Cómo solucionar problemas voIP con redes Palo Alto Firewall

Cómo solucionar problemas voIP con redes Palo Alto Firewall

198186
Created On 12/28/18 07:07 AM - Last Modified 01/11/24 21:29 PM


Objective


VoIP (es decir, transmisión de protocolo de voz a través de Internet) es muy utilizado en el mundo actual porque es económico y escalable.

Sin embargo, hay desafíos al utilizar una IP red para la comunicación VoIP tales como:
  1. Retardo de transmisión de voz: Paquetes enrutados a través de Internet, a diferencia del equipo tradicional de conmutación telefónica, lo que lo hace más vulnerable a las pérdidas
  2. Complejidad: Establecimiento de llamadas, terminación de llamadas
  3. Interoperabilidad: Varios jugadores en el dominio. Mientras que la mayoría de ellos se adhieren a los RFC, algunas desviaciones causan problemas de interoperabilidad
  4. Compatibilidad con versiones anteriores con existente PSTN (red telefónica conmutada pública)

En general, el tráfico VoIP tiene dos componentes:
  1. Señalización:
    • Proceso de establecimiento y terminación de llamadas
    • Los protocolos de uso común SIP son, H .323, MGCP , Skinny, etc.
  2. Transmisión de datos de audio/vídeo
    • El audio se transfiere mediante el Protocolo de transporte en tiempo real ( RTP )
    • RTP mensaje se encapsula en un UDP datagrama que se encapsula aún más en un IP datagrama para la transmisión

Inicialmente, se establece una sesión de señalización primaria entre las entidades implicadas. La información para RTP / comunicación se envía a través de un canal de RTCP señalización, después de lo cual las RTP secuencias / se utilizan para los RTCP datos reales.

Debido a un número variado de implementaciones para soluciones VoIP, es difícil explicar o predecir el comportamiento de los firewalls de Palo Alto Networks para todas esas soluciones. Sin embargo, hay directrices generales para ayudar a resolver problemas cualquier problema VoIP.

Environment


PAN-OS

Procedure


Paso 1: Identificar el protocolo de señalización y el resumen del producto

Este paso es muy importante para entender el flujo de comunicación. Los diversos protocolos de señalización tienen diferentes estructuras de mensajes, y entender los campos en la comunicación de señalización es la clave para depurar los problemas voIP.
Por ejemplo:
  1. SIP utiliza SDP (Protocolo de descripción de sesión) para intercambiar información sobre RTP / RTCP Secuencias.
  2. H.323 utiliza RAS y H .245 canales para intercambiar información sobre RTP / RTCP Streams.
Todas las soluciones VoIP tienen sus calzoncillos de productos, por lo que es útil entender la implementación. Los calzoncillos del producto suelen especificar la configuración en los firewalls para permitir una implementación correcta.

Paso 2: Identificar las entidades involucradas

Las entidades de uso SIP común en son:
  • Cliente del agente de usuario ( UAC ): la entidad que envía una solicitud y recibe una respuesta.
  • Servidor del agente de usuario ( UAS ):la entidad que recibe una solicitud y envía una respuesta.
  • Servidor proxy:se encuentra entre dos agentes de usuario y toma una solicitud de un agente de usuario y la reenvía a otro usuario.
  • Servidor registrador:acepta solicitudes de registro de agentes de usuario y ayuda a los usuarios a autenticarse dentro de la red. Almacena la URI ubicación de los usuarios en una base de datos para ayudar a otros SIP servidores.
Las entidades de uso común en H .323 son:
  • Terminales: Dispositivos que los usuarios normalmente encontrarían como un teléfono simple IP o un potente sistema de videoconferencia de alta definición.
  • Unidades de control multipunción:Responsables de administrar conferencias multipunta. Al colocar una videollamada en un H .323, MCU el usuario podría ser capaz de ver a todos los demás participantes en la conferencia, no sólo escuchar sus voces.
  • Puertas de enlace: Habilite la comunicación entre H redes .323 y otras redes. También se utiliza para habilitar los dispositivos de videoconferencia basados en H .320 y H .324 para comunicarse con H los sistemas .323.
  • Porteros: (Componente opcional en la H red .323.) Los servicios incluyen registro de punto final, resolución de direcciones, control de admisión, autenticación de usuario y mucho más. Los porteros pueden estar diseñados para operar en uno de los dos modos de señalización, a saber, el modo "enrutado directo" y "enrutado por el portero". El modo enrutado directo es el modo más eficiente y más ampliamente implementado. En este modo, los puntos finales utilizan el RAS protocolo para aprender la dirección del punto final remoto y una llamada se establece directamente con el dispositivo IP remoto. En el modo ruteado del portero, la señalización de llamada pasa siempre a través del portero. Mientras que este último requiere que el portero tenga más poder de procesamiento, también le da al portero control total sobre la llamada y la capacidad de proporcionar los servicios suplementarios en nombre de los puntos finales.
Además, podría haber componentes comunes como PBX (intercambio de sucursales privadas) y servidores multimedia.

