Guia de portas SIP: sinalização VoIP nas portas 5060 e 5061

O SIP coordena as sessões de comunicação. Um agente de usuário SIP, telefone, PBX, tronco ou softphone envia mensagens como REGISTER, INVITