspondiente al cliente interno. Cuando el UA se encuentra dentro del NAT y el proxy fuera del NAT, la ALG con SIP traduce los campos From:, Via: y Call-ID: segn se muestra en la Tabla 2 en la pgina 28. BYE: Un usuario enva una peticin BYE para abandonar una sesin. Una peticin BYE de cualquier usuario cierra automticamente la sesin. En el modo NAT, las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28.
14
Vista general
Captulo 2: Puerta de enlace de la capa de aplicacin del protocolo de inicio de sesin
CANCEL: Un usuario puede enviar una peticin CANCEL para cancelar una peticin INVITE pendiente. Una peticin CANCEL no tiene ningn efecto si el servidor SIP que proces la peticin INVITE envi una respuesta final a dicho INVITE antes de recibir la peticin CANCEL. En el modo NAT, las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. REGISTER: Un usuario enva una peticin REGISTER a un servidor de registro registrar SIP para informarle de la ubicacin actual del usuario. El servidor de registro SIP registra toda la informacin que recibe en las peticiones REGISTER y pone esta informacin a disposicin de cualquier servidor SIP que intente localizar a un usuario. En el modo NAT, las peticiones REGISTER se gestionan como sigue: Peticiones REGISTER procedentes de un cliente externo a un registrador interno: Cuando la ALG con SIP recibe la peticin REGISTER entrante traduce la direccin IP, si existe, en el Request-URI. Slo se permiten mensajes REGISTER entrantes a direcciones MIP o VIP. Para la respuesta saliente no se requiere traduccin. Peticiones REGISTER procedentes de un cliente interno a un registro externo: Cuando la ALG con SIP recibe la peticin REGISTER saliente, traduce las direcciones IP de los campos To:, From:, Via:, Call-ID: y Contact:. Para la respuesta entrante se realiza una traduccin inversa. Info: Utilizado para comunicar la informacin de seales durante la sesin a lo largo de la ruta de seales para la llamada. En el modo NAT, las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. Subscribe: Utilizado para solicitar el estado actual y actualizaciones de estado a un nodo remoto. En el modo NAT, la direccin Request-URI se transforma en una direccin IP privada si los mensajes proceden de la red externa y entran en la red interna. Las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn se muestra en la tabla en Tabla 2 en la pgina 28. Notify: Se enva para informar a abonados sobre cambios en el estado al que estn suscritos. En el modo NAT, la direccin IP en el campo de encabezado Peticin-URI: se transforma en una direccin IP privada si el mensaje procede de la red externa y entra en la red interna. La direccin IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. Refer: Se utiliza para enviar al destinatario (identificado por Request-URI) a un tercero mediante la informacin de contacto proporcionada en la peticin. En el modo NAT, la direccin Request-URI se transforma en una direccin IP privada si el mensaje procede de la red externa y entra en la red interna. Las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, and Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28.
Vista general
15
Por ejemplo, si el usuario A de una red privada establece una referencia para el usuario B, que se encuentra en una red pblica, hacia el usuario C, que tambin pertenece a la red privada, la ALG con SIP asigna una nueva direccin IP y nmero de puerto al usuario C para que el usuario B pueda ponerse en contacto con l. Sin embargo, si el usuario C est registrado con un registrador, su asignacin de puerto se almacena en la tabla NAT de ALG y se reutiliza para realizar la traduccin. Update: Se utiliza para abrir un ojo de aguja para informacin SDP nueva o actualizada. Los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. 1Cdigos de respuesta xx, 202, 2xx, 3xx, 4xx, 5xx, 6xx: Utilizados para indicar el estado de una transaccin. Los campos de encabezado se modifican segn consta en la Tabla 2 en la pgina 28.
Clases de respuestas SIP

Las respuestas SIP proporcionan la informacin de estado sobre las transacciones SIP e incluyen un cdigo de respuesta y el motivo. Las respuestas SIP se agrupan en las siguientes clases: Informativo (100 a 199): peticin recibida, contina procesando la peticin. xito (200 a 299): accin recibida correctamente, comprendida y aceptada. Redireccin (300 a 399): se requiere una accin adicional para completar la peticin. Error del cliente (400 a 499): la peticin es sintcticamente incorrecta o no se puede ejecutar en este servidor. Error del servidor (500 a 599): el servidor no pudo cumplir una peticin aparentemente vlida. Fallo global (600 a 699): la peticin no se puede realizar en ningn servidor. La Tabla 1 proporciona una lista completa de respuestas actuales de SIP que se encuentran en los dispositivos de seguridad NetScreen compatibles.
Tabla 1: Respuestas de protocolo de inicio de sesin Clase
Informativo
Cdigo de respuesta-Motivo
100 Trying (Intentando) 182 Queued (En cola)
180 Ringing (Llamando) 183 Session progress (Progreso de la sesin) 202 Accepted (Aceptado) 301 Moved permanently (Movido permanentemente) 380 Alternative service (Servicio alternativo)
181 Call is being forwarded (Reenviando llamada)
xito Redireccin
200 OK 300 Multiple choices (Varias opciones) 305 Use proxy (Utilizar proxy)
302 Moved temporarily (Movido temporalmente)
16
Vista general
Clase
401 Unauthorized (No autorizado) 404 Not found (No encontrado)
402 Payment required (Requiere pago) 405 Method not allowed (Mtodo no permitido) 408 Request time-out (Peticin caducada) 411 Length required (Requiere longitud)
Error del cliente 400 Bad request (Peticin incorrecta) 403 Forbidden (Prohibido)
406 Not acceptable (No aceptable) 407 Proxy authentication required (Requiere autenticacin del proxy) 409 Conflict (Conflicto) 413 Request entity too large (Tamao de la peticin excesivo) 420 Bad extension (Extensin incorrecta) 482 Loop detected (Detectado bucle) 485 Ambiguous (Ambiguo) 488 Not acceptable here (No aceptable aqu) Error del servidor 500 Server internal error (Error interno del servidor) 502 Service unavailable (Servicio no disponible) Fallo global 501 Not implemented (No implementado) 504 Gateway time-out (Puerta de enlace caducada) 410 Gone (Ausente)
414 Request-URL too large (URL de 415 Unsupported media type (Tipo la peticin demasiado grande) de medio incompatible) 480 Temporarily not available (Temporalmente no disponible) 483 Too many hops (Demasiado saltos) 486 Busy here (Ocupado aqu) 481 Call leg/transaction does not exist (Tramo de la llamada o transaccin inexistente) 484 Address incomplete (Direccin incompleta) 487 Request canceled (Peticin cancelada)
502 Bad gateway (Puerta de enlace incorrecta) 505 SIP version not supported (Versin de SIP incompatible) 604 Does not exist anywhere (No existe en ninguna parte)
600 Busy everywhere (Ocupado en 603 Decline (Declinar) todas partes) 606 Not acceptable (No aceptable)
Puerta de enlace en la capa de aplicacin SIP

Existen dos tipos de trfico SIP, el de sealizacin y el de las secuencia de medios (streams). El trfico de sealizacin de SIP consiste en mensajes de peticin y de respuesta intercambiados entre el cliente y el servidor y utiliza protocolos de transporte como protocolo de datagrama de usuario (UDP) o protocolo de control de transmisiones (TCP). La secuencia de medios transporta los datos (por ejemplo, de audio) y utiliza protocolos de la capa de aplicacin tales como protocolo de transporte en tiempo real (RTP) sobre UDP. Los dispositivos de seguridad de Juniper Networks admiten mensajes de sealizacin SIP en el puerto 5060. Basta con crear una directiva que permita el servicio SIP para que el dispositivo de seguridad filtre el trfico de sealizacin SIP como cualquier otro tipo de trfico, permitindolo o rechazndolo. La secuencia multimedia, sin embargo, utiliza nmeros de puertos asignados dinmicamente y que pueden cambiar varias veces durante el curso de una llamada. Sin puertos fijos es imposible crear una directiva esttica para controlar el trfico de medios. En este caso, el dispositivo de seguridad invoca la ALG con SIP. La ALG con SIP lee los mensajes del protocolo SIP y su contenido SDP y extrae la informacin del nmero de puerto que necesita para abrir dinmicamente ojos de aguja que permitan a la secuencia de medios atravesar el dispositivo de seguridad.
Vista general
17
NOTA:
Por ojo de aguja se entiende la apertura limitada de un puerto para permitir trfico exclusivo. La ALG con SIP supervisa las transacciones SIP y crea y administra dinmicamente los ojos de aguja basndose en la informacin que extrae de esas transacciones. ALG con SIP de Juniper Networks admite todos los mtodos y respuestas del protocolo SIP (consulte Mtodos de peticin del protocolo SIP en la pgina 14 y Clases de respuestas SIP en la pgina 16). Puede permitir a las transacciones SIP atravesar el cortafuegos de Juniper Networks creando una directiva esttica que permita el servicio SIP. Esta directiva habilita el dispositivo de seguridad para que intercepte trfico SIP y ejecute una de las siguientes acciones: permitir o denegar el trfico o habilitar la ALG con SIP para abrir ojos de aguja por los que entregar la secuencia multimedia. La ALG con SIP slo necesita abrir ojos de aguja para las peticiones y respuestas SIP que contienen informacin multimedia (SDP). En cuanto a los mensajes SIP que no contienen SDP, el dispositivo de seguridad simplemente los deja pasar. La ALG con SIP intercepta los mensajes SIP que contienen SDP y, utilizando un analizador sintctico, extrae la informacin que requiere para crear ojos de aguja. La ALG con SIP examina la porcin SDP del paquete y un analizador sintctico extrae datos tales como direcciones IP y nmeros de puerto, que la ALG con SIP registra en una tabla de ojos de aguja. La ALG con SIP utiliza las direcciones IP y los nmeros de puerto registrados en la tabla de ojos de aguja para abrir nuevos ojos de aguja que permitan a las secuencias multimedia atravesar el dispositivo de seguridad.
NOTA:
Los dispositivos de seguridad Juniper Networks no admiten SDP encriptado. Si un dispositivo de seguridad recibe un mensaje SIP con el SDP encriptado, la ALG con SIP permite que pase a travs del cortafuegos, pero genera un mensaje del registro y le informa al usuario de que no puede procesar el paquete. Si SDP est encriptado, la ALG con SIP no puede extraer la informacin que necesita para abrir ojos de aguja. Consecuentemente, el contenido multimedia descrito en el SDP no puede atravesar el dispositivo de seguridad.
Sesiones con protocolo de descripcin de sesiones

Las descripciones de sesiones SDP consisten en un conjunto de lneas de texto. Pueden contener informacin de la sesin y del medio. La informacin a nivel de sesin se refiere a toda la sesin, mientras que la informacin a nivel de medio se refiere a una determinada secuencia multimedia. Una descripcin de sesin SDP siempre contiene informacin a nivel de sesin al principio de la descripcin, y puede contener informacin a nivel de medio, que se incluye despus.
NOTA:
En la descripcin de la sesin SDP, la informacin a nivel del medio comienza con el campo m=.
18
Vista general
De los muchos campos presentes en la descripcin SDP, dos son particularmente tiles para la ALG con SIP porque contienen la informacin de la capa de transporte. Ambos campos son los siguientes: c= para informacin de la conexin Este campo puede aparecer a nivel de sesin o de medio. Se muestra en este formato: c=<tipo de red><tipo de direccin><direccin de conexin> Actualmente, el dispositivo de seguridad admite solamente IN (abreviatura de Internet) como tipo de red, IP4 como tipo de direccin y una direccin IP o nombre de dominio de unidifusin como direccin IP de destino (conexin).
NOTA:
Generalmente, la direccin IP de destino tambin puede ser una direccin IP multidifusin, pero por el momento ScreenOS no admite multidifusin con SIP. Si la direccin IP de destino es una direccin IP unicast, la ALG con SIP crea ojos de aguja usando la direccin IP y los nmeros de puerto especificados en el campo de descripcin de medios m=. m= para anuncio de medio Este campo aparece a nivel de medios y contiene la descripcin del medio. Se muestra en este formato: m=<medio><puerto><transporte><lista formatos> Actualmente, el dispositivo de seguridad admite solamente audio como medio y RTP como protocolo de transporte de la capa de aplicacin. El nmero de puerto indica el destino de la secuencia de medios (y no su origen). La lista de formatos (fmt list) proporciona informacin sobre el protocolo de la capa de aplicacin utilizado por el medio. En esta versin de ScreenOS, el dispositivo de seguridad abre puertos solamente para RTP y RTCP. Cada sesin RTP tiene una sesin de protocolo de control del transporte en tiempo real (RTCP) correspondiente. Por lo tanto, siempre que una secuencia multimedia utilice RTP, la ALG con SIP debe reservar puertos (crear ojos de aguja) tanto para el trfico RTP como para el RTCP. De forma predeterminada, el nmero de puerto para RTCP es el siguiente al del puerto RTP.
NOTA:
Generalmente, la direccin IP de destino tambin puede ser una direccin IP multidifusin, pero por el momento ScreenOS no admite multidifusin con SIP.
Vista general
19
Creacin de ojos de aguja

Los ojos de aguja para el trfico RTP y RTCP comparten la misma direccin IP de destino. La direccin IP procede del campo c= en la descripcin de sesin de SDP. Debido a que el campo c= puede aparecer tanto en la porcin del nivel de sesin como en la del nivel del medio dentro de la descripcin de la sesin SDP, el analizador sintctico (parser) determina la direccin IP basndose en las reglas siguientes (siguiendo las convenciones de SDP): En primer lugar, el analizador sintctico de la ALG con SIP verifica si hay un campo c= que contenga una direccin IP en el nivel de medios. Si hay alguno, extrae dicha direccin IP y la ALG con SIP la utiliza para crear un ojo de aguja para los medios. Si no hay ningn campo c= a nivel de medios, el analizador sintctico de la ALG con SIP extrae la direccin IP del campo c= en el nivel de sesin y la ALG con SIP la utiliza para crear un ojo de aguja para los medios. Si la descripcin de la sesin no contiene un campo c= en ningn nivel, significa que existe un error en la pila del protocolo, por lo que el dispositivo de seguridad descarta el paquete y registra el evento. La lista siguiente muestra la informacin que la ALG con SIP necesita para crear un ojo de aguja. Esta informacin procede de la descripcin de la sesin SDP y de los parmetros del dispositivo de seguridad: Protocolo: UDP. IP de origen: Desconocido. Puerto de origen: Desconocido. IP de destino: El analizador sintctico extrae la direccin IP de destino del campo c= en el nivel de medio o de sesin. Puerto de destino: El analizador sintctico extrae el nmero del puerto de destino para RTP del campo m= en el nivel de medios y calcula el nmero del puerto de destino para RTCP utilizando la siguiente frmula: Nmero de puerto RTP + uno. Duracin: Este valor indica el tiempo (en segundos) que permanece abierto un ojo de aguja para permitir el paso de un paquete. Un paquete debe pasar a travs del ojo de aguja antes de que caduque este tiempo. Cuando caduca, la ALG con SIP elimina el ojo de aguja. Cuando un paquete atraviesa el ojo de aguja dentro del periodo de vigencia, inmediatamente despus la ALG con SIP elimina el ojo de aguja para la direccin de procedencia del paquete. La Figura 8 describe una configuracin de llamada entre dos clientes SIP y cmo la ALG con SIP crea ojos de aguja para permitir el trfico RTP y RTCP. La ilustracin asume que el dispositivo de seguridad tiene una directiva que permite el trfico SIP, abriendo el puerto 5060 para mensajes de sealizacin SIP.
20
Vista general
Figura 8: Ajuste de llamada de ALG con SIP
Cliente A 1.1.1.1
Zona Trust
Dispositivo de seguridad
Proxy SIP
Zona Untrust
Cliente B 2.2.2.2
1.El cliente A enva una peticin INVITE destinada al Cliente B al proxy SIP a travs del puerto 5060 en el dispositivo de seguridad (SDP 1.1.1.1:2000) 5. El proxy SIP transmite la respuesta de "Ringing" (llamando) del Cliente B al Cliente A a travs del puerto 5060 en el dispositivo de seguridad 8. El proxy SIP transmite una respuesta 200 OK del Cliente B al Cliente A a travs del dispositivo de seguridad 9. El Cliente A enva una respuesta ACK destinada al Cliente B al proxy SIP a travs del puerto 5060 en el dispositivo de seguridad
2. Por SDP, la ALG con SIP crea un ojo de aguja para 1.1.1.1: 2000
3. El proxy SIP transmite la peticin INVITE al Cliente B 4. El Cliente B contesta al proxy SIP con una respuesta "Ringing" (llamando)
7. Por SDP, la ALG con SIP crea un ojo de aguja para 2.2.2.2: 3000
6. El Cliente B enva una respuesta 200 OK al proxy SIP en respuesta a la peticin INVITE (SDP: 2.2.2.2: 3000)
10. El proxy SIP transmite la respuesta ACK al Cliente B Ojo de aguja 1 11. El Cliente B enva el trfico de medios (RTP/RTCP) al Cliente A a travs del ojo de aguja 1
12. El Cliente A enva el trfico de medios (RTP/RTCP) al Cliente B a travs del ojo de aguja 2
Ojo de aguja 2
NOTA:
La ALG con SIP no crea ojos de aguja para el trfico RTP y RTCP cuando la direccin IP de destino es 0.0.0.0 (ya que indica que la sesin est retenida). Para poner una sesin en estado retenido (on hold), por ejemplo, durante una comunicacin telefnica, un usuario (Usuario A) enva al otro usuario (Usuario B) un mensaje SIP en el cual la direccin IP de destino es 0.0.0.0. De este modo se indica al Usuario B que no enve ningn medio hasta nuevo aviso. Si an as el Usuario B enva algn medio, el dispositivo de seguridad descarta los paquetes.
Tiempo de espera por inactividad de la sesin