Paso 3: Identifique la topología de red física y lógica

Para entender el papel de a y resolver problemas cualquier firewall problema, es imperativo entender la ubicación de todos los componentes implicados como identificados en el paso 2 con respecto a un firewall .

Algunas topologías posibles comunes son:

Los puntos de conexión --------- Firewall --------- servidores de --------- de Internet, puntos de conexión de puntos de conexión de puntos de

conexión, servidores --------- --------- servidores de Firewall --------- de Internet, servidores de puntos de conexión

--------- --------- servidores --------- de Firewall Internet, puntos de conexión

(Los servidores anteriores representan componentes como proxy, registrador, puertas de enlace, portero, etc.)

Paso 4: Identifique si el firewall está haciendo NAT (destino entrante / fuente de NAT NAT salida, NAT estática) para cualquiera de las comunicaciones involucradas

Esto es crucial para identificar la participación de firewall los ALG VoIP. También, identifique si el punto final, PBX o los servidores proxy son capaces de NAT atravesar para VoIP: STUN o el papel de en la comunicación TURN

Firewall VoIP:
  1. Identificar el protocolo de aplicación de señalización mediante App- ID y permite o bloquea en función de las políticas de seguridad
  2. ALG se invoca si está habilitado, después de lo cual realiza firewall dos funciones importantes para la comunicación consecutiva: Puertas de enlace de nivel de aplicación
    1. Abre sesiones dinámicas llamadas Predict Sessions donde RTP la información del canal se comunica a través del canal de señalización. Estas sesiones de predicción son necesarias para permitir las RTP RTCP secuencias entrantes y salientes que utilizan puertos aleatorios. Esto es importante al menos para permitir la UDP conexión entrante.De lo contrario, tendrá que abrir puertos altos UDP en la configuración exponiendo así su red o ataques.
    2. La función más importante de ALG es realizar en las cargas NAT útiles del canal de señalización. Es entonces cuando un punto de conexión o servidor proxy envía su privado IP en el canal o SDP H245 como RTP parámetros. ALG se supone que los traduce al público IP según las NAT reglas configuradas. Esto es importante. De lo contrario, la RTP comunicación no funcionará, lo que dará lugar a problemas de audio o vídeo.
    3. Para SIP , marque la carga útil en la invitación y SDP SIP SIP 200 OK paquetes. Contienen la IP dirección para en encabezado de conexión y puertos en RTP medios:
Imagen de usuario añadido
 
 
Para H .323, marque los paquetes openLogicalChannel y openLogicalChannelACK. Contienen la IP dirección para en encabezado de conexión y puertos en RTP medios:
 
Imagen de usuario añadido
 
Usted debe ver si las IP en TX son Natted, si corresponde, o de lo contrario la comunicación adicional seguramente se romperá.

NOTE: Si los puntos de conexión internos y los servidores son capaces de NAT Traversal, firewall ALG la función 's NAT es redundante en cuyo caso sólo el anclar es la tarea principal. En este caso, los ALG se pueden deshabilitar, pero los puertos RTP para y RTCP necesitarán ser permitidos estáticamente en las políticas.


Qué información recopilar:
  1. Complete los pasos anteriores y documente (es decir, protocolo de señalización, entidades, topología y presencia NAT de)
  2. Configure una captura de paquetes en las redes de Palo firewall Alto: HOW TO RUN A PACKET CAPTURE . Utilice filtros específicos para examinar primero la comunicación de señalización inicial. Además, si NAT está involucrado, utilice un filtro para Pre NAT C > y Post > S NAT S C .
A continuación se muestra un ejemplo:
Supongamos el siguiente flujo de comunicación:
  1. Cliente establece canal H225 con servidor externo
Cliente (192.168.1.100)---- Firewall ( NAT a 198.51.100.100)-- H .225 ------- 203.0.113.100
  1. En H el canal .225, se envía información dinámica para H el canal .245, que es un externo IP diferente.
Cliente (192.168.1.100)---- Firewall ( NAT a 198.51.100.100)-- H .245 ------- 203.0.113.101
  1. En H el canal .245, los paquetes openLogicalChannel se utilizan para intercambiar direcciones IP y puertos para RTP / , que son para un tercer RTCP IP público:
Cliente (192.168.1.100)---- Firewall ( NAT a 198.51.100.100)-- RTP / ------- RTCP 203.0.113.102
 
