Elastix SIP Firewall
Contents
1. 39 7 Ap ndice A Usando Acceso de Consola 39 8 Ap ndice B Configuraci n de la Direcci n IP del SIP Firewall a trav s de la fele nme P gas 40 1 Introducci n 1 1 Resumen Este manual de Usuario describe los pasos que consisten en la instalaci n del Appliance Elastix SIP Firewall Elastix SIP Firewall es un equipo basado en la soluci n de prevenci n de amenazas VolP dedicado a proteger las implementaciones de dispositivos de Gateway IP Puerta de Enlace IP PBX Telecom basados en SIP Protocolo de Inicio de Sesiones El appliance realiza la Inspecci n Profunda de Paquetes en el tr fico SIP para identificar los vectores de ataque VOIP y previene las amenazas que impactan en los dispositivos basados en SIP El equipo ha sido creado para integrarse perfectamente con la infraestructura de red existente y reduce la complejidad de implementaci n El set de caracter sticas del appliance incluye m Analizar los paquetes SIP usando el motor de Inspecci n Profunda de Paquetes Detecci n de Anomal as de Protocolo SIP con configurabilidad de par metros de detecci n m Detecci n y Prevenci n de las siguientes categor as de Ataques basados en SIP Ataques de Reconocimiento Huellas Digitales de Dispositivos SIP enumeraci n de Usuario Intenci n de Decodificar Clave Ataques de Dos DDos At2. La copia de respaldo de la configuraci n contar con la configuraci n continuada ultimamente si hay algunos cambios transitorios que a n debieran ser aplicados mientras se realiza la copia de seguridad esos cambios de configuraci n no ser n incluidos en el archivo de la copia de respaldo de la configuraci n 33 6 2 Diagn sticos La p gina de diagn sticos permitir al administrador recoger los registros problem ticos que ayudar n al equipo de soporte de Elastix a depurar cualquier tema enfrentado a la implementaci n de instalaci n del SIP Firewall Para ejecutar la utilidad en el dispositivo el administrador necesita hacer clic en el bot n Run Diagnostics Ejecutar Diagn sticos El dispositivo ejecutar la tarea de diagn stico en segundo plano y mostrar los resultados una vez que se haya completado El administrador puede descargar los reportes haciendo clic en el bot n Get Report Obtener Informe y enviar el informe al equipo de soporte de Elastix Nota Usted puede enviar un email a support Qelastix com Diagnostics Q Run Diagnostics Get Report BEESESESESEEEEREEEREEEESEEESESESEEESEREETETEREETEEEKEEKEEEEEHRTEEREEEESERESEEESEEES PERSESEREESSERESRESEESESEEREESEREEREREEREEREREEREREEREEEREFREEREREEREPEEFEEREFEEPE PERSERSEREESEEREEREESEERESEEREERERSEERESEERESREREREREREEREREEREEREREEREEEEFREEREFEERE 51 secure Administration Security Alerts IIIIIIIIDIITIIIIIIIIIIIIII
3. 3 4 Actualizacion de a lcd 20 O COSTO 21 4 Configuraci n de las Pol ticas de Seguridad SIP 22 4 1 Pol ticas de Detecci n de Ataques SIP 22 4 2 Protocolo de Cumplimiento SIP u u u uu u usus nhau usss aooaa Sh 24 Ao Normas uu yu k un t su Rte a uu uu u uc dut dea tesi aree MUR 27 4 4 Configuraci n de Firewall ooccoooccocncconcccnoconoccnoncnoncnonanonanonanonanonanonanonanenanonanos 27 4 5 Normas de Lista a u uu ehe d au S teet const eode n u awu inta 28 4 6 Normas de Lista Negra 29 4 7 Normas de Lista Negra Din mica a r rrssssrssssssass 30 Ao F TO IP GGO e cc 31 22 EN 32 5 T Alertas d Seguridad uu uuu uuu uuu 32 6 Herramientas MERE m 33 u uum uuu labia 33 6 2 DIagnosllCDS e hone uha 34 POS dioec asss 35 o AAA RR RTT 35 6 5 Soluci n de Problemas iii 36 6 6 Actualizaci n de Firmware II Ime mre meer nre rere eres eren 37 6 7 ArCHIVO de estic 38 APENDICE a
4. Z FIREWALL 1 EE y w Figura 4 P gina de Login La sesi n de login de la WebUl ha sido creada para expirar y si el usuario no ingresa las credenciales de login durante los 30 segundos ser redirigido a la p gina informacional El usuario puede hacer clic en el hiperv nculo mencionado como login que aparece en la p gina de informaci n para volver a visitar la p gina de login elastix Your login attempt has timed out Please click to login again Copvright e 20132015 SIP Threat hManagement Web Panel All Rights Reserved Figura 5 Mensaje de expiraci n Si alguien ya inici sesi n en la sesi n SIP Firewall WebUl los intentos subsecuentes para iniciar sesi n notificar n los detalles de inicios de sesi n previos como es ilustrado abajo y le solicitar al usuario ignorar el inicio de sesi n previo y continuar O descartar el intento de inicio de sesi n 13 elastix A hA FIREWALL An administrator is already logged in from the hast 192 168 0 177 If you continue to log in the STM Configuration Management UI that administrator s session will be dropped Currently you are trying to login as administrator from 192 168 0 148 Click Continue to preempt that user and continue to log in Click Not Now to cancel your login attempt Continue Not Now Figura 6 Seleccione Intento de login 2 4 Expiraci n de Sesi n de la WebUI Luego de registrarse en la WebUl si no hay activida
5. gina actual Haciendo clic en el cono de configuraciones el men emergente que contiene opciones de menu para cerrar sesi n se mostrar n las configuraciones WebUi El Panel de Estado del Sistema muestra el tiempo el Uso de Memoria el Uso de Flash y el Uso de CPU del Dispositivo El Panel de Versi n de Actualizaci n Sig muestra la versi n de Firma SIP Firewall y el Estado de Lanzamiento El Panel de Estado de Red muestra la IP LAN MAC WAN MAC y Gateway del dispositivo 15 El Panel de Resumen de Alerta de Seguridad muestra hiperenlaces para visualizar los hits de las 10 Firmas Principales los hits de las 10 Categor as Principales las Direcciones IP de los Atacantes Principales y los 10 destinos objetivo Principales 3 Configuraci n de Dispositivo Las p ginas de configuraci n en la WebUI del SIP Firewall han sido creadas para configurarlo de forma aut noma y con facilidad Todas las p ginas de configuraci n han sido creadas para trabajar bajo modelo de dos fases grabar y aplicar cambios El modelo de dos fases no es aplicable a las configuraciones de tiempo y las configuraciones de actualizaci n de firma En estas configuraciones los cambios ser n aplicados directamente al hacer clic en Apply Aplicar en el rea de contenido del editor de configuraci n Esto es Cuando el administrador cambia las configuraciones en las p ginas de configuraci n y hace clic en el bot n Save Guardar las configur