Normalmente, una llamada termina cuando uno de los clientes enva una peticin BYE o CANCEL. La ALG con SIP intercepta la peticin BYE o CANCEL y elimina todas las sesiones de medios de esa llamada. Existen posibles causas o problemas que impediran a los clientes de una llamada enviar peticiones BYE o CANCEL, por ejemplo, un fallo de alimentacin elctrica. En este caso, la llamada podra continuar indefinidamente, consumiendo recursos en el dispositivo de seguridad. La funcin de tiempo de espera por inactividad permite al dispositivo de seguridad supervisar el estado vital de la llamada para terminarla si no hay actividad durante un periodo determinado de tiempo. Una llamada puede tener uno o varios canales de voz. Cada canal de voz tiene dos sesiones (o dos secuencias de medios), una para RTP y otra para RTCP. En cuanto a la gestin de las sesiones, el dispositivo de seguridad trata las sesiones de cada canal de voz como un grupo. Los ajustes tales como el tiempo de espera por inactividad se aplican a nivel de grupo, no a cada sesin.
Vista general
21
Existen dos tipos de tiempo de espera por inactividad que determinan la duracin de un grupo: Tiempo de espera por inactividad de sealizacin: Este parmetro indica el tiempo mximo (en segundos) que una llamada puede seguir activa sin que se sealice trfico SIP. Cada vez que se genera un mensaje SIP durante una llamada, este tiempo de espera se restablece. El ajuste predeterminado es de 43200 segundos (12 horas). Tiempo de espera por inactividad de medios: Este parmetro indica el tiempo mximo (en segundos) que una llamada puede permanecer activa sin que se produzca trfico de medios (RTP o RTCP) dentro de un grupo. Cada vez que se genera un paquete RTP o RTCP durante una llamada, este tiempo de espera se restablece. El ajuste predeterminado es de 120 segundos. Si cualquiera de estos tiempos de espera caduca, el dispositivo de seguridad elimina todas las sesiones de esa llamada en su tabla, terminando de ese modo la llamada.
Proteccin contra ataques SIP

La capacidad de procesamiento de llamadas del servidor proxy SIP puede verse afectada por la repeticin de peticiones INVITE de SIP, tanto malvolas como por error del cliente o del servidor, denegadas inicialmente. Para impedir que el servidor proxy SIP sea saturado por tales peticiones, puede utilizar el comando sip protect deny para configurar el dispositivo de seguridad de modo que supervise las peticiones INVITE y las correspondientes respuestas del servidor proxy. Si alguna respuesta contiene un cdigo de respuesta 3xx, 4xx o 5xx (vase Clases de respuestas SIP en la pgina 16), ALG guarda la direccin IP de la peticin y la direccin IP del servidor proxy en una tabla. El dispositivo de seguridad comprueba posteriormente todas las peticiones INVITE realizadas contra esta tabla y, durante un nmero configurable de segundos (el predeterminado es de 3), descarta cualquier paquete que coincida con entradas en la tabla. Tambin puede configurar el dispositivo de seguridad para que supervise las peticiones INVITE a un servidor proxy determinado especificando la direccin IP de destino. La proteccin contra ataques SIP se configura globalmente.
Ejemplo: SIP Protect Deny

En este ejemplo configurar el dispositivo de seguridad para que proteja un servidor proxy de SIP (1.1.1.3/24) contra peticiones INVITE repetitivas a las que ya haya denegado el servicio. Los paquetes se descartan durante 5 segundos, transcurridos los cuales el dispositivo de seguridad reanuda el redireccionamiento de peticiones INVITE procedentes de esos orgenes. WebUI Para proteger servidores proxy SIP contra inundaciones causadas por peticiones INVITE, debe utilizar el CLI. CLI
set alg sip app-screen protect deny dst-ip 1.1.1.3/24 set alg sip protect deny timeout 5 save
22
Vista general
Ejemplo: Tiempos de espera por inactividad de sealizacin o de medios

En este ejemplo configurar el tiempo de espera por inactividad de sealizacin en 30.000 segundos y el tiempo de espera por inactividad de medios en 90 segundos. WebUI
NOTA:
Para establecer tiempos de espera para sealizaciones SIP e inactividad de medios, debe utilizar la CLI. CLI
set alg sip signaling-inactivity-timeout 30000 set alg sip media-inactivity-timeout 90 save
Ejemplo: Proteccin contra inundaciones UDP

Puede proteger el dispositivo de seguridad contra inundaciones UDP por zona y por direccin de destino. En este ejemplo, establecer un umbral de 80.000 por segundo para el nmero de paquetes UDP que se pueden recibir en la direccin IP 1.1.1.5, en la zona Untrust, antes de que el dispositivo de seguridad genere una alarma y descarte los paquetes subsiguientes durante el resto de ese segundo.
NOTA:
Este ejemplo utiliza un comando general de ScreenOS, y no es necesariamente especfico de SIP. Si desea ms informacin acerca de la proteccin contra inundacin UDP y cmo determinar la configuracin efectiva, consulte Inundaciones UDP en la pgina 4-51. WebUI Security > Screening > Screen: Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust UDP Flood Protection (seleccione)
>Destination IP: Escriba lo siguiente, luego haga clic en la flecha Atrs de su explorador para regresar a la pgina de configuracin de la pantalla:
Destination IP: 1.1.1.5 Threshold: 80000 Add: (seleccione)
CLI
set zone untrust screen udp-flood dst-ip 1.1.1.5 threshold 80000 save
Vista general
23
Ejemplo: Mximo de conexiones SIP

En este ejemplo impedir ataques de inundacin en la red SIP procedentes de atacantes de la zona Untrust, estableciendo un mximo de 20 sesiones simultneas desde una sola direccin IP. Si el dispositivo de seguridad detecta ms de 20 intentos de conexin desde la misma direccin IP, comienza a descartar los intentos subsiguientes hasta que el nmero de sesiones caiga por debajo del mximo especificado.
NOTA:
Este ejemplo utiliza un comando general de ScreenOS, y no es necesariamente especfico de SIP. Para obtener ms informacin sobre lmites de sesiones basados en orgenes y cmo determinar los ajustes ms eficaces, consulte Lmites a la cantidad de sesiones segn sus orgenes y destinos en la pgina 4-30. WebUI Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK:
Source IP Based Session Limit: (seleccione) Threshold: 20 Sessions
CLI
set zone untrust screen limit-session source-ip-based 20 save
SIP con traduccin de direcciones de red (NAT)

El protocolo de traduccin de direcciones de red (NAT) permite a mltiples equipos de una subred privada compartir una sola direccin IP pblica para acceder a Internet. Para el trfico saliente, NAT reemplaza la direccin IP privada del equipo dentro de la subred privada por la direccin IP pblica. Para el trfico entrante, la direccin IP pblica se transforma en la direccin privada y el mensaje se enruta al equipo apropiado de la subred privada. La utilizacin conjunta de NAT con el servicio SIP es ms complicada, porque los mensajes SIP contienen direcciones IP tanto en los encabezados como en el cuerpo SIP. Los encabezados SIP contienen informacin sobre el llamante y el receptor, y el dispositivo de seguridad traduce esta informacin para ocultarla a la red exterior. El cuerpo del protocolo SIP contiene la informacin del protocolo de descripcin de sesiones (Session Description Protocol o SDP), que contiene las direcciones IP y nmeros de puerto para la transmisin de los medios. El dispositivo de seguridad traduce la informacin del SDP para asignar los recursos necesarios para enviar y recibir los medios. La forma en que se reemplazan las direcciones IP y los nmeros de puerto en mensajes SIP depende de la direccin del mensaje. Para los mensajes salientes, la direccin IP y el nmero de puerto privados del cliente se reemplazan por la direccin IP y el nmero de puerto pblicos del cortafuegos de NetScreen. Para los mensajes entrantes, la direccin pblica del cortafuegos se reemplaza por la direccin privada del cliente.
24
Cuando se enva un mensaje INVITE a travs del cortafuegos, la ALG con SIP recoge informacin del encabezado del mensaje en una tabla de llamadas, que utiliza para reenviar los mensajes subsiguientes al punto de destino correcto. Cuando llega un mensaje nuevo, por ejemplo un ACK o un 200 OK, la ALG compara los campos From:, To: y Call-ID: con la tabla de llamadas para identificar el contexto de llamada del mensaje. Si llega un nuevo mensaje INVITE que coincida con la llamada existente, ALG lo procesa como REINVITE. Cuando llega un mensaje con informacin del SDP, ALG asigna puertos y crea una asignacin NAT entre ellos y los puertos en el SDP. Dado que el SDP requiere puertos consecutivos para los canales del protocolo en tiempo real (Real Time Protocol o RTP) y del protocolo de control en tiempo real (Real Time Control Protocol o RTCP), ALG proporciona puertos pares-impares consecutivos. Si no encuentra ningn par de puertos, descarta el mensaje SIP.
Llamadas salientes
Cuando una llamada SIP se inicia mediante un mensaje de peticin SIP desde la red interna hacia la red externa, NAT reemplaza las direcciones IP y los nmeros de puerto en el SDP y crea un enlace para asignar las direcciones IP y los nmeros de puerto al cortafuegos de Juniper Networks. los campos de encabezado de SIP Via:, Contact:, Route:, y Record-Route:, si estn presentes, tambin se vinculan a la direccin IP del cortafuegos. ALG almacena estas asignaciones para utilizarlas en retransmisiones y para los mensajes de respuesta SIP. A continuacin, la ALG con SIP abre ojos de aguja en el cortafuegos para permitir el paso de medios a travs del dispositivo de seguridad por los puertos dinmicamente asignados, negociados basndose en la informacin del SDP y de los campos de encabezado Via:, Contact: y Record- -Route: Los ojos de aguja tambin permiten que los paquetes entrantes alcancen los campos Contact:, Via: y Record-Route:, direcciones IP y puertos. Al procesar el trfico de retorno, la ALG vuelve a insertar los campos SIP originales Contact:, Via:, Route: y Record-Route: en los paquetes.
Llamadas entrantes
Las llamadas entrantes se inician desde la red pblica hacia direcciones IP pblicas asignadas (MIP) o hacia direcciones IP de interfaces del dispositivo de seguridad. Las MIP son direcciones IP configuradas estticamente que apuntan a hosts internos; las direcciones IP de interfaz son registradas dinmicamente por la ALG mientras supervisa los mensajes REGISTER enviados por hosts internos al registrador SIP. (Para obtener ms informacin, consulte Ejemplos en la pgina 31). Cuando el dispositivo de seguridad recibe un paquete SIP entrante, genera una sesin y reenva la carga de datos del paquete a la ALG con SIP. El ALG examina el mensaje de peticin SIP (inicialmente un INVITE) y, basndose en la informacin del SDP, abre las puertas para los medios salientes. Cuando llega un mensaje de respuesta OK 200, la ALG con SIP aplica NAT a las direcciones y puertos IP y abre ojos de aguja en la direccin de salida. (Las puertas abiertas tienen un plazo de vida corto y caducan si no se recibe rpidamente un mensaje de respuesta 200 OK).
25
Cuando llega una respuesta OK 200, el proxy SIP examina la informacin SDP y lee las direcciones IP y nmeros de puerto de cada sesin de medios. La ALG con SIP del dispositivo de seguridad aplica NAT a las direcciones y nmeros de puerto, abre ojos de aguja para el trfico saliente y restablece el tiempo de espera para las puertas en la direccin de entrada. Cuando llega la seal ACK de 200 OK, tambin atraviesa la ALG con SIP. Si el mensaje contiene informacin del SDP, la ALG con SIP garantiza que las direcciones IP y los nmeros de puerto no sean cambiados con respecto al anterior INVITE; si lo son, la ALG elimina los ojos de aguja antiguos y crea otros nuevos para permitir el paso de los medios. La ALG supervisa tambin los campos de SIP Via:, Contact:, y Record-Route: y abre nuevos ojos de aguja si detecta que estos campos han cambiado.
Llamadas reenviadas
Una llamada es reenviada cuando, por ejemplo, el usuario A externo a la red llama al usuario B dentro de la red y ste reenva la llamada al usuario C fuera de la red. La ALG con SIP procesa la seal INVITE del usuario A como llamada entrante normal. Pero cuando la ALG examina la llamada reenviada desde B a C, que se encuentra fuera de la red, y detecta que B y C se pueden alcanzar a travs de la misma interfaz, no abre ojos de aguja en el cortafuegos, ya que los medios podrn fluir directamente entre el usuario A y el usuario C.
Terminacin de la llamada
El mensaje BYE se utiliza para terminar una llamada. Cuando el dispositivo de seguridad recibe un mensaje BYE, traduce los campos del encabezado igual que hace con cualquier otro mensaje, pero debido a que los mensajes BYE debe ser confirmados por el receptor con 200 OK, la ALG retrasa el desmantelamiento de la llamada durante cinco segundos para dar tiempo a que se transmita el 200 OK.
Mensajes de llamada Re-INVITE

Los mensajes Re-INVITE se utilizan para agregar nuevas sesiones de medios a una llamada y para eliminar sesiones de medios existentes. Cuando se agregan nuevas sesiones de medios a una llamada, se abren nuevos ojos de aguja en el cortafuegos y se crean nuevos enlaces de direcciones. El proceso es idntico al establecimiento original de la llamada. Cuando se eliminan una o ms sesiones de medios de una llamada, los ojos de aguja se cierran y los enlaces se anulan, igual que con un mensaje BYE.
Temporizadores de sesiones de llamadas

