Comment résoudre les problèmes voIP avec Palo Alto Networks Firewall

Comment résoudre les problèmes voIP avec Palo Alto Networks Firewall

198180
Created On 12/28/18 07:07 AM - Last Modified 01/11/24 21:29 PM


Objective


La VoIP (c’est-à-dire la transmission de la voix par rapport au protocole Internet) est très utilisée dans le monde d’aujourd’hui parce qu’elle est économique et évolutive.

Toutefois, il y a des défis à relever lors de IP l’utilisation d’un réseau de communication VoIP tels que :
  1. Délai de transmission vocale : Paquets acheminés sur Internet, contrairement à l’équipement traditionnel de commutation téléphonique, ce qui le rend plus vulnérable aux pertes
  2. Complexité: Établissement d’appels, résiliation d’appel
  3. Interopérabilité : Plusieurs joueurs dans le domaine. Bien que la plupart d’entre eux adhèrent aux CRF, certaines déviations causent des problèmes d’interopérabilité
  4. Compatibilité arrière avec l’existant PSTN (Réseau téléphonique public commuté)

En général, le trafic VoIP a deux composantes :
  1. Signalisation:
    • Processus d’établissement et de cessation des appels
    • Protocoles couramment utilisés sont SIP , H .323, MGCP , Skinny, etc.
  2. Transmission de données audio/vidéo
    • L’audio est transféré à l’aide du protocole de transport en temps réel ( RTP )
    • RTP message est encapsulé dans un UDP datagram qui est encore encapsulé dans un IP datagram pour la transmission

Initialement, une séance de signalisation parentale est établie entre les entités concernées. RTPL’information / communication est envoyée par un canal de RTCP signalisation, après quoi les / RTP flux sont utilisés pour les données RTCP réelles.

En raison du nombre varié d’implémentations pour les solutions VoIP, il est difficile d’expliquer ou de prédire le comportement des pare-feu Palo Alto Networks pour toutes ces solutions. Cependant, il existe des lignes directrices générales pour aider à résoudre tous les problèmes voIP.

Environment


PAN-OS

Procedure


Étape 1 : Identifier le protocole de signalisation et le mémoire du produit

Cette étape est très importante pour comprendre le flux de communication. Différents protocoles de signalisation ont des structures de messages différentes, et la compréhension des champs dans la communication de signalisation est la clé pour débogage des problèmes VoIP.
Par exemple :
  1. SIP utilise SDP (Protocole de description de session) pour échanger des informations RTP sur / RTCP Flux.
  2. H.323 utilise RAS et H .245 canaux pour échanger des informations sur RTP / RTCP Flux.
Toutes les solutions VoIP ont leurs mémoires de produits, il est donc utile de comprendre la mise en œuvre. Les mémoires de produit spécifient souvent les paramètres sur les pare-feu pour permettre une implémentation réussie.

Étape 2 : Identifier les entités impliquées

Les entités couramment utilisées SIP sont :
  • Client de l’agent UAC utilisateur ( : L’entité qui envoie une demande et reçoit une réponse.
  • User Agent Server ( UAS ): L’entité qui reçoit une demande et envoie une réponse.
  • Proxy Server: Se trouve entre deux agents utilisateur et prend une demande d’un agent utilisateur et la transmettre à un autre utilisateur.
  • Serveur registraire : Accepteles demandes d’enregistrement des agents utilisateurs, aide les utilisateurs à s’authentifier au sein du réseau. Il stocke et URI l’emplacement des utilisateurs dans une base de données pour aider SIP d’autres serveurs.
Les entités couramment utilisées dans H .323 sont :
  • Terminaux :Appareils que les utilisateurs rencontrent normalement comme un simple IP téléphone ou un puissant système de vidéoconférence haute définition.
  • Unités de contrôle multi-points :Responsable de la gestion des conférences multi-points. En plaçant un appel vidéo dans un H .323 MCU , l’utilisateur pourrait être en mesure de voir tous les autres participants à la conférence, non seulement entendre leurs voix.
  • Passerelles: Activer la communication entre H les réseaux .323 et les autres réseaux. Également utilisé afin de permettre aux dispositifs de vidéoconférence basés H sur .320 H et .324 de communiquer avec H des systèmes .323.
  • Gardiens :(Composant optionnel du H réseau .323.) Les services incluent l’enregistrement de point de terminaison, la résolution d’adresse, le contrôle d’admission, l’authentification d’utilisateur, et plus encore. Les gardiens peuvent être conçus pour fonctionner dans l’un des deux modes de signalisation, à savoir le mode « acheminé direct » et « gatekeeper acheminé ». Le mode acheminé direct est le mode le plus efficace et le plus largement déployé. Dans ce mode, les paramètres utilisent le RAS protocole afin d’apprendre IP l’adresse du point de terminaison distant et un appel est établi directement avec l’appareil distant. Dans le mode de dérouté du gardien, la signalisation d’appel passe toujours par le gardien. Bien que ce dernier exige que le gardien dispose de plus de puissance de traitement, il donne également au gardien un contrôle total sur l’appel et la possibilité de fournir des services supplémentaires pour le compte des points de terminaison.
En outre, il pourrait y avoir des composants communs PBX comme (échange de succursales privées), et serveurs multimédias.

