Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Guia de Segurana
Primeira reviso - Janeiro de 2011
Bob Fryer
Elastix e Rede
Guia de Segurana
Autor
Organizao
Data
Reviso
Nvel
Data para Reviso
Refere-se a
Licena
Contribuintes
Bob Fryer
Azul Pacotes (ACT, Austrlia)
09/01/2011
1.0
Iniciante / Intermedirio / Avanado
30/03/2011 ou Elastix 2,04 Lanamento
Elastix 2.0 - e algumas verses anteriores
GNU / FDL
Introduo
Segurana um tema muito amplo e com razo. Trata-se de um tema muito subjectivo, bem como, e em certa
grau um assunto que nunca ter um fim definitivo. por isso que geralmente rejeitam qualquer livro
que pretende ser um guia definitivo para Segurana. Ele um ser vivo assunto constante, com melhorias,
mudanas, retraes e at mesmo mudanas de pensamento e direo a cada ano.
Tambm no h como assunto de segurana que mexe com as emoes, especialmente quando as declaraes
so
fez como todo mundo tem suas prprias opinies e idias.
A segurana tambm no vai ser corrigido por um dispositivo que corrige tudo. um conjunto de ferramentas, apoiada
por meio de procedimentos e, finalmente, apoiada pela reviso e acompanhamento diligente.
A segurana apenas to bom quanto o elo mais fraco da cadeia, por isso que este guia abrange rede como
bem, mas no importa o quo bem voc seguir este guia, implementar as suas medidas, siga os procedimentos, ele
sempre vai ser desfeito por algo muito bsico, algo que voc nunca considerado um
emisso ou um elo na cadeia de segurana.
Este documento no um guia definitivo sobre Segurana. Eu no vou nem prometer-lhe que, seguindo esta
orientar que o seu sistema Elastix no ser cortado. Somente voc pode continuar a trabalhar do lado de c
coisas, aprender mais sobre a segurana, a implementao de novas medidas, como voc se sente necessrio.
Da mesma forma, a segurana o quanto voc quer faz-lo. Voc pode ser capaz de proteger o seu sistema para cobrir
70% do seu sistema utilizando ferramentas / produtos que voc tem e no mais de hardware, voc pode ser capaz de
cobrir 95% do seu sistema com algumas centenas de dlares, mas para chegar a esse 99% +, poderia custar-lhe
milhares de dlares, e voc ainda pode ter que 1% de chance de que algum fica completamente.
Este guia ir fornecer-lhe uma introduo sobre ferramentas e tcnicas que voc pode implementar para cobrir
que 70% a 95%. Este guia ir descrever algumas das tcnicas mais comuns que esses intrusos usam
bem como dicas e truques para diminuir a possibilidade de um intruso far uma intruso bem sucedida no
seu sistema.
Ao implementar a segurana Eu pessoalmente trabalho com base em quatro camadas, que geralmente vm
at o bsico
Firewall
A maioria das pessoas sabe o que quero dizer aqui, ea medida de segurana primeiro precisa existir no
permetro de sua rede. Eu no tenho nenhum problema com ele existentes em seu sistema Elastix,
especialmente
como IPTables Linux corretamente implementado provavelmente considerado como um dos melhores
firewall
implementaes, na verdade, muitos produtos appliance de firewall, tanto comerciais e Open
Fonte baseiam-se em um Kernel Linux com o iptables. No entanto, como regra geral, sempre melhor
se o firewall principal separado do produto que voc est protegendo. J a pensar nisso,
no iria preferir que voc tem uma certa distncia sobre o produto que algum est tentando
corte (neste caso, o firewall) e o produto que voc est protegendo. Ele acrescenta que a camada extra.
Autenticao
Muito simples, mas muitas vezes muito pouco pensamento vai para ele. O nmero de sistemas que eu vejo
em lugar
onde o implementador usou senhas simples, em muitos casos, a senha a
mesmo que o nmero de extenso. O uso de uma senha numrica tambm to ruim. Ele
No demorou muito para um "script kiddie" para executar um "adivinho senha" em seu sistema,
especialmente onde a senha todos os nmeros.
Isto tem uma aplicao muito bem sucedido no mundo da segurana. Por que deixar claro para possvel
intrusos, dando-lhes um roteiro. Se um possvel intruso encontra tudo colocado para fora antes
eles, eles vo us-lo, e o mesmo que esses "Script Kiddies", eles esperam que tudo
ser como eles esperavam, razo pela qual esses scripts ter sucesso razovel.