6. la cual ser ejecutada en el navegador Web de la v ctima cuando la v ctima acceda a una p gina web que contiene informaci n tomada de la solicitud SIP Ataques con objetivos hacia equipos y o gateways PBX SIP aprovech ndose de su vulnerabilidad 4 2 Protocolo de Cumplimiento SIP oolicitud de SIP Sin Mensajes Duraci n de Respuesta SIP N A N A N A N A El motor de Inspecci n Profunda de Paquete SIP que corre en el SIP Firewall ha sido creado para inspeccionar el tr fico SIP con las normas de Cumplimiento de Seguridad SIP para integrarlo con el motor SIP DPI 24 Las anomal as en los encabezados de Mensaje SIP pueden resultar por varias condiciones err neas fallas de analizador SIP y paquetes malformados los cuales llevar n a las aplicaciones SIP a ser vulnerables para el ataque Los siguientes par metros ser n usados por el motor de paquete profundo SIP para identificar las condiciones de anomal a de protocolo diferentes y tomar medidas configuradas por el administrador Configurando los valores inapropiados para estos par metros puede resultar en el impacto disruptivo en la implementaci n VOIP Los administradores con mayor conocimiento del protocolo SIP pueden elegir calibrar estos par metros para sus necesidades de implementaci n espec fica De lo contrario se recomienda usar los marcos por defecto de estos par metros SIP Protocol Compli ance A Please make sure to refer to the
7. prack Max uri len El Uri identificador de recursos uniformes identifica el usuario o servicio hacia el cual la solicitud SIP est siendo dirigida Max uri len especifica el tama o m ximo del campo de Solicitud URI El predeterminado est establecido en 256 El rango permitido para esta opci n es 1 65535 Max call id len El campo Call ID del encabezado en el mensaje SIP actua como un identificador nico que se relaciona con la secuencia de mensajes intercambiados entre el cliente SIP y el servidor Max call id len especifica tama o de campo m ximo de Call ID El predeterminado est establecido en 256 El rango permitido para esta opci n es 1 65535 Max requestName len Max requestName len especifica el tama o m ximo de solicitud de nombre request name que es parte de la ID CSeq El predeterminado est establecido en 20 El rango permitido para esta opci n es 1 65535 Max from len El campo del encabezado From indica la identidad del iniciador de la solicitud SIP Max from len especifica el m ximo tama o del campo from El rango permitido para esta opci n es 1 65535 Max to len El campo del encabezado to especifica el receptor deseado de la solicitud SIP Max to len especifica el m ximo para el tama o del campo to El predeterminado est establecido en 256 El rango permitido para esta opci n es 1 65535 Max via len El campo del encabezado Via indica el medio usado para la transacci n SIP e identi
8. Ataque SIP permite configurar las categor as de normas de Inspecci n Profunda de Paquete SIP El administrador puede habilitar deshabilitar la inspecci n contra una categor a de norma en particular acci n a ser tomada para detectar ataques coincidentes con las normas en las categor as Las acciones posibles que el SIP Firewall puede ejecutar son el registro de alerta el bloqueo de los paquetes que contienen un vector de ataque y enviar a la lista negra la IP del atacante por un tiempo determinado La duraci n del bloqueo en referencia a la cantidad de tiempo que un atacante necesita ser bloqueado tambi n est configurada por nivel de categor a Dashboard SIP Attacks Detection Device i m EX Action Blocking Duration seconds Enabled Options _ _ Reconnaissance Attacks Log none SIP Attacks Detection Sip Devices Scanning Block 120 f SIP Protocol SIP Extensions Discovery Block 120 f Compliance Multiple Authentication Failures Bruteforce password cracking Attempt Block 1800 Firewall Rules Ghost calls Attempt Block 1800 Firewall WA as SIP Protocol Compliance Log none Whitelist IP Sip Anomaly Attacks Block 1800 Sip Dos Attacks Block 1800 Sip DDos Attacks 1800 f Sip Cross site scripting Attacks Block 1800 v Dynamic Blacklist IP Geo IP Filters Security Alerts Figura 16 Detecci n de Ataque SIP La tabla siguiente detalla las categor as de normas de Inspecci n
9. Firmware Upgrade 2 Logs Archive Figura 34 Archivos de Registros La p gina de Administraci n de interfaz de usuario brinda la opci n de ejecutar un reinicio de f brica en el dispositivo restarting the device device reboot device shutdown y Configuration backup restore Ejecutar el reinicio de f brica en el dispositivo requiere reiniciar el dispositivo por consiguiente el administrador ser redirigido a la p gina de notificaci n de espera al hacer clic en el bot n de reinicio de f brica y se le solicitar r pidamente iniciar sesi n una vez que el dispositivo aparezca con la configuraci n por defecto Los SIP Firewall soportan tomar la copia de respaldo de configuraci n y almacenar la configuraci n m s tarde 38 AP NDICE Ap ndice A Usando Acceso de Consola Conecte la consola de serie al puerto serie del dispositivo SIP Firewall Use las siguientes configuraciones de consola serie para acceder a Elastix CLI i Velocidad 38400 ii Paridad Ninguna ii Fecha 8 iv Bits de Detenci n 1 v Control de Flujo No El usuario debe ver el comando Elastix r pidamente en la terminal Escriba help ayuda para visualizar la lista de comandos de soluci n de problemas disponibles 39 8 Ap ndice B Configuraci n de la Direcci n IP del SIP Firewall a trav s de la Consola El usuario puede elegir visualizar establecer la direcci n IP del dispositivo SIP Firewall El
10. Management IP Configuration DHCP IP Addr hi ask Signature Update Gateway Logging Dns Server Security Settings Enable SSH SSH Port 22 Allow ICMP Wlan 192 168 100 1 255 255 255 0 Save Cancel Figura 10 Configuraciones Generales 3 2 Configuraciones de Hora El administrador puede elegir establecer las configuraciones de hora en el dispositivo o configurar el dispositivo para sincronizar las configuraciones de hora desde un servidor NTP Se deben establecer las configuraciones zonas horarias apropiadas en el dispositivo para que los cambios recientes aparezcan en las alertas de seguridad SIP generadas por el dispositivo Dashboard Date Time Settings General Settings Date Time Settings Configuration Type NTP Y Date Time Time Zone Africal amp bidjan wv Signature Update NTP Server Add A 0 ll mu i 3 in pool ntp org Delete Security Settings 4 in pool ntp org Security Alerts Apply Cancel Figura 11 Configuraciones de Fecha Hora 18 3 3 Gesti n de Acceso El acceso a la gesti n del SIP Firewall Acceso SSH CLI WebUl puede ser restringido con filtros de gesti n de acceso Por defecto el acceso ha sido habilitado para cualquier direcci n global y gesti n de configuraciones de red VLAN del dispositivo El administrador puede anular esta configuraci n Create Management Access Rule Name Default IP Type IP HOST ho Addres