Étape 3: Identifier la topologie du réseau physique et logique

Afin de comprendre le rôle d’un et de firewall dépanner tous les problèmes, il est impératif de comprendre l’emplacement de tous les composants impliqués tels qu’identifiés dans l’étape 2 en ce qui concerne un firewall .

Quelques topologies possibles communes sont :

Points de terminaison --------- Firewall --------- serveurs --------- Internet, points de terminaison,

serveurs --------- --------- serveurs internet Firewall ---------, serveurs de

points de terminaison --------- Firewall --------- serveurs --------- Internet, points de terminaison

(Les serveurs ci-dessus représentent tous les composants tels que proxy, registraire, passerelles, gardien, etc.)

Étape 4: Déterminer si le firewall fait NAT (destination NAT entrante / source NAT sortante , statique ) pour NAT l’une des communications impliquées

Ceci est crucial pour identifier la participation des firewall ALGs VoIP. En outre, identifiez si le point final, PBX ou les serveurs proxy sont capables de traverser pour NAT VoIP : ou rôle de STUN dans la communication TURN

Firewall VoIP :
  1. Identification du protocole d’application de signalisation à l’aide d’App- ID et permet ou bloque en fonction des stratégies de sécurité
  2. ALG est invoqué s’il est activé, après quoi le firewall effectue deux fonctions importantes pour la communication consécutive: Passerelles de niveau d’application
    1. Il ouvre des sessions dynamiques appelées Predict Sessions où RTP les informations de canal sont communiquées sur le canal de signalisation. Ces sessions de prévision sont nécessaires pour autoriser les flux entrants et RTP sortants qui RTCP utilisent des ports aléatoires. Ceci est important au moins pour permettre la connexion UDP entrante.Sinon, vous devrez ouvrir des UDP ports élevés en configuration exposant ainsi votre réseau ou vos attaques.
    2. La fonction la plus ALG importante est NAT d’effectuer sur les charges utiles du canal de signalisation. C’est alors qu’un point de terminaison ou un serveur proxy envoie IP son privé dans le canal ou SDP H245 RTP comme paramètres. ALG est censé les traduire au public selon IP les règles NAT configurées. C'est important. Dans le cas contraire, RTP la communication ne fonctionnera pas, ce qui entraîne des problèmes audio ou vidéo.
    3.    
 
 
 
   
 
 
 
 
   


 
  1.  
  2.      
 
  1.  
 
  1.  
 
  1.  
 
 
 

 
 

    
 
   
  1.  
  2.  
  3.  
 
  1.      
  2.    

Additional Information


Il est important d’utiliser le flux de base et ctd de base pour la collecte de données pour comprendre le fonctionnement des ALGs:Quelques questions courantes:
  1. Les téléphones ne sont pas en mesure de s’enregistrer ou les problèmes de connexion initiale
  2. Les téléphones peuvent s’inscrire mais ne peuvent pas passer d’appels.
  3. Les téléphones sont en mesure de passer des appels, mais audio / vidéo ne fonctionne pas ou une seule façon audio / vidéo.
  4. Audio / vidéo fonctionne, mais la qualité est très mauvaise.
NOTE:
  1. S’il y NAT a des cas et que les clients ou les serveurs n’ont pas la capacité traversal ou NAT qu’ils ont le paramètre pour configurer des adresses publiques statiques sur ALG le système, alors sera obligatoire.
  2. La ALG désactivation ne doit être effectuée que si l’on vérifie ALG qu’aucune fonctionnalité ne sera requise.
  3. Parfois, il est préférable d’app override les sessions de signalisation parent pour éviter la fonctionnalité ALG plutôt que de désactiver ALG globalement. Cela se tiendra dans les cas où certains besoins de trafic ALG et d’autres pas.
  4. Assurez-vous que les stratégies sont configurées RTP pour autoriser / trafic ainsi dans les RTCP stratégies, comme même si prédire les sessions sont formées, policy la vérification est toujours faite pour vérifier si l’application est autorisée ou non.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CmUiCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language