SIP 포트 가이드: 포트 5060 및 5061의 VoIP 신호

SIP는 통신 세션을 조정합니다. SIP 사용자 에이전트, 전화, PBX, 트렁크 또는 소프트폰은 REGISTER, INVITE, ACK, BYE, OPTIONS 및 CANCEL과 같은 메시지를 보내 통화를 설정하고 관리합니다. 이러한 메시지는 전화를 건 사람, 엔드포인트에 도달할 수 있는 위치, 사용 가능한 코덱, 미디어 교환 방법을 설명합니다.

SIP는 신호 계층일 뿐입니다. 통화가 협상되면 일반적으로 오디오 또는 비디오는 별도의 UDP 포트에서 RTP 또는 보안 RTP를 통해 흐릅니다. 이러한 분리로 인해 통화에 단방향 오디오가 있거나 오디오가 없거나 몇 초 후에 끊어지는 미디어가 있는 동안 SIP 장치가 온라인으로 나타날 수 있습니다.

포트 5060은 기존 SIP 신호 포트입니다. 일반적으로 UDP와 함께 사용되지만 플랫폼에 안정적인 전송이나 더 큰 메시지가 필요한 경우 SIP는 5060의 TCP를 통해 실행될 수도 있습니다. 많은 전화, PBX 및 SIP 트렁크는 여전히 기본적으로 UDP 5060을 사용합니다.

포트 5061은 일반적으로 TLS를 통한 SIP에 사용됩니다. TLS는 전송 중인 신호 메타데이터를 보호하고 클라이언트가 통신 중인 서버를 확인하도록 돕습니다. 미디어 스트림을 자동으로 암호화하지 않습니다. 개인 정보 보호가 필요한 경우 음성 미디어에는 SRTP 또는 다른 미디어 계층 보호가 필요합니다.

SIP는 엔드포인트에 통화 시작, 변경 및 종료 방법을 알려줍니다. RTP는 엔드포인트가 코덱과 주소에 동의한 후 실제 오디오 또는 비디오 패킷을 전달합니다. RTP 포트 범위는 PBX, 공급자, 전화 시스템, SBC 또는 클라우드 음성 플랫폼에 따라 다르므로 단일 범용 RTP 포트는 없습니다.

일반적인 예로는 10000-20000, 16384-32767과 같은 UDP 범위 또는 공급자별 범위가 있습니다. 음성 플랫폼에 필요한 범위만 열고 트래픽이 전화에서 PBX로, PBX에서 공급자로, 또는 양방향으로 흘러야 하는지 여부를 문서화합니다.

신뢰할 수 있는 전화, PBX, SIP 트렁크 공급자, 세션 경계 컨트롤러 또는 음성 게이트웨이가 신호를 교환해야 하는 경우에만 SIP 포트를 엽니다. 일반적인 배포에서는 전화기가 내부 PBX에 연결하고, PBX를 통해 SIP 트렁크에 연결하거나, SBC를 통해 공용 VoIP 트래픽을 중재할 수 있습니다.

통화가 원격으로 작동해야 한다는 이유만으로 SIP를 광범위하게 노출하지 마십시오. 공개 SIP 엔드포인트는 스캐너, 등록 시도, 통화 사기, 내선 번호 열거 및 비밀번호 공격을 유인합니다. VPN, 프라이빗 피어링, 공급자 허용 목록, SBC 또는 범위가 엄격한 소스 네트워크를 선호하세요.

정확한 음성 경로를 식별하는 것부터 시작하십시오. 어떤 장치가 신호를 소유하는지, 어느 쪽이 등록을 시작하는지, 플랫폼이 사용하는 RTP 범위, TLS 또는 SRTP가 필요한지 여부를 확인하세요. 그런 다음 예상 소스와 대상 사이에만 SIP 5060 또는 5061을 허용하십시오.

NAT 환경의 경우 올바른 공용 주소, 로컬 네트워크, 외부 신호 주소 및 외부 미디어 주소로 PBX 또는 SBC를 구성합니다. SIP ALG는 패킷을 잘못 다시 작성하고 간헐적인 등록 또는 오디오 오류를 일으킬 수 있으므로 맹목적으로 의존하지 마십시오.

기본 포트 검사를 통해 5061의 SIP over TLS와 같은 TCP 수신기에 연결할 수 있는지 확인할 수 있습니다. UDP 5060의 경우 UDP는 TCP 연결처럼 작동하지 않으므로 가능한 경우 SIP 인식 검사를 사용하십시오. sipsak, sipvicious in Controlled Test, 공급자 진단, PBX 로그 및 패킷 캡처와 같은 도구를 사용하면 SIP 메시지가 올바른 엔드포인트에 도달하는지 여부를 확인할 수 있습니다.

신호가 작동한 후 실제 테스트 호출을 하고 미디어를 확인합니다. 양방향 오디오, 통화 설정 시간, 코덱 협상, RTP 소스 및 대상 주소, NAT 변환, 방화벽 카운터, 처음 몇 초 후에 패킷이 계속되는지 여부를 확인하세요.

전화기를 등록할 수 없는 경우 DNS, 아웃바운드 방화벽 규칙, 자격 증명, 영역, 전송 모드, TLS 인증서, 공급자 허용 목록을 확인하고 PBX 또는 프록시가 예상 SIP 포트에서 수신 대기하는지 여부를 확인하세요. 등록 실패는 포트 문제뿐만 아니라 인증이나 정책 문제인 경우가 많습니다.

통화가 연결되었지만 오디오가 없는 경우 RTP 범위, SDP의 NAT 주소, SIP ALG, 대칭 RTP 설정, 공급자 미디어 IP 범위 및 방화벽 방향을 검사합니다. 오디오가 한 방향으로만 작동하는 경우 일반적으로 한 쪽에서는 RTP를 보낼 수 있지만 다른 쪽에서는 RTP를 받을 수 없습니다.

SIP 노출을 알려진 공급자, 지사, VPN 클라이언트, SBC 또는 개인 네트워크로 제한하십시오. 사용하지 않는 확장 기능을 비활성화하고, 지원되는 경우 강력한 비밀번호 또는 인증서 기반 인증을 요구하고, 등록 시도 속도를 제한하고, 등록 실패 또는 예상치 못한 국제 전화 걸기에 대한 경고를 제공합니다.

지원되는 경우 TLS 및 SRTP를 통한 SIP를 사용하세요. 하지만 암호화가 액세스 제어를 대체하지는 않는다는 점을 기억하세요. PBX, SBC, 전화 펌웨어 및 음성 게이트웨이에 패치를 적용하고, 사기에 대한 통화 세부 기록을 검토하고, 공용 신호 경로에서 음성 관리 인터페이스를 분리하세요.