Alterar o sistema de padres no vai parar os bons ataques de intruso, mas vai
definitivamente tornar mais difcil para todos os outros para atacar seu sistema. A menos que tenham uma
investida
interesse no alvo pretendido, eles normalmente se afastam de seu sistema e procurar
um alvo mais fcil, especialmente se o sistema um script automatizado.
Monitoramento
No Firewall 100% infalvel, nenhuma rede 100% esttico (no alterado), e os atacantes so
tentando novas medidas todos os dias. Voc no pode configurar um firewall e esquecer. Monitoramento
constante
do seu Firewall ou Intrusion registros necessrio.
Neste guia, voc vai descobrir que muitas das tcnicas e idias implementar estes ou todos juntos
ou atravs de uma variedade de implementaes.
Como eu mencionei antes, apenas implementar essas idias no vai, de repente, tornar as coisas seguras. Ele
tambm um caso de monitorar seu sistema em uma base regular, investigando o que voc v. Muitos
sistemas que so "cortado" em geral no so monitorizadas, e se tinham monitorizado numa constante
base, eles teriam pego o problema antes que ele se mudou para um ataque desenvolvido.
Voc pode estar se perguntando se isso tudo uma grande batida para cima, no vale a pena o tempo. Voc pode ter
problemas
saber se esses scripts e hacks so reais. D uma olhada neste vdeo
http://enablesecurity.com/products/enablesecurity-voippack-sipautohack-demo/ .
Esta uma ferramenta grfica que eles esto usando, mas mostra claramente como essas ferramentas so simples ea
rapidez com que
pode determinar uma configurao de senha simples.
Agora voc provavelmente est pensando, bem, eu posso rastrear o endereo que veio e process-los
e receber meu dinheiro de volta.
Enquanto ns estamos olhando para uma ferramenta GUI no vdeo a partir de uma empresa que fabrica ferramentas
que voc pode usar para
proteger o seu sistema, o resto do mundo hacker escreveu suas prprias ferramentas. Estas ferramentas so mais
rpidos
e, provavelmente, ainda mais astuto do que o que esta empresa tem escrito, que incluem a palavra aleatria
geradores, geradores de nmeros, utilizando padres comuns, e incluir a procura por exploits conhecidos.
Esses caras so mesmo mais esperto do que isso, eles no executar essas ferramentas a partir de seus prprios
sistemas, eles usam
outros sistemas cortado para realizar os exames, por outras palavras, eles descobriram os sistemas que so menos
garantir que o seu, implementada seu kit de ferramentas de Hacking nele e deix-lo correr. O mesmo quando usam
suas contas para fazer chamadas, eles usam outros sistemas para encaminhar as chamadas atravs de seu sistema.
Voc pode estar pensando que eles no podem fazer que muitas chamadas no seu sistema, mas o que realmente
ocorrendo que eles esto vendendo as suas chamadas (basicamente conhecido como Toll Fraud). Isto pode ser feito
ligando
cartes que as pessoas legitimamente comprar (em particular em pases que no so eficazes para remover esta
tipo de problema), e quando tocar o nmero especial antes de fazer uma chamada, ele est tocando uma hackeada
VoIP PBX que pode se conectar a at 40 outros sistemas PBX hackeados, e tenta cada um at que ele tem
um tronco que funciona (por exemplo, um ou dois podem j no estar disponvel como seus donos tinham encontrado
atacou). Para o chamado cliente de carto, eles simplesmente notar uma demora mais tempo do que o normal, o que
no raro com chamadas internacionais.
Ainda no acredito que os sistemas Elastix esto no radar, olhe para a lista de recursos no VoIPPack neste
pgina http://enablesecurity.com/products/voippack/
Apontar isto no para levar propositadamente um furto em Ativar Segurana, eles s produzir produtos que
permitem que voc como proprietrio de um sistema para verificar o quo bom a sua segurana. No entanto, mostra
que este um
ameaa real.
Apenas para o registro, eu tenho nenhuma associao com Habilitao Segurana ou suas afiliadas, nem eu possuo
nenhum dos
seus produtos. Eu us-los como um exemplo, como eles tm um vdeo muito bom sobre a forma como este tipo de
ataques
pode ocorrer.
Os princpios
Antes de continuar a progredir ... permite cobrir alguns erros bsicos que muitos usurios fazem (eu tenho
fizeram tambm). Estes so os itens que podem melhorar imediatamente a segurana de seu sistema, e
devem ser os primeiros itens que enfrentar.