11. No se requiere intervenci n del administrador para operar el dispositivo con la configuraci n por defecto suministro de energ a basada en USB Soporte opcional para registro de eventos de seguridad en el almacenamiento basado en USB Especificaciones T cnicas Modo Funcional Firewall Transparente con Motor de Paquete Profundo SIP Intrusi n Prevenci n de SIP Soporte de Firmas de Ataques SIP 400 Rendimiento 10Mbps Nro de llamadas simult neas Hasta 50 llamadas simult neas que soporta Registro Consola de Eventos de Seguridad Local oyslog Remoto Gesti n de Dispositivo Web GUI a trav s de Https y SSH CLI Hardware Procesador de N cleo Individual de 32bit basado en MIPS 300MHz Almacenamiento Primario 16 MB Flash I I Almacenamiento s ic de dispositivos de Almacenamiento USB para registro Opcional Dos Interfaces de Ethernet R pidas 1 1 1 Leds de Notificaci n Sobre el Panel Frontal del SIP Firewall LED 4 Estatus de Alerta Bot n ON OFF de LED 3 Estatus DPI encendido LED 2 Estatus de interfaz Indicador LED LED 1 Estatus de sistema de encendido Figura 1 Notificaciones Led del Panel Frontal El paquete SIP Firewall incluye e 1 Appliance SIP Firewall e 1 Adaptador de Corriente USB e 1 Cable de Consola Serie e 2 Cables Ethernet 1 1 2 Vista Trasera del SIP Firewall AN USB CONSOLE POWER Puerto LAN Bot n de Reset Puerto WAN USB Power Plug Puerto de consola
12. Rules Security Settings Search SIP Attacks r r ITI N ions SIP Protocol O Kalitest IP_HOST 192 168 10 79 Kali blocked M Compliance Firewall Rules Firewall Settings Whitelist IP Addresses Blacklist IP Add New Delete Selected Figura 21 Direcciones IP de Lista Blanca 4 6 Normas de Lista Negra Est tica Esta p gina permite configurar las direcciones IP de la lista negra en la zona wan no confiable desde donde el acceso para comunicarse con la red SIP protegida ser bloqueada por el SIP firewall Esta p gina tambi n permitir configurar si las normas blancas toman precedencia sobre las normas de la lista negra tanto est tica como din mica configuradas en el dispositivo en cualquier instante Create Blacklist Rule x Marne Kalitest IP Type IP HOST Address 192 168 10 79 Enable Comments Kali blocked SAVE CANCEL Figura 22 Crear Norma de Lista Negra 29 Dashboard Blacklist IP Addresses Security Settings Detection IP HOST 192458 10 78 Kali blocked SIP Protocol Compliance Firewall Rules Firewall Settings Whitelist IP Add New Delete Selected Dynamic Blac khe st IP Figura 23 Direcciones IP de Lista Negra 4 7 Normas de Lista Negra Din mica Las normas de la lista negra din mica son las normas de bloqueo agregadas por el motor de inspecci n profunda de paquetes del SIP Firewall para bloquear el tr fico de d
13. Status 3H7 12 45 03 70030001 7003 Sig SIP Eruteforce Pas 182 168 10 121 D8 17 12 46 08 70090001 7008 Sig SIP Bruteforce Pas 182 158 10 121 08 17 12 46 08 70090001 7008 Sig SIP Bruteforce Pas 192 168 10 121 la Network Info 09 17 12 48 09 27 140 spp sip Maximum dialo 182 168 10 228 D8 7 12 46 08 70090001 7008 5 SIP Bruteforce Pas 182 158 10 121 pud e 09 17 12 46 0970090001 7008 Sig SIP Bruteforee Pas 192 158 10 121 MR E o 08 17 12 46 08 70090001 7008 Sig SIP Bruteforce Pas 182 158 10 121 E 09 17 12 46 09 20 140 ip Invite replay 192 168 10 226 Gateway 192 158 10 254 Prep mente replay D3717 12 48 D3 70080001 7009 Sio SIP Bruteforce Pas 182 158 10 1211 Copyright 2013 2015 Bastic SIP Firewall Web Panel AI Rights Reserved Figura 8 Panel Al ingresar al WebUl del SIP Firewall se mostrar el panel El usuario puede visitar la p gina del panel desde cualquier p gina de configuraci n en el WebUI del SIP Firewall haciendo clic en el cono del Producto SIP Firewall que aparece en la esquina izquierda del Panel superior El panel de estado que aparece abajo del panel superior muestra las configuraciones de tiempo en el dispositivo y la versi n de firmware del SIP Firewall el cono para volver a cargar la p gina y el cono de Configuraci n Haciendo clic en el bot n de volver a cargar la p gina se volver a cargar el rea del contenido principal de la p
14. buffer de registro ser descartada en el intervalo predeterminado no configurable una vez que los criterios de entrada de registro sean alcanzados Sin embargo si el administrador quiere continuar las alertas dentro del almacenamiento USB puede conectar el almacenamiento USB al puerto de datos USB del Elastix SIP Firewall 32 6 Herramientas 6 1 Administraci n La p gina de interfaz del usuario brinda la opci n de ejecutar un reinicio de f brica en el dispositivo reiniciando el dispositivo device reboot reinicio de dispositivo device shutdown apagar dispositivo y Configuration backup restore de respaldo reestablecer configuraci n Ejecutar el reinicio de f brica en el dispositivo requiere reiniciar por consiguiente el administrador ser redirigido a la p gina de notificaci n de espera al hacer clic en el bot n de reinicio de f brica y se registrar r pidamente una vez que el dispositivo haya logrado la configuraci n por defecto Los SIP Firewall de Elastix soportan tomar la copia de respaldo de la configuraci n y reestablecer la configuraci n m s tarde Dashboard Administration Q Security Settings Factory Reset Security Alerts 4 Administration Restart STM Services Diagnostics Shutdown Ping Traceroute Config Back up Troubleshooting Select configuration file No file selected A Requires Reboot Firmware Upgrade Logs Archive Figura 27 Administraci n
