SIP AND NAT : SIP/FIREWALL/NAT/SBC

Le NAT est une opération purement IP mise en place pour assurer des enjeux de sécurité, confidentialité mais aussi pour pallier l’insuffisance d’adresses IP publiques. A ce titre il s’agit d’une opération purement légitime et normale pour le bon fonctionnement du réseau.

Cependant, il faut noter que le NAT dans son fonctionnement altère le callflow SIP impliquant une rupture des communications SIP et même RTP entre deux devices n’étant pas sur le même LAN, voire des devices qui sont sur internet.

Ce cours, très riche en contenu, traite justement ce problème du NAT relativement au protocole SIP dans tous les détails. Il donne les outils nécessaires à tout ingénieur qui implémente une infrastructure SIP avec des ramifications LAN et donc en présence de NAT.

Lesquels outils permettent de comprendre le problème et d’y apporter les solutions idoines.

C’est ici l’occasion de parler de NAT, de firewall qui est un équipement clé dans un réseau IP.

Nous parlons aussi du SBC, équipement incontournable dans la téléphonie.

Ce cours aborde aussi le concept de ‘GRUU’ très souvent utilisé dans certaines architectures en téléphonie.

Enfin bien d’autres notions telles l’application level gateway, ICE, STUN, hairpining etc y sont abordées.

Tout ceci pour consolider les acquis de l’ingénieur de sorte qu’il appréhende les complexités liées au SIP avec beaucoup plus d’aisance.

Pour la dernière partie, nous vous faisons découvrir une solution de SBC AS A SERVICE : ANYNODE SBC

Ci-dessous le contenu :

PARTIE 0

INTRODUCTION : NOTIONS DE FIREWALL

PARTIE I: NAT

I.NAT REQUEST

II.NAT RESPONSE

III.UDP ‘HOLE PUNCHING’

IV.NAT HAIRPINNING

V. MEDIA HAIRPINNING

VI.MULTIPLE NAT TYPE

Full Cone

Restricted Cone

Port Restricted Cone

Symetric NAT

VII.MAPPING AND FILTERING

Endpoint Independent Mapping

Address Dependent Mapping

Address and Port Dependent Mapping

Filtering rules

PARTIE II: FIREWALL AND NAT PROBLEMS

I.LE PROBLEME DU NAT

II.LE PROBLEME DU NAPT OU PAT

III.PETIT RESUME SUR LES PROBLEMES DU SIP RELATIFS AU NAT

IV.LE PROBLEME DU FIREWALL

PARTIE III : SOLUTIONS

I.INTERACTIVE CONNECTIVITY ESTABLISHMENT (ICE)

Classic STUN (rfc 3489)

Architecture

Paramètre ‘received’ dans le header « VIA »

Paramètre ‘rport’ dans le header « VIA »

Problème du classic STUN

Symetric RTP

SIP client using STUN

STUN –rfc8489

Requête et réponse STUN

Traversal using Relays around NAT (TURN)

II.APPLICATION DE STUN ET TURN DANS ICE

ICE en théorie

ICE en pratique

ICE tags

‘ICE-lite’

‘trickle’ ICE

III. MEDIA PROXY

IV.APPLICATION LEVEL GATEWAY (ALG)

Notion de ‘SIP Aware’ firewall – incoming

‘SIP aware’ firewall – outgoing

V.UNIVERSAL PLUG AND PLAY (UPnP)

Notion de ‘Near End’ NAT

Notion de ‘Far End’ NAT

VI. GLOBALLY ROUTABLE USER AGENT URI (GRUU)

PARTIE IV : SESSION BORDER CONTROLLER

I.DESCRIPTION

II.FONCTIONALITES D’UN SBC

DoS attack prevention

DoS protection

Access control

Topology hiding

VPN Separation

Fraud prevention

Monitoring and reporting

QoS

Normalisation

Optimization

III. SBC EN PRATIQUE