La ALG con SIP utiliza el valor Session-Expires para hacer caducar una sesin si no se recibe ningn mensaje Re-INVITE o UPDATE. El ALG obtiene el valor Session-Expires, si est presente, de la respuesta 200 OK al INVITE y utiliza este valor para sealizar el tiempo de espera. Si la ALG recibe otro INVITE antes de que la sesin caduque, restablece todos los valores del tiempo de espera a este nuevo INVITE o a valores predeterminados, y el proceso se repite.
26
Como medida preventiva, la ALG con SIP utiliza valores de tiempo de espera estrictos para definir el tiempo mximo que una llamada puede existir. Esto garantiza que el dispositivo de seguridad est protegido en los siguientes casos: El sistema final se viene abajo durante una llamada y el mensaje BYE no se recibe nunca. Usuarios malvolos nunca envan un BYE para intentar atacar una ALG con SIP. Implementaciones deficientes del proxy SIP que no pueden procesar Record-Route y nunca envan un mensaje BYE. Fallos de red impiden la recepcin de un mensaje BYE.
Cancelacin de la llamada
Cualquier interlocutor puede cancelar una llamada enviando un mensaje CANCEL. En el momento de recibir un mensaje CANCEL, la ALG con SIP cierra los ojos de aguja (que haya abiertos) en todo el cortafuegos y libera los enlaces de direcciones. Antes de liberar los recursos, la ALG retrasa el envejecimiento del canal de control durante unos cinco segundos para dar tiempo a que pase la seal 200 OK final. La llamada se termina cuando expira el tiempo de espera de cinco segundos, tanto si llega una respuesta 487 como si llega una 200.
Bifurcacin
La bifurcacin permite a un proxy SIP enviar un mismo mensaje INVITE a mltiples destinos simultneamente. Cuando llegan los diferentes mensajes de respuesta 200 OK para esa nica llamada, la ALG con SIP analiza pero actualiza la informacin de la llamada con el mensaje primer mensaje 200 OK que recibe.
Mensajes SIP
El formato de un mensaje SIP consta de una seccin de encabezado SIP y del cuerpo SIP. En mensajes de peticin, la primera lnea de la seccin de encabezado es la lnea de peticin, que incluye el tipo de mtodo, Request-URI y la versin del protocolo. En mensajes de respuesta, la primera lnea es la lnea de estado, que contiene un cdigo de estado. Los encabezados SIP contienen las direcciones IP y nmeros de puerto utilizados para la sealizacin. El cuerpo SIP, separado de la seccin de encabezado por una lnea en blanco, est reservado para la informacin de descripcin de la sesin, que es opcional. Actualmente, los dispositivos de seguridad Juniper Networks slo admiten el protocolo SDP. El cuerpo SIP contiene las direcciones IP y los nmeros de puerto utilizados para transportar los medios. En el modo NAT, el dispositivo de seguridad traduce la informacin de los encabezados SIP para ocultar la informacin a la red exterior. NAT se aplica a la informacin del cuerpo SIP para asignar recursos, es decir, nmeros de puerto en los que se recibirn los medios.
27
Encabezados SIP
En el siguiente ejemplo de mensaje de peticin SIP, NAT reemplaza las direcciones IP en los campos del encabezado, mostrados en negrita, para ocultarlos a la red exterior.
INVITE bob@10.150.20.5 SIP/2.0 Via: SIP/2.0/UDP 10.150.20.3:5434 From: alice@10.150.20.3 To: bob@10.150.20.5 Call-ID: a12abcde@10.150.20.3 Contact: alice@10.150.20.3:5434 Route: <sip:netscreen@10.150.20.3:5060> Record-Route: <sip:netscreen@10.150.20.3:5060>
El mtodo aplicado para traducir la direccin IP depende del tipo y de la direccin del mensaje, que puede ser uno de los siguientes: Peticin entrante Respuesta saliente Peticin saliente Respuesta entrante La Tabla 2 muestra cmo se aplica NAT en cada uno de estos casos. Observe que, para varios de los campos de encabezado, la ALG necesita saber algo ms que la mera procedencia interior o exterior de los mensajes. Tambin necesita saber qu cliente inici la llamada y si el mensaje es una peticin o una respuesta.
Tabla 2: Mensaje de solicitud con NAT Tipo de mensaje
Peticin entrante (de pblica a privada)
Campos
To: From: Call-ID: Via: Request-URI: Contact: Record-Route: Route:
Accin
Reemplazar direccin ALG por direccin local Ninguna Ninguna Ninguna Reemplazar direccin ALG por direccin local Ninguna Ninguna Ninguna Reemplazar direccin ALG por direccin local Ninguna Ninguna Ninguna N/A Reemplazar direccin local por direccin ALG Reemplazar direccin local por direccin ALG Ninguna
Respuesta saliente (de privada a pblica)
28
Tipo de mensaje
Peticin saliente (de privada a pblica)
Campos
Accin
Ninguna Reemplazar direccin local por direccin ALG Reemplazar direccin local por direccin ALG Reemplazar direccin local por direccin ALG Ninguna Reemplazar direccin local por direccin ALG Reemplazar direccin local por direccin ALG Reemplazar direccin ALG por direccin local Ninguna Reemplazar direccin ALG por direccin local Reemplazar direccin ALG por direccin local Reemplazar direccin ALG por direccin local N/A Ninguna Reemplazar direccin ALG por direccin local Reemplazar direccin ALG por direccin local
Respuesta saliente (de pblica a privada)
Cuerpo SIP
La informacin SDP en el cuerpo SIP contiene direcciones IP que ALG utiliza para crear canales para la secuencia de medios. La traduccin de la seccin SDP tambin asigna recursos, es decir, nmeros de puerto para enviar y recibir los medios. El siguiente extracto de una seccin SDP muestra los campos que se traducen para la asignacin de recursos.
o=user 2344234 55234434 IN IP4 10.150.20.3 c=IN IP4 10.150.20.3 m=audio 43249 RTP/AVP 0
Los mensajes SIP pueden contener ms de una secuencia de medios. El concepto es similar a adjuntar varios archivos a un mensaje de correo electrnico. Por ejemplo, un mensaje INVITE enviado desde un cliente SIP a un servidor SIP puede tener los siguientes campos:
c=IN IP4 10.123.33.4 m=audio 33445 RTP/AVP 0 c=IN IP4 10.123.33.4 m=audio 33447 RTP/AVP 0 c=IN IP4 10.123.33.4 m=audio 33449 RTP/AVP 0
Los dispositivos de seguridad Juniper Networks admiten hasta seis canales SDP negociados para cada direccin, hasta un total de 12 canales por llamada. Para obtener ms informacin, consulte Sesiones con protocolo de descripcin de sesiones en la pgina 18.
29
Supuesto de NAT con el protocolo SIP

En la Figura 9, ph1 enva un mensaje SIP INVITE a ph2. Observe cmo el dispositivo de seguridad traduce las direcciones IP en los campos del encabezado, que se muestran en fuente en negrita. La seccin SDP del mensaje INVITE indica dnde el llamante est dispuesto a recibir medios. Observe que el ojo de aguja de los medios contiene dos nmeros de puertos, 52002 y 52003, para RTCP y RTP. El ojo de aguja Via/Contact proporciona el nmero de puerto 5060 para la sealizacin SIP. Observe cmo, en el mensaje de respuesta 200 OK, las traducciones realizadas en el mensaje INVITE se invierten. Las direcciones IP de este mensaje, al ser pblicas, no se traducen, pero las puertas se abren para permitir el acceso de la secuencia de medios a la red privada.
Figura 9: Supuesto de NAT con el protocolo SIP 1
SIP ph1 5.5.5.1 Red interna
5.5.5.2
6.6.6.1 Red externa INVITE Sip: ph2@ 6.6.6.6 SIP/2.0 Via: SIP/2.0/UDP 6.6.6.1:5060 Call-ID: a1234@6.6.6.1 From: ph1@6.6.6.1 To: ph2@6.6.6.2 CSeq 1 INVITE Content-type: application/sdp Content-Length: 98 V=0 o=ph1 3123 1234 IP IP4 6.6.6.1 o=IN IPv4 6.6.6.1 m=audio 52002 RTP/AVP 0
6.6.6.2 SIP ph2
INVITE Sip: ph2@ 6.6.6.6 SIP/2.0 Via: SIP/2.0/UDP 5.5.5.1:5060 Call-ID: a1234@5.5.5.1 From: ph1@5.5.5.1 To: ph2@6.6.6.2 CSeq 1 INVITE Content-type: application/sdp Content-Length: 98 V=0 o=ph1 3123 1234 IP IP4 5.5.5.1 o=IN IPv4 5.5.5.1 m=audio 62002 RTP/AVP 0
Ojo de aguja de los medios 5.5.5.1 45002/45003 Cualquier IP 6.6.6.1 52002/52003 Cualquier puerto Ojo de aguja Via/Contact 5.5.5.1 5060 6.6.6.1 1234 Cualquier IP Cualquier puerto
30
Figura 10: Supuesto de NAT con el protocolo SIP 2

SIP ph1 5.5.5.1 Red interna SIP/2.0 200 OK Via: SIP/2.0/UDP 5.5.5.1:5060 Call-ID: a1234@5.5.5.1 From: ph1@5.5.5.1 To: ph2@6.6.6.2 CSeq 1 INVITE Content-type: application/sdp Content-Length: 98 V=0 o=ph2 5454 565642 IP IP4 6.6.6.2 c=IN IP4 6.6.6.2 m=audio 62002 RTP/AVP 0
5.5.5.2
6.6.6.1 Red externa SIP/2.0 200 OK Via: SIP/2.0/UDP 6.6.6.1:1234 Call-ID: a1234@6.6.6.1 From: ph1@6.6.6.1 To: ph2@6.6.6.2 CSeq 1 INVITE Content-type: application/sdp Content-Length: 98 Contact SIP: 6.6.6.6:5060 V=0 o=ph2 5454 565642 IP IP4 6.6.6.2 c=IN IP4 6.6.6.2 m=audio 62002 RTP/AVP 0
6.6.6.2 SIP ph2
Ojo de aguja de los medios Cualquier IP 6.6.6.2 Cualquier 62002/62003 puerto Ojo de aguja Via/Contact Cualquier IP Cualquier puerto 6.6.6.2 5060
ACK SIP:ph2@6.6.6.2 SIP/2.0 ....
ACK SIP:ph2@6.6.6.2 SIP/2.0 ....
Ejemplos
Esta seccin contiene los siguientes ejemplos de supuestos: Soporte de llamadas SIP entrantes utilizando el registrador SIP en la pgina 32 Ejemplo: Llamada entrante con MIP en la pgina 38 Ejemplo: Proxy en la zona privada en la pgina 40 Ejemplo: Proxy en la zona pblica en la pgina 43 Ejemplo: Zona triple, proxy en DMZ en la pgina 45 Ejemplo: Untrust intrazonal en la pgina 49 Ejemplo: Trust intrazonal en la pgina 52 Ejemplo: VPN de malla completa para SIP en la pgina 55
31
Ejemplos
Soporte de llamadas SIP entrantes utilizando el registrador SIP

El registro SIP proporciona una funcin de descubrimiento que permite a los proxies y servidores de ubicaciones SIP identificar las ubicaciones donde los usuarios desean ser contactados. Un usuario registra una o ms ubicaciones de contacto enviando un mensaje REGISTER al registrador. Los campos To: y Contact: en el mensaje REGISTER contienen la URI de la direccin del registro y al menos una URI de contacto, segn se muestra en la Figura 11. El registro crea enlaces en un servicio de ubicacin que asocia la direccin del registro a la direccin o a las direcciones de contacto. El dispositivo de seguridad supervisa los mensajes REGISTER salientes, aplica NAT a estas direcciones y almacena la informacin en una tabla de DIP entrante. A continuacin, cuando se recibe un mensaje INVITE desde fuera de la red, el dispositivo de seguridad utiliza la tabla de DIP entrante para identificar a qu host interno enrutar el mensaje INVITE. Puede aprovechar el servicio de registro del proxy SIP para permitir llamadas entrantes configurando DIP de interfaz o rangos DIP en la interfaz de salida del dispositivo de seguridad. DIP de interfaz es adecuado para gestionar llamadas entrantes en una pequea oficina, mientras que la creacin de rangos DIP se recomienda para redes ms grandes o entornos empresariales.
NOTA:
El soporte de llamadas entrantes usando DIP de interfaz o un rango DIP slo se admite para los servicios SIP y H.323. Para llamadas entrantes, actualmente los dispositivos de seguridad slo admiten UDP y TCP. Hoy por hoy tampoco se admite la resolucin de nombres de dominio, por lo que las URI deben contener direcciones IP, segn se muestra en la Figura 11.
32
Ejemplos
Figura 11: SIP entrante

Tabla de DIP entrante
5.5.5.1 : 1234
6.6.6.1 : 5555
3600
Dispositivo de seguridad SIP ph1 5.5.5.1 6.6.6.1 Red externa Agregar entrada a la tabla de DIP entrante
Registrador 6.6.6.2
5.5.5.2 Red interna

REGISTER sip: 6.6.6.2 SIP/2.0 From: ph1@5.5.5.1 To: ph1@5.5.5.1 CSeq 1 INVITE Contact <sip: 5.5.5.1:1234> Expires: 7200
REGISTER sip:6.6.6.2 SIP/2.0 From: ph1@6.6.6.1 To: ph1@6.6.6.1 CSeq 1 INVITE Contact <sip: 6.6.6.1:5555> Expires: 7200
200 OK From: ph1@5.5.5.1 To: ph1@5.5.5.1 CSeq 1 INVITE Contact <sip: 5.5.5.1:1234> Expires: 3600
Actualizar el valor del tiempo de espera
200 OK From: ph1@6.6.6.1 To: ph1@6.6.6.1 CSeq 1 INVITE Contact <sip: 6.6.6.1:5555> Expires: 3600
Ejemplo: Llamada entrante (DIP de interfaz)

En este ejemplo, phone1 se encuentra en la interfaz ethernet1 en la zona Trust y phone2 y el servidor proxy en la interfaz ethernet3 de la zona Untrust. Configurar la DIP de interfaz en la interfaz ethernet3 para aplicar NAT a las llamadas entrantes, a continuacin crear una directiva que permita el trfico SIP desde la zona Untrust a la zona Trust y har referencia a esa DIP en la directiva. Tambin crear una directiva que permita el trfico SIP desde la zona Trust a la zona Untrust utilizando NAT Source. Esto permitir a phone1 en la zona Trust registrarse en el proxy de la zona Untrust. Para obtener una explicacin sobre cmo funciona DIP entrante con el servicio de registro SIP, consulte Ejemplos en la pgina 31.
Ejemplos
33
Figura 12: Llamada entrante con DIP de interfaz en la Interfaz ethernet2

ethernet1 10.1.1.1/24 Trust Dispositivo de seguridad LAN ethernet3 1.1.1.1/24 Untrust Internet
DIP de interfaz en ethernet 3 phone1 10.1.1.3 phone2 1.1.1.4
Servidor proxy 1.1.1.3
WebUI
1. Interfaces
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Interface Mode: Route
2. Direcciones
Address Name: phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Address Name: phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
34
Ejemplos
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.3/24 Zone: Untrust
Network > Interface > Edit (para ethernet3) > DIP > New: Seleccione la opcin NAT entrante y haga clic en OK.
4. Directivas
Source Address Address Book Entry: (seleccione), phone1 Destination Address Address Book Entry: (seleccione), any Service: SIP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: (seleccione) (DIP on): None (utilizar la IP de la interfaz de salida)
Source Address Address Book Entry: (seleccione), Any Destination Address Address Book Entry: (seleccione), DIP(ethernet3) Service: SIP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24 set address untrust phone2 1.1.1.4/24 set address untrust proxy 1.1.1.3/24
set interface ethernet3 dip interface-ip incoming set dip sticky
Ejemplos
35
4.
Directivas
set policy from trust to untrust phone1 any sip nat src permit set policy from untrust to trust any dip(ethernet3) sip permit save
Ejemplo: Llamada entrante (conjunto de DIP)

En este ejemplo, phone1 se encuentra en la zona Trust y phone2 y el servidor proxy en la zona Untrust. Configurar un rango DIP en la interfaz ethernet3 para aplicar NAT a las llamadas entrantes y a continuacin crear una directiva que permita el trfico SIP desde la zona Untrust a la zona Trust y har referencia al rango DIP en la directiva. Tambin crear una directiva que permita el trfico SIP desde la zona Trust a la zona Untrust utilizando NAT Source. Esto permitir a phone1 en la zona Trust registrarse en el proxy de la zona Untrust. Para obtener una explicacin sobre cmo funciona DIP con el servicio de registro SIP, consulte Ejemplos en la pgina 31.
Figura 13: Llamada entrante con conjunto de DIP
phone1 10.1.1.3
Conjunto de DIP en ethernet3 1.1.1.20 ->1.1.1.40 phone2 1.1.1.4 Servidor proxy 1.1.1.3
WebUI
1. Interfaces
36
Ejemplos
2.
Direcciones
3. Conjunto de DIP con NAT entrante
Network > Interface > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en OK:
ID: 5 IP Address Range: (seleccione), 1.1.1.20 ~ 1.1.1.40 Port Translation: (seleccione) In the same subnet as the interface IP or its secondary IPs: (seleccione) Incoming NAT: (seleccione)
4. Directivas
Source Address Address Book Entry: (seleccione), phone1 Destination Address Address Book Entry: (seleccione), Any Service: SIP Action: Permit
NAT: Source Translation: (seleccione) (DIP on): 5 (1.1.1.20-1.1.1.40)/port-xlate
Ejemplos
37
Source Address Address Book Entry: (seleccione), Any Destination Address Address Book Entry: (seleccione), DIP(5) Service: SIP Action: Permit
CLI
1. Interfaces
2. Direcciones
3. Conjunto de DIP con NAT entrante
set interface ethernet3 dip 5 1.1.1.20 1.1.1.40 incoming set dip sticky
4. Directivas
set policy from trust to untrust phone1 any sip nat src dip 5 permit set policy from untrust to trust any dip(5) sip permit save
Ejemplo: Llamada entrante con MIP

En este ejemplo, phone1 se encuentra en la interfaz ethernet1 en la zona Trust y phone2 y el servidor proxy en la interfaz ethernet3 de la zona Untrust. Pondr una MIP en la interfaz ethernet3 para phone1, luego crear una directiva que permita el trfico SIP desde la zona Untrust a la zona Trust y har referencia a esa MIP en la directiva. Tambin crear una directiva permitiendo que phone1 se registre con el servidor proxy en la zona Untrust. Este ejemplo es similar a los dos ejemplos anteriores (Ejemplo: Llamada entrante (DIP de interfaz) en la pgina 33 y Ejemplo: Llamada entrante (conjunto de DIP) en la pgina 36), salvo que con una MIP se necesita una direccin pblica por cada direccin privada en la zona Trust, mientras que con DIP de interfaz o un conjunto de DIP una sola direccin de interfaz puede servir mltiples direcciones privadas.
38
Ejemplos
Figura 14: Llamada entrante con MIP

ethernet1 10.1.1.1/24 ethernet3 1.1.1.1/24
Trust
Dispositivo de seguridad LAN
Untrust
Internet
Servidor proxy
phone1 10.1.1.3
Dispositivo virtual MIP en ethernet3 1.1.1.1/24
phone2 1.1.1.4
WebUI
1. Interfaces
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Zone: Untrust IP Address/Netmask: 1.1.1.1/24 Interface Mode: Route
2. Direcciones
Ejemplos
39
3. MIP
Mapped IP: 1.1.1.3 Netmask: 255.255.255.255 Host IP Address: 10.1.1.3
4. Directiva
Source Address: Address Book Entry: (seleccione), any Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.3) Service: SIP Action: Permit
CLI
1. Interfaces
2. Direcciones
3. MIP

