SIP ポート ガイド: ポート 5060 および 5061 での VoIP シグナリング

SIP は通信セッションを調整します。 SIP ユーザー エージェント、電話、PBX、トランク、またはソフトフォンは、REGISTER、INVITE、ACK、BYE、OPTIONS、CANCEL などのメッセージを送信して、通話を確立および管理します。これらのメッセージには、発信者、エンドポイントに到達できる場所、利用可能なコーデック、およびメディアの交換方法が記述されています。

SIP はシグナリング層にすぎません。通話がネゴシエートされると、通常、オーディオまたはビデオは RTP または別の UDP ポート上のセキュア RTP 経由で流れます。この分離により、通話に片方向音声がある場合、音声がない場合、または数秒後にメディアが切断される場合でも、SIP デバイスがオンラインに見えることがあります。

ポート 5060 は、従来の SIP シグナリング ポートです。一般的に UDP で使用されますが、プラットフォームで信頼性の高いトランスポートやより大きなメッセージが必要な場合、SIP は 5060 の TCP 上で実行することもできます。多くの電話、PBX、および SIP トランクは依然としてデフォルトで UDP 5060 を使用しています。

ポート 5061 は、SIP over TLS に通常使用されます。 TLS は転送中のシグナリング メタデータを保護し、クライアントが通信しているサーバーを検証するのに役立ちます。メディア ストリームは自動的に暗号化されません。プライバシーが必要な場合、音声メディアには SRTP または別のメディア層保護が必要です。

SIP は、エンドポイントに通話の開始、変更、終了の方法を指示します。 RTP は、エンドポイントがコーデックとアドレスに同意した後、実際のオーディオまたはビデオ パケットを伝送します。 RTP ポートの範囲は PBX、プロバイダー、電話システム、SBC、またはクラウド音声プラットフォームによって異なるため、単一のユニバーサル RTP ポートはありません。

一般的な例には、10000 ～ 20000、16384 ～ 32767 などの UDP 範囲、またはプロバイダー固有の範囲が含まれます。音声プラットフォームに必要な範囲のみを開き、トラフィックが電話機から PBX へ、PBX からプロバイダーへ、あるいは両方向に流れる必要があるかを文書化します。

信頼できる電話機、PBX、SIP トランク プロバイダー、セッション ボーダー コントローラー、または音声ゲートウェイがシグナリングを交換する必要がある場合にのみ、SIP ポートを開きます。一般的な導入では、電話機が内部 PBX に接続したり、PBX が SIP トランクに接続したり、SBC がパブリック VoIP トラフィックを仲介したりできます。

通話がリモートで機能する必要があるからといって、SIP を広範囲に公開しないでください。パブリック SIP エンドポイントは、スキャナー、登録試行、通話料詐欺、内線番号列挙、およびパスワード攻撃を引き付けます。 VPN、プライベート ピアリング、プロバイダー ホワイトリスト、SBC、または厳密に範囲が限定されたソース ネットワークを優先します。

まず、正確な音声パスを特定することから始めます。どのデバイスがシグナリングを所有しているか、どちら側が登録を開始しているか、プラットフォームが使用している RTP 範囲、TLS または SRTP が必要かどうかを確認します。次に、予想される送信元と宛先の間でのみ SIP 5060 または 5061 を許可します。

NAT 環境の場合は、正しいパブリック アドレス、ローカル ネットワーク、外部シグナリング アドレス、および外部メディア アドレスを使用して PBX または SBC を構成します。 SIP ALG はパケットを誤って書き換え、断続的な登録や音声障害が発生する可能性があるため、SIP ALG に盲目的に依存しないでください。

基本的なポート チェックでは、5061 上の SIP over TLS などの TCP リスナーが到達可能かどうかを確認できます。 UDP 5060 の場合、UDP は TCP 接続のように動作しないため、可能な限り SIP 対応のチェックを使用します。 sipsak、sipvicious などのツール (管理されたテスト、プロバイダー診断、PBX ログ、パケット キャプチャ) を使用すると、SIP メッセージが適切なエンドポイントに到達しているかどうかを確認できます。

シグナリングが機能したら、実際のテスト通話を発信し、メディアを確認します。双方向音声、コール セットアップ時間、コーデック ネゴシエーション、RTP 送信元アドレスと宛先アドレス、NAT 変換、ファイアウォール カウンタ、最初の数秒後にパケットが継続するかどうかを確認します。

電話機を登録できない場合は、DNS、送信ファイアウォール ルール、資格情報、レルム、トランスポート モード、TLS 証明書、プロバイダーのホワイトリスト、および PBX またはプロキシが予想される SIP ポートでリッスンしているかどうかを確認してください。登録の失敗は、ポートの問題だけでなく、認証やポリシーの問題であることがよくあります。

通話は接続できるが音声が聞こえない場合は、RTP 範囲、SDP の NAT アドレス、SIP ALG、対称 RTP 設定、プロバイダーのメディア IP 範囲、およびファイアウォールの方向を検査します。オーディオが一方向のみで動作する場合、通常、一方の側は RTP を送信できますが、もう一方の側は RTP を受信できません。

SIP の公開を既知のプロバイダー、支社、VPN クライアント、SBC、またはプライベート ネットワークに制限します。未使用の内線番号を無効にし、サポートされている場合は強力なパスワードまたは証明書ベースの認証を要求し、登録試行のレート制限を行い、登録の失敗または予期しない国際ダイヤルについて警告します。

サポートされている場合は SIP over TLS および SRTP を使用しますが、暗号化はアクセス制御に代わるものではないことに注意してください。 PBX、SBC、電話ファームウェア、および音声ゲートウェイにパッチを適用した状態を維持し、通話の詳細記録を確認して不正行為がないか確認し、音声管理インターフェイスを公衆信号パスから分離します。