SIP-Port-Guide: VoIP-Signalisierung auf den Ports 5060 und 5061

SIP koordiniert Kommunikationssitzungen. Ein SIP-Benutzeragent, ein Telefon, eine PBX-Anlage, ein Trunk oder ein Softphone sendet Nachrichten wie REGISTER, INVITE, ACK, BYE, OPTIONS und CANCEL, um Anrufe aufzubauen und zu verwalten. Diese Nachrichten beschreiben, wer anruft, wo der Endpunkt erreichbar ist, welche Codecs verfügbar sind und wie Medien ausgetauscht werden sollen.

SIP ist lediglich die Signalisierungsschicht. Sobald ein Anruf ausgehandelt ist, fließen Audio oder Video normalerweise über RTP oder sicheres RTP auf separaten UDP-Ports. Diese Trennung ist der Grund dafür, dass ein SIP-Gerät online angezeigt werden kann, während der Anruf über einseitiges Audio, kein Audio oder über Medien verfügt, die nach einigen Sekunden unterbrochen werden.

Port 5060 ist der herkömmliche SIP-Signalisierungsport. Es wird häufig mit UDP verwendet, aber SIP kann auch über TCP auf 5060 ausgeführt werden, wenn die Plattform einen zuverlässigen Transport oder größere Nachrichten erfordert. Viele Telefone, PBX-Anlagen und SIP-Trunks verwenden standardmäßig immer noch UDP 5060.

Port 5061 wird üblicherweise für SIP über TLS verwendet. TLS schützt Signalmetadaten während der Übertragung und hilft Clients, den Server zu überprüfen, mit dem sie kommunizieren. Der Medienstream wird nicht automatisch verschlüsselt; Sprachmedien benötigen SRTP oder einen anderen Medienschichtschutz, wenn Privatsphäre erforderlich ist.

SIP teilt Endpunkten mit, wie ein Anruf gestartet, geändert und beendet werden soll. RTP überträgt die eigentlichen Audio- oder Videopakete, nachdem sich die Endpunkte auf Codecs und Adressen geeinigt haben. Die RTP-Portbereiche variieren je nach PBX, Anbieter, Telefonsystem, SBC oder Cloud-Voice-Plattform, sodass es keinen einzigen universellen RTP-Port gibt.

Gängige Beispiele sind UDP-Bereiche wie 10000–20000, 16384–32767 oder anbieterspezifische Bereiche. Öffnen Sie nur die Bereiche, die für Ihre Sprachplattform erforderlich sind, und dokumentieren Sie, ob der Datenverkehr von Telefonen zur PBX-Anlage, von der PBX-Anlage zum Anbieter oder in beide Richtungen fließen muss.

Öffnen Sie SIP-Ports nur dort, wo ein vertrauenswürdiges Telefon, eine PBX, ein SIP-Trunk-Anbieter, ein Session Border Controller oder ein Sprach-Gateway Signalisierungen austauschen muss. Typische Bereitstellungen ermöglichen es Telefonen, eine interne PBX-Anlage, eine PBX-Anlage eine SIP-Trunk-Verbindung oder einen SBC zur Vermittlung des öffentlichen VoIP-Verkehrs zu erreichen.

Stellen Sie SIP nicht allgemein zur Verfügung, nur weil Anrufe remote funktionieren müssen. Öffentliche SIP-Endpunkte ziehen Scanner, Registrierungsversuche, Gebührenbetrug, Nebenstellenaufzählung und Passwortangriffe an. Bevorzugen Sie VPN, privates Peering, Anbieter-Zulassungslisten, SBCs oder eng begrenzte Quellnetzwerke.

Beginnen Sie damit, den genauen Sprachpfad zu identifizieren. Bestätigen Sie, welches Gerät die Signalisierung besitzt, welche Seite die Registrierung initiiert, welchen RTP-Bereich die Plattform verwendet und ob TLS oder SRTP erforderlich ist. Erlauben Sie dann SIP 5060 oder 5061 nur zwischen den erwarteten Quellen und Zielen.

Konfigurieren Sie für NAT-Umgebungen die PBX oder den SBC mit der richtigen öffentlichen Adresse, lokalen Netzwerken, externen Signalisierungsadresse und externen Medienadresse. Vermeiden Sie es, sich blind auf SIP ALG zu verlassen, da es Pakete falsch umschreiben und zu zeitweiligen Registrierungs- oder Audiofehlern führen kann.

Eine einfache Portprüfung kann bestätigen, ob ein TCP-Listener wie SIP über TLS auf 5061 erreichbar ist. Verwenden Sie für UDP 5060 nach Möglichkeit SIP-fähige Prüfungen, da sich UDP nicht wie eine TCP-Verbindung verhält. Tools wie sipsak, sipvicious können in kontrollierten Tests, Provider-Diagnosen, PBX-Protokollen und Paketerfassungen zeigen, ob SIP-Nachrichten den richtigen Endpunkt erreichen.

Sobald die Signalisierung funktioniert, tätigen Sie einen echten Testanruf und überprüfen Sie die Medien. Überprüfen Sie Zwei-Wege-Audio, Anrufaufbauzeit, Codec-Aushandlung, RTP-Quell- und Zieladressen, NAT-Übersetzungen, Firewall-Zähler und ob Pakete nach den ersten paar Sekunden fortgesetzt werden.

Wenn sich ein Telefon nicht registrieren kann, überprüfen Sie DNS, ausgehende Firewall-Regeln, Anmeldeinformationen, Realm, Transportmodus, TLS-Zertifikate, Anbieter-Zulassungslisten und ob die PBX oder der Proxy den erwarteten SIP-Port überwacht. Bei Registrierungsfehlern handelt es sich häufig um Authentifizierungs- oder Richtlinienprobleme, nicht nur um Portprobleme.

Wenn Anrufe verbunden werden, aber kein Ton vorhanden ist, überprüfen Sie die RTP-Bereiche, NAT-Adressen in SDP, SIP ALG, symmetrische RTP-Einstellungen, Medien-IP-Bereiche des Anbieters und die Firewall-Richtung. Wenn Audio nur in eine Richtung funktioniert, kann normalerweise eine Seite RTP senden, während die andere Seite es nicht empfangen kann.

Beschränken Sie die SIP-Gefährdung auf bekannte Anbieter, Zweigstellen, VPN-Clients, SBCs oder private Netzwerke. Deaktivieren Sie ungenutzte Nebenstellen, fordern Sie sichere Passwörter oder zertifikatbasierte Authentifizierung, sofern unterstützt, begrenzen Sie die Rate der Registrierungsversuche und warnen Sie bei fehlgeschlagenen Registrierungen oder unerwarteten internationalen Anrufen.

Verwenden Sie SIP über TLS und SRTP, sofern unterstützt. Beachten Sie jedoch, dass die Verschlüsselung die Zugriffskontrolle nicht ersetzt. Sorgen Sie dafür, dass PBX, SBC, Telefon-Firmware und Sprach-Gateways gepatcht sind, überprüfen Sie Anrufdetailaufzeichnungen auf Betrug und trennen Sie Sprachverwaltungsschnittstellen von öffentlichen Signalpfaden.