15. de IP Geo 31 5 Estado 5 1 Alertas de Seguridad La p gina de alertas de estado muestra la lista de alertas pertenecientes a los ataques SIP detectados en el motor de inspecci n profunda de paquete del SIP Firewall en cualquier instante El administrador puede elegir establecer el intervalo de carga en el visualizador de logs en esta p gina El administrador puede elegir configurar el dispositivo para enviar res menes de notificaciones por email sobre las alertas de seguridad generadas por el dispositivo La opci n para descargar las alertas de seguridad mostrada en esta p gina en formato CSV est disponible en la p gina Dashboard Security Alerts Security Settings IO RUOTE 300 Update Refresh Interval Refresh Download Logs E mail Server Settings Search STM Sigs SIP 09 01 15 54 27 70020001 7002 Sip Devices Devices 192 168 10 79 5060 1921468100 5060 UDP Blacklist Scanning Identification Attempt d Sip Anomal STM Sigs To 09 01 12 26 26 70030046 7003 P y header format 4924684080 5060 2040175 5060 UDP Blacklist Attacks string attempt STM Sigs 09 01 12 26 26 70030058 7003 Sip Anomaly Fromheader 6840 80 5060 2040175 5060 UDP Blacklist Attacks format string attempt h Figura 26 Alertas de Seguridad A menos que el usuario configure el reenv o de alertas de seguridad al servidor remoto SYSLOG las alertas de seguridad no continuar n permanentemente en el dispositivo La ubicaci n del
16. por un per odo de tiempo si excede el n mero de intentos segundos autorizados El intruso generar llamadas a una extensi n y parecer como si provinieran de la misma extensi n Su objetivo es quebrar el PBX y lograr interrumpir la comunicaci n El SIP Firewall puede bloquear registrar o colocar en la lista negra la IP por un per odo de tiempo si excede el n mero de intentos segundos autorizados Sin Respuesta Duraci n de Invitaci n de An nimos Intentos de desbordamiento usando oin varios mensajes SIP Mensajes Duraci n de 23 Ataques SIP DDos Ataques de Anomal a SIP Ataques Desbordamiento del Buffer del SIP Escritura de sitios Cruzados de SIP Vulnerabilidades de garant as de 3ros Intentos de desbordamiento distribuidos usando varios mensajes SIP El intruso enviar paquetes de SIP anormales al PBX Su objetivo es quebrar el PBX logrando interrumpir la comunicaci n El SIP Firewall puede bloquear registrar o colocar en la lista negra la IP por un per odo de tiempo si excede el n mero de intentos segundos autorizados Los intentos de desbordamiento de Buffer resultaron de validaci n impropia de ingresos de usuario SIP es vulnerable a cross site scripting causado por validaci n impropia de ingresos suministrados por el usuario en la solicitud SIP Un atacante remoto podr a aprovecharse de esta vulnerabilidad para inyectar escritura maliciosa dentro de una p gina web
17. 55 0 El dispositivo ha sido creado para ser completamente funcional con la configuraci n por defecto Sin embargo si el usuario necesita mejorar las configuraciones y las pol ticas de DPI del dispositivo el usuario puede mejorar la configuraci n a trav s de la WebUI del Dispositivo El dispositivos provee una interfaz de l nea de comando accesible a trav s de SSH la cual permitir configurar los marcos b sicos y visualizar el estado del dispositivo WebUI admin admin SSH CLI admin stmadmin Management Vlan IP 192 168 100 1 255 255 255 0 Default Device IP 10 0 0 1 255 255 255 0 2 2 Acceso a la WebUl El usuario se puede conectar al dispositivo a trav s de la Vlan red de rea local virtual de gesti n para acceder a la WebUl interfaz de usuario durante la instalaci n inicial La 11 Vlan configurada en el dispositivo es accesible a trav s de puertos LAN WAN y se fabric con la direcci n IP asignada 192 168 100 1 por defecto Siga el procedimiento de abajo para acceder a la WebuUl 1 Conecte el puerto LAN del SIP Firewall a la PC 2 Asigne la direcci n IP 192 168 100 2 a la PC Establezca la m scara de Red como 255 255 255 0 Ahora usted puede acceder al dispositivo desde el navegador usando la URL https lt 192 168 100 1 gt Configure la Direcci n IP del Dispositivo SIP Firewall desde la p gina de Device Settings Configuraciones de Dispositivos seg n la configuraci n de su red local Verifi
18. IIIIIIDIIDIITIITIIIIIIIIIIIIIIIIIIIIIIDIDIIIDPIIIPIIIIIIIIIIIII Time gt Diagnostics Mon Sep 1 06 54 03 UTC 2014 ES Ping Traceroute Troubleshooting Firmware Upgrade Logs Archive Figura 28 Diagn sticos Haga clic en el enlace de abajo para descargar los diagn sticos Download Report E Download Report Click above link to download the diagnostics OK Figura 29 Descargar Informe 34 6 3 Ping El administrador puede resolver los temas de conectividad de la red con la ejecuci n ping desde el dispositivo SIP Firewall El administrador necesita ingresar la direcci n IP que necesita ser comprobada desde el SIP Firewall seleccionar el conteo de ping Count y hacer clic en el bot n Ping para ejecutar la tarea Los resultados del ping ser n mostrados en el rea de texto una vez que la tarea ping se haya completado Dashboard Ping Q Host 192 158 0 127 Count Ping Reset PING 192 168 0 127 192 168 0 127 56 data bytes Administration 64 bytes from 192 168 0 127 icmp 0 ttl 64 time 1 1 ms 192 168 0 127 ping statistics 1 packets transmitted 1 packets received 0 packet loss gt Ping round trip min avg max 1 1 1 1 1 1 ms Diagnostics Traceroute Troubleshooting Firmware Upgrade Logs Archive Figura 30 Resultado Ping 6 4 Trace Route El administrador puede resolver los temas de conectividad de la red ejecutando un trace route desde el dispositivo SI
19. P Firewall El administrador necesita ingresar la direcci n IP hacia la cual se debe trazar la ruta desde el SIP Firewall seleccionar el conteo de hop y hacer clic en el bot n Trace route Seguir ruta para ejecutar la tarea Los resultados de la ruta de seguimiento ser n mostrados en el rea de texto una vez que la tarea de ruta de seguimiento haya sido completada 35 Dashboard 5 Traceroute Security Settings Host 132 168 0 127 G Security Alerts Hop Count 2 6 go Traceroute Reset Tools Administration Diagnostics Ping Traceroute Troubleshooting Firmware Upgrade Logs Archive Figura 31 Ruta de Seguimiento 6 5 Soluci n de Problemas Esta p gina permitir deshabilitar habilitar el DPI en el SIP Firewall para prop sitos de soluci n de problemas Dashboard Troubleshooting Enable DFI Figure 32 Soluci n de Problemas 36 6 6 Actualizaci n de Firmware El SIP Firewall soporta la actualizaci n manual del firmware que se ejecuta en el equipo La p gina de actualizaci n de firmware muestra la versi n del firmware del SIP Firewall actualmente en ejecuci n y permite al administrador cargar el paquete de actualizaci n del firmware e instalarlo en el dispositivo Para instalar el firmware Descargar el paquete de actualizaci n de firmware del SIP Firewall desde la p gina web de Elastix y guardarlo en su sistema local Desde el navegador de su sist
