FortiGate Üzerinde İstenmeyen SIP Paketlerinin Engellenmesi

FortiGate Üzerinde İstenmeyen SIP Paketlerinin Engellenmesi

SIP (Session Initiation Protocol), ses, video veya mesajlaşma gibi multimedya oturumlarının başlatılmasını ve yönetilmesini sağlayan bir uygulama katmanı (OSI Layer 7) protokolüdür. VoIP teknolojisinin yaygınlaşmasıyla günümüzde birçok kurum ses iletişiminde bu protokolden yararlanmaya başlamıştır. Bu durum, haliyle kurumların güvenlik duvarlarında da birtakım konfigurasyon uygulamaları gerekliliğini doğurmuştur. Özellikle bir servis sağlayıcıdan alınan hizmet, güvenlik duvarlarında SIP

için özel NAT tanımlarına ihtiyaç duymaktadır.

Güvenlik duvarlarında SIP trafiği için tanımlanan bu NAT’a birçok durumda sadece belirli dış IP adresleri üzerinden erişim imkanı verilmek istenir. Bu da genellikle hizmet alınan servis sağlayıcının temin ettiği adresler olmaktadır. Fakat gerçekte birçok güvenlik duvarında kullanılan ALG (Application Layer Gateway) “SIP Registration” sırasında istenmeyen trafiğin de geçebileceği bir “pinhole” oluşmasına neden olmaktadır. Kural tanımlarında sadece belirli IP’ler üzerinden erişim verdiğimiz NAT’a birçok farklı adresten de erişim sağlanabilmiş olur. Özellikle dikkat edilmesi gereken bu nokta için FortiGate üzerinde de alınması gereken önlemler bulunmaktadır.

FortiGate cihazlar, varsayılan olarak SIP paketlerinin işlenmesinde SIP ALG kullanmaktadır. Bu sayede birçok SIP özelinde atakların engellenmesi, session bazlı limit uygulanabilmesi ve SIP paketlerinin detaylı bir şekilde loglanabilmesi sağlanabilmektedir. Buna ek olarak, SIP ALG ve VoIP profili kullanarak istenmeyen SIP paketlerinin geçişinin engellenmesi sağlanabilir.

Konfigurasyon için öncelikle VoIP profilinde “strict-register” aktif edilmelidir;

config voip profile

edit <profile-name>

config sip

set strict-register enable

end

end

end

Daha sonra ilgili VoIP profili, trafiğin eşleştiği firewall kuralında uygulanmalıdır;

config firewall policy

edit <policy-ID>

set voip-profile <profile-name>

end

end

Konu ile ilgili Fortinet’in sunduğu aşağıdaki makaleyi de inceleyebilirsiniz;

https://kb.fortinet.com/kb/documentLink.do?externalID=FD37756