4. Directiva
set policy from untrust to trust any mip(1.1.1.3) sip permit save
Ejemplo: Proxy en la zona privada

En este ejemplo, phone1 y el servidor proxy SIP estn en la interfaz ethernet1 en la zona (privada) Trust, y phone2 est en la interfaz ethernet3 en la zona Untrust. Pondr una MIP en la interfaz ethernet3 hacia el servidor proxy para permitir que phone2 se registre en el proxy y luego crear una directiva permitiendo el trfico SIP desde la zona Untrust a la zona Trust y har referencia a esa MIP en la directiva. Tambin crear una directiva desde la zona Trust a la zona Untrust para permitir que phone1 efecte llamadas externas.
40
Ejemplos
Figura 15: Proxy en la zona privada

phone1 10.1.1.3
Dispositivo virtual MIP en ethernet3 1.1.1.2 -> 10.1.1.4
phone2 1.1.1.4
WebUI
1. Interfaces
2. Direcciones
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.4/24 Zone: Trust 41
Ejemplos
3.
MIP
Network > Interfaces > Edit (para loopback.3) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
4. Directivas
Source Address: Address Book Entry: (seleccione), any Destination Address: Address Book Entry: (seleccione), phone2 Service: SIP Action: Permit
Source Address: Address Book Entry: (seleccione), phone2 Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.2) Service: SIP Action: Permit
CLI
1. Interfaces
2. Direcciones
set address trust phone1 10.1.1.3/24 set address untrust phone2 1.1.1.4/24 set address trust proxy 10.1.1.4/24
3. MIP

4. Directivas
set policy from trust to untrust any phone2 sip nat src permit set policy from untrust to trust phone2 mip(1.1.1.2) sip permit save
42
Ejemplos
Ejemplo: Proxy en la zona pblica

En este ejemplo, phone1 se encuentra en la interfaz ethernet1 en la zona Trust y phone2 y el servidor proxy en la interfaz ethernet3 de la zona (pblica) Untrust. Configurar DIP de interfaz en la interfaz Untrust y crear una directiva permitiendo el trfico SIP desde la zona Untrust a la zona Trust y har referencia a esa DIP en la directiva. Tambin crear una directiva de Trust a Untrust para permitir que phone1 se registre en el servidor proxy en la zona Untrust. Este ejemplo es similar a los ejemplos anteriores de llamadas entrantes (consulte Ejemplo: Llamada entrante (conjunto de DIP) en la pgina 36 y Ejemplo: Llamada entrante con MIP en la pgina 38) y, como en esos ejemplos, puede utilizar DIP o MIP en la interfaz Untrust.
Figura 16: Proxy en la zona pblica
ethernet1 10.1.1.1/24 ethernet3 1.1.1.1/24 Dispositivo de seguridad
Trust
LAN
Untrust
Internet
phone1 10.1.1.3
DIP de interfaz en ethernet3
phone2 1.1.1.4
WebUI
1. Interfaces
2. Direcciones
Ejemplos
43
3. DIP de interfaz
Network > Interface > Edit (para ethernet3) > DIP: Seleccione la casilla de verificacin Incoming NAT.
4. Directivas
Source Address: Address Book Entry: (seleccione) phone1 Destination Address: Address Book Entry: (seleccione) Any Service: SIP Action: Permit
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), DIP(ethernet3) Service: SIP Action: Permit
CLI
1. Interfaces
44
Ejemplos
2.
Direcciones
3. DIP de interfaz
set interface ethernet3 dip interface-ip incoming

4. Directivas
set policy from trust to untrust phone1 any sip nat src permit set policy from untrust to trust any dip(ethernet3) sip permit save
Ejemplo: Zona triple, proxy en DMZ

En este ejemplo, phone1 se encuentra en la interfaz ethernet1 de la zona Trust, phone2 en la interfaz ethernet3 de la zona Untrust y el servidor proxy en la interfaz ethernet2 de DMZ. Situar una MIP en la interfaz ethernet2 hacia phone1 en la zona Trust, crear una directiva desde DMZ a la zona Trust y luego har referencia a esa MIP en la directiva. De hecho, con tres zonas necesitar crear directivas bidireccionales entre cada una de ellas. Las flechas en la Figura 17 muestran el flujo del trfico SIP cuando phone2 de la zona Untrust genere una llamada a phone1 en la zona Trust. Despus de iniciar la sesin, los medios fluyen directamente entre phone1 y phone2.
Figura 17: Proxy en DMZ
Untrust Internet phone2 1.1.1.4
ethernet3 1.1.1.1/24
DMZ
Dispositivo de seguridad ethernet1 10.1.1.1/24 Dispositivo virtual MIP en ethernet2 2.2.2.3-> 10.1.1.3 LAN phone1 10.1.1.3 Trust
Ejemplos
45
WebUI
1. Interfaces
Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
2. Direccin
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.4/24 Zone: DMZ
3. MIP
Mapped IP: 2.2.2.3 Netmask: 255.255.255.255 Host IP Address: 10.1.1.3 46
Ejemplos
4.
Directivas
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), phone1 Destination Address: Address Book Entry: (seleccione), proxy Service: SIP Action: Permit
> Advanced: Escriba lo siguiente, haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: Enable (DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), proxy Destination Address: Address Book Entry: (seleccione), phone2 Service: SIP Action: Permit
Source Address: Address Book Entry: (seleccione), phone2 Destination Address: Address Book Entry: (seleccione), phone1 Service: SIP Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), phone2 Destination Address: Address Book Entry: (seleccione), proxy Service: SIP Action: Permit
Policies > (From: DMZ, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), proxy Destination Address: Address Book Entry: (seleccione), MIP(2.2.2.3) Service: SIP Action: Permit
Ejemplos
47
Source Address: Address Book Entry: (seleccione), phone1 Destination Address: Address Book Entry: (seleccione), phone2 Service: SIP Action: Permit
> Advanced: Escriba lo siguiente, haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route set interface ethernet2 zone dmz set interface ethernet2 ip 2.2.2.2/24 set interface ethernet2 route
2. Direcciones
set address trust phone1 10.1.1.3/24 set address untrust phone2 1.1.1.4/24 set address dmz proxy 2.2.2.4
3. MIP
set interface2 mip 2.2.2.3 host 10.1.1.3

4. Directivas
set policy from trust to dmz phone1 proxy sip nat src permit set policy from dmz to untrust proxy phone2 sip permit set policy from untrust to trust phone2 phone1 sip permit set policy from untrust to dmz phone2 proxy sip permit set policy from dmz to trust proxy mip(2.2.2.3) sip permit set policy from trust to untrust phone1 phone2 sip nat src permit save
48
Ejemplos
Ejemplo: Untrust intrazonal

En este ejemplo, phone1 se encuentra en la interfaz ethernet4 de la zona Untrust, phone2 en una subred en la interfaz ethernet3 de la zona Untrust y el servidor proxy en la interfaz ethernet1 de la zona Trust. Para permitir trfico SIP intrazonal entre los dos telfonos de la zona Untrust, crear una interfaz de bucle invertido (loopback), agregar ethernet3 y ethernet4 a un grupo de bucle invertido y finalmente situar una MIP en la interfaz de bucle invertido apuntando a la direccin IP del servidor proxy. Crear una interfaz de bucle invertido le permitir utilizar una sola MIP para el servidor proxy en la zona Trust. Dado que el bloqueo est activado de forma predeterminada en la zona Untrust, tambin debe desactivarlo para permitir la comunicacin intrazonal. Si desea ms informacin acerca del uso de interfaces de bucle invertido, consulte MIP y la interfaz loopback en la pgina 8-73.
Figura 18: Untrust intrazonal
Untrust phone1 1.1.1.4 phone2 1.1.2.4
Internet
ethernet4 1.1.1.1./24
Loopback 1 1.1.4.1/24
MIP en Loopback.1 1.1.4.5 -> 10.1.1.5 ethernet1 10.1.1.1/24
LAN proxy 10.1.1.5 Trust
Ejemplos
49
WebUI
1. Interfaces
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:

Interface Mode: NAT
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y haga clic en OK:
Interface Name: loopback.1 Zone: Untrust (trust-vr) IP Address/Netmask: 1.1.4.1/24
2. Direcciones
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/32 Zone: Trust
50
Ejemplos
3. Grupo de bucle invertido
As member of loopback group: (select), loopback.1 Zone Name: Untrust
As member of loopback group: (select), loopback.1 Zone Name: Untrust
4. MIP
5. Bloqueo
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga clic en OK:
Block Intra-Zone Traffic: (anule la seleccin)
6. Directivas
Source Address: Address Book Entry: (seleccione), proxy Destination Address: Address Book Entry: (seleccione), Any Service: SIP Action: Permit
Ejemplos
51
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), MIP(1.1.4.5) Service: SIP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.2.1/24 set interface ethernet3 route set interface ethernet4 zone untrust set interface ethernet4 ip 1.1.1.1/24 set interface ethernet4 route set interface loopback.1 zone untrust set interface loopback.1 ip 1.1.4.1/24 set interface loopback.1 route
2. Direcciones
set address trust proxy 10.1.1.5/32 set address untrust phone1 1.1.1.4/32 set address untrust phone2 1.1.2.4/32
set interface ethernet3 loopback-group loopback.1 set interface ethernet4 loopback-group loopback.1
4. MIP
set interface loopback.1 mip 1.1.4.5 host 10.1.1.5

5. Bloqueo
unset zone untrust block

6. Directivas
set policy from trust to untrust proxy any sip nat src permit set policy from untrust to trust any mip(1.1.4.5) sip permit save
Ejemplo: Trust intrazonal

En este ejemplo, phone1 se encuentra en la interfaz ethernet1 de la zona Trust, phone2 en la interfaz ethernet2 en una subred de la zona Trust y el servidor proxy en la interfaz ethernet3 de la zona Untrust. Para permitir que ambos telfonos de la zona Trust se comuniquen entre s, configurar DIP de interfaz en la interfaz ethernet3 para permitir que entren en contacto con el servidor proxy y luego establecer directivas determinadas para permitir el trfico SIP bidireccional entre las zonas Trust y Untrust. De forma predeterminada, el bloqueo est desactivado en la zona Trust (como lo est en las zonas personalizadas que defina).
52
Ejemplos
Figura 19: Trust intrazonal

phone1 10.1.1.3 ethernet1 10.1.1.1/24 ethernet3 3.3.3.3/24 Servidor proxy 3.3.3.4
Trust
Untrust
Internet
LAN
phone2 10.1.2.2
ethernet2 10.1.2.1/24
DIP de interfaz en ethernet3
WebUI
1. Interfaces
2. Direcciones
Ejemplos
53
Network > Interface > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en OK:
Incoming NAT: (seleccione)
4. Directivas
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), proxy Service: SIP Action: Permit
Source Address Address Book Entry: (seleccione) proxy Destination Address Address Book Entry: (seleccione) Any Service: SIP Action: Permit
> Advanced: Introduzca los siguientes datos, luego haga clic en Return para establecer las opciones avanzadas:
54
Ejemplos
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.1.2.1/24 set interface ethernet2 nat set interface ethernet3 zone untrust set interface ethernet3 ip 3.3.3.3/24 set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24 set address trust phone2 10.1.2.2/24 set address untrust proxy 3.3.3.4/24
3. DIP de interfaz
set interface ethernet3 dip interface-ip incoming

4. Directivas
set policy from trust to untrust any proxy sip nat src permit set policy from untrust to trust proxy dip(ethernet3) sip permit save
Ejemplo: VPN de malla completa para SIP

En este ejemplo, la oficina central y dos sucursales estn unidas por una VPN de malla completa. Cada sitio tiene un solo dispositivo de seguridad. El servidor proxy se encuentra en la zona Trust de la oficina central, phone1 en la zona Trust de la sucursal primera y phone2 en la zona Trust de la sucursal segunda. Todas las interfaces que conectan los dispositivos se encuentran en sus respectivas zonas Untrust. En cada dispositivo configurar dos tneles, uno hacia cada uno de los otros dispositivos, para crear una red completamente interconectada.
NOTA:
Los dispositivos de seguridad utilizados en este ejemplo deben tener disponibles por lo menos tres interfaces configurables independientemente.
Ejemplos
55
Figura 20: VPN de malla completa para SIP

Proxy 10.1.3.3
Nota: La zona Untrust de cada dispositivo no se muestra
Oficina central Zona Trust
Trust eth2/8-10.1.3.1
tnel 1 6.6.6.6 Untrust eth2/1: 1.1.1.1 Enrutador de puerta de enlace a central: 1.1.1.1 A sucursal: 3.3.3.3 Untrust eth3 3.3.3.3 interfaz tunnel.1 sin numerar
Central
tnel 2 7.7.7.7 Untrust eth2/2 1.1.2.1 Enrutador de puerta de enlace a central: 1.1.2.1 A sucursal: 2.2.2.2 Untrust eth3 2.2.2.2
VPN 1
VPN 2
Sucursal 1
VPN 3
Sucursal-2
interfaz tunnel.2 sin numerar
Trust eth1 10.1.1.1
Untrust eth4-4.4.4.4
Trust eth1 10.1.2.1
Zona Trust Sucursal primera
Enrutador de puerta de enlace A sucursal-1: 4.4.4.4 A sucursal-2: 5.5.5.5 phone1 10.1.1.3 interfaz tunnel.3 sin numerar
Zona Trust Sucursal segunda

phone2 10.1.2.3
WebUI (para la central)

1. Interfaces
Network > Interfaces > Edit (para ethernet2/1): Introduzca los siguientes datos y haga clic en Apply:
56
Ejemplos
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.3.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 1 Zone (VR): Untrust IP Address/Netmask: 6.6.6.6/24
2. Direccin
Address Name: Proxy IPv4/Netmask: 10.1.3.3/32 Zone: Trust
3. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-branch-1 Security Level: Standard IPvc4/v6 Address/Hostname: 3.3.3.3 Preshare Key: netscreen Outgoing Interface: ethernet2/1
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-branch-1
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Bind to: (seleccione) Tunnel Interface, tunnel.1
Ejemplos
57
4. Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24 interface (seleccione): tunnel.1
5. Directivas
Source Address (seleccione) Address Book Entry: Proxy Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SIP Action: Permit
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: Proxy Service: SIP Action: Permit
58
Ejemplos
CLI (para la central)

1. Interfaces
set set set set set set set set set set set
2.
interface ethernet2/1 zone untrust interface ethernet2/1 ip 1.1.1.1/24 interface ethernet2/2 zone untrust interface ethernet2/2 ip 1.1.2.1/24 interface ethernet2/8 zone trust interface ethernet3/8 ip 10.1.3.1/24 interface ethernet2/8 route interface tunnel.1 zone untrust interface tunnel.1 ip 6.6.6.6/24 interface tunnel.2 zone untrust interface tunnel.2 ip 7.7.7.7/24
Direccin
set address trust proxy 10.1.3.3/32

3. VPN
set ike gateway to-branch-1 address 3.3.3.3 main outgoing-interface ethernet2/1 preshare netscreen sec-level standard set ike gateway to-branch-2 address 2.2.2.2 main outgoing-interface ethernet2/2 preshare netscreen sec-level standard set vpn vpn_branch-1 gateway to-branch-1 no-reply tunnel idletime 0 sec-level standard set vpn vpn-branch-1 id 1 bind interface tunnel.1 set vpn vpn-branch-2 gateway to-branch-2 no-reply tunnel idletime 0 sec-level standard set vpn vpn-branch-2 id 2 bind interface tunnel.2
4. Enrutamiento
set route 10.1.2.0/24 interface tunnel.2 set route 10.1.1.0/24 interface tunnel.1
5. Directivas
set policy from untrust to trust any proxy sip permit set policy from trust to untrust proxy any sip permit save
WebUI (Sucursal 1)
1. Interfaces
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Interface Mode: NAT
Ejemplos
59
Tunnel Interface Name: 2 Zone (VR): Untrust Unnumbered (seleccione) Interface: ethernet3
2. Direccin
Address Name: phone1 IPv4/Netmask: 10.1.1.3/32 Zone: V1-Trust
3. VPN
Gateway Name: to-central Security Level: Standard IPvc4/v6 Address/Hostname: 1.1.2.1 Preshare Key: netscreen Outgoing Interface: ethernet3
VPN Name: vpn-central
Bind to (seleccione): Tunnel Interface, tunnel.1
Gateway Name: to-ns50 Security Level: Standard IPvc4/v6 Address/Hostname: 5.5.5.5 Preshare Key: netscreen Outgoing Interface: ethernet4
60
Ejemplos
VPN Name: vpn-ns50
4. Enrutamiento
5. Directivas
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: phone2 Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SIP Action: Permit
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: phone2 Service: SIP Action: Permit
CLI (Sucursal 1)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 3.3.3.3/24 set interface ethernet4 zone untrust set interface ethernet4 ip 4.4.4.4/24 set interface tunnel.2 zone untrust set interface tunnel.2 ip unnumbered interface ethernet3 set interface tunnel.3 zone untrust set interface tunnel.3 ip unnumbered interface ethernet4
2. Direccin
set address trust phone1 10.1.1.3/32
Ejemplos
61
3.
VPN
set ike gateway to-central address 1.1.1.1 main outgoing-interface ethernet3 preshare netscreen sec-level standard set ike gateway to-ns50 address 5.5.5.5 main outgoing-interface ethernet4 preshare netscreen sec-level standard set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard set vpn vpncentral bind interface tunnel.1 set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard set vpn vpn-ns50 bind interface tunnel.3
4. Rutas
5. Directivas
set policy from trust to untrust phone1 any sip permit set policy from untrust to trust any phone1 sip permit save
WebUI (Sucursal 2)
1. Interfaces
62
Ejemplos
2.
Direccin
Address Name: phone2 IPv4/Netmask: 10.1.2.3/32 Zone: Trust
3. VPN
VPN Name: vpn-ns50
4. Enrutamiento
Ejemplos
63
5. Directivas
Policies > (From: Trust, To: Untrust) Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: phone2 Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SIP Action: Permit
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: phone2 Service: SIP Action: Permit
CLI (Sucursal 2)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface ethernet4 zone untrust set interface ethernet4 ip 4.4.4.4/24 set interface tunnel.2 zone untrust set interface tunnel.2 ip unnumbered interface ethernet3 set interface tunnel.3 zone untrust set interface tunnel.3 ip unnumbered interface ethernet4
2. Direccin
set address trust phone2 10.1.2.3/32

