IP Technology Distribution
972.831.1600

VoIP NAT Traversal - Controlador de Borde de Sesión

El Problema VoIP-NAT

La mayoría de los usuarios residenciales y SOHO (Oficinas desde el hogar) tienen routers / firewalls basados ​​en NAT que hacen que el despliegue de una red IP basada en teléfonos IP o adaptadores de teléfonos residenciales sea un desafío. El hecho de que los protocolos de VoIP encapsulan la dirección IP del dispositivo original en el paquete de la capa de sesión y que los firewalls no permitían que ninguna sesión originada en la Internet pública atraviese una red interna protegida trae todo tipo de problemas, como ausencia de audio o audio unidireccional en las implementaciones VoIP. Algunos intentos de resolver este problema, como STUN o reconfigurar los routers o firewalls de los usuarios finales, no siempre funcionan y se convierten en una pesadilla de soporte cuando se enfrentan a diferentes tipos de NAT

Los ITSP (Proveedores de Telefonía por Internet o Proveedores de servicios de VoIP necesitan agregar un controlador de borde de sesión de VoIP y un servidor "bridge" RTP a sus redes para admitir dispositivos IP detrás de NAT, pero la mayoría de los casos transmite el flujo de medios agregando latencia innecesaria y retrasos que afectan la percepción de la calidad de audio de los usuarios finales. Al tener que retransmitir el flujo de medios para cientos o miles de conexiones ciertamente compromete el ancho de banda del propio ITSP y requiere mucha más potencia de procesamiento de los servidores.

 

NATPass™

NATPass ™ es una solución VoIP para NAT Transversal - Controlador de borde de sesión que permite que las sesiones de VoIP sean exitosas cuando uno o ambos dispositivos terminales de VoIP se conecten, como adaptadores telefónicos, gateways o teléfonos IP en una red con NAT. NATPass ™ realizará la optimización de la ruta de medios (MPO) y hará que el flujo de medios fluya directamente entre los dispositivos finales.

El controlador de firewall NATPass ™ está diseñado para ser una solución rentable y simple para que los proveedores de servicios ITSP y de VoIP implementen su red con un mínimo de soporte e intervención en las instalaciones del cliente y automatice totalmente el proceso transversal de NAT. NATPass ™ es compatible con cualquier equipo de usuario final y servidor compatibles con SIP y puede atravesar NAT de cono completo, NAT de cono restringido, NAT de cono restringido de puerto y NAT simétrica.

Además del NAT transversal, la seguridad es otro tema importante abordado por NATPass™. Se pueden controlar DOS, DDOS, ataques rápidos y lentos. NATPass ™ protege el servidor Proxy y Registrar de paquetes SIP con formato incorrecto y el efecto de reinicio de avalancha (Avalanche Restart) tal y como se describe en RFC5390.

Por diseño, NATPass ™ no es una solución multiprotocolo, pero está construido y optimizado para SIP para aumentar su rendimiento general, confiabilidad y facilidad de mantenimiento. NATPass ™ está diseñado para funcionar como intermediario entre dispositivos finales, como dispositivos SIP (Hard, Softphones, ATA) y Proxies SIP, también conocidos como "Registrars". NATPass ™ proporciona una gran escalabilidad al menor costo. 

 

Problema de ataque VoIP DOS

La rápida adopción de VoIP y SIP por las empresas y PYMES ha convertido a SIP en un objetivo para los piratas informáticos. Los proveedores de troncales SIP y PBX alojadas deben tener una IP pública para ofrecer servicio a sus clientes y están expuestos a ataques de denegación de servicio.

La manera más común es un ataque de fuerza bruta contra las contraseñas SIP en el que los servidores de VoIP están inundados de solicitudes de registro a puertos conocidos. El objetivo principal es adivinar la contraseña SIP de un suscriptor y obtener acceso a la cuenta para usarla y realizar llamadas de "phishing" automáticas o de larga distancia a personas al azar. El efecto secundario de esto es que el ataque de fuerza bruta crea una gran carga en los servidores SIP que intenta validar la autenticación de cada solicitud. La mayoría de las veces, el servidor SIP deja de responder o se bloquea y afecta a los usuarios legítimos.

Los ataques de denegación de servicio son, hoy en día, una de las principales preocupaciones de la mayoría de los ITSP. El Ataque Distribuido de Denegación de Servicio (DDOS) es aún más difícil de combatir y solo unas pocas soluciones comerciales costosas están disponibles para combinar contra esto.

 

Modos de funcionamiento

NATPass™ ha sido diseñado pensando en que diferentes clientes o ITSP tienen diferentes necesidades. Cuando se combinan los diferentes modos ofrecidos tienes una matriz de opciones. Los modos de funcionamiento se basan en cómo desea manejar las conexiones a los "Registrars" / proxy SIP en NATPass™

La mayoría de los ITSP o empresas pueden querer aprovechar la máxima escalabilidad y los ahorros de ancho de banda y hacer que NATPass™ realice la optimización de ruta de medios VoIP (MPO). Sin embargo, podrían existir algunos casos en los que NATPass ™ esté configurado en modo completo cuando desee unir los medios para tener un estricto control o para los requisitos de interceptación de llamadas.

En algunos casos, es posible que desee que NATPass ™ funcione con su único FQDN (Nombres de Dominio Totalmente Calificados) o dirección IP donde reside su servidor VoIP, en ese caso restringirá los paquetes que van a un solo servidor o ITSP. En algunos otros escenarios en los que hay varios Proxy / Registro o varios ITSP que necesitan compartir el mismo controlador de borde de sesión, NATPass ™ puede configurarse como un NAT transversal o controlador de borde de sesión y trabajar con varios servidores SIP. Por supuesto, los informes en tiempo real sobre las cuentas activas o las llamadas que van a cada ITSP o servidor se pueden obtener a través de la herramienta de monitoreo NATPass™. Modo multi-homed o no, siempre puede elegir el modo MPO o completo para cada uno de los servidores SIP con los que NATPass™ está trabajando.

 

Rendimiento y alta disponibilidad

El rendimiento de NATPass™ depende de la potencia de procesamiento del hardware utilizado y del número de configuraciones de llamadas por segundo. NATPass ™ es un SBC (Controlador de Borde de Sesión) extremadamente optimizado y rápido. Puede ejecutar ~ 150 configuraciones de llamadas por segundo en un servidor de CPU dual. El quad de gama alta con doble núcleo debería poder ejecutarse en un rango de 100.000 o más usuarios esporádicos, como cuentas de softphone hasta aproximadamente 30.000 usuarios de teléfonos fijos estáticos. La capacidad dependerá de la arquitectura del servidor y del tipo de uso de la red (residencial vs un centro de llamadas). Se recomienda el uso de un servidor Pentium dual a 3 GHZ con un FSB (front-side bus) rápido y 2 GB de RAM para grandes implementaciones.

Los registros DNS SRV son compatibles con NATPass ™, lo que permite el tipo de servidores proxy redundantes o en espera activa. Al configurar la aplicación de alta disponibilidad NATPass ™ puede ejecutarse en un servidor activo y cambiar automáticamente a un servidor en espera cuando falla el principal.

 

 

 

 

Share Now Share on Facebook Share on LinkedIn Share on Twitter Share on google+