Problemas NAT-VoIP
 

Comúnmente los usuarios de SOHO y residenciales tienen routers/firewall basados en NAT para mejorar el desempeño de una arquitectura IP para un red de los teléfonos IP o adaptadores residenciales  para la teléfonos es un reto. De hecho, los protocolos de VoIP encapsulan la dirección IP original de los equipos en la capa de sesión de paquetes y los firewall no permiten ninguna sesión originada desde la internet pública para conectarse a la red privada como protección interna, ya que, brindarían toda clase de problemas como no audio o ningún camino de audio en las implementaciones IP. Algunos intentos por resolver este inconveniente, se aplica STUN o reconfiguración  de los routers/firewalls en los predios del usuario, pero no siempre funcionan y se convierten en una pesadilla cuando se manejan diferentes tipos de NAT.

Los Proveedores de Servicios de VoIP o TI necesitan incluir Controladores de Sesión de Borde IP y Servidores con protocolos de aplicaciones en tiempo real  (RTP) con la función de puentes para su redes con la intención de soportar los equipos IP detrás de la NAT, pero usualmente, en estos casos ocasionan retraso en los multimedia distribuidos, adicionando una innecesaria latencia, afectando la calidad de recepción del audio en el usuario final. Además, teniendo que transmitir cientos o miles de conexiones de multimedia, ciertamente, comprometería su propio banda-ancha de los Proveedores de Servicios TI (ITSP)  y requeriría mucho más poder de procesamiento desde los servidores.

NATPass™

NATPass™ es una solución transversal de NAT VoIP – Controlador de Sesión de Borde, que permite lograr las sesiones VoIP cuando una o ambos equipos terminales IP se conecten, tales como: adaptadores de teléfonos, Gateway o teléfonos IP que estén en una red protegida.  NATPass™ funcionará con la optimización de la camino guía (MPO) y hará que el multimedia fluya directamente entre los equipos terminales.

El Controlador Firewall NATPass™ está diseñado para ser una solución simple a un costo razonable para los Proveedores de Servicios VoIP e ITS para desplegar sus redes con un soporte e intervención mínimo en las instalaciones del cliente y total proceso automatizado transversal de la NAT. NATPass™ es compatible con cualquier aplicativo terminal SIP y servidores que puedan conectarse completamente al conjunto de puertos de la NAT, conjunto restringido de puertos de la  NAT y a un conjunto simétrico de puertos de la NAT.

Adicionalmente a la NAT transversal, seguridad es otro importante tema tomado en cuenta por NATPass™. Ataques lentos y rápidos por DoS, DDoS puede ser controlados. NATPass™ protege el Proxy y Servidor Registro de paquetes mal estructurado SIP, así como, de efectos de Avalancha de Reinicio como el descrito en el estándar RFC5390.

Por el diseño, la NATPass™no es una solución multi-protocol, sin embargo, está construida y optimizada para incrementar su rendimiento total, confiabilidad y fácil mantenimiento. NATPass™ está diseñada para trabajar como un intermediario entre equipos terminales tales como: Equipos SIP (hard, softphones, ATAs) y Proxy SIP también conocidos como Almacenadores. NATPass™ provee excelente escalabilidad a muy bajo costo. 

Problemas de Ataque -Negación del Seervicio-DoS VoIP 

La rápida aceptación de VoIP y SIP por empresas y comercios han hecho al SIP un objetivo para los ataque de los Hacker. El Túnel SIP y Proveedores de hospedaje PBX  deben tener un IP público para ofrecer servicio a sus clientes y están expuesto a los ataques Negación de Servicio (DoS).
 

La más común amenaza es un ataque brutal forzado a las Claves SIP, en la cual los servidores VoIP son inundados con registros requeridos a Puerto bien identificados.  El principal propósito es invitar al suscritor de la clave SIP y obtener acceso a la cuenta para usar esto para hacer peticiones fraudulentas automáticamente y de larga distancias a gente al azar. El efecto obtenido es que el ataque brutal forzado crea una gran cantidad de sobrecarga al servidor SIP, que trata de validar autenticación de cada una de los requerimientos. El tiempo generado en el Servidor SIP ocasiona una falta respuesta o paralización para legitimar al usuario.

El Ataque de Negación del Servicios es, actualmente, lo principal a considerar en la mayoría de los ITSPs. Distribuida Negación del Servicio (DDoS) es aún más complejo de resolver su ataque y solamente, pocas y costosas soluciones comerciales están disponibles para contrarrestar esta amenaza.

Modos de Operación

NATPass™ fue diseñado pensando en que diferentes usuario o ITPSs tienen diferentes necesidades. Cuando combinamos los diferentes modos ofrecidos, usted tiene una matriz de opciones. Los modos de operación están basados en como usted quiera manejar las conexiones de registro/proxy SIP en la NATPass™.

Generalmente las empresas o ITSPs podrán querer tomar ventaja del máximo de escalabilidad y ahorrar banda-ancha y poseer NATPass™ funcionando con Optimización de Camino Guía VoIP (MPO). Sin embargo, podría ser en algunos casos, en la cual, NATPass™ es configurada en modo Total cuando usted quiera puentear el medio, para tener control estricto o para la  intercepción de peticiones de requerimientos.

En algunos casos usted podría querer que, la NATPass™ funcione como  solo un  Nombre de Dominio Completo (FQDN) o dirección IP, donde su servidor VoIP reside, en este caso usted restringirá paquetes que solo vengan de un servidor o ITSP. En otros escenarios en los cuales existen múltiples Proxy/Registradores o multiples ITSPs, que necesitan compartir el mismo Controlador de Sesión de Borde, NATPass™ pude ser configurada como una Multi-Interconectado Transversal NAT o como un Controlador de Sesión de Borde, que funciona para varios Servidores SIP. Además, cuentas activas con reportes en tiempo real o peticiones realizadas por ITSP o el servidor  pueden ser capturadas a través de la herramienta de monitoreo de la NATPass™. Con el Modo Multi-Interconectado o no, usted siempre podrá elegir MPO o modo total para cada uno de los servidores SIP donde la NATPass™ esté trabajando.

Rendimiento & Alta Disponibilidad

El rendimiento de la NATPass™ depende del poder de procesamiento de hard utilizado y el número de peticiones configuradas por segundos. NATPass™ es Controlador de Sesión Borde (SBC). Puede procesar aprox. 150 peticiones por segundos sobre un servidor de CPU Dual. Un sofisticado procesador quad  con doble núcleo, podrá ser capaz de operar en rango de 100.000 0 más usuarios esporádicos, como cuentas de soft phone de hasta 30.000 usuarios de teléfonos fijos. La capacidad dependerá de la arquitectura del servidor, así como también, el tipo de uso de la red (residencial vs centro de llamadas). El uso de un Servidor Pentium Dual a 3 GHZ con un Bus de Parte Frontal (FSB) y 2 GB de RAM es recomendado para grandes despliegues.

Registro DNS SRV son soportados por NATPass™ permitiendo la redundancia o tipo activo-pasivo de servidores proxy. Cuando configuran alta disponibilidad en las aplicaciones de la NATPass™ puede operar sobre servidores activos e intercambiar inmediatamente a servidor pasivo cuando el denominado principal falle.