20. Profunda de Paquete SIP soportadas en el SIP Firewall y los par metros de configuraci n en cada categor a 22 Categor a Ataques de Reconocimiento SIP Escaneo de Dispositivos SIP Descubrimiento de Extensiones SIP M ltiples Intentos Fallidos Fuerza Bruta de Autenticaci n de Clave Intento de Llamadas Fantasma Ataques de SIP Dos Opciones Descripci n Configurables de Usuario El intruso est tratando de detectar qu versi n de Asterisk usted est ejecutando Con esa informaci n l comenzar a aprovecharse de las N A numerosas vulnerabilidades de esa versi n El Firewall SIP no responder a esta solicitud El intruso escanear los puertos PBX para ver qu dispositivos est n conectados a l Con esa informaci n l puede aprovecharse de las vulnerabilidades de 3ros El SIP Firewall no responder a su solicitud N A El intruso le pedir al PBX que divulgue el rango de los n meros de extensi n Con esa informaci n l puede probar diferentes claves para tomar control de estas extensiones El SIP Firewall no responder a esa solicitud Intentos Duraci n de Registro de Usuario SIP Inv lido El intruso intentar iniciar sesi n con diferentes nombre de usuario y claves muchas veces Una vez que tenga xito tendr control de esa extensi n El SIP Intentos Duraci n de Firewall puede bloquear registrar o Autenticaci n Fallidos colocar en la lista negra la IP
21. USB de storage Figure 2 Vista Trasera del SIP Firewall 1 1 3 Consideraciones de Implementaci n del SIP Firewall El SIP Firewall ha sido creado para proteger a los Servidores Gateway PBX basados en SIP contra las amenazas y anomal as de red basadas en SIP Por consiguiente se recomienda implementar el SIP Firewall junto con la implementaci n del Gateway PBX como se indica en los siguientes supuestos basados en lo que es aplicable en la instalaci n del usuario Supuesto de Implementaci n 1 Public Cloud SIP PBX Gateway SIP Firewall Appliance Figura 1 Supuesto 1 Algunos de los dispositivos PBX Gateway tienen una interfaz exclusiva LAN Mgmt para el prop sito de gesti n de dispositivo adem s de una Interfaz de Datos adem s denominado Interfaz WAN P blica En dichos casos el Puerto LAN del SIP Firewall debe ser conectado a la Interfaz de Datos WAN Interface P blica Supuesto de Implementaci n 2 En el caso del IPPBX implementado en la Instalaci n LAN se recomienda la siguiente instalaci n ya que ayudar a proteger contra las amenazas tanto de la Red Interna as como tambi n amenazas de la Nube P blica que penetraron un firewall est ndar de la empresa no dedicado a SIP SIP PBX Gateway SIP Firewall Appliance AS Corporate LAN gt Public Cloud Corporate Firewall Figura 2 Supuesto 2 Supuesto de Implementaci n 3 En el caso de que se implementen m ltiples Gateway IPPBX VOIP
22. a secuencia de comando tipo de archive URL nombre de Carpeta Archivo Ej http www elastix org 1 2 Informaci n de Ayuda oe han realizado todos los esfuerzos para asegurar la precisi n del documento Si usted tiene comentarios preguntas o ideas con respecto al documento cont ctese a sales welastix com ndice 1 T 5obre este manual E 2 11 USO0elDOCUIMENO asar S 2 T 2 I roracion de AVIS u umn u gU e ana usce bea uiu 3 15 NFHQ0SOd cceio u u uu Tr 6 ju G A quway 6 1 1 1 Leds de Notificaci n Sobre el Panel Frontal del SIP Firewall 8 1 12 Vista Traseradlel SIP Eirewaluy aura nuusan ete 9 1 1 3 Consideraciones de Implementaci n del SIP Firewall 9 2 Instalaci n y Configuraci n Inicial 11 2 4 iContduracior DOr DeleclQO 11 22 ACOSO ala aii 11 2 4 Expiraci n de Sesi n de la WebLUl 14 2 9 Configuraciones in asa ass 14 2A A 15 3 Contiguraci n de DISDOSITIVO u uuu eo ideo 16 3 T Gonlig uraciones Generale iia n 17 3 2 Configuraciones de mii ii at ia e dere eden 18 3 02 SESION de ACTOS LET 19
23. aciones ser n guardadas en una ubicaci n de almacenamiento temporaria en el dispositivo Al guardar los cambios de la configuraci n el bot n Apply Changes Aplicar Cambios que aparece en la esquina superior derecha ser habilitado y el bot n Ignore Changes Ignorar Cambios aparecer al lado Updates List x Device Access Filter configuration 1 Device Access rule edited 2 Device Access rule edited Global Firewall Settings 1 Global Firewall Settings updated 2 Global Firewall Settings updated Logging 1 Logging settings updated Figura 9 Configuraci n de Dispositivo 16 El n mero de cambios de configuraci n aparecer sobre la izquierda del bot n Apply Changes Para visualizar los detalles de los cambios de configuraci n el usuario puede hacer clic en el cono del n mero el cual abrir la lista de los cambios de configuraci n El usuario puede aplicar los cambios de configuraci n al dispositivo haciendo clic en el bot n Apply Changes Al hacer clic en el bot n Apply Changes los cambios de configuraci n ser n aplicados al sistema y la configuraci n actualizada se mantendr permanentemente en el dispositivo En el caso de que un usuario quiera abandonar los cambios de configuraci n realizados puede hacer clic en el bot n Ignore Changes Ignorar Cambios Al hacer clic en el bot n gnore Changes los cambios de configuraci n almacenados en la ubicaci n de almacenamien
24. aque basados en Escritura de Sitios Cruzados Ataques de b fer overflow Ataques basados en Anomali as SIP Vulnerabilidades de proveedores de 3ros Detecci n y prevenci n de Fraude Telef nico Protecci n contra VOIP SPAM y War Dialing La respuesta al ataque incluye la opci n de declinar discretamente paquetes de SIP maliciosos para ayudar a prevenir los continuos ataques Servicio de Actualizaci n de Lista Negra Din mica para Amenazas VOIP SIP Gateway PBX Configurabilidad de normas de Lista Negra Lista Blanca Firewall m Soporte para bloqueo basado en Localizaci n Geo Proveer la opci n de asegurar contra las vulnerabilidades de Aplicaci n de PBX Operar en dispositivos de Capa 2 por consiguiente transparentes para la infraestructura existente IP no se requieren cambios para agregar el dispositivo a SU red existente Gesti n de Acceso del Dispositivo basado en Web SSL el cual permitir gestionar el dispositivo desde cualquier lugar desde la Nube m Habilidad para restringir la gesti n de acceso del dispositivo para Redes IP espec ficas suministrar a eventos de Estado Seguridad del Sistema opciones de inicio de sesi n para un servidor remoto Syslog suministra el rendimiento SIP hasta 10Mbps Soporte para la suscripci n de actualizaci n de Firma y mecanismos de actualizaci n de firma El dispositivo ha sido creado para operar con configuraci n por defecto con solo encender el dispositivo
