ozztech_logo_white

FORTIGATE SIP ALG

SIP ALG NEDİR?

Sip oturumlarını işlemek için SIP Application Layer Gateway kullanmanız gerekmektedir. ALG sip oturum yardımcısı ile sip sisteminin haberleşmesini sağlamaktadır. Bu cihazlar sip protokolü geçişini anlayarak SIP paketlerinin içerisinde geçen IP ve Port bilgilerini değiştirebilmekte ve cevap geldiğinde iletişimin devam etmesini sağlayacak şekilde IP ve Port bilgilerini değiştirebilmektedir.

Fortigate cihazı üzerinde varsayılan olarak SIP trafiğinin tamamı kontrol edilmektedir. Eğer kural üzerinde bir VOIP profili kullanılıyorsa kural o politika ile trafiği kontrol etmektedir. Eğer hiç bir Voip profili içermiyorsa; Sistem default VOIP profili ile trafiği işlemektedir.

Eğer fortigate cihazınızda VOIP sisteminiz çalışmıyorsa session helper tarafından sorun yaşıyorsunuz demektedir. Aşağıdaki komutla bu sorunu giderebilirsiniz.

config system settings 
set sip-helper disable
set sip-nat-trace disable
reboot

Komut girmeden session helper’I gui arayüzünden disable edemezseniz. Gui arayüzünde sadee VOIP güvenlik profillerini yapılandırabilirsiniz. Eğer bunu yapılandırmak istiyorsanız cihazınız üzerinde VOIP ‘I açmanız gerekmektedir.

Fortigate üzerinde VOIP profile özelliği nasıl açılır ?

  • System > Feature Visibility panelinden VOIP ‘I açmanız yeterlidir.
Fortigate SIP Alg

Özellik açıldığında Security Profiles altında VOIP ‘ı görmeye başlayacaksınız. Aşağıdaki şekilde gösterildiği gibi, FortiGate SIP ALG yönlendirme modülü tarafından yönlendirilir, güvenlik politikası kabul edilir ve DoS ve IPS sensörlerinden sonra (DoS ve IPS etkinse) SIP paketleri yakalanır. ALG, SIP veri paketini uygulama katmanına yükseltir, SIP mesajındaki SIP ve SDP adresleme bilgilerini analiz eder, gerekirse bu adresi ayarlar (NAT gibi) ve ardından veri paketini egress interface üzerinden hedefine gönderir.

Fortigate SIP Alg 2

SIP ALG NELERI KONTROL EDER ve NASIL ÇALIŞIR ?

SIP ALG paketi sisteme girdikten sonra Application Layer’de çalışmaya başlar ve aşağıdaki paketleri inceler.

  1. IP routing ve Forwarding
  2. IPsec VPN encryption, decryption
  3. Rate limiting and message blocking
  4. Stateful SIP tracking
  5. Message, header, and SDP syntax checking
  6. Network surveillance
  7. NAT and IP topology Hiding
  8. Logging and debugging
  9. Intrusion detection and prevention
  10. Defined by Fortinet and enterprise signatures
  11. SIP decoder identifies SIP sessions
  12. Security policy
  13. Access control
  14. Native (D)DoS prevention
  15. Anomaly detection and prevention

VOIP PROFILLERI

Fortigate üzerinde iki adet VOIP Profili gelmektedir.  Özelliklerin çoğu cli arayüzü üzerinden açılmaktadır.

Fortigate SIP Alg 3

Default Profile ait özellikler aşağıdaki gibidir.

  • Uzun sürecek olan çağrılar için sisteme bir line ekler ve maksimum line geldiğinde iletişimi keser
  • Bilinmeyen veya güvenilmeyen SIP isteklerini engeller
  • Gelen trafiğin içerisini açarak en ince ayrıntısına kadar inceler.
  • NAT Trace yapar. (IP adresi korumalı NAT)
  • Contact Fixup yapar. ( Ip adresi ve Port numaraları eşleşmese bile SIP Contact mesajlarındaki IP ve SIP başlıklarındaki port numaraları üzerinden NAT gerçekleştirir)
  • IPS-RTP (SIP trafiğini SIP saldırılarından korumak için Profil üzerinde IPS ‘i etkinleştirir)

Strict Profile ait özellikler aşağıdaki gibidir.

Bu profil, SIP mesajlarını doğrulamak ve yalnızca RFC 3261 ile uyumlu SIP oturumlarına izin vermek isteyen kullanıcılar için kullanılabilir. Varsayılan VoIP profilindeki ayarlara ek olarak, SIP üzerinde deep message inspection yaparak header kontrolü yapar. Örneğin zararlı bir istek var mı? gibi kontrolleri sağlar. Bu sayede Strict profili hatalı SIP veya SDP pakelerini engeller.

SIP TRAFİĞİNDE HIZ SINIRLAMASI NASIL YAPILIR?

Varsayılan Profiller üzerinde hız sınırlaması yapılamaz. Bu sebeple varsayılan profiler kopyalanarak veya yeni profiller oluşturularak hız sınırlama işlemi yapılır.

SIP isteklerini saniyede 1000 mesaj olarak yapılandırmak için aşağıdaki komut çalıştırılır.

config voip profile clone default to my_voip_pro edit my_voip_pro config sip set notify-rate 1000 set block-info enable

end

end

SIP ALG LISTEN PORTU NASIL DEĞİŞTİRİLİR?

Çoğu SIP yapılandırması, SIP oturumları için TCP veya UDP bağlantı noktası 5060’ı ve SIP SSL oturumları için bağlantı noktası 5061’i kullanır. SIP ağınız SIP oturumları için farklı bağlantı noktaları kullanıyorsa, SIP ALG’yi farklı bir TCP, UDP veya SSL bağlantı noktalarında dinlemek üzere yapılandırmak için aşağıdaki komutu kullanabilirsiniz. Örneğin, TCP bağlantı noktasını 5064, UDP bağlantı noktasını 5065 ve SSL bağlantı noktasını 5066 olarak değiştirmek için.

config system settings set sip-tcp-port 5064 set sip-udp-port 5065 set sip-ssl-port 5066
end

Ayrıca SIP ALG’yi iki farklı TCP bağlantı noktasında ve SIP oturumları için iki farklı UDP bağlantı noktasında dinleyecek şekilde yapılandırabilirsiniz. Örneğin, 5060 ve 5064 numaralı bağlantı noktalarında SIP TCP trafiği ve 5061 ve 5065 numaralı bağlantı noktalarında UDP trafiği alırsanız, bu bağlantı noktalarının tümünde SIP trafiğini almak için aşağıdaki komutu girebilirsiniz.

config system settings set sip-tcp-port 5060 5064 set sip-udp-port 5061 5065
end

VOIP PROFILINDE SIP ALG’yi DEVRE DIŞI BIRAKMA

VoIP profilinde SIP varsayılan olarak etkindir. Yalnızca SCCP için VoIP profilini kullanıyorsanız, VoIP profilinde SIP’yi devre dışı bırakmak için aşağıdaki komutu kullanabilirsiniz.

config voip profile edit VoIP_Pro_2 config sip set status disable

end

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »