Cómo funcionan SIP-ALG y Session helper en FortiGate

Bienvenidos 👏, por si no me conocéis soy César Sánchez y hoy vamos a aprender sobre: 👇
Cómo funcionan SIP-ALG y Session helper en FortiGate

Por defecto, FortiGate utiliza SIP ALG para procesar el tráfico SIP, pero algunos proveedores de SIP recomiendan desactivar SIP ALG en el cortafuegos.

Basado en proxy – modo SIP ALG por defecto
Basado en el núcleo-ayudante – Ayudante de sesión SIP

A continuación se exponen los puntos que hay que entender:

Si se selecciona el modo basado en proxy, que es el modo por defecto, no importa si el ayudante de sesión está configurado, el modo ALG prevalece y el ayudante de sesión no hace nada.

Si se configura el modo basado en kernel-helper, significa que el tráfico depende de session helper para asistir el tráfico VOIP.

Una vez que el ayudante de sesión número 13 es eliminado, y no cambia default-voip-alg-mode proxy-based entonces básicamente el tráfico está confiando en la política IPv4. En otras palabras, ALG no está configurado y el ayudante de sesión tampoco va a entrar en acción desde que el número 13 es eliminado.

Si por ejemplo bajo el perfil VOIP, SIP está deshabilitado pero default-voip-alg-mode está configurado como basado en proxy, entonces, en ese caso, el ayudante de sesión SIP será utilizado y no el ALG por defecto.

Si la política del cortafuegos ipv4 tiene aplicado el perfil de VoIP, el SIP-ALG será reemplazado por el ayudante de sesión, incluso si el ajuste del sistema está configurado con ‘set default-voip-alg-mode Kernel-helper-based‘.

Para que el ayudante de sesión funcione, asegúrese de que el perfil VOIP no está activado en la política ipv4 del cortafuegos.

Ejemplo:

– Para el tráfico inspeccionado por un ayudante, el flujo de depuración muestra:

ejecutar helper-ftp(dir=original)

ejecutar helper-ftp(dir=reply)

– Para el tráfico que coincide con una sesión esperada, el flujo de depuración muestra:

Encuentra una sesión EXP, id 00016f90

– Depuración SIP en tiempo real:

# diagnosticar la aplicación de depuración im 31
# diagnosticar aplicación de depuración sip <nivel de depuración> <—– Por ejemplo 31(1+2) según la siguiente captura de pantalla.
# diagnostic debug enable

☑️ Para acabar, felicitarte por haber leído hasta el final de este artículo. Espero que haya servido de ayuda y que te veamos por aquí de nuevo.
Si no puedes llegar a la solución a tu duda usa la search bar o contacta con nosotros en los comentarios.
¡Un placer!

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar la búsqueda de la opción ‘Integrar Interfaz’ en FortiOS 7.6.0
En este artículo se abordará cómo localizar la opción «Integrate Interface» en FortiOS versión 7.6.0. Este tema es relevante para los administradores de red que necesitan gestionar correctamente las interfaces en sus dispositivos FortiGate. La correcta identificación de esta opción es esencial tanto para mantener la funcionalidad del sistema como para evitar errores en la Leer
Cómo solucionar la terminación de túneles VPN IPsec en la dirección VIP (DNAT): limitaciones y alternativas
Este artículo aborda un problema técnico relacionado con la terminación de una VPN IPsec en una dirección VIP (cuando se utiliza DNAT) en dispositivos FortiGate. Este asunto es relevante porque, si no se soluciona adecuadamente, puede impedir el establecimiento exitoso de la conexión VPN, afectando la comunicación segura en las redes. A continuación, se ofrecerá Leer
Cómo solucionar el problema de ID de NAS personalizado que no funciona en Fortinet
En este artículo, abordamos un problema que afecta a los usuarios de FortiGate en las versiones 7.2.x, donde a pesar de que se configura un NAS-ID personalizado, el sistema sigue enviando el nombre del host como NAS-ID. Este inconveniente es relevante porque puede afectar la autenticación y el manejo de sesiones en entornos de red Leer
Cómo solucionar el error de conexión del conector SDN por falla en la búsqueda de DNS
En este artículo, discutiremos un problema común que puede surgir al utilizar la funcionalidad de SDN en FortiGate, donde el conector SDN no se conecta debido a un fallo en la resolución DNS. Este problema es crítico ya que puede afectar la comunicación y la gestión de recursos en Azure, lo cual es esencial para Leer
Cómo resolver el problema de que algunos perfiles de automatización no se muestran en FortiGate downstream
En este artículo, se abordará un problema común relacionado con la configuración de las «stitches» de automatización en FortiGate. A menudo, los dispositivos upstream (ascendentes) muestran una serie de estas configuraciones, mientras que los dispositivos downstream (descendentes) solo reflejan algunas de ellas. Esto puede afectar la correcta interacción y funcionalidad de la infraestructura de seguridad, Leer