3. VPN
set ike gateway to-central address 1.1.2.1 Main outgoing-interface ethernet3 preshare netscreen sec-level standard set ike gateway to-ns50 address 4.4.4.4Main outgoing-interface ethernet4 preshare netscreen sec-level standard set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard set vpn vpncentral id 4 bind interface tunnel.2 set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard set vpn vpn-ns50 id 5 bind interface tunnel.3
4. Rutas
5. Directivas
set policy from trust to untrust phone2 any sip permit set policy from untrust to trust any phone2 sip permit save
64
Ejemplos
Administracin del ancho de banda para servicios de VoIP

Recomendamos los siguientes mtodos de administracin del ancho de banda para servicios de VoIP, utilizando los mecanismos de asignacin de trfico estndar de ScreenOS: Garantizar el ancho de banda para el trfico VoIP: La manera ms eficaz de asegurar calidad para el servicio VoIP sin impedir otros tipos de trfico en la interfaz, consiste en crear una directiva que garantice el ancho de banda mnimo necesario para la cantidad prevista de trfico VoIP en la interfaz y establecer una cola de prioridades al ms alto nivel. La ventaja de esta estrategia es que el trfico VoIP podr utilizar ancho de banda adicional cuando est disponible, mientras que otros tipos de trfico podrn utilizar el ancho de banda no garantizado para VoIP cuando el trfico VoIP no lo est utilizando. Limitar el ancho de banda para el trfico ajeno a VoIP: Estableciendo un ancho de banda mximo para el trfico ajeno a VoIP, se pone el ancho de banda restante a disposicin del trfico VoIP. Tambin se establecer una cola de prioridades al ms alto nivel para el trfico VoIP. El inconveniente de este mtodo es que el trfico ajeno a VoIP no puede utilizar ancho de banda adicional aunque el trfico VoIP no lo est utilizando. Utilizar una cola de prioridades y las marcas de punto de cdigo de servicios diferenciados (Differentiated Services Codepoin, DSCP): Garantizando el ancho de banda para el trfico VoIP y limitando el ancho de banda para el trfico ajeno a VoIP se permite controlar el flujo de datos en el dispositivo de seguridad. El marcado DSCP permite conservar los ajustes de cola de prioridades en sentido descendente, as como mantener o cambiar el valor DSCP recibido establecido por el dispositivo de red o enrutador emisor en sentido ascendente, de modo que el enrutador del siguiente salto, generalmente el enrutador LAN o WAN fronterizo, pueda hacer cumplir la calidad del servicio (QoS) en su dominio DiffServ. En las configuraciones VPN, el dispositivo de seguridad marca el encabezado exterior del paquete IP (si la directiva est configurada para hacer esto), o deja el byte TOS como 0, para que el siguiente enrutador de salto pueda forzar la QoS correcta en el trfico encriptado. Para obtener informacin sobre el funcionamiento de DSCP con niveles de prioridad en directivas, consulte Asignacin de trfico en la pgina 175. La Figura 21 en la pgina 66muestra cmo los ajustes de niveles de prioridad pueden afectar al uso del ancho de banda garantizado (guaranteed bandwidth o gbw) y del ancho de banda mximo (maximum bandwidth o mbw) en una interfaz ethernet1 (2 Mbps). La ilustracin asume que se ha determinado la necesidad de permitir al menos ocho llamadas de VoIP (ancho de banda de 8 x 64 kbps por llamada, obteniendo un total de 512 kbps) y, ocasionalmente, hasta 16 llamadas. Ha garantizado el ancho de banda restante al trfico general de la oficina y ha establecido el ancho de banda mximo para que el trfico de la oficina disponga del ancho de banda no garantizado al servicio de VoIP. Esto crea una superposicin de 512 kbps en el ancho de banda mximo para los servicios de VoIP y del trfico de la oficina, indicado mediante lneas discontinuas.
Ejemplos
65
El lado izquierdo de la Figura 21 muestra la utilizacin del ancho de banda con esos ajustes y una utilizacin elevada de trfico de oficina y un nivel de utilizacin bajo de VoIP atravesando la interfaz. Si el trfico VoIP necesitase repentinamente ms ancho de banda, no podra conseguirla a menos que su prioridad fuese superior a la de los servicios del trfico de la oficina. El lado derecho de la Figura 21 muestra el grado de utilizacin del ancho de banda en las mismas circunstancias que cuando el trfico de VoIP tiene prioridad superior y el trfico de la oficina tiene una prioridad inferior. Para obtener ms informacin sobre niveles de configuracin de ancho de banda y de la prioridad, consulte Asignacin de trfico en la pgina 2-195.
Figura 21: Ajustes de nivel de prioridad
Ajustes de ancho de banda garantizado y mximo Aadiendo los ajustes de nivel de prioridad
VoIP
gbw 512 kbps
Trfico de VoIP
mbw 1024 kbps
VoIP Ancho de banda total de 2 Mbps
Ancho de banda total de 2 Mbps
mbw 1536 kbps
Trfico de la oficina
gbw 1024 kbps
66
Ejemplos
Captulo 3
Puerta de enlace en la capa de aplicacin de protocolo de control de la puerta de medios

Este captulo ofrece una vista general de la puerta de enlace en la capa de aplicacin del protocolo de control de la puerta de medios (Gateway Control Protocol o MGCP) y enumera las caractersticas de seguridad de cortafuegos de la implementacin. Despus de un resumen de la arquitectura de MGCP se presentan ejemplos de las situaciones tpicas. Este captulo incluye las siguientes secciones: Vista general en esta pgina Seguridad de MGCP en la pgina 68 Protocolo MGCP en la pgina 68 Ejemplos en la pgina 74
Vista general
El protocolo de control de la puerta de medios (MGCP) se admite en los dispositivos de seguridad en modo de ruta, modo transparente y modo de traduccin de direcciones de red (NAT). MGCP es un protocolo de la capa de aplicacin basado en texto que se utiliza para establecer y controlar llamadas. MGCP se basa en una arquitectura de control de llamadas maestro-esclavo en el que el controlador de la puerta de medios, por medio del agente de llamada, mantiene inteligencia de control de las llamadas, mientras que las puertas de medios siguen las instrucciones del agente de llamadas. La ALG con MGCP realiza los siguiente procedimientos: Realiza la inspeccin de la carga de la trama de sealizacin de VoIP. La carga de la trama del paquete de sealizacin VoIP entrante se inspecciona completamente segn las normas RFC relacionadas y las normas de cada fabricante. Si se descubre algn ataque de paquetes malformados, la ALG los bloquea. Realiza la inspeccin de la carga de la trama de sealizacin de MGCP. La carga del paquete de sealizacin de MGCP entrante se inspecciona completamente segn la norma RFC 3435. Si se descubre algn ataque de paquetes malformados, la ALG los bloquea.
Vista general
67
Ofrece procesamiento del estado. Invoca las mquinas de estado basadas en el protocolo VoIP para procesar la informacin analizada. Cualquier paquete que est fuera de estado o fuera de transaccin se identifica y se maneja apropiadamente. Ejecuta la traduccin de direcciones de red (NAT). Cualquier informacin de puerto y direccin IP incrustada en la carga de trama se convierte apropiadamente con base en la informacin de enrutamiento existente y la topologa de la red y se reemplaza, si es necesario, con el nmero de puerto y direccin IP traducida. Maneja ojos de aguja para trfico de VoIP. Para mantener la red VoIP segura, ALG identifica la informacin del puerto y direccin IP utilizada para medios o sealizacin y crea de forma dinmica cualquier ojo de aguja que sea necesario y lo cierra durante el establecimiento de la llamada.
Seguridad de MGCP
MGCP ALG incluye las siguientes caractersticas de seguridad: Proteccin contra ataques de rechazo de servicio (DoS).ALG realiza una inspeccin de estado a nivel del paquete de UDP, a nivel de transaccin y a nivel de la llamada. Se procesan los paquetes de MGCP que coinciden con el formato de mensaje RFC 3435, el estado de la transaccin y el estado de la llamada. Se descartan todos los dems. Cumplimiento de las directivas de cortafuegos entre el controlador de la puerta y la puerta (directivas de sealizacin). Cumplimiento de las directivas de cortafuegos entre las puertas de enlace (directivas de medios). Control de inundaciones de mensajes MGCP por puerta. Si hay una puerta que no funciona bien o est pirateada, no se interrumpir la red completa de VoIP. Al combinarla con el control de inundacin por cada puerta de enlace, el dao se reduce a la puerta de enlace afectada. Control de inundaciones de conexin MGCP por puerta. Cambio y conmutacin por error sin fisuras si las llamadas, incluidas las llamadas en curso, se conmutan al cortafuegos que est en espera por si se producen fallos del sistema.
Protocolo MGCP
El MGCP es un protocolo de la capa de aplicacin basado en texto que se utiliza para establecer y controlar llamadas. El protocolo se basa en una arquitectura de control de llamadas maestro/esclavo: El controlador de la puerta de medios (agente de llamada) mantiene la inteligencia de control de la llamada y las puertas de medios siguen las instrucciones del agente de llamada.
68
Seguridad de MGCP
Captulo 3: Puerta de enlace en la capa de aplicacin de protocolo de control de la puerta de medios
Entidades en MGCP
Hay cuatro entidades bsicas en MGCP: Punto final en la pgina 69 Conexin en la pgina 69 Llamada en la pgina 69 Agente de llamada en la pgina 70
Punto final
Una puerta de medios (MG) es una coleccin de puntos finales. Un punto final puede ser una lnea analgica, una troncal o cualquier otro punto de acceso. Un punto final se denomina de la siguiente manera:
nombre-punto-final-local@nombre-dominio
A continuacin se incluyen algunos identificadores vlidos de puntos finales:

group1/Trk8@mi_red.net group2/Trk1/*@[192.168.10.8] (comodines) $@voiptel.net (cualquier punto final dentro de MG) *@voiptel.net (todos los puntos finales dentro de MG)
Conexin
Las conexiones se crean en cada punto final por medio de una MG durante el establecimiento de llamadas. Una llamada VoIP tpica implica dos conexiones: Una llamada compleja, por ejemplo una llamada de terceros o llamada de conferencia, podra requerir ms conexiones. El controlador de la puerta de medios (MGC) puede instruir a las puertas de medios para crear, modificar, eliminar y auditar una conexin. La identificacin de la conexin representa a una conexin. La MG crea dicha conexin cuando se le solicita que lo haga. La ID de conexin se presenta como una cadena hexadecimal, con una longitud mxima de 32 caracteres.
Llamada
La identificacin de la llamada representa la llamada. MGC crea dicha identificacin al establecer una nueva llamada. La identificacin de la llamada es una cadena hexadecimal con una longitud mxima de 32 caracteres. La identificacin de la llamada es nica dentro de MGC. Dos o ms conexiones pueden tener la misma identificacin de llamada, siempre que pertenezcan a la misma llamada.
Protocolo MGCP
69
Agente de llamada
El protocolo MGCP admite uno o ms agentes de llamada (tambin llamados controladores de la puerta de medios) para mejorar la fiabilidad en la red VoIP. A continuacin se incluyen dos ejemplos de nombres de agentes de llamada:
AgenteLlamada@voipCA.mi_red.com voipCA.mi_red.com
Diversas direcciones de red se pueden asociar bajo un nombre de dominio en el sistema de nombres de dominios (DNS). Al dar seguimiento al tiempo de vida (TTL) de lo datos de consulta/respuesta del DNS e implementar la retransmisin a travs de direcciones de red alternas, se logra la conmutacin y cambio en caso de fallo en el MGCP. El concepto de entidad notificada es esencial en MGCP. La entidad notificada para un punto final es el agente de llamada que actualmente controla ese punto final. Un punto final debe enviar cualquier comando MGCP a su entidad notificada. Sin embargo, distintos agentes de llamadas podran enviar comandos MGCP a este punto final. La entidad notificada se establece en un valor provisional en el arranque, pero podra cambiar si un agente de llamada utiliza un parmetro de entidad notificada incluido en el mensaje MGCP. Si la entidad notificada para un punto final est vaca o no se ha establecido explcitamente, su valor se predetermina en la direccin de origen del ltimo comando MGCP no auditado satisfactoriamente que se recibi para ese puno final.
Comandos
El protocolo MGCP define nueve comandos para controlar los puntos finales y las conexiones. Todos los comandos estn compuestos de un encabezado del comando, seguido opcionalmente por la informacin del protocolo de descripcin de sesin (SDP). Un encabezado de comando tiene los siguientes elementos: Una lnea de comando: Verbo de comando + identificacin de la transaccin + identificacin del punto final + versin de MGCP. Lneas de cero o ms parmetros, compuestas de un nombre de parmetro, seguido de un valor del parmetro. La Tabla 3 enumera los comandos MGCP admitidos, con una descripcin de cada uno, la sintaxis del comando y ejemplos. Consulte RFC 2234 para obtener una explicacin completa de la sintaxis del comando.
70
Protocolo MGCP
Tabla 3: Comandos MGCP Verbo del comando

EPCF
Descripcin
Sintaxis del comando
Ejemplos
EPCF 2012 wxx/T2@mi_red.com MGCP 1.0 B: e:mu
EndpointConfiguration: ReturnCode utilizado por un agente de [PackageList] llamada para informar EndpointConfiguration sobre una puerta de (EndpointId, caractersticas de [BearerInformation]) codificacin (a-law o mu-law) que se espera recibir en el lado de la lnea correspondiente al punto final. CreateConnection: utilizado por un agente de llamada para indicarle a la puerta que cree una conexin con un punto final dentro de la puerta. ReturnCode, [ConnectionId,] [SpecificEndPointId,] [LocalConnectionDescriptor,] [SecondEndPointId,] [SecondConnectionId,][Pac kageList] CreateConnection (CallId, EndpointId, [NotifiedEntity,] [LocalConnectionOption,] Mode, [{RemoteConnectionDescriptor | SecondEndpointId},] [encapsulated RQNT,] [encapsulated EPCF])
CRCX
CRCX 1205 aaln/1@gw-25.att.net MGCP 1.0 C: A3C47F21456789F0 L: p:10, a:PCMU M: sendrecv X: 0123456789AD R: L/hd S: L/rg v=0 o=- 25678 753849 IN IP4 128.96.41.1 s=c=IN IP4 128.96.41.1 t=0 0 m=audio 3456 RTP/AVP 0
MDCX
ModifyConnection: ReturnCode, utilizado por un agente de [LocalConnectionDescriptor,] [PackageList] llamada para indicarle a una puerta que cambie ModifyConnection (CallId, los parmetros de una EndpointId, ConnectionId, conexin existente. [NotifiedEntity,] [LocalConnectionOption,] [Mode,] [RemoteConnectionDescriptor,] [encapsulated RQNT,] [encapsulated EPCF])
MDCX 1210 aaln/1@rgw-25.att.net MGCP 1.0 C: A3C47F21456789F0 I: FDE234C8 M: recvonly X: 0123456789AE R: L/hu S: G/rt v=0 o=- 4723891 7428910 IN IP4 128.96.63.25 s=c=IN IP4 128.96.63.25 t=0 0 m=audio 3456 RTP/AVP 0 Ejemplo 1: MGC -> MG DLCX 9210 aaln/1@rgw-25.att.net MGCP 1.0 C: A3C47F21456789F0 I: FDE234C8 Ejemplo 2: MG -> MGC DLCX 9310 aaln/1@rgw-25.att.net MGCP 1.0 C: A3C47F21456789F0 I: FDE234C8 E: 900 - Hardware error P: PS=1245, OS=62345, PR=780, OR=45123, PL=10, JI=27, LA=48
DLCX
DeleteConnection: ReturnCode, utilizado por un agente de ConnectionParameters, [PackageList] llamada para indicarle a una puerta que elimine DeleteConnection (CallId, EndpointId, una conexin existente. ConnectionId, Una puerta puede utilizar [NotifiedEntity,] el comando [encapsulated RQNT,] DeleteConnection para [encapsulated EPCF]) liberar una conexin que ya no puede mantenerse.
Protocolo MGCP
71
Verbo del comando

RQNT
Descripcin
Un agente de llamada utiliza el comando NotificationRequest para indicarle a una MG que supervise cierto(s) evento(s) o seal(es) de un punto final especfico.

