En este artículo se aborda la diferencia en la configuración y el comportamiento de la inspección SIP entre FortiOS 7.0 y 7.2.5. Comprender esta diferencia es crucial para optimizar la seguridad y el rendimiento de las sesiones SIP en su red. Este artículo le ayudará a diagnosticar y solucionar problemas relacionados con la inspección SIP en su dispositivo FortiGate.
Índice
Descripción del problema
El SIP ALG (Session Initiation Protocol Application Layer Gateway) es una característica de FortiGate que proporciona soporte para sesiones SIP y ayuda a proteger la red de ataques. Sin embargo, las diferencias en su configuración entre diferentes versiones de FortiOS pueden afectar su rendimiento y funcionalidad. A partir de FortiOS 7.2.5, se introdujeron cambios que pueden impactar la manera en que el tráfico SIP es inspeccionado.
Alcance
Este artículo es aplicable a FortiOS 7.2.5 o versiones más recientes. Se centra en la modificación de la función SIP ALG y su configuración relacionada.
Diagnóstico paso a paso
Para verificar la configuración actual de SIP ALG en su dispositivo FortiGate, utilice el siguiente comando CLI:
show full system settings | grep default-voip
set default-voip-alg-mode proxy-based
Este comando muestra si SIP ALG está habilitado y en qué modo está configurado. Por defecto, el modo es «proxy-based».
Solución recomendada
En FortiOS 7.0, para que el tráfico SIP sea inspeccionado por SIP ALG, la política de firewall que maneja el tráfico debe estar en modo de inspección proxy y tener un perfil VoIP configurado. A continuación se presenta un ejemplo de configuración de política de firewall:
config firewall policy
edit 1
set srcintf «lan»
set dstintf «wan»
set action accept
set srcaddr «all»
set dstaddr «all»
set schedule «always»
set service «SIP»
set utm-status enable
set inspection-mode proxy
set voip-profile «default»
set nat enable
next
end
Si no se configura una política de firewall similar en FortiGate 7.0, el tráfico SIP no será inspeccionado por SIP ALG.
Desde FortiOS 7.2.5, se introdujo una nueva función: perfil SIP IPS como complemento a SIP ALG. Esto significa que a partir de la actualización a la versión 7.2.5, el tráfico SIP será inspeccionado por defecto, incluso si la configuración de la política de firewall está en modo de inspección de flujo.
Comandos CLI utilizados
Para deshabilitar la inspección del tráfico SIP por SIP ALG, puede elegir entre las siguientes opciones:
Opción 1:
- Establecer default-voip-alg-mode a kernel-based.
config system settings
set default-voip-alg-mode kernel-based
end
Opción 2:
- Deshabilitar SIP en el perfil VoIP ‘default’.
config voip profile
edit default
config sip
set status disable
end
end
end
Buenas prácticas y recomendaciones
Es importante tener en cuenta que, para aplicar este cambio de configuración al tráfico SIP, es necesario limpiar todas las sesiones para el puerto 5060. Limpiar las sesiones 5060 interrumpirá todas las llamadas activas que pasan a través de FortiGate.
diag sys session filter clear
diag sys session filter dport 5060
diag sys session clear
diag sys session filter clear
diag sys session filter sport 5060
diag sys session clear
Notas adicionales
Los cambios en la configuración del perfil VoIP y la modo de inspección SIP son importantes para garantizar una comunicación segura y eficiente de VoIP en su red. Asegúrese de revisar las políticas de firewall existentes y realizar pruebas exhaustivas después de realizar cambios.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!