Guía de puertos SIP: señalización VoIP en los puertos 5060 y 5061

SIP coordina las sesiones de comunicación. Un agente de usuario, teléfono, PBX, troncal o softphone SIP envía mensajes como REGISTRAR, INVITAR, ACK, BYE, OPCIONES y CANCELAR para establecer y administrar llamadas. Esos mensajes describen quién llama, dónde se puede llegar al punto final, qué códecs están disponibles y cómo se deben intercambiar los medios.

SIP es sólo la capa de señalización. Una vez que se negocia una llamada, el audio o el video generalmente fluyen a través de RTP o RTP seguro en puertos UDP separados. Esa separación es la razón por la que un dispositivo SIP puede aparecer en línea mientras la llamada tiene audio unidireccional, sin audio o los medios se interrumpen después de unos segundos.

El puerto 5060 es el puerto de señalización SIP convencional. Se usa comúnmente con UDP, pero SIP también puede ejecutarse sobre TCP en 5060 cuando la plataforma requiere un transporte confiable o mensajes más grandes. Muchos teléfonos, PBX y troncales SIP todavía utilizan UDP 5060 de forma predeterminada.

El puerto 5061 se usa comúnmente para SIP sobre TLS. TLS protege los metadatos de señalización en tránsito y ayuda a los clientes a verificar el servidor con el que están hablando. No cifra automáticamente el flujo de medios; Los medios de voz necesitan SRTP u otra protección de capa de medios cuando se requiere privacidad.

SIP indica a los terminales cómo iniciar, cambiar y finalizar una llamada. RTP transporta los paquetes de audio o video reales después de que los puntos finales acuerdan códecs y direcciones. Los rangos de puertos RTP varían según el PBX, el proveedor, el sistema telefónico, el SBC o la plataforma de voz en la nube, por lo que no existe un único puerto RTP universal.

Los ejemplos comunes incluyen rangos UDP como 10000-20000, 16384-32767 o rangos específicos del proveedor. Abra solo los rangos requeridos por su plataforma de voz y documente si el tráfico debe fluir de los teléfonos al PBX, del PBX al proveedor o en ambas direcciones.

Abra los puertos SIP solo cuando un teléfono confiable, PBX, proveedor de troncal SIP, controlador de borde de sesión o puerta de enlace de voz necesite intercambiar señalización. Las implementaciones típicas permiten que los teléfonos lleguen a una PBX interna, una PBX a una troncal SIP o un SBC para mediar en el tráfico VoIP público.

No exponga SIP ampliamente solo porque las llamadas deben realizarse de forma remota. Los puntos finales SIP públicos atraen escáneres, intentos de registro, fraude telefónico, enumeración de extensiones y ataques de contraseñas. Prefiera VPN, emparejamiento privado, listas permitidas de proveedores, SBC o redes de origen con alcance limitado.

Comience por identificar la ruta de voz exacta. Confirme qué dispositivo posee la señalización, qué lado inicia el registro, qué rango de RTP utiliza la plataforma y si se requiere TLS o SRTP. Luego permita SIP 5060 o 5061 solo entre los orígenes y destinos esperados.

Para entornos NAT, configure la PBX o SBC con la dirección pública, las redes locales, la dirección de señalización externa y la dirección de medios externos correctas. Evite confiar ciegamente en SIP ALG porque puede reescribir paquetes incorrectamente y crear registros intermitentes o fallas de audio.

Una verificación de puerto básica puede confirmar si se puede acceder a un escucha TCP como SIP sobre TLS en 5061. Para UDP 5060, utilice comprobaciones compatibles con SIP siempre que sea posible porque UDP no se comporta como una conexión TCP. Herramientas como sipsak, sipvicious en pruebas controladas, diagnósticos de proveedores, registros de PBX y capturas de paquetes pueden mostrar si los mensajes SIP llegan al punto final correcto.

Después de que la señalización funcione, realice una llamada de prueba real y verifique los medios. Verifique el audio bidireccional, el tiempo de configuración de la llamada, la negociación del códec, las direcciones de origen y destino RTP, las traducciones NAT, los contadores del firewall y si los paquetes continúan después de los primeros segundos.

Si un teléfono no puede registrarse, verifique el DNS, las reglas del firewall saliente, las credenciales, el dominio, el modo de transporte, los certificados TLS, las listas permitidas de proveedores y si el PBX o el proxy están escuchando en el puerto SIP esperado. Los errores de registro suelen ser problemas de autenticación o de políticas, no sólo problemas de puerto.

Si las llamadas se conectan pero no tienen audio, inspeccione los rangos de RTP, las direcciones NAT en SDP, SIP ALG, la configuración de RTP simétrica, los rangos de IP de medios del proveedor y la dirección del firewall. Si el audio funciona en un solo sentido, un lado generalmente puede enviar RTP mientras que el otro no puede recibirlo.

Limite la exposición SIP a proveedores conocidos, sucursales, clientes VPN, SBC o redes privadas. Deshabilite las extensiones no utilizadas, requiera contraseñas seguras o autenticación basada en certificados cuando sea compatible, limite la velocidad de los intentos de registro y alerte sobre registros fallidos o marcaciones internacionales inesperadas.

Utilice SIP sobre TLS y SRTP cuando sea compatible, pero recuerde que el cifrado no reemplaza el control de acceso. Mantenga parcheados PBX, SBC, firmware del teléfono y puertas de enlace de voz, revise los registros de detalles de las llamadas en busca de fraude y separe las interfaces de administración de voz de las rutas de señalización públicas.