Senhas ou segredos
Senhas ou segredos, como so chamados no mundo VoIP, uma das maiores melhorias voc
pode fazer. Um dos maiores problemas que muitos usurios fazem colocar senhas simples no
sistema, enquanto eles esto testando, mas o sistema acaba passando de testes para a produo sem a
reviso de segurana. , em parte, devido natureza do produto, onde o teste tem de ser feito na
linhas de transporte reais, e uma vez que este teste for concludo, muitos preferem seguir em frente devido
presso da empresa para obt-lo dentro
A primeira coisa para colocar no lugar, e isso pode at mesmo feito se o sistema est em produo, razovel
senhas / segredos sobre cada extenso SIP voc implementou. Numa estimativa, mais de 70% de
sistemas implementados precisam de comunicao SIP com o mundo exterior, por isso absolutamente necessrio
para implementar esta medida, pois uma das maneiras mais simples que os invasores podem invadir seu sistema.
Essas senhas precisam ser de uma qualidade razovel, como um guia a seguir deve ser usado
Senhas
Adequao
Pode ser doloroso usar essas senhas, especialmente o ltimo, mas usar uma planilha ou h
algumas aplicaes de senhas aleatrias por a que so tambm um banco de dados segurando essas senhas
para voc e permite que voc adicione um comentrio sobre o que eles serviam.
Acredite em mim, muito melhor do que ter que explicar para o chefe por cinco mil dlares americanos no valor de
chamadas tm sido
feito pelo seu sistema no fim de semana. E este no apenas um possvel, isso acontece, eu tenho
testemunhado em vrias ocasies, quando solicitado a olhar para outros sistemas povos.
Eu falo sobre essas Script Kiddies e sondando o seu sistema para uma abertura. possvel para eles
enviar para o seu sistema de mais de 40 pedidos de autenticao por segundo, possivelmente muito mais com mltipla
mquinas, ento basta um simples nmero ou palavra comum no to duro de roer e que a maioria da
tempo, voc est totalmente inconsciente, de modo que o ataque pode durar dias antes que voc pode obter o vento
dele. Se voc
ter tempo para pensar sobre isso, mais de uma semana, eles podem tentar 400.000 combinaes. No impossvel
para
los para fazer um palpite correto, especialmente se voc tiver usado senhas fracas ou senhas com base em
Palavras inglesas.
No apenas a possibilidade de ser cortado, mas tambm o possvel impacto em seu sistema Elastix
e sua rede. Eu vi roteadores que no tm sido capazes de lidar com a voracidade do
atacar e ao gerente de rede, parece que quer seu / sua Internet ou roteador falhou. Ele
reboots his / her roteador, ele funciona por 20 minutos e acontece tudo de novo. Da mesma forma, quase faz
VoIP troncos inteis como a comunicao to quebrado, ou a perda de pacotes faz parecer que
esttico est na linha.
At agora temos falado sobre senhas, e na maioria dos casos se aplicam extenso
senhas / segredos, no entanto, essa mesma regra precisa para aplicar a seus troncos ou a sua voz
Provider (VSP) ou mesmo outros dispositivos SIP como ATA ou de Gateways GSM. Enquanto em Elastix eles
parecem ser tratados como diferentes dispositivos, mas para Asterisk eles so apenas um outro dispositivo SIP e
Da mesma forma para o intruso, outro canal SIP em que podem ter acesso ao seu sistema.
Seu VSP s pode fornec-lo com um nmero como um nome de login, e um nmero como uma senha, e
ser honesto, isso um pouco mais seguro do que um simples de trs dgitos do nmero de extenso de fcil
adivinhao
e um nmero curto como uma senha, mas como qualquer coisa, veja se o seu VSP tem uma maneira de mudar o
senha para algo um pouco mais substancial. No se desespere se voc no pode, temos outras medidas
podemos colocar no lugar, mas como eu mencionei antes, os mais camadas, o que mais difcil.
Annimo SIP no um enorme buraco em seu sistema, mas se voc pode pensar nisso, basicamente um poo de
areia
que algum pode ligar para longe procurando ou tentando sair vulnerabilidades. Por que voc quer fazer
isso?? De fato, para qualquer cliente, peo um cliente a assinar um documento afirmando que eles entendem o
implicaes dessa opo de segurana, antes de lig-lo.