25. astix gt show IP Ahora usted puede acceder al dispositivo desde el navegador usando la URL https lt device ip gt Si usted no est ejecutando el servidor DHCP en su implementaci n O el dispositivo falla al obtener la direcci n IP establezca la direcci n IP desde la consola CL usando la l nea de comando Elastix gt Set IP IP address gt lt mask gt lt gateway gt Verifique la direcci n usando el comando show IP mostrar IP Luego use esta direcci n IP para acceder la WebUI SSH para configurar el dispositivo para realizar m s configuraciones Ante cualquier asistencia t cnica requerida por favor cont ctese con el soporte al email support elastix com 40
26. d hasta el per odo de expiraci n de la sesi n WebUi Por defecto la expiraci n de la sesi n WebUI est establecida en 900 segundos entonces la sesi n de login terminar autom ticamente y el navegador ser redirigido a la p gina de login nuevamente 2 5 Configuraciones WebUl Para cambiar las configuraciones de la WebUl haga clic en el cono de configuraciones que aparece sobre la esquina superior derecha debajo del bot n Apply Changes Aplicar Cambios El di logo de configuraciones WebUl se mostrar en el navegador y le permitir al administrador configurar la expiraci n de sesi n WebUl y la clave de login WebUl Para configurar la clave de login WebUi el usuario necesita ingresar la clave de administrador establecida previamente Session Timeout 900 User Marne admin Old Admin Password Hew Admin Password Confirm Admin Password Figura 7 Configuraciones de la WebUI 14 2 4 Panel 7 FIREWALI 17 Septembertd 12 48 35 pm SIPFW 1 0 00 Tue Sep 3 14 33 57 IST 2014 Welcome admin Dashboard gt Dashboard e Security Settings System Status Sig Update Version DPI Status SEU Mes Up Time Elastix SIP Firewall Signatures 1000 Enabled Running Memory Usage Total Memory 64MB page 110 y i Security Alert Summary 65 gem Top 10 Signatures 10 Categories a Flash Usage Flash Size 16MB Top Sre Top Pest 43 CPU usage IN 005 Last 10 Alerts Network
27. elastix SIP Z Elastix SIP Firewall Manual de Usuario Derechos de Autor Copyright O 2014 Elastix Todos los derechos reservados Ninguna parte de esta publicaci n puede ser copiada distribuida transferida transcrita almacenada en ning n sistema o traducida a ning n idioma humano o de computaci n sin previa autorizaci n por escrito por parte de http www elastix org Este documento ha sido preparado para uso de personal profesional y debidamente capacitado y el cliente asume la completa responsabilidad al hacer uso de l Derechos de Propiedad La informaci n de este documento es Confidencial de Elastix y es legalmente confidencial La informaci n y este documento est n destinados exclusivamente a su destinatario El uso de este documento por parte de cualquier otra persona para cualquier otro uso no est autorizado Si usted no es el destinatario exclusivo cualquier divulgaci n copia o distribuci n de esta informaci n est prohibida y es ilegal Descargo de Responsabilidad La informaci n de este documento est sujeta a cambios sin previo aviso y no deber a interpretarse como un compromiso por parte de http www elastix org Y no asume ninguna responsabilidad o establece ninguna garant a contra errores que puedan aparecer en este documento Puede aparecer en este documento y rechaza cualquier garant a impl cita de comercializaci n o aptitud para un prop sito en particular 1 1 Sobre este manual E
28. ema local inicie sesi n en WebUI del SIP Firewall y abra la p gina de actualizaci n de firmware de SIP Firewall Haga clic en Browse Explorar en la p gina del firmware y seleccione el archivo del paquete de actualizaci n del firmware del SIP Firewall que usted guard en su sistema local Luego de seleccionar el archivo haga clic en el bot n Upgrade Actualizar El dispositivo verificar que el firmware se cargue y se instale Luego de instalarlo el dispositivo se reiniciar y el administrador ser redirigido a la p gina de inicio de sesi n BUSES Upgrade Firmware security Settings Current Firmware Version SIPFwW 1 0 00 security Alerts Choose the filepath of the new firmware Te M 1338 TENIA Filename STM Guick Installation Guide Wersion 2 docx Need Reboot Administration Diagnostics Upgrade Pina Traceroute Troubleshooting Firmware Upgrade Logs Archive Figura 33 Actualizar Firmware 37 6 7 Archivo de Registros Si el dispositivo de almacenamiento USB se adjunt al SIP Firewall el dispositivo intentar archivar los registros m s antiguos en el dispositivo de almacenamiento USB La informaci n de resumen en los registros almacenados en el archivo ser mostrada en la P gina de Archivos de Registros Dashboard Logs Archive Logs Archive Summary No USB media found for logs archive Administration Diagnostics Ping Traceroute Troubleshooting
29. en la Instalaci n LAN se recomienda la siguiente instalaci n ya que ayudar a proteger contra las amenazas tanto de Red Interna como amenazas de la Nube P blica que penetraron la penetraron un firewall est ndar de la empresa no dedicado a SIP PBX 1 PBX 2 PBX 3 ELASTIX SIP Firewall Corporate Cloud Corporate Firewall Corporate LAN Figura 3 Supuesto 3 10 2 Instalaci n y Configuraci n Inicial Retire los items de la caja Revise que tenga todos los tems listados en el contenido del paquete Conecte el puerto WAN del SIP Firewall a la red no confiable p blica Conecte el puerto LAN del SIP Firewall a la Gateway PBX VOIP Conecte el equipo a la toma de corriente usando el cable de alimentaci n USB El dispositivo se tomar alrededor de un minuto para arrancar y funcionar completamente con la configuraci n por defecto E E UM Dy Algunos de los dispositivos PBX Gateway pueden tener una Interfaz exclusiva LAN Mgmt para prop sitos de gesti n del dispositivo adem s de la Interfaz de Datos adem s denominada WANv Interfaz publica En dichos casos el puerto LAN del SIP Firewall debe ser conectado a la Interfaz de Datos WAN Interfaz P blica 2 1 Configuraci n por Defecto El dispositivo funciona como un puente firewall transparente con Inspecci n Profunda de Paquetes habilitada en el tr fico SIP Por defecto el equipo ha sido configurado con IP est tica de 10 0 0 1 M scara de red 255 255 2
