SIP-poortgids: VoIP-signalering op poorten 5060 en 5061

SIP coördineert communicatiesessies. Een SIP-gebruikersagent, telefoon, PBX, trunk of softphone verzendt berichten zoals REGISTER, INVITE, ACK, BYE, OPTIONS en CANCEL om gesprekken tot stand te brengen en te beheren. Die berichten beschrijven wie er belt, waar het eindpunt bereikbaar is, welke codecs beschikbaar zijn en hoe media uitgewisseld moeten worden.

SIP is alleen de signaallaag. Zodra een gesprek tot stand is gebracht, stroomt audio of video meestal via RTP of beveiligde RTP op afzonderlijke UDP-poorten. Die scheiding is de reden waarom een ​​SIP-apparaat online kan verschijnen terwijl het gesprek eenrichtingsaudio heeft, geen audio of media die na een paar seconden wegvallen.

Poort 5060 is de conventionele SIP-signaleringspoort. Het wordt vaak gebruikt met UDP, maar SIP kan ook via TCP op 5060 lopen als het platform betrouwbaar transport of grotere berichten vereist. Veel telefoons, PBX's en SIP-trunks gebruiken standaard nog steeds UDP 5060.

Poort 5061 wordt vaak gebruikt voor SIP via TLS. TLS beschermt signaleringsmetagegevens tijdens de overdracht en helpt klanten de server waarmee ze praten te verifiëren. Het codeert de mediastream niet automatisch; Spraakmedia hebben SRTP of een andere medialaagbescherming nodig wanneer privacy vereist is.

SIP vertelt eindpunten hoe ze een gesprek moeten starten, wijzigen en beëindigen. RTP vervoert de daadwerkelijke audio- of videopakketten nadat de eindpunten overeenstemming hebben bereikt over codecs en adressen. Het RTP-poortbereik varieert per PBX, provider, telefoonsysteem, SBC of cloud-spraakplatform, dus er is niet één universele RTP-poort.

Veelvoorkomende voorbeelden zijn UDP-bereiken zoals 10000-20000, 16384-32767 of providerspecifieke bereiken. Open alleen de bereiken die vereist zijn voor uw spraakplatform en documenteer of verkeer van telefoons naar PBX, PBX naar provider of beide richtingen moet stromen.

Open SIP-poorten alleen waar een vertrouwde telefoon, PBX, SIP-trunkprovider, sessiegrenscontroller of spraakgateway signalen moet uitwisselen. Bij typische implementaties kunnen telefoons een interne PBX bereiken, een PBX om een ​​SIP-trunk te bereiken of een SBC om openbaar VoIP-verkeer te bemiddelen.

Stel SIP niet breed beschikbaar alleen omdat oproepen op afstand moeten werken. Openbare SIP-eindpunten trekken scanners, registratiepogingen, tolfraude, opsomming van extensies en wachtwoordaanvallen aan. Geef de voorkeur aan VPN, private peering, toelatingslijsten van providers, SBC's of strak gedefinieerde bronnetwerken.

Begin met het identificeren van het exacte stempad. Bevestig welk apparaat de signalering bezit, welke kant de registratie initieert, welk RTP-bereik het platform gebruikt en of TLS of SRTP vereist is. Sta vervolgens SIP 5060 of 5061 alleen toe tussen de verwachte bronnen en bestemmingen.

Voor NAT-omgevingen configureert u de PBX of SBC met het juiste openbare adres, lokale netwerken, extern signaleringsadres en extern media-adres. Vertrouw niet blindelings op SIP ALG, omdat dit pakketten verkeerd kan herschrijven en periodieke registratie- of audiofouten kan veroorzaken.

Een eenvoudige poortcontrole kan bevestigen of een TCP-listener zoals SIP via TLS op 5061 bereikbaar is. Gebruik voor UDP 5060 waar mogelijk SIP-bewuste controles, omdat UDP zich niet gedraagt ​​als een TCP-verbinding. Tools zoals sipsak, sipvicious in gecontroleerde tests, providerdiagnostiek, PBX-logboeken en pakketregistratie kunnen aantonen of SIP-berichten het juiste eindpunt bereiken.

Nadat de signalering werkt, plaatst u een echte testoproep en verifieert u de media. Controleer tweerichtingsaudio, oproepinsteltijd, codec-onderhandeling, RTP-bron- en bestemmingsadressen, NAT-vertalingen, firewalltellers en of pakketten na de eerste paar seconden doorgaan.

Als een telefoon zich niet kan registreren, controleer dan DNS, uitgaande firewallregels, inloggegevens, realm, transportmodus, TLS-certificaten, toelatingslijsten van providers en of de PBX of proxy luistert op de verwachte SIP-poort. Registratiefouten zijn vaak authenticatie- of beleidsproblemen, en niet alleen poortproblemen.

Als gesprekken verbinding maken maar geen audio hebben, inspecteer dan RTP-bereiken, NAT-adressen in SDP, SIP ALG, symmetrische RTP-instellingen, media-IP-bereiken van de provider en de richting van de firewall. Als audio maar op één manier werkt, kan de ene kant meestal RTP verzenden, terwijl de andere kant deze niet kan ontvangen.

Beperk de SIP-blootstelling aan bekende providers, filialen, VPN-clients, SBC's of particuliere netwerken. Schakel ongebruikte extensies uit, vereis sterke wachtwoorden of op certificaten gebaseerde authenticatie waar ondersteund, beperk registratiepogingen en waarschuwing bij mislukte registraties of onverwacht internationaal bellen.

Gebruik SIP via TLS en SRTP indien ondersteund, maar onthoud dat encryptie de toegangscontrole niet vervangt. Houd PBX, SBC, telefoonfirmware en spraakgateways gepatcht, controleer gespreksgegevens op fraude en scheid interfaces voor spraakbeheer van openbare signaalpaden.