OzzTech - FORTIGATE SIP ALG

FORTIGATE SIP ALG

SIP ALG NEDİR?

Sip oturumlarını işlemek için SIP Application Layer Gateway kullanmanız gerekmektedir. ALG sip oturum yardımcısı ile sip sisteminin haberleşmesini sağlamaktadır. Bu cihazlar sip protokolü geçişini anlayarak SIP paketlerinin içerisinde geçen IP ve Port bilgilerini değiştirebilmekte ve cevap geldiğinde iletişimin devam etmesini sağlayacak şekilde IP ve Port bilgilerini değiştirebilmektedir.

Fortigate cihazı üzerinde varsayılan olarak SIP trafiğinin tamamı kontrol edilmektedir. Eğer kural üzerinde bir VOIP profili kullanılıyorsa kural o politika ile trafiği kontrol etmektedir. Eğer hiç bir Voip profili içermiyorsa; Sistem default VOIP profili ile trafiği işlemektedir.

Eğer fortigate cihazınızda VOIP sisteminiz çalışmıyorsa session helper tarafından sorun yaşıyorsunuz demektedir. Aşağıdaki komutla bu sorunu giderebilirsiniz.

config system settings 
set sip-helper disable
set sip-nat-trace disable
reboot

Komut girmeden session helper’I gui arayüzünden disable edemezseniz. Gui arayüzünde sadee VOIP güvenlik profillerini yapılandırabilirsiniz. Eğer bunu yapılandırmak istiyorsanız cihazınız üzerinde VOIP ‘I açmanız gerekmektedir.

Fortigate üzerinde VOIP profile özelliği nasıl açılır ?

  • System > Feature Visibility panelinden VOIP ‘I açmanız yeterlidir.
Fortigate SIP Alg

Özellik açıldığında Security Profiles altında VOIP ‘ı görmeye başlayacaksınız. Aşağıdaki şekilde gösterildiği gibi, FortiGate SIP ALG yönlendirme modülü tarafından yönlendirilir, güvenlik politikası kabul edilir ve DoS ve IPS sensörlerinden sonra (DoS ve IPS etkinse) SIP paketleri yakalanır. ALG, SIP veri paketini uygulama katmanına yükseltir, SIP mesajındaki SIP ve SDP adresleme bilgilerini analiz eder, gerekirse bu adresi ayarlar (NAT gibi) ve ardından veri paketini egress interface üzerinden hedefine gönderir.

Fortigate SIP Alg 2

SIP ALG NELERI KONTROL EDER ve NASIL ÇALIŞIR ?

SIP ALG paketi sisteme girdikten sonra Application Layer’de çalışmaya başlar ve aşağıdaki paketleri inceler.

  1. IP routing ve Forwarding
  2. IPsec VPN encryption, decryption
  3. Rate limiting and message blocking
  4. Stateful SIP tracking
  5. Message, header, and SDP syntax checking
  6. Network surveillance
  7. NAT and IP topology Hiding
  8. Logging and debugging
  9. Intrusion detection and prevention
  10. Defined by Fortinet and enterprise signatures
  11. SIP decoder identifies SIP sessions
  12. Security policy
  13. Access control
  14. Native (D)DoS prevention
  15. Anomaly detection and prevention

VOIP PROFILLERI

Fortigate üzerinde iki adet VOIP Profili gelmektedir.  Özelliklerin çoğu cli arayüzü üzerinden açılmaktadır.

Fortigate SIP Alg 3

Default Profile ait özellikler aşağıdaki gibidir.

  • Uzun sürecek olan çağrılar için sisteme bir line ekler ve maksimum line geldiğinde iletişimi keser
  • Bilinmeyen veya güvenilmeyen SIP isteklerini engeller
  • Gelen trafiğin içerisini açarak en ince ayrıntısına kadar inceler.
  • NAT Trace yapar. (IP adresi korumalı NAT)
  • Contact Fixup yapar. ( Ip adresi ve Port numaraları eşleşmese bile SIP Contact mesajlarındaki IP ve SIP başlıklarındaki port numaraları üzerinden NAT gerçekleştirir)
  • IPS-RTP (SIP trafiğini SIP saldırılarından korumak için Profil üzerinde IPS ‘i etkinleştirir)

Strict Profile ait özellikler aşağıdaki gibidir.

Bu profil, SIP mesajlarını doğrulamak ve yalnızca RFC 3261 ile uyumlu SIP oturumlarına izin vermek isteyen kullanıcılar için kullanılabilir. Varsayılan VoIP profilindeki ayarlara ek olarak, SIP üzerinde deep message inspection yaparak header kontrolü yapar. Örneğin zararlı bir istek var mı? gibi kontrolleri sağlar. Bu sayede Strict profili hatalı SIP veya SDP pakelerini engeller.

SIP TRAFİĞİNDE HIZ SINIRLAMASI NASIL YAPILIR?

Varsayılan Profiller üzerinde hız sınırlaması yapılamaz. Bu sebeple varsayılan profiler kopyalanarak veya yeni profiller oluşturularak hız sınırlama işlemi yapılır.

SIP isteklerini saniyede 1000 mesaj olarak yapılandırmak için aşağıdaki komut çalıştırılır.

config voip profile clone default to my_voip_pro edit my_voip_pro config sip set notify-rate 1000 set block-info enable

end

end

SIP ALG LISTEN PORTU NASIL DEĞİŞTİRİLİR?

Çoğu SIP yapılandırması, SIP oturumları için TCP veya UDP bağlantı noktası 5060'ı ve SIP SSL oturumları için bağlantı noktası 5061'i kullanır. SIP ağınız SIP oturumları için farklı bağlantı noktaları kullanıyorsa, SIP ALG'yi farklı bir TCP, UDP veya SSL bağlantı noktalarında dinlemek üzere yapılandırmak için aşağıdaki komutu kullanabilirsiniz. Örneğin, TCP bağlantı noktasını 5064, UDP bağlantı noktasını 5065 ve SSL bağlantı noktasını 5066 olarak değiştirmek için.

config system settings set sip-tcp-port 5064 set sip-udp-port 5065 set sip-ssl-port 5066
end

Ayrıca SIP ALG'yi iki farklı TCP bağlantı noktasında ve SIP oturumları için iki farklı UDP bağlantı noktasında dinleyecek şekilde yapılandırabilirsiniz. Örneğin, 5060 ve 5064 numaralı bağlantı noktalarında SIP TCP trafiği ve 5061 ve 5065 numaralı bağlantı noktalarında UDP trafiği alırsanız, bu bağlantı noktalarının tümünde SIP trafiğini almak için aşağıdaki komutu girebilirsiniz.

config system settings set sip-tcp-port 5060 5064 set sip-udp-port 5061 5065
end

VOIP PROFILINDE SIP ALG’yi DEVRE DIŞI BIRAKMA

VoIP profilinde SIP varsayılan olarak etkindir. Yalnızca SCCP için VoIP profilini kullanıyorsanız, VoIP profilinde SIP'yi devre dışı bırakmak için aşağıdaki komutu kullanabilirsiniz.

config voip profile edit VoIP_Pro_2 config sip set status disable

end

İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.