Подключение к SIP операторам

11.03.2015

Абсолютное большинство SIP операторов на сети ВСС РФ используют UDP транспорт для передачи как SIP сигнализации, так и RTP трафика.

В сочетании с обязательным, можно даже сказать «стандартным», требованием наличия статического «белого» IP-адреса на стороне Клиента, это вызывает вполне логичный вопрос:

«Как будут защищены данные сигнализации SIP (в случае SIP транкового соединения это не так критично, как при способе подключения через регистрацию SIP абонента, но всё же может быть неприемлемо по причине разглашения корпоративного плана нумерации) и RTP трафик от несанкционированного перехвата или прослушивания в публичной сети ?нтернет?»

Рассмотрим варианты подключения к SIP провайдеру по мере роста защищённости подключения:

1. Без применения дополнительного оборудования

В компании уже есть NAT/Firewall (например Cisco PIX), который заменяет заголовки пакетов и пробрасывает UDP/RTP с публичного интерфейса на приватный интерфейс CM/SM.

Плюсы:

  • Невысокая стоимость.

Минусы:

  • Ни сигнализация, ни RTP никак не шифруются и передаются в открытом виде в сети ?нтернет.
  • Не скрывает топологию IP сети: в некоторых полях пакетов, уходящих из приватной сети вовне могут оставаться приватные IP-адреса, что даёт дополнительную точку уязвимости для VoIP сети.
  • Если у CM больше, чем 1 шлюз G.430/G.450, то задача прописывания правил на Cisco PIX для пакетов RTP значительно усложняется, поскольку PIX может одному «белому» сопоставить только один приватный IP-адрем.

Для решения последней проблемы фактически необходимо переходить к одному из следующих вариантов.

2. SBC ACME/Avaya/Cisco

Плюсы:

  • Легко позволяет использовать TLS, с некоторыми проблемами SRTP (Однако, как было сказано выше, TLS/SRTP не поддерживается большинством SIP провайдеров).
  • Позволяет решить проблему соответствия одного «белого» IP ко многим приватным IP (это одна из основных задач SBC).
  • Полностью скрывает топологию приватной сети Заказчика.

Минусы:

  • Сравнительно дорого, особенно при необходимости реализовать SRTP.

3. VPN между провайдером и Клиентом

Плюсы:

  • Полностью защищённое решение (как по трафику UDP/RTP), так и с точки зрения скрытия топологии приватной сети.
  • Стоимость зависит от выбранного оборудования VPN, но как правило дешевле варианта SBC.

Минусы:

Большинство провайдеров в последнее время предоставляют такую услугу, но не все.

Стоит отметить:

  • Во всех рассмотренных выше случаях наличие SMGR/SM настоятельно рекомендуется.
  • Если стыковка планируется без SMGR/SM, то необходимо учитывать, что CM поддерживает SIP сигнализацию только по TCP/TLS. Соответственно, может потребоваться 3rd party (например, Asterisk) для транскодинга UDP → TCP/TLS (когда провайдер не поддерживает TCP/TLS).
SIP полезная статья

ОтменитьДобавить комментарий