O pior que os usurios ativar isso acreditando que uma soluo mgica para sua conexo VSP que era
no at que eles fizeram. Ele no fixar qualquer coisa, exceto abrir a porta da frente para permitir que qualquer pessoa
a andar
em que tambm inclua o VSP. especialmente irritante quando voc v os usurios (no apenas os usurios do
Elastix)
proclamando-o como a correo para muitas questes, especialmente a conexo a qualquer VSP ou de dispositivos
que
deseja
conectar
ao dos
seu manuais
sistema. de dispositivo para produtos que os usurios desejam se conectar, ter muito
Para
sersejusto,
alguns
simples
configuraes como exemplos. A questo que muitas pessoas seguem estes exemplos (que geralmente
so exemplos de arquivos de configurao do Asterisk puro), e achar que ligar PERMITEM SIP ANONYMOUS
a nica maneira de faz-lo funcionar. O vale para algumas das configuraes VSP tambm. Eles no empregam
qualquer
autenticao (ou autenticao IP do host mesmo simples) e, como tal, a nica maneira de obter a
trabalho de conexo novamente lig-lo. Uma regra simples que nem todos do VSP so criados iguais. Eu
pessoalmente se recusam a usar qualquer VSP que no suporta uma camada bsica de autenticao.
O mesmo vale para os dispositivos, se ele no suporta um mtodo de autenticao forte Eu no vou us-lo.
No entanto, o que disse, mais do VSP e dispositivos podem empregar um mtodo de autenticao forte, mas voc pode
tem que aprender a utilizar este mtodo e escrever uma configurao SIP adequado. Isso pode significar que voc
tem que fazer alguma depurao SIP para ver o que o dispositivo est a enviar de modo que voc pode fornecer o
respostas corretas, especialmente quando voc implementar a autenticao. Isto pode soar como um trabalho rduo,
e para o novato que , mas realmente compreender as implicaes de seu sistema de segurana ir realizar
lo em bom lugar.
Agora, tendo dito isso, tenha cuidado, especialmente em sistemas de produo com apenas virar essa opo de volta
fora, especialmente se voc no fosse a pessoa que implementou este sistema Elastix em primeiro lugar.
Muitos tm acabado de fazer esta opo e descobriu que vrias horas depois, eles no poderiam fazer mveis
chamadas ou pior ainda no estavam recebendo telefonemas que chegam porque eles no perceberam a VSP ou
dispositivo
no foi devidamente autenticados e estava usando este PERMITEM SIP annonymous para contornar o
questo. melhor fazer essa alterao aps as horas normais, reinicie o sistema e realizar uma gama completa
de testes, incluindo reiniciar outros dispositivos SIP.
No instale produtos adicionais em seu sistema Elastix a menos que voc realmente tem que
Um dos maiores problemas que vejo com os sistemas Elastix o desrespeito pela segurana atravs da
implementao de
produtos no sistema Elastix que comprometem a segurana, ou at mesmo se no o prprio produto, ento
o produto permite que o usurio para comprometer a segurana sem saber.
Eu vim atravs de um sistema de Elastix em que o proprietrio do sistema tinha decidido usar o Elastix Servidor
como um servidor de FTP tambm. Algum FTP instalado e configurado. O que eles fizeram foi algum usou
um exploit conhecido de que o servidor FTP para se dar acesso root ao sistema como um todo. No s
eles conseguiram acesso root, mas instalou um kit de ferramentas de hackers no sistema. Naturalmente, isso passou
muitos meses procura de outros sistemas de PBX para corte, reportando a um canal de IRC com qualquer
sistema que hackeado com todos os detalhes. Entretanto, a confiabilidade de seu PBX sofreu e como
fez a sua conexo com a internet (e que cobrada para o excesso de Internet). Sua resposta provedores de TI
era para desligar o sistema de PBX IP por 5 minutos e volte a ligar. Ele deu-lhes um alvio para alguns
horas, talvez um ou dois dias, mas fora ele passou novamente. Esses kits no so estpidos eles tambm tm um sono
funo, que activa numa base regular, que pode tambm incluir quando reconhece o
mudanas no ambiente (por exemplo, reiniciar ou desligar a cabo)
Instalando o Webmin uma outra questo. um pacote to poderosa que requer direitos para o sistema.
A Internet coberto com as questes relacionadas com hacks que ocorrem no Webmin, e do Webmin
crdito muitos deles no aparecem claramente bem sucedida, no entanto, o produto em si permite que o
usurio inexperiente para fazer alteraes no sistema, sem considerar a segurana em curso
implicaes ou compreender. Alguns dizem que instal-lo para comear o trabalho de correio, ou
implementar firewall iptable. Se voc precisa este produto para executar essas tarefas, ento eu fortemente
recomendamos que voc tomar o tempo para aprender como realizar isso no nvel de configurao.