ReturnCode, [PackageList] NotificationRequest[ (EndpointId, [NotifiedEntity,] [RequestedEvents,] RequestIdentifier, [DigitMap,] [SignalRequests,] [QuarantineHandling,] [DetectEvents,] [encapsulated EPCF]) ReturnCode, [PackageList] Notify (EndpointID, [NotifiedEntity,] RequestIdentifier, ObservedEvents) ReturnCode, EndPointIdList, | { [RequestedEvents,] [QuarantineHandling,] [DigitMap,] [SignalRequests,] [RequestedIdentifier,] [NotifiedEntity,] [ConnectionIdentifier,] [DetectEvents,] [ObservedEvents,] [EventStats,] [BearerInformation,] [BearerMethod,] [RestartDelay,] [ReasonCode,] [MaxMGCPDatagram,] [Capabilities]} [PackageList] AuditEndpoint (EndpointId, [RequestedInfo])
Ejemplos
RQNT 1205 aaln/1@rgw-25.att.net MGCP 1.0 N: ca-new@callagent-ca.att.net X: 0123456789AA R: L/hd(A, E(S(L/dl),R(L/oc,L/hu,D/[0-9#*T](D)))) D: (0T|00T|xx|91xxxxxxxxxx|9011x.T) S: T: G/ft
NTFY
Notify: lo utiliza una puerta de enlace para informarle al agente de llamada cuando se produce algn(os) evento(s) o seal(es) solicitada. AuditEndpoint: lo utiliza un agente de llamada para revisar el estado del punto final.
NTFY 2002 aaln/1@rgw-25.att.net MGCP 1.0 N: ca@ca1.att.net:5678 X: 0123456789AC O: L/hd,D/9,D/1,D/2,D/0,D/1,D/8,D/2,D/9,D/4, D/2,D/6,D/6
AUEP
Ejemplo 1: AUEP 1201 aaln/1@rgw-25.att.net MGCP 1.0 F: A, R,D,S,X,N,I,T,O Ejemplo 2: AUEP 1200 *@rgw-25.att.net MGCP 1.0
72
Protocolo MGCP
Verbo del comando

AUCX
Descripcin
AuditConnection: lo utiliza el agente de llamada para recopilar los parmetros que se aplicaron a una conexin.

ReturnCode, [CallId,] [NotifiedEntity,] [LocalConnectionOptions,] [Mode,] [RemoteConnectionDescriptor,] [LocalConnectionDescriptor,] [ConnectionParameters,] [PackageList] AuditConnection (EndpointId, ConnectionId, RequestedInfo)
Ejemplos
AUCX 3003 aaln/1@rgw-25.att.net MGCP 1.0 I: 32F345E2 F: C,N,L,M,LC,P
RSIP
RestartInProgress: lo ReturnCode, [NotifiedEntity,] utiliza una puerta de enlace para notificar a un [PackageList] agente de llamada de que RestartInProgress (EndpointId, uno o varios puntos RestartMethod, [RestartDelay,] finales dejan de funcionar o vuelven a entrar en [ReasonCode]) funcionamiento.
RSIP 5200 aaln/1@rg2-25.att.net MGCP 1.0 RM: graceful RD: 300
Cdigos de respuesta
Cada comando que enva el agente de llamada o la puerta de enlace, sea exitoso o no, requiere un cdigo de respuesta. El cdigo de respuesta se encuentra en el encabezado del mensaje de respuesta y, opcionalmente, tambin puede incluir la informacin de descripcin de la sesin. El encabezado de respuesta est compuesto de una lnea de respuesta, seguida cero o ms lneas de parmetros, cada una con una letra del nombre del parmetro seguida por su valor. El encabezado de respuesta se compone de un cdigo de respuesta de tres dgitos, ID de transaccin y, opcionalmente, tambin puede incluir un comentario. El encabezado de respuesta en el mensaje de respuesta siguiente muestra el cdigo de respuesta 200 (finalizacin exitosa), seguido por la ID 1204 y el comentario: OK:
200 1204 OK I: FDE234C8 v=0 o=- 25678 753849 IN IP4 128.96.41.1 s=c=IN IP4 128.96.41.1 t=0 0 m=audio 3456 RTP/AVP 96 a=rtpmap:96 G726-32/8000
Los rango de cdigos de respuesta se definen de la siguiente forma: 000 099: indica un reconocimiento de respuesta. 100 199: indica una respuesta provisional. 200 299: indica una finalizacin exitosa (respuesta final).
Protocolo MGCP
73
400 499: indica un error transitorio (respuesta final). 500 599: indica un error permanente (respuesta final). Consulte RFC 3661 si desea informacin detallada sobre los cdigos de respuesta. La respuesta a un comando se enva a la direccin de origen del comando, no a la entidad notificada actualmente. Una puerta de enlace de medios puede recibir comandos MGCP de varias direcciones de red simultneamente y devolver respuestas a las direcciones de red correspondientes. Sin embargo, enva todos los comandos MGCP a su entidad notificada actual.
Ejemplos
Esta seccin incluye los siguientes supuestos de configuraciones: Puerta de enlace en las residencias de los abonados: agente de llamada en el ISP en esta pgina Servicio alojado en ISP en la pgina 77
Puerta de enlace en las residencias de los abonados: agente de llamada en el ISP

En este ejemplo, (consulte la Figura 22) se configura un dispositivo de seguridad en un proveedor de servicio de cable para admitir MGCP para los abonados residenciales de su red. El dispositivo de seguridad y el agente de llamada se encuentran en las instalaciones del proveedor de servicio de cable. En cada una de las residencias de los suscriptores se encuentra un dispositivo de acceso integrado (IAD) o una caja set-top, que acta como una puerta de enlace (cada IAD representa una residencia individual). El agente de llamada est en la zona trust_ca; los clientes residenciales estn en la zona res_cust. Despus de la creacin de las zonas (untrust_subscriber para los clientes y trust_ca para el proveedor de servicio), se deben configurar las direcciones y despus las directivas. Aunque las puertas de enlace frecuentemente residen en diferentes zonas, que requieren directivas para el trfico de medios, en este ejemplo las dos puertas de enlace estn en la misma subred. El trfico RTP entre las puertas de enlace nunca pasa a travs del cortafuegos, por lo tanto no es necesaria ninguna directiva para los medios.
74
Ejemplos
Figura 22: Puerta de enlace en la residencia de los abonados
Untrust
IAD
IAD Dispositivo de seguridad Ethernet3 2.2.2.0/24 Red del proveedor de servicio de cable Ethernet 4 10.1.1.2 IAD IAD
Telfono IP
Telfono IP
Telfono IP
Trust
Agente de llamada
Telfono IP
WebUI
1. Zonas
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: untrust_subscriber
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: trust_ca
2. Direcciones
Address Name: SubscriberSubNet Comment: Nuestra red de abonados IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.0/24 Zone: untrust-subscriber
Address Name: call_agent1 Comment: Nuestro agente de llamada No. 1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.101/32 Zone: trust_ca
Ejemplos
75
3.
Interfaces
Zone Name: untrust_subscriber Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.0/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Zone Name: trust_ca Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.101/32 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
4. Directivas
Policies > (From: trust-ca, To: untrust_subscriber) New: Introduzca los siguientes datos y haga clic en OK:
Name: Pol-CA-To-Subscribers Source Address Address Book Entry: (seleccione), call_agent1 Destination Address Address Book Entry: (seleccione), SubscriberSubNet Service: MGCP-UA Action: Permit
Policies > (From: untrust_subscriber, To: trust-ca) New: Introduzca los siguientes datos y haga clic en OK:
Name: Pol-Subscribers-To-CA Source Address Address Book Entry: (seleccione), SubscriberSubNet Destination Address Address Book Entry: (seleccione), call_agent1 Service: MGCP-UA Action: Permit
CLI
1. Zonas
set zone name untrust_subscriber set zone name trust_ca

2. Direcciones
set address untrust_subscriber SubscriberSubNet 2.2.2.0 255.255.255.0 Our subscribers' network set address trust_ca call_agent1 10.1.1.101 255.255.255.255 Our No. 1 call agent
76
Ejemplos
3.
Interfaces
set interface ethernet3 zone untrust_subscriber Our subscribers network set interface ethernet3 ip 2.2.2.0/24 set interface ethernet3 route set interface ethernet4 zone trust_ca Our No. 1 call agent set interface ethernet4 ip 10.1.1.2/24 set interface ethernet4 route
4. Directivas
set policy name Pol-CA-TO-Subscribers from trust_ca to untrust_subscriber call_agent1 SubscriberSubNet mgcp-ua permit set policy name Pol-Subscribers-To-CA from untrust_subscriber to trust_ca SubscriberSubNet call_agent1 mgcp-ca permit
Servicio alojado en ISP

En este ejemplo, (consulte la Figura 23) un ISP que se encuentra en la costa oeste americana proporciona servicio MGCP a los clientes en Asia y San Francisco. Los clientes de asia estn en la zona Untrust y son admitidos por la puerta de enlace. asia_gw (3.3.3.110); los clientes de San Francisco estn en la zona Trust y son admitidos por la puerta de enlace: sf_gw (2.2.2.201). El agente de llamada: west_ca (10.1.1.101) esta en la zona DMZ. Despus de configurar las direcciones para las puerta de enlace y el agente de llamada, se deben configurar las interfaces, colocando a ethernet4 y ethernet5, que son fiables, en el modo ruta para permitir el flujo de medios directamente despus de configurar la llamada. Para proteger la direccin IP del agente de llamada en la zona DMZ de la exposicin, debe colocar un MIP en ethernet6, es decir, se debe asignar la direccin IP del agente de llamada (10.1.1.101) a una direccin IP de un conjunto de direcciones en la interfaz ethernet6, en dicho caso: 3.3.3.101. Por ltimo, se deben crear las directivas. Para permitir la sealizacin de MGCP entre el agente de llamada en la zona DMZ y la puerta de enlace en la zona Untrust, se debe crear una directiva para cada direccin, haciendo referencia a la MIP que protege al agente de llamada. Se debe crear otro par de directivas para permitir la sealizacin entre el agente de llamada y la puerta de enlace en la zona Trust. Una sola directiva es suficiente para permitir la comunicacin bidireccional entre las puertas de enlace en la zona Trust y Untrust.
Ejemplos
77
Figura 23: Servicio alojado en ISP

DMZ west_ca 10.1.1.101 Dispositivo virtual MIP en Ethernet6 3.3.3.101 - 10.1.1.101
Eth5 - 10.1.1.2 Dispositivo de seguridad Red ISP Eth4 - 2.2.2.10 Eth6 - 3.3.3.10 Telfono IP
asia_gw 3.3.3.110 Zona Untrust
Zona Trust sf_gw 2.2.2.201 Telfono IP
WebUI
1. Direcciones
Address Name: sf_gw Comment: gateway en Asia IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.201/32 zone: Trust
Address Name: asia_gw Comment: gateway in sf IP Address/Domain Name: IP/Netmask: (seleccione), 3.3.3.110/32 Zone: Untrust
Address Name: west_ca Comment: ca en la costa oeste IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.101/32 zone: DMZ
78
Ejemplos
2.
Interfaces
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.10/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.2/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.3.3.10/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
3. MIP
4. Directivas
Policies > (From: DMZ To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), west_ca Destination Address Address Book Entry: (seleccione), asia_gw Service: MGCP-UA Action: Permit
Policies > (From: Untrust To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), asia_gw Destination Address Address Book Entry: (seleccione), west_ca Service: MGCP-UA Action: Permit
Ejemplos
79
Policies > (From: Trust To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), sf_gw Destination Address Address Book Entry: (seleccione), west_ca Service: MGCP-UA Action: Permit
Policies > (From: DMZ To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), west_ca Destination Address Address Book Entry: (seleccione), sf_gw Service: MGCP-UA Action: Permit
Policies > (From: Trust To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), sf_gw Destination Address Address Book Entry: (seleccione), asia_gw Service: MGCP-UA Action: Permit
NAT: Source Translation: (seleccione) DIP on: None (utilizar la IP de la interfaz de salida)
CLI
1. Direcciones
set address trust sf_gw 2.2.2.201/32 gateway in s.f. set address untrust asia_gw 3.3.3.110/32 gateway in asia set address dmz west_ca 10.1.1.101/32 ca in west coast
2. Interfaces
set interface ethernet4 ip 2.2.2.10/24 set interface ethernet4 route set interface ethernet4 zone trust set interface ethernet5 ip 10.1.1.2/24 set interface ethernet5 route set interface ethernet5 zone dmz set interface ethernet6 ip 3.3.3.10/24 set interface ethernet6 zone untrust
3. Direccin IP asignada
set interface ethernet6 mip 3.3.3.101 host 10.1.1.101 netmask 255.255.255.255 vrouter trust-vr 80
Ejemplos
4.
Directivas
set policy from dmz to untrust west_ca asia_gw mgcp-ua permit set policy from untrust to dmz asia_gw mip(3.3.3.101) mgcp-ca permit set policy from trust to dmz sf_gw west_ca mgcp-ca permit set policy from dmz to trust west_ca sf_gw mgcp-ua permit set policy from trust to untrust sf_gw asia_gw mgcp-ua nat src permit
Ejemplos
81
82
Ejemplos
Captulo 4
Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes

Este captulo ofrece una vista general de la puerta de enlace en la capa de aplicacin (ALG) del protocolo de control de la puerta de enlace del cliente Skinny (SCCP) y detalla las funciones de seguridad de cortafuegos de la implementacin. Despus de un resumen de la arquitectura del SCCP se presentan ejemplos de las situaciones tpicas. Este captulo incluye las siguientes secciones: Vista general en esta pgina Seguridad del SCCP en la pgina 84 Ejemplos en la pgina 89
Vista general
El protocolo Skinny de control de clientes (SCCP) se admite en dispositivos de seguridad en los modos de ruta, transparente y de traduccin de direcciones de red (NAT). El SCCP es un protocolo de la capa de aplicacin basado en binarios que se utiliza para configurar y controlar el protocolo de voz por Internet (VoIP). En la arquitectura del SCCP, un proxy H.323 de Cisco conocido como el gestor de llamadas hace la mayor parte del procesamiento. Los telfonos IP, tambin denominados estaciones finales, ejecutan el cliente Skinny y se conectan a un gestor de llamadas primario (y tambin a uno secundario si est disponible) sobre TCP en el puerto 2000 y se registran con el gestor de llamadas primario. Luego esta conexin se utiliza para establecer las llamadas que entran o salen del cliente. La ALG con SCCP admite lo siguiente: Flujo de llamada de un cliente Skinny a otro cliente Skinny a travs del gestor de llamadas. Conmutacin por error sin fisuras: conmuta todas las llamadas en proceso hacia el cortafuegos en espera durante los fallos del primario. Inspeccin de la carga de la trama de sealizacin de VoIP: inspecciona completamente la carga de paquetes de sealizacin VoIP entrantes segn las normas RFC y de cada fabricante que se apliquen. Si se descubre algn ataque de paquetes malformados, la ALG los bloquea.
Vista general
83
Inspeccin de la carga de la trama de sealizacin del SCCP: inspecciona completamente la carga de paquetes de sealizacin del SCCP entrantes de acuerdo con RFC 3435. Si se descubre algn ataque de paquetes malformados, la ALG los bloquea. Procesamiento del estado: activa las mquinas de estado con protocolo VoIP correspondientes para procesar la informacin analizada. Cualquier paquete que est fuera de estado o fuera de transaccin se identifica y se maneja apropiadamente. Traduccin de direcciones de red (NAT): traduce cualquier direccin de IP incorporada y la informacin de puerto en la carga, con base en la informacin de enrutamiento y la topologa de la red, la direccin de IP traducida y el nmero de puerto, si fuera necesario. Creacin y administracin de ojos de aguja para trfico de VoIP: identifica la direccin de IP y la informacin de puerto utilizada para medios o sealizacin y abre en forma dinmica (y cierra) los ojos de aguja para secuenciar los medios de forma segura.
Seguridad del SCCP

