Px24: H.323 iletişiminde Güvenlik Duvarı ve NAT
İdeal bir internet ortamında, tüm cihazların public ip
adresleri olmalı ve bu cihazlar arasında noktadan noktaya bağlantı olmalıdır.
Fakat, sınırlı public ip adresler nedeniyle gerçek böyle değildir. Bunun yerine
kurumlar, bir veya birkaç public ip adresi alarak, lokal ağlarında (LAN)
private ip adresleri kullanırlar. NAT (Network Adress Traslation) ve NAPT
(Network Address Port Translation) cihazları, internete çıkarken private IP
adreslerini ve port numaralarını public IP adreslere dönüştürürler.
İkinci olarak, kurumlar, ağlarını yetkisiz erişimlerden
korumak isterler. Güvenlik duvarları kötüniyetli trafiği filitrelemek için
kullanılan cihazlardır.
Genellikle, yazılım tabanlı NAT ve Güvenlik Duvarları, DSL
modem/router cihazları ile bütünleşikdirler. Dolayısıyla bunlar daha çok ev
kullanıcıları içindirler.
Zaman zaman, bu cihazlar, VoIP iletişiminde sorunlara
neden olabilirler. NAT ve Güvenlik Duvarı cihazları portlara ve ip adreslerine
eişimi kısıtladıkları için bu cihazlar
üzerinden iletişimde VoIP uygulamaları kolay olmayabilir.
Güvenlik duvarı temelde gelen trafik için kullanılırken,
NAT her iki yönlü trafik için de kullanılır.
Bu doküman, olası bazı problemlerden haberdar olmanıza ve
PX24 IP Telefon uygulamalarında bu sorunları ile karşılaşırsanız nasıl
üstesinden geleceğinizi anlatmaktadır.
Güvenlik Duvarsız
PX24’ü public ip ile kurmak ve güvenlik duvarının dışında
bırakmak en kolay yoldur. Bu durumda, yetkisiz kaynaklar PX24’e erişebilir, ancak
fazla birşey yapamazlar. Birçok internet virüsleri ve solucanlar (worm) PC
işletim sistemlerine saldırmaktadır. PX24 böyle bir işletim sistemi kullanmaz.
Sonuç olarak, güvenlik duvarı dışında kalan PX24’lerde çok ciddi bir güvenlik
sorunu sözkonusu değildir.
PX24 Güvenlik Duvarı Arkasında
H.323 trafiğinin ihtiyaç duyduğu bazı portlar
güvenlik duvarı tarafından korunuyor olabilir. H.323 ve VoIP’de geleneksel
iletişimde olduğu gibi gelen çağrılar çok geniş bir alanda, bilinmeyen bir
kaynaktan geldikleri için güvenilir ya da güvenilmez olarak
sınıflandırılamazlar. Eğer, güvenlik duvarı PX24 ile kurumsal ağ arasında ise,
iki nokta arasında bağlantı yapmadan once, bazı portların uygun bir şekilde
ayarlanması gerekir. Güvenlik duvarı kuralları, kurumsal ağdan bu portlara erişime izin vermelidir. Network
yöneticileri, izin verilen uç noktaların iletişimi için daha fazla filitreleme
kuralı tanımlayabilirler.
Güvenlik Duvarı filitreleme kuralında dikkate alınacak
portlar
Memnuniyetle söylenebilirki, PX24, H.323 iletişiminde
port ve soketleri programlayabilme yeteneğindedir. Aşağıdaki portlar, PX24’ün Xman sistem yönetim yazılımı programı
ile programlanabilmektedir.
TCP/UDP (512) Soket bloğu
PX24 tarafından kullanılacak soket bloğunun başlangıç
adresidir. Takip eden 512 port numarası
TCP ya da UDP portlar açılırken kullanılacaktır. Eğer PX24, NAT yapan bir
cihazın arkasında çalışıyorsa ve VoIP çağrıları güvensiz bir ağdan gelip
gidiyorsa, 512 portun hepsi NAT cihazı tarafından PX24’ün ip adresine yönlendirilmelidir.
Bunlar dinamik soketletdir.
RAS multicast port UDP
H.323 uçnoktası ile gatekeeper arasında kullanılan H.225
RAS (Registration, Admission, Status) mesajları, 1718 (multicast içindir) nci
UDP portundan taşınır. PX24’de, multicast port numarası değiştirilebilir.
Başlangıç değeri 1718’dir.
RAS unicast port UDP
H.323 uçnoktası ile gatekeeper arasında kullanılan H.225
RAS (Registration, Admission, Status) mesajları, 1719 (unicast içindir) nci UDP
portundan taşınır. PX24’de, unicast port numarası değiştirilebilir. Başlangıç
değeri 1719’dur.
TCP için çağrı sinyalleşme portu
H.225 Çağrı sinyalleşmesi PX24 ve H.323 uçnoktası
arasında çağrı kurmak için kullanılır. Q.931’den (ISDN Çağrı Sinyalleşmesi )
elde edilmiştir, fakat paket
anahtarlamalı ağlarda kullanılmak üzere değiştirilmiştir. Genellikle TCP 1720
portundan taşınır. PX24’de Çağrı Sinyalleşmesi port numarası
değiştirilebilmektedir. Başlangıç değeri 1720’dir.
PX24’ün NAT arkasından çalıştırlması
NAT, private IP adres ve portları, public IP adres ve
portlara dönüştüren tablolar muhafaza eder. Güvenlik duvarına benzer bir
şekilde NAT, H.323 trafiği için uygun bir şekilde biçimlendirilmelidir.
Gözönüne alınacak portlar, yukarıda Güvenlik Duvarında bahsi geçen portlardır.
NAT, sabit eşlemleme (static mapping) ile de elden de
değiştirilebilir. Kurumsal ağa çıkan çağrılar için, uzaktaki sistemin sabit bir
ip adresi ve H.323 iletişimi için değişmez
port numaraları olmalıdır. Genellikle, NAT konfigürasyonu fazla deneyim
gerektirmez.
Eğer PX24, NAT cihazının arkasında çalışıyorsa, NAT
cihazı aşağıdaki gibi yapılandırılmalıdır;
·
Eğer PX24’e tümleşik
gatekeeper’a güvensiz bir ağdan erişiliyor ise, RAS multicast UDP portu ve RAS
unicast UDP portu NAT cihazında PX24’ün ip adresine yönlendirilmelidir.
·
Eğer güvensiz bir ağdan VoIP
çağrısı yapılmış ise, 512 portun tamamı NAT cihazında PX24’ün ip adresine
yönlendirilmelidir.
·
Eğer, PX24 güvensiz bir ağdan
çağrı kabul ediyor ise, Çağrı sinyalleşme TCP portu NAT cihazında PX24’ün ip
adresine yönlendirilmelidir.
Fakat, bazı NAT’lar, bazı H.323 mesajları için binding
(ilişkilendirme) başlatmayabilirler. Bu durum, uçtan uca H.323 iletişimde ,
eğer mesajlar private ip adreslerin public ip adreslere yönlendirilmesini
içeriyorsa karmaşaya yol açabilir. Uzak uçnokta private adresi aldığında, bu
adrese göndermeye çalışacak ve adres private (internette yönlendirilemez) bir
ip adresi olduğu için çağrı başarısız olacaktır.
PX24, private ip adresleri public ip adreslere
dönüştürebilmektedir. Bu özellik, PX24’ün Xman sistem yönetim yazılımı
aracılığı ile gerçekleştirilir.