 

En el ejemplo anterior, los filtros ideales para las capturas serán:
Filtro 1: 192.168.1.100 > 203.0.113.100
Filtro 2: 192.168.1.100 > 203.0.113.101
Filtro 3: 192.168.1.100 > 203.0.113.102
Filtro 4: 203.0.113.100 > 198.51.100.100
Filtro 5: 203.0.113.101 > 198.51.100.100
Filtro 6: 203.0.113.102 > 198.51.100.100

Aunque los firewalls de Palo Alto Networks son de naturaleza bidireccional (por ejemplo, pueden capturar flujos C2S y S2C con un solo filtro que coincida con los parámetros C2S). Sin embargo, hay momentos en que no produce Pcaps en ambos sentidos.

Antes PAN-OS de la 8.1, no era posible configurar la máscara de red en filtros Pcap.Sin embargo, esta opción está disponible en versiones posteriores PAN-OS a la versión 8.1.

Los mejores filtros para cubrir el anterior PAN-OS 8.1 serían (tenga en cuenta un límite de 4 filtros):
Filtro 1: Fuente = 192.168.1.100
Filtro 2: Fuente = 203.0.113.100, Protocolo = 6
Filtro 3: Fuente = 203.0.113.101, Protocolo = 6
Filtro 4: Fuente = 203.0.113.102, Protocolo = 17

NOTE: Los filtros anteriores podrían dar lugar a una gran captura si la cantidad de tráfico de 192.168.1.100 es enorme. Tenga cuidado al dividir las capturas en varios intentos, o haga esto durante las horas no comerciales cuando haya menos tráfico.
  1. Si es posible, inicie la comunicación de señalización de nuevo borrando las sesiones existentes o reiniciando el cliente.
  2. Las capturas externas también pueden ayudar, como con los clientes, dentro del servidor, o algún otro router o switch en la trayectoria de la comunicación.
  3. En CLI , ejecute los siguientes comandos mientras ejecuta una prueba con capturas habilitadas:
> mostrar sesión toda la fuente de filtro 192.168.1.100
> mostrar sesión toda la fuente de filtro 203.0.113.100 > mostrar sesión toda la fuente de filtro
203.0 .113.101
> mostrar sesión toda la fuente de filtro 203.0.113.102
> mostrar sesión todo el tipo de filtro predecir > mostrar
ejecución appinfo2ip
> mostrar contador filtro global packet-filter sí
  1. Las capturas anteriores darán una comprensión de cómo funciona la comunicación y de todas las funciones que están firewall realizando. Compare las capturas de etapa de recepción y transmisión para ver si NAT se hizo correctamente en cargas útiles. Marque si se ven los paquetes de caída.
  2. Si se notan algún problema, entonces ahora podemos habilitar adicionalmente los diags de paquetes para la misma prueba otra vez. Esta vez tenemos que centrarnos en el procesamiento de los paquetes.

Additional Information


Es importante utilizar el flujo básico y ctd básico para la recopilación de datos para entender el funcionamiento de los ALG:Algunos problemas comunes:
  1. Los teléfonos no pueden registrarse ni problemas de conexión iniciales
  2. Los teléfonos son capaces de registrarse pero no pueden hacer llamadas.
  3. Los teléfonos son capaces de hacer llamadas, pero el audio / vídeo no está funcionando o sólo una manera de audio / vídeo.
  4. El audio/vídeo está funcionando, pero la calidad es muy pobre.
NOTE:
  1. Si hay NAT implicados y los clientes o servidores no tienen NAT capacidad Traversal o tienen la configuración para configurar direcciones IP públicas estáticas en el sistema, entonces ALG será obligatorio.
  2. La desactivación ALG debe realizarse solo si se comprueba que no se requerirá ninguna de las ALG funciones.
  3. A veces, es mejor invalidar las sesiones de señalización primaria para evitar la ALG funcionalidad en lugar de deshabilitar ALG globalmente. Esto se mantendrá en los casos en que algunos necesitan tráfico ALG y otros no.
  4. Asegúrese de que las directivas estén configuradas para permitir RTP / el tráfico también en las RTCP directivas, como incluso si se forman las sesiones de predicción, la policy búsqueda todavía se hace para comprobar si la aplicación está permitida o no.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CmUiCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language