La ALG con SCCP incluye las siguientes funciones de seguridad: Proteccin contra los ataques de denegacin de servicio (DoS). La ALG realiza una inspeccin de estado a nivel de paquete de UDP, a nivel de transaccin y a nivel de la llamada. Se procesan los paquetes del SCCP que coinciden con el formato de mensaje, el estado de la transaccin y el estado de la llamada. Se descartan todos los dems. Cumplimiento de las directivas de cortafuegos entre los telfonos IP de Cisco y el gestor de llamadas (dentro del clster). Cumplimiento de las directivas de cortafuegos entre los gestores de llamadas (Inter-Cluster). Control de grandes cantidades de paquetes simultneos del gestor de llamadas. Protege al gestor de llamadas contra inundaciones de paquetes simultneos de nuevas llamadas, ya sea de un cliente conectado que est comprometido o por un dispositivo defectuoso. Cumplimiento de las directivas de pared de fuego entre las puertas (directivas de medios). Control de grandes cantidades de paquetes simultneos de conexin SCCP por puerta de enlace. Cambio y conmutacin por error sin fisuras si las llamadas, incluidas las llamadas en curso, se conmutan al cortafuegos que est en espera por si se producen fallos del sistema.
84
Seguridad del SCCP
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
Protocolo SCCP
Las siguientes secciones dan una breve vista general del SCCP y su funcionamiento: Componentes del SCCP en esta pgina Transacciones con SCCP en la pgina 86 Mensajes del SCCP en la pgina 89
Componentes del SCCP

Los componentes principales de la arquitectura de VoIP del SCCP incluyen los siguientes: Cliente del SCCP Gestor de llamadas Clster
Cliente del SCCP

El cliente del SCCP se ejecuta por medio de un telfono de IP, tambin llamado estacin final, que utiliza el SCCP para sealizacin y para realizar llamadas. Para que un cliente Skinny realice una llamada se debe registrar primero con un gestor de llamadas primario (y con un secundario si est disponible). La conexin entre el cliente y el gestor de llamadas es a travs de TCP en el puerto 2000. Luego se usa esta conexin para establecer llamadas hacia o desde el cliente. La transmisin de medios se realiza con RTP, UDP e IP.
Gestor de llamadas
El gestor de llamadas es un servidor H.323 de Cisco con control general de toda la comunicacin y dispositivos en la red VoIP con SCCP. Sus funciones incluyen definir, supervisar y controlar grupos del SCCP, regiones de nmeros y planes de rutas; proporcionar inicializacin, admisin y registro de dispositivos en la red; proporcionar una base de datos redundantes que contenga direcciones, nmeros de telfono y formatos de nmeros, e iniciar el contacto con los dispositivos llamados o sus agentes para establecer sesiones lgicas en las que pueda fluir la comunicacin de voz.
Clster
Un clster es un conjnto de clientes del SCCP y un gestor de llamadas. El gestor de llamadas en el clster tiene conocimiento sobre todos los clientes del SCCP en el clster. En un clster puede haber ms de un gestor de llamadas para tener un respaldo. El comportamiento del gestor de llamadas vara en cada una de las siguientes situaciones de un clster: Dentro del clster, en el cual el gestor de llamadas conoce a cada cliente del SCCP y la llamada es entre clientes del SCCP del mismo clster. Entre clsteres, en la cual el gestor de llamadas necesita comunicarse con otro gestor de llamadas usando H.323 para establecer llamadas.
Protocolo SCCP
85
Las llamadas entre clsteres que usan el equipo selector para el control de admisin y la resolucin de direccin. El comportamiento del gestor de llamadas tambin vara con las llamadas entre un cliente del SCCP y un telfono en una red conmutada de telfonos pblica (PSTN) y con las llamadas entre un cliente del SCCP y un telfono en otro dominio administrativo que utiliza H.323.
Transacciones con SCCP

Las transacciones con SCCP son los procesos que deben realizarse para que se inicie una llamada con el SCCP. Las transacciones con SCCP incluyen las siguientes: Inicializacin del cliente Registro del cliente Establecimiento de la llamada Configuracin de medios
Inicializacin del cliente

El cliente del SCCP debe saber la direccin IP del gestor de llamadas, su propia direccin IP y otra informacin sobre la puerta de enlace IP y los servidores DNS. La inicializacin se lleva a cabo en la LAN local. El cliente enva una solicitud de protocolo de control dinmico de host (DHCP) para obtener una direccin IP, la direccin del servidor DNS y el nombre y direccin del servidor TFTP. El cliente necesita el nombre del servidor TFTP para descargar el archivo de configuracin: sepdir_mac.cnf. Si no se proporciona el nombre del TFTP, el cliente usa el nombre del archivo predeterminado en el telfono IP. Despus, el cliente descarga el archivo de configuracin .cnf (xml) del servidor TFTP. Los archivos CNF contienen la direccin o direcciones IP del gestor de llamadas de Cisco primario y secundario. El cliente se comunica con el gestor de llamadas para registrarse con esta informacin.
Registro del cliente

Despus de la inicializacin, el cliente del SCCP se registra con el gestor de llamadas a travs de una conexin TCP en un puerto 2000 predeterminado bien conocido. El cliente se registra proporcionando su direccin IP al gestor de llamadas, la direccin MAC del telfono y otra informacin, tal como el protocolo y la versin. El cliente no puede iniciar o recibir llamadas hasta que est registrado. Los mensajes de mantenimiento de conexin mantienen abierta esta conexin TCP entre el cliente y el gestor de llamadas para que el cliente puede iniciar o recibir llamadas en cualquier momento, siempre que lo permita una directiva en el dispositivo de seguridad.
86
Protocolo SCCP
La Tabla 4 muestra los mensajes del SCCP e inicia los mensajes que son de inters para el dispositivo de seguridad.
Tabla 4: Mensajes de registro del SCCP Del cliente
RegisterMessage IPortMessage RegisterAckMessage CapabilitiesRequest CapabilitiesResMessage ButtonTemplateReqMessage ButtonTemplateResMessage SoftKeyTemplateReqMessage SoftKeyTemplateResMessage LineStatReqMessage LineStatMessage
Del gestor de llamadas
De inters para el dispositivo de seguridad
b b b
b b
Establecimiento de la llamada
El gestor de llamadas siempre maneja el establecimiento de la llamada de telfono IP a telfono IP utilizando el SCCP. Los mensajes para el establecimiento de la llamada se envan al gestor de llamadas, desde donde se devuelven mensajes correspondientes al estado de la llamada. El gestor de llamadas enva al cliente el mensaje de configuracin de medios si tiene xito el establecimiento de la llamada y una directiva en el dispositivo de seguridad permite la llamada.
Configuracin de medios
El gestor de llamadas enva la direccin IP y el nmero de puerto del interlocutor que recibe la llamada al interlocutor que hace la llamada. El gestor de llamadas enva la direccin IP de medios y el nmero de puerto del interlocutor que hace la llamada al interlocutor que recibe la llamada. Los medios se transmiten directamente entre los clientes despus de la configuracin de medios. Cuando termina la llamada, el gestor de llamadas recibe la informacin y termina las secuencias de medios. En ningn momento durante este proceso el gestor de llamadas entrega al cliente la funcin de establecimiento de la llamada. Los medios pasan directamente entre los clientes a travs de RTP/UDP/IP.
Protocolo SCCP
87
Mensaje de control del SCCP y flujo del RTP

La Figura 24 muestra los mensajes de control del SCCP utilizados para establecer y terminar una llamada simple entre Telfono1 y Telfono2. Con excepcin del mensaje OffHook que inicia la llamada desde el Telfono1 y el mensaje OnHook que sealiza el fin de la llamada, todos los aspectos de la llamada estn controlados por el gestor de llamadas.
Figura 24: Configuracin y terminacin de llamada
Telfono1 OffHook CallState(offhook, ln 1, CID 16777332) keypadbutton CallState(Proceed, ln 1, CID 16777332) CallInfo(Outbound, ln 1, 2001->2002, Orig: 2002. CID16777332) CallState(Ringout, ln 1, CID 16777332) CallInfo(Outbound, ln 1, 2001->2002, CID16777332)
Gestor de llamadas
Telfono2
Callstate(RingIn, ln 1, CID 16777333) CallInfo(Inbound, ln 1, 2001->2002, Orig: 2002. CID16777333)
OffHook CallState(OffHook, ln 1, CID 16777333) OpenRcvChn1(PPID 16778577, CnfrId: 0)
OpenRcvChn1(PPID 16778561, CnfrId: 0) CallState(Connected, ln 1, CID 16777332) CallInfo(outboundcall, ln 1, 2001->2002, CID16777332) OpenRcvChnAck1(PPID 16778561, IP:10.10.10.10/Port:24038) StartMediaX(PPID 16778561, IP:10.10.10.20/Port:30198), CnffId:0
CallState(Connected, ln 1, CID 16777333) CallInfo(Inbound, ln 1, 2001->2002, Orig: 2002. CID16777333)
StartMediaX(PPID 16778577, IP:10.10.10.10/Port:24038), CnfrnId:0 OpenRcvChnAck1(PPID 16778577, IP:10.10.10.20/Port:30198)
RTP/UDP (10.10.10.10/24038 -> 10.10.10.20/30198, 10.10.10.20/30198 -> 10.10.10.10/24038)
CallState(OnHook, ln 1, CID 16777332) CloseRcvChn1(PPID 16778561, CnfrId:0) StopMediaX(PPID 16778561, CnffId:0) CallState(Terminate, ln 1, CID 16777332) CloseRcvChn1(PPID 16778577, CnfrId:0) StopMediaX(PPID 16778577, CnffId:0)
88
Protocolo SCCP
Mensajes del SCCP

La Tabla 5, la Tabla 6, la Tabla 7 y la Tabla 8 enumeran las ID de mensajes de llamadas de SCCP en los cuatro intervalos permitidos por el dispositivo de seguridad.
Tabla 5: Mensajes de la estacin al gestor de llamadas Mensaje
#define STATION_REGISTER_MESSAGE #define STATION_IP_PORT_MESSAGE #define STATION_ALARM_MESSAGE #define STATION_OPEN_RECEIVE_CHANNEL_ACK
Range
0x00000001 0x00000002 0x00000020 0x00000022
Tabla 6: Mensajes del gestor de llamadas a la estacin Mensaje

#define STATION_START_MEDIA_TRANSMISSION #define STATION_STOP_MEDIA_TRANSMISSION #define STATION_CALL_INFO_MESSAGE #define STATION_OPEN_RECEIVE_CHANNEL_ACK #define STATION_CLOSE_RECEIVE_CHANNEL
Range
0x00000001 0x00000002 0x00000020 0x00000022 0x00000106
Tabla 7: Mensajes del gestor de llamadas 4.0 y Post Skinny 6.2 Mensaje
#define STATION_REGISTER_TOKEN_REQ_MESSAGE #define STATION_MEDIA_TRANSMISSION_FAILURE #define STATION_OPEN_MULTIMEDIA_RECEIVE_CHANNEL_ACK
Range
0x00000029 0x0000002A 0x00000031
Tabla 8: Gestor de llamadas a estacin Mensaje

#define STATION_OPEN_MULTIMEDIA_RECEIVE_CHANNEL #define STATION_START_MULTIMEDIA_TRANSMISSION #define STATION_STOP_MULTIMEDIA_TRANSMISSION #define STATION_CLOSE_MULTIMEDIA_RECEIVE_CHANNEL
Range
0x00000131 0x00000132 0x00000133 0x00000136
Ejemplos
Esta seccin contiene los siguientes ejemplos de supuestos: Ejemplo: Gestor de llamadas/servidor TFTP en la zona Trust en la pgina 90 Ejemplo: Gestor de llamadas/servidor TFTP en la zona Untrust en la pgina 92 Ejemplo: Zona triple, gestor de llamadas/servidor TFTP en DMZ en la pgina 94
Ejemplos
89
Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Trust en la pgina 98 Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Untrust en la pgina 102 Ejemplo: VPN de malla completa para el SCCP en la pgina 104
Ejemplo: Gestor de llamadas/servidor TFTP en la zona Trust

En este ejemplo, Telfono1 y el gestor de llamadas/servidor TFTP estn en la interfaz ethernet1 en la zona Trust (privada) y Telfono2 est en la interfaz ethernet3 en la zona Untrust. Coloque una MIP para el gestor de llamadas/servidor TFTP en la interfaz ethernet3 para que cuando el Telfono2 se inicie pueda entrar en contacto con el servidor TFTP y obtener la direccin IP del gestor de llamadas. (Recomendamos que cambie la direccin IP del gestor de llamadas en el archivo de configuracin del servidor TFTP (sep <dir_mac>.cnf) a la direccin IP de MIP del gestor de llamadas). Luego se crea una directiva que permita el trfico del SCCP de la zona Untrust a la zona Trust y crea una referencia de ese MIP en la directiva. Tambin crear una directiva desde la zona Trust a la zona Untrust para permitir que Telfono1 efecte llamadas externas.
Figura 25: Gestor de llamadas/servidor TFTP en la zona privada
ethernet1 10.1.1.1/24 Trust Dispositivo de seguridad LAN
ethernet3 1.1.1.1/24 Untrust Internet
Servidor CM/TFTP 10.1.1.4
Telfono1 10.1.1.3
Dispositivo virtual MIP en ethernet3 1.1.1.2 -> 10.1.1.4
Telfono2 1.1.1.4
WebUI
1. Interfaces
90
Ejemplos
2.
Direcciones
Address Name: Telfono1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Address Name: Telfono2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
Address Name: CM-TFTP_Server IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.4/24 Zone: Trust
3. MIP
4. Directivas
Source Address: Address Book Entry: (seleccione), any Destination Address: Address Book Entry: (seleccione), Telfono2 Service: SCCP Action: Permit
Source Address: Address Book Entry: (seleccione), Telfono2
Ejemplos
91
Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.2) Service: SCCP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route
2. Direcciones
set address trust Telfono1 10.1.1.3/24 set address untrust Telfono2 1.1.1.4/24 set address trust cm-tftp_server 10.1.1.4/24
3. MIP

4. Directivas
set policy from trust to untrust any Telfono2 sccp nat src permit set policy from untrust to trust Telfono2 mip(1.1.1.2) sccp permit save NOTA:
Siempre es ms seguro especificar explcitamente un servicio, como se muestra en esta configuracin de ejemplo, que utilizar la palabra clave que permite designar cualquier servicio: any.
Ejemplo: Gestor de llamadas/servidor TFTP en la zona Untrust

En este ejemplo, el Telfono1 se encuentra en la interfaz ethernet1 en la zona Trust y el Telfono2 y el gestor de llamadas/servidor TFTP en la interfaz ethernet3 de la zona Untrust. Puede crear la directiva desde la zona Trust hasta la zona Untrust despus de configurar las interfaces y direcciones. Esto permite al Telfono1 registrarse con el gestor de llamadas/servidor TFTP en la zona Untrust.
Figura 26: Gestor de llamadas/servidor TFTP en la zona Untrust
ethernet1 10.1.1.1/24 ethernet3 1.1.1.1/24
Trust
Untrust
Internet
LAN
Telfono1 10.1.1.3
Telfono2 1.1.1.4
92
Ejemplos
WebUI
1. Interfaces
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
2. Direcciones
Address Name: CM/TFTP Server IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.3/24 Zone: Untrust
3. Directivas
Source Address Address Book Entry: (seleccione), Telfono1 Destination Address Address Book Entry: (seleccione), any Service: SCCP Action: Permit
Ejemplos
93
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route
2. Direcciones
set address trust Telfono1 10.1.1.3/24 set address untrust Telfono2 1.1.1.4/24 set address untrust cm-tftp_server 1.1.1.3/24
3. Directivas
set policy from trust to untrust Telfono1 any sccp nat src permit save NOTA:
Ejemplo: Zona triple, gestor de llamadas/servidor TFTP en DMZ

En este ejemplo, el Telfono1 se encuentra en la interfaz ethernet1 de la zona Trust, el Telfono2 en la interfaz ethernet3 de la zona Untrust y el gestor de llamadas/servidor TFTP en la interfaz ethernet2 en DMZ. Para sealizacin, se crea una directiva desde la zona Trust a DMZ para permitir que el Telfono1 se comunique con el gestor de llamadas/servidor TFTP, y se crea una directiva desde la zona Untrust a DMZ para permitir que el Telfono2 se comunique con el gestor de llamadas/servidor TFTP. Para la transmisin de medios se crea una directiva de Trust a Untrust para permitir la comunicacin directa entre Telfono1 y Telfono2. Las flechas de la Figura 27 muestran el flujo del trfico del SCCP cuando el Telfono2 de la zona Untrust genera una llamada al Telfono1 en la zona Trust. Despus de iniciar la sesin, los medios fluyen directamente entre Telfono1 y Telfono2.
94
Ejemplos
Figura 27: Gestor de llamadas/servidor TFTP en DMZ
Untrust
Telfono2 1.1.1.4
Internet
Servidor CM/TFTP 2.2.2.4 ethernet2 2.2.2.2/24
DMZ
Dispositivo de seguridad LAN

ethernet1 10.1.1.1/24
LAN
Telfono1 10.1.1.3
Trust WebUI
1. Interfaces
Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
Ejemplos
95
2.
Direccin
Address Name: CM-TFTP_Server IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.4/24 Zone: DMZ
3. Directivas
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Telfono1 Destination Address: Address Book Entry: (seleccione), CM-TFTP_Server Service: SCCP Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Telfono2 Destination Address: Address Book Entry: (seleccione), CM-TFTP_Server Service: SCCP Action: Permit
96
Ejemplos
Source Address: Address Book Entry: (seleccione), Telfono1 Destination Address: Address Book Entry: (seleccione), Telfono2 Service: SCCP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route set interface ethernet2 zone dmz set interface ethernet2 ip 2.2.2.2/24 set interface ethernet2 route
2. Direcciones
set address trust Telfono1 10.1.1.3/24 set address untrust Telfono2 1.1.1.4/24 set address dmz cm-tftp_server 2.2.2.4
3. Directivas
set policy from trust to dmz Telfono1 cm-tftp_server sccp nat src permit set policy from untrust to dmz Telfono2 cm-tftp_server sccp permit set policy from trust to untrust Telfono1 Telfono2 sccp nat src permit save NOTA:
Ejemplos
97
Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Trust

En este ejemplo, el Telfono1 se encuentra en la interfaz ethernet4 de la zona Untrust, el Telfono2 en una subred en la interfaz ethernet3 de la zona Untrust y el gestor de llamadas/servidor TFTP en la interfaz ethernet1 de la zona Trust. Para permitir trfico SCCP intrazonal entre los dos telfonos de la zona Untrust debe crear una interfaz de bucle invertido, agregar ethernet3 y ethernet4 a un grupo de bucle invertido y finalmente situar una MIP en la interfaz de bucle invertido apuntando a la direccin IP del gestor de llamadas/servidor TFTP. Crear una interfaz de bucle invertido le permitir utilizar una sola MIP para el gestor de llamadas/servidor TFTP en la zona Trust. (Para obtener ms informacin sobre la utilizacin de interfaces de bucle invertido, consulte MIP y la interfaz loopback en la pgina 8-73.) Finalmente, dado que el bloqueo interzonal est activado de forma predeterminada, debe desactivar el bloqueo en la zona Untrust para permitir la comunicacin interzonal.
Figura 28: Intrazonal, gestor de llamadas/servidor TFTP en la zona Trust
Untrust
Telfono1 1.1.1.4 Telfono2 1.1.2.4
Internet
loopback 1 1.1.4.1/24
MIP en loopback 1 1.1.4.5 -> 10.1.1.5
ehternet1 10.1.1.1/24
LAN
Trust
98
Ejemplos
WebUI
1. Interfaces
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:

Interface Mode: NAT
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y haga clic en OK:
Interface Name: loopback.1 Zone: Untrust (trust-vr) IP Address/Netmask: 1.1.4.1/24
2. Direcciones
Address Name: CM-TFTP_Server IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/32 Zone: Trust
Ejemplos
99
As member of loopback group: (seleccione), loopback.1 Zone Name: Untrust
As member of loopback group: (seleccione), loopback.1 Zone Name: Untrust
4. MIP
5. Bloqueo
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga clic en OK:
Block Intra-Zone Traffic: (anule la seleccin)
6. Directivas
Source Address: Address Book Entry: (seleccione), CM-TFTP_Server Destination Address: Address Book Entry: (seleccione), Any Service: SCCP Action: Permit
100
Ejemplos
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), MIP(1.1.4.5) Service: SCCP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.2.1/24 set interface ethernet3 route set interface ethernet4 zone untrust set interface ethernet4 ip 1.1.1.1/24 set interface ethernet4 route set interface loopback.1 zone untrust set interface loopback.1 ip 1.1.4.1/24 set interface loopback.1 route
2. Direcciones
set address trust cm-tftp_server 10.1.1.5/32 set address untrust Telfono1 1.1.1.4/32 set address untrust Telfono2 1.1.2.4/32
set interface ethernet3 loopback-group loopback.1 set interface ethernet4 loopback-group loopback.1
4. MIP
set interface loopback.1 mip 1.1.4.5 host 10.1.1.5

5. Bloqueo
unset zone untrust block

6. Directivas
set policy from trust to untrust cm/tftp_server any sccp nat src permit set policy from untrust to trust any mip(1.1.4.5) sccp permit save NOTA:
Aunque en este ejemplo desactiv el bloqueo en la zona Untrust para permitir la comunicacin interzonal, puede lograr lo mismo mediante la siguiente directiva:
set policy from untrust to untrust any any sccp permit
Tenga en cuenta que siempre es ms seguro especificar explcitamente un servicio, como se muestra en esta configuracin de ejemplo, que utilizar la palabra clave que permite designar cualquier servicio: any.
Ejemplos
101
Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Untrust

En este ejemplo, el Telfono1 se encuentra en la interfaz ethernet1 de la zona Trust, el Telfono2 en la interfaz ethernet2 en una subred de la zona Trust y el gestor de llamadas/servidor TFTP en la interfaz ethernet3 de la zona Untrust. Despus de configurar las interfaces y direcciones se crea una directiva desde la zona Trust a Untrust para permitir el registro del Telfono1 y Telfono2 con el gestor de llamadas/servidor TFTP en la zona Untrust. De forma predeterminada, el bloqueo est desactivado en la zona Trust (como lo est en las zonas personalizadas que defina), por lo que no es necesario crearlo. Sin embargo, para mayor seguridad podra desactivar el bloqueo y crear una directiva de Trust a Trust. Esto permitira especificar el servicio SCCP y restringir las llamadas interzonales del Telfono1 y Telfono2.
Figura 29: Intrazonal, gestor de llamadas/servidor TFTP en la zona Trust
Telfono1 10.1.1.3 ethernet1 10.1.1.1/24 ethernet3 3.3.3.3/24 GL/Servidor TFTP 3.3.3.4
Trust Dispositivo de seguridad LAN
Untrust Internet
Telfono2 10.1.2.2
ethernet2 10.1.2.1/24
WebUI
1. Interfaces
102
Ejemplos
2.
Direcciones
Address Name: CM/TFTP Server IP Address/Domain Name: IP/Netmask: (seleccione), 3.3.3.4/24 Zone: Untrust
3. Directivas
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione) CM/TFTP Server Service: SCCP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.1.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 3.3.3.3/24 set interface ethernet3 route
2. Direcciones
set address trust Telfono1 10.1.1.3/24 set address trust Telfono2 10.1.2.2/24 set address untrust cm-tftp_server 3.3.3.4/24 103
Ejemplos
3.
Directivas
set policy from trust to untrust any cm-tftp_server sccp nat src permit save NOTA:
Ejemplo: VPN de malla completa para el SCCP

En este ejemplo, la oficina central y dos sucursales estn unidas por una VPN de malla completa. Cada sitio tiene un solo dispositivo de seguridad. El gestor de llamadas/servidor TFTP se encuentra en la zona Trust de la oficina central, el Telfono1 en la zona Trust de la sucursal primera y el Telfono2 en la zona Trust de la sucursal segunda. Todas las interfaces que conectan los dispositivos se encuentran en sus respectivas zonas Untrust. En cada dispositivo configurar dos tneles, uno hacia cada uno de los otros dispositivos, para crear una red completamente interconectada.
NOTA:
Los dispositivos de seguridad utilizados en este ejemplo deben tener disponibles por lo menos tres interfaces configurables independientemente.
104
Ejemplos
Figura 30: VPN de malla completa para el SCCP
Nota: La zona Untrust de cada dispositivo no se muestra
Oficina central Zona Trust
GL/servidor TFTP 10.1.3.3
Trust eth2/8-10.1.3.1
tunnel.1 6.6.6.6 Untrust eth2/1: 1.1.1.1 Enrutador de puerta de enlace a central: 1.1.1.1 sucursal: 3.3.3.3 Untrust eth3 3.3.3.3 interfaz tunnel.1 sin numerar
Central
tunnel.2 7.7.7.7 Untrust eth2/2-1.1.2.1 Enrutador de puerta de enlace a central: 1.1.2.1 sucursal: 2.2.2.2 Untrust eth3-2.2.2.2
VPN 1
VPN 2
Sucursal 1
VPN 3
Sucursal 2
Trust eth1 10.1.1.1
Trust eth1 10.1.2.1
Zona Trust Sucursal primera

Telfono1 10.1.1.3
Enrutador de puerta de enlace A sucursal 1: 4.4.4.4 A sucursal 2: 5.5.5.5 interfaz tunnel.3 sin numerar
Zona Trust Sucursal segunda

Telfono2 10.1.2.3
NOTA:
Siempre es ms seguro especificar explcitamente un servicio, como se muestra en esta configuracin de ejemplo, que utilizar la palabra clave que permite designar cualquier servicio: any. WebUI (para la central)
1. Interfaces
Ejemplos
105
2. Direccin
Address Name: CM/TFTP Server IPv4/Netmask: 10.1.3.3/32 Zone: Trust
3. VPN
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
106
Ejemplos
4. Enrutamiento
5. Directivas
Source Address (seleccione) Address Book Entry: CM/TFTP Server Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SCCP Action: Permit
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: CM/TFTP Server Service: SCCP Action: Permit
Ejemplos
107
CLI (para la central)

1. Interfaces
set set set set set set set set set set set
2.
interface ethernet2/1 zone untrust interface ethernet2/1 ip 1.1.1.1/24 interface ethernet2/2 zone untrust interface ethernet2/2 ip 1.1.2.1/24 interface ethernet2/8 zone trust interface ethernet3/8 ip 10.1.3.1/24 interface ethernet2/8 route interface tunnel.1 zone untrust interface tunnel.1 ip 6.6.6.6/24 interface tunnel.2 zone untrust interface tunnel.2 ip 7.7.7.7/24
Direccin
set address trust cm-tftp_server 10.1.3.3/32

3. VPN
set ike gateway to-branch-1 address 3.3.3.3 main outgoing-interface ethernet2/1 preshare netscreen sec-level standard set ike gateway to-branch-2 address 2.2.2.2 main outgoing-interface ethernet2/2 presharenetscreen sec-level standard set vpn vpn_branch-1 gateway to-branch-1 no-reply tunnel idletime 0 sec-level standard set vpn vpn-branch-1 id 1 bind interface tunnel.1 set vpn vpn-branch-2 gateway to-branch-2 no-reply tunnel idletime 0 sec-level standard set vpn vpn-branch-2 id 2 bind interface tunnel.2
4. Enrutamiento
5. Directivas
set policy from trust to untrust cm-tftp_server any sccp permit set policy from untrust to trust any cm-tftp_server sccp permit save
WebUI (Sucursal 1)
1. Interfaces
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Interface Mode: route
108
Ejemplos
2. Direccin
Address Name: Telfono1 IPv4/Netmask: 10.1.1.3/32 Zone: V1-Trust
3. VPN
Ejemplos
109
VPN Name: vpn-ns50
4. Enrutamiento
5. Directivas
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Telfono2 Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SCCP Action: Permit
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: Telfono2 Service: SCCP Action: Permit
CLI (Sucursal 1)
1. Interfaces
2. Direccin
set address trust Telfono1 10.1.1.3/32
110
Ejemplos
3.
VPN
set ike gateway to-central address 1.1.1.1 main outgoing-interface ethernet3 preshare netscreen sec-level standard set ike gateway to-ns50 address 5.5.5.5 main outgoing-interface ethernet4 preshare netscreen sec-level standard set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard set vpn vpncentral bind interface tunnel.1 set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard set vpn vpn-ns50 bind interface tunnel.3
4. Rutas
5. Directivas
set policy from trust to untrust Telfono1 any sccp permit set policy from untrust to trust any Telfono1 sccp permit save
WebUI (Sucursal 2)
1. Interfaces
Ejemplos
111
2.
Direccin
Address Name: Telfono2 IPv4/Netmask: 10.1.2.3/32 Zone: Trust
3. VPN
VPN Name: vpn-ns50
4. Enrutamiento
112
Ejemplos
5. Directivas
Policies > (From: Trust, To: Untrust) Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Telfono2 Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SCCP Action: Permit
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: Telfono2 Service: SCCP Action: Permit
CLI (Sucursal 2)
1. Interfaces
2. Direccin
set address trust Telfono1 10.1.2.3/32

3. VPN
set ike gateway to-central address 1.1.1.1 Main outgoing-interface ethernet3 preshare netscreen sec-level standard set ike gateway to-ns50 address 4.4.4.4 Main outgoing-interface ethernet4 preshare netscreen sec-level standard set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard set vpn vpncentral id 4 bind interface tunnel.2 set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard set vpn vpn-ns50 id 5 bind interface tunnel.3
4. Rutas
Ejemplos
113
5.
Directivas
set policy from trust to untrust Telfono2 any sccp permit set policy from untrust to trust any Telfono2 sccp permit save
114
Ejemplos
ndice
A
ALG ..................................................................................17 SIP .............................................................................13 SIP NAT ....................................................................24
T
Tiempo de espera SIP por inactividad .........................................................21 por inactividad de la sesin ...................................21 por inactividad de medios ................................22, 23 por inactividad de sealizacin .......................22, 23
G
gatekeeper (equipos selectores) .....................................1
V L
libro de servicio, grupos de servicios (WebUI) ...........66 voz sobre IP administracin del ancho de banda ......................65
O
ojos de aguja ..................................................................20
S
SDP .......................................................................... 18 a 19 sesiones multimedia, SIP ..............................................14 SIP ALG .....................................................................17, 21 anuncios de medios ................................................19 cdigos de respuesta ..............................................16 definido ....................................................................13 informacin de la conexin ...................................19 mensajes ..................................................................14 mtodos de peticin ...............................................14 ojos de aguja ............................................................18 RTCP .........................................................................19 RTP ...........................................................................19 SDP ................................................................... 18 a 19 sealizacin .............................................................17 sesiones multimedia ...............................................14 SIP NAT configuracin de llamadas ...............................24, 30 definido ....................................................................24 DIP, utilizar entrante...............................................32 entrante, con MIP..............................................36, 38 proxy en DMZ ..........................................................45 proxy en zona privada......................................40, 90 proxy en zona pblica ............................................43 trust intrazonal ........................................................52 untrust intrazonal ....................................................98 untrust intrazone .....................................................49 utilizar DIP de interfaz ............................................33 utilizar un rango DIP ...............................................36 VPN, con uso de malla completa ..................55, 104
NDICE
IX-I
IX-II
NDICE

Ce v6 SP

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Ce v6 SP

Caricato da

Copyright:

Formati disponibili

Conceptos y ejemplos Manual de referencia de ScreenOS

Volumen 6: Voz sobre el protocolo de Internet (VoIP)

Versin 6.0.0, Rev. 02

Juniper Networks, Inc.

Concepts & Examples ScreenOS Reference Guide

Concepts & Examples ScreenOS Reference Guide

Acerca de este volumen

Convenciones del documento

Convenciones del documento

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones de la interfaz de usuario web

Convenciones de interfaz de lnea de comandos

Las variables aparecen en cursiva:

En el texto, los comandos estn en negrita y las variables en cursiva.

Convenciones del documento

Acerca de este volumen

Convenciones de nomenclatura y conjuntos de caracteres

Convenciones del documento

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones para las ilustraciones

Rango dinmico de IP (DIP)

Dispositivo de red genrico

Interfaz de tnel Servidor Tnel VPN

Enrutador Dispositivos de seguridad Juniper Networks

Convenciones del documento

Acerca de este volumen

Asistencia y documentacin tcnica

Asistencia y documentacin tcnica

Manual de referencia de ScreenOS: Conceptos y ejemplos

Asistencia y documentacin tcnica

Puerta de enlace en la capa de aplicacin H.323

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Equipo selector en la zona Trust

Captulo 1: Puerta de enlace en la capa de aplicacin H.323

set address untrust IP_Phone 2.2.2.5/32

Ejemplo: Equipo selector en la zona Untrust

Manual de referencia de ScreenOS: Conceptos y ejemplos

Captulo 1: Puerta de enlace en la capa de aplicacin H.323

Ejemplo: Llamadas salientes con NAT

Manual de referencia de ScreenOS: Conceptos y ejemplos

Captulo 1: Puerta de enlace en la capa de aplicacin H.323

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Llamadas entrantes con NAT

Captulo 1: Puerta de enlace en la capa de aplicacin H.323

DIP con NAT entrante

set interface ethernet3 dip 5 1.1.1.12 1.1.1.150 incoming

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Equipo selector en la zona Untrust con NAT

MIP 1.1.1.5 -> 10.1.1.5

Captulo 1: Puerta de enlace en la capa de aplicacin H.323

Manual de referencia de ScreenOS: Conceptos y ejemplos

set interface ethernet3 mip 1.1.1.5 host 10.1.1.5

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250

Puerta de enlace de la capa de aplicacin del protocolo de inicio de sesin

Manual de referencia de ScreenOS: Conceptos y ejemplos

Mtodos de peticin del protocolo SIP

Captulo 2: Puerta de enlace de la capa de aplicacin del protocolo de inicio de sesin

Manual de referencia de ScreenOS: Conceptos y ejemplos

Clases de respuestas SIP

302 Moved temporarily (Movido temporalmente)

Captulo 2: Puerta de enlace de la capa de aplicacin del protocolo de inicio de sesin

Puerta de enlace en la capa de aplicacin SIP