Como voc pode ver, voc tem a capacidade de adicionar a faixa de endereos IP que voc vai permitir que os
telefones
para conectar. A linha NEGAR como ele definido acima no permite todos os endereos (clssico negar tudo, ento
permitem
especfica). A linha de licena est definido para permitir que apenas um dispositivo SIP na rede local para conectarse a este
O mesmo vale para o acesso interface de gerenciamento Asterisk (AMI), que definido pelo Asterisk
extenso.
Gerente de API em FreePBX (ferramentas). S permitir que os endereos que voc precisa para acessar a interface
AMI,
usando a mesma licena / Negar opes.
Que cobre alguns dos princpios bsicos que voc pode implementar quase imediatamente e ir fornecer uma
maior nvel de segurana que voc tinha anteriormente. Eles no envolvem um elevado nvel de habilidade para
implementar, eles no envolvem voc ter que instalar nenhum software adicional, e eles realisticamente
deve ter muito pouco tempo para implementar.
Vamos agora avanar para algumas das formas mais avanadas de aumentar a sua segurana
Com esses endereos, agora voc pode usar o seu firewall para permitir que apenas SIP e RTP para vir daqueles
endereos nesses portos particulares. Para qualquer outra pessoa tentando acessar essas portas, eles vo ver o
portas fechadas, o que exatamente o que queremos.
Portanto, tome o tempo com o seu roteador / firewall e aprender a utilizar a funo de firewall. Se o seu
router / firewall no tem essa capacidade de firewall, em seguida, olhar para investir em uma melhor router /
firewall.
Eu recomendaria usar um firewall de permetro. Faz sentido claro para no permitir que o mesmo
atacante dentro da sua rede para dar-lhes todas as oportunidades. Alm disso, com uma boa mudana
prticas no lugar, voc pode fazer o que quiser dentro da sua rede, sabendo que o firewall de permetro
est em vigor e inalteradas, protegendo-o em todos os momentos.
Alternativamente, se voc no pode implementar um firewall de permetro, aguarde Elastix 2.04 que tem uma
GUI
Firewall baseado baseado em IPTABLES construdas em que sero abordados brevemente na prxima seo.
Elastix Firewall (Isto , em Elastix 2.04 que atualmente Beta, no momento da escrita)
A partir de Elastix 2,04, Elastix tem uma interface grfica baseada em IP Tables Firewall. Muitos produtos comerciais de
firewall confiar
nas Tabelas IP como base de seu firewall, e os desenvolvedores fizeram um timo trabalho de execuo
um firewall IP Tables com uma vista muito agradvel Web Based GUI.
Pessoalmente, eu prefiro usar um permetro baseado Firewall dedicado como a primeira linha de defesa, mas se voc
no tem essa capacidade, ento o firewall embutido Elastix em 2,04 a prxima melhor coisa. Ou se voc
quiser, use um firewall baseado em permetro, bem como o firewall Elastix, acrescenta que a camada extra de
segurana
que eu sempre recomendo.
Abaixo est um screenshot da GUI Firewall que est em Elastix 2.04. Os desenvolvedores Elastix fizeram
fcil atravs da implementao de um conjunto padro de regras que ativam quando voc ativar o firewall. Abrange
todas as regras de comunicao necessrios para os produtos atualmente includos no Elastix. Basta estar consciente
que tem alguns bugs GUI e no h uma regra que faltava para permitir atualizaes YUM e Freepbx, mas isso
porque em Beta. Mas quando ele liberado to estvel, uma ferramenta fantstica de usar.
Adicionando uma nova regra simples, de acordo com a tela abaixo, e para qualquer um que sabe como
implementar regras iptable, eles vo encontrar esta extremamente fcil de seguir.
Se voc no pode esperar para o produto Firewall Elastix, ento voc pode implementar essa mesma segurana
usando
IPTABLES no prompt de comando do Linux e configurar manualmente os arquivos de configurao. Para tentar
transformar esse guia em um guia de implementao IPTables est alm do escopo deste documento, mas em
o Elastix fruns, voc vai encontrar vrios posts sobre como implementar IPTables manualmente, bem como
centenas de guias sobre a melhor forma de aplicar as regras do iptables.