30. ent Time Schedule 2 00 Daily v 4 Signature Update Apply Cancel Update Signatures now Security Settings Security Alerts Cuando el usuario compra un Elastix Firewall SIP el dispositivo ser enviado con las firmas SIP que ayudar n a protegerlo contra los ataques conocidos hasta el momento basados en SIP Figura 14 Actualizaci n de Firma oin embargo si el usuario quiere asegurarse de que las implementaciones tengan la protecci n contra los vectores de ataque m s nuevos se recomienda habilitar la actualizaci n de firma en el dispositivo 20 Por favor consulte con un representante de Ventas de Elastix para obtener los detalles de compra de la suscripci n de firmas del SIP Firewall 3 5 Registro El administrador puede configurar el SIP Firewall para enviar las alertas de seguridad generadas al detectar ataques basados en SIP al servidor SYSLOG remoto La p gina de registro permitir habilitar deshabilitar el registro remoto de las alertas de seguridad y hacia que servidor SYSLOG se debe redirigir las alertas de seguridad Dashboard Logging General Settings Logaing Time Settings Remote Logging Management Syslog server 192 168 0 109 Signature Update Save Cancel a Logging Security Settings Security Alerts Figura 15 Registro 21 4 Configuraci n de las Pol ticas de Seguridad SIP 4 1 Pol ticas de Detecci n de Ataques SIP La p gina de detecci n de
31. fica la ubicaci n donde la respuesta SIP debe ser enviada Max via len especifica el m ximo tama o del campo Via El predeterminado est establecido en 1024 El rango permitido para esta opci n es 1 65535 Max contact len El identificador usado para contactar una instancia espec fica del cliente servidor SIP para solicitudes subsecuentes Max contact len especifica el m ximo de tama o del 26 campo Contact El predeterminado est establecido en 256 El rango permitido para esta opci n es 1 65535 Max content len Especifica el tama o m ximo del contenido del cuerpo del mensaje El predeterminado est establecido en 1024 El rango permitido para esta opci n es 1 65535 4 3 Normas Firewall La configuraci n de las normas de firewall permitir n al administrador configurar qu tr fico debe ser permitido para proteger la red SIP PBX Gateway de una zona wan no confiable adem s del tr fico DPI permitido SIP y RTP El administrador necesita especificar las redes fuente y de destino y los n meros de puerto y protocolo que ser n usados como criterios coincidentes en las normas de filtro y las acciones a ser tomadas en normas de filtro coincidentes Las acciones posibles bloquear n el tr fico y permitir n el tr fico de normas de filtrado coincidente El precedente de las normas estar en el orden en el cual las normas se configuraron en la tabla de normas de firewall Create Firewall Rule x Name Webaccess Enab
32. irecciones IP de atacantes por la duraci n de bloqueo configurada en la categor a de normas para detectar el ataque Las normas de lista negra din mica permitir n al administrador ver las normas de lista negra din micas configuradas actualmente en el dispositivo en cualquier momento En caso de que el administrador quiera ignorar y permitir el tr fico de una direcci n IP de lista negra en particular l puede eliminar la norma de la p gina de normas de lista negra din mica minia Dynamic Blacklist IP Addresses A Search Security Settings ola Detection 1921681078 x SIP Protocol Cornpliance Firewall Rules Firewall Settings Whitelist IP Blacklist IP Addresses gt Dynamic Blacklist IP Addresses Geo IP Filters Security Alerts Figura 24 Direcciones IP de Lista Negra Din mica 30 4 8 Filtro IP Geo El administrador puede elegir bloquear el tr fico proveniente de pa ses espec ficos hacia la red SIP protegida configurando las normas de filtro GeolP en el SIP Firewall Dashboard Geo IP Filters Security Settings Allow All Countries Block All Countries Update Geo IP Search SIP Attacks JA ut db i RUSSIAN FEDERATION t ompirance Tm SYRIAN ARAB REPUBLIC f 3 tules SUDAN f Firewall Settings NIGERIA Whitelist IP KOREA REPUBLIC OF 2 CHINA f UKRAINE f Al GERIA 7l Dynamic Blacklist IP gt Geo IP Filters Security Alerts Figura 25 Filtros
33. led Src Type ANY v Src Address Dst Type ANY v Dst Address Protocol any Y Port 24 Action Block v Figura 18 Crear Norma Firewall 4 4 Configuraci n de Firewall Las Configuraciones de Firewall permiten al usuario configurar TCP Flood Rate TCP Flood Burst UDP Flood rate y UDP Flood Burst en configuraciones firewall globales 2f Dashboard Firewall Settings O TCP Syn Flood Rate 1024 TCP Syn Flood Burst 128 SIP Protoco Compliance TCP Flood Rate 4035 Firewall Rules ERE Elo ta rss 36 Flood Rate 8132 gt Firewall Settings UDP Flood Burst 138 Whitelist IP ICMP Flood Rate 128 Flood Burst 54 Dynamic Sawe Cancel Blacklist IP Geo IP Filters Security Alerts Figura 19 Configuraciones Firewall 4 5 Normas de Lista Blanca Esta p gina permite configurar las direcciones IP en la lista blanca dentro de la zona wan no confiable desde donde el acceso para comunicarse con la red SIP protegida ser permitida por la SIP Firewall Esta p gina tambi n permitir configurar si las normas blancas toman precedencia sobre las normas de la lista negra tanto est ticas como din micas configuradas en el dispositivo en cualquier instante Create Whitelist Rule Name Kalitest Ip IPHOST Address 192 168 10 79 Enable Comments Kali blocked Figure 20 Crear Norma de lista Blanca 28 Dashboard Whitelist IP Addresses Whitelist IP Rules Precedes over Blacklist IP
34. que la direcci n IP establecida en el SIP Firewall desde la p gina del panel Una vez que el usuario asigna la Direcci n IP del Dispositivo SIP Firewall con xito ya puede acceder al dispositivo usando esa direcci n IP Ahora puede desconectar la PC y conectar el puerto LAN a la Red PBX PBX que necesita ser protegida La WebUl ha sido creada accesible solo a trav s de HTTPS El navegador recomendado para acceder a SIP Firewall WebUl es Mozilla Firefox x La Ul le permite al administrador configurar la gesti n de direcciones Vlan IP En caso de que el usuario haya cambiado la gesti n de la direcci n Vlan IP necesita asignar la direcci n de red correspondiente a su PC para la gesti n de acceso subsecuente Al lanzar la WebUl del SIP Firewall la aplicaci n web inmediatamente solicitar las credenciales del administrador para iniciar sesi n x Alternativamente el usuario puede acceder al dispositivo a trav s de la IP est tica 10 0 0 1 y configurar los marcos de la red durante la primera instalaci n Conecte una PC al puerto LAN del SIP Firewall y asigne la direcci n IP 10 0 0 100 255 255 255 0 a la PC Ahora usted puede acceder al dispositivo desde el navegador usando la URL https lt 10 0 0 1 gt Siel dispositivo no es accesible luego de configurar la nueva configuraci n de red intente reiniciar el dispositivo y revisar el acceso al panel del dispositivo a trav s de la Gesti n Vlan 12 elastix
35. s 192 168 0 24 Enable i Comments Access from Management vlan network Figura 12 Norma para Crear Gesti n de Acceso Management Access Q Search security Settings DefautAlAccess ANY Default rule that al x MomtvlanAccess IP NETWORK 19216810024 Access from Mont Vla X Add New Delete Selected Figura 13 Gesti n de Acceso 19 El administrador necesita configurar la Direcci n IP o la Red IP o el Rango de las Direcciones IP que tendr n acceso al equipo y debe n ser habilitada s en las reglas de filtro de gesti n de acceso El Tipo de IP ANY Cualquiera indica redes globales Cualquier red Direcci n IP La opci n de busqueda en los filtros de gesti n de acceso ayudar a visualizar selectivamente las normas de filtro de gesti n de acceso cuyos valores de nombre direcci n coincidan con el criterio de b squeda 3 4 Actualizaci n de Firma Para habilitar la actualizaci n de firma autom tica seleccione la casilla enable update habilitar actualizaci n en el dispositivo y configure la programaci n de actualizaci n de firma La clave de suscripci n v lida y la URL de actualizaci n de la firma correcta deben ser configuradas para que ocurra la actualizaci n de firma Para actualizar las firmas en el dispositivo de forma instant nea haga Clic en el bot n Update Signatures now Actualizar Firmas ahora iint Signature Update Devi Time Settings Enable Update Managem
36. ste manual describe la aplicaci n del producto Elastix y explica c mo trabajar y usar las caracter sticas principales Sirve como medio para describir la interfaz de usuario y c mo usarla para lograr tareas comunes Adem s este manual describe las premisas y los usuarios subyacentes que hacen la informaci n del modelo subyacente 1 1 Uso del Documento En este manual algunas palabras est n representadas con diferentes fuentes tipos de letra tama os y peso La selecci n resaltada es sistem tica diferentes palabras est n representadas en el mismo estilo para indicar su inclusi n en una categor a espec fica Adem s este documento tiene diferentes estrategias para atraer la atenci n del Usuario hacia ciertas piezas de informaci n De acuerdo a cu n cr tica es la informaci n para su sistema estos tems est n marcados como una nota sugerencia importante precauci n o advertencia cono Prop sito lt Nota ts Importante Precauci n Advertencia Sugerencia Pr ctica Adecuada Negrita indica el nombre de los tems opciones cuadros de di logos ventanas y funciones del menu El color azul con un subrayado es usado para indicar referencia cruzada e hiperenlaces P rrafos Enumerados Los P rrafos Enumerados son usados para indicar tareas que necesitan ser realizadas El texto en los p rrafos sin enumerar representa informaci n comun La fuente Courier indica un
37. to temporaria ser n descartados x Para aplicar los cambios de configuraci n se mostrar el bot n Ignore Changes y el usuario no puede elegir ignorar los cambios de configuraci n El bot n Ignore Changes ser deshabilitado solo cuando a n haya cambios de configuraci n pendientes que necesiten ser aplicados al dispositivo Si el administrador intenta configurar un elemento de configuraci n en el valor apropiado el cono de informaci n sobre herramientas que aparece al lado de cada elemento de configuraci n suministrar los detalles del error Al hacer clic en el cono de ayuda que aparece al lado del t tulo de configuraci n se abrir la secci n de ayuda que corresponde a la p gina de configuraci n actual 3 1 Configuraciones Generales La p gina de configuraciones generales permitir configurar las configuraciones de host red del SIP Firewall El dispositivo que ha sido creado para funcionar en modo puente pero puede ser elegido para trabajar con asignaci n de IP est tica o para adquirir la IP del dispositivo a trav s de DHCP La p gina adem s permite habilitar deshabilitar el Acceso SSH al dispositivo La opci n Allow ICMP Permitir ICMP configurar el dispositivo para responder o no a los mensajes ICMP enviados al SIP Firewall 17 Por el Acceso SSH y el ICMP los mensajes Ping para el SIP Firewall son permitidos Dashboard General Settings Time Settings Host Name sip secure
38. user manual before making changes in this configuration page Security Settings SIP Protocol Compliance Settings i SIP MEDIA Ports Configuration SIP SIP Transport an I v Max Sessions 4036 Methods Headers SIP Ports 50560 5061 gt SIP Protocol Max Dialogs per 2048 Compliance session Media Transport udp 256 Media Ports 1024 65535 Firewall Rules Max URI length Firewall Max Call ID length 90 Settings Whitelist IP Requestname 20 message length notify benotify Max From length 256 do Max To length 256 1024 Max Via length Max Contact length 1024 Figura 17 Cumplimiento de Protocolo SIP Max sessions Una sesi n SIP es la conexi n creada a nivel de aplicaci n entre el servidor SIP y el cliente SIP para intercambiar mensajes de audio video El par metro max sessions define la sesi n de n mero m ximo que el motor de inspecci n profunda de paquete SIP puede controlar El valor por defecto ha sido establecido en 4096 Max Di logos por sesi n Max Dialogs per session especifica el n mero m ximo de transacci n de mensajes SIP que pueden darse entre el servidor y el cliente SIP 25 M todos Esto especifica qu m todos revisar para los mensajes SIP Los siguientes son los mensajes SIP que el motor SIP DPI puede identificar 1 invite 2 cancel 3 ack 4 bye 5 register 6 options 7 refer 8 subscribe 9 update 10 join 11 info 12 message 13 notify 14
Download Pdf Manuals
Related Search