Fail2ban
Fail2ban uma ferramenta muito original que tenta identificar Brute Force e script kiddie quebrar-in
tentativas e, em seguida, aplicar as regras automaticamente para bloquear essas tentativas. Isso tudo ocorre
automaticamente e fica sem a sua interveno.
Na verdade, cumpre um papel de tanto bloqueio ativa e monitoramento dessas tentativas de ataque.
Com fail2ban, que monitora o nmero de falhas de autenticao de um endereo IP particular. Se no
tentativas de autenticao corresponde ao nmero definido como parte da configurao do fail2ban, ento ele
bloqueia
que o endereo IP por um tempo pr-definido. Isso geralmente faz com que essas Script Kiddies procurar outro
sistema para tentar invadir. Da mesma forma estes ataques de dicionrio significa que eles s conseguem
tentar trs login / senhas a cada 10 minutos, em vez de 40-50 por segundo em um sistema sem
Fail2ban. As chances de algum adivinhar com sucesso o seu login e senhas em seu sistema
so muito reduzidos.
Fail2ban trabalha em conjunto com o iptables, ento voc precisa para configurar suas IPTables primeiro. Elastix
tambm
introduo de um Web Based GUI para fail2ban muito pouco para complementar os seus IPTables GUI, mas ainda
no est em verso beta, mas eu suspeito que no vai demorar muito. Novamente, os fruns tm informaes sobre a
implementao desta
manualmente, se voc no pode esperar.
Monitoramento
Para muitos usurios do Elastix, uma vez que eles implementaram a sua firewall ou outras medidas de segurana, eles
sentar-se acreditar em tudo coberto. Eles poderiam ter gasto um acompanhamento dia para garantir que nenhum
erros foram feitos, mas depois disso, no ter um pensamento at que algo d errado, ou
parece estar acontecendo de errado, ou que tiveram uma tarde preguiosa e decidi dar uma olhada.
Como sistemas de backup, voc no pode simplesmente assumir que a cpia de segurana est funcionando,
apenas para descobrir quando voc
mais precisa, que os backups no foram trabalhar por vrias semanas. O monitoramento de sua
Elastix PBX to importante
Voc precisa definir um procedimento regular para verificar os logs para monitorar esses possveis ataques. Ele no vai
leva muito tempo, mas voc precisa faz-lo regularmente.
Um dos arquivos de log que voc precisa rever em uma base regular encontrado em
/ Var / log / secure
O exemplo acima mostra algum tentando invadir o sistema via SSH. Voc pode ver o
nomes de usurios que eles esto tentando, e neste caso eles esto tentando nomes de usurios comuns que usam
no
Sistemas Unix / Linux.
Voc vai encontrar os logs arquivados nomeados secure.1, secure.2 e assim por diante. Se o seu sistema est sob
pesado
ataque de uma dessas Script Kiddies, ento voc pode achar que esses arquivos arquivados podem conter
ataque tenta apenas de um dia.
Outro arquivo verificar regularmente
/ Var / log / audit / audit.log
Isso mostra os sucessos e fracassos de login. Este basicamente o sistema de auditoria Linux. Voc est
principalmente
procura de falhas de login incomuns que lhe dar uma idia de que o sistema est sob ataque.
A outra grande razo para o fracasso de SIP utilizando NAT devido s Sesses NAT em colapso devido
a falta de trfego SIP quando a conversa est ocorrendo. Este tempo pr-determinado pode variar desde
roteador para roteador, ele pode variar se o seu roteador difcil definir com esse tempo limite, ou voc tem um
cenrio
em quanto tempo a sesso NAT dura aps o trnsito parou (por exemplo, roteadores Cisco). Quantos
fruns voc leu em que algum diz que sua chamada cai aps 3 minutos, ou a sua chamada cai aps
10 minutos. Isso normalmente se resume ao router ter desmoronado o NAT criado dinamicamente
sesso. Por que fechar esta sesso? Geralmente porque no h mais trfego foi recebido ou
caminho na porta SIP, o que pode acontecer, como agora todo o trfego est em Porto RTP e s muito
ocasionalmente um pacote SIP pode ser gerado a partir do sistema ou (Elastix ou seu VSP). A maioria
conexes usar um PING / PONG Keepalive, que gera trfego SIP que mantm a sesso NAT
vivo, mas no todos.
geralmente (mas nem sempre), estes combinao de condies que causam estas desistncias. Assim, para
esses modems, precisamos implementar Port Forwarding (NAT esttico) para dizer ao router para onde
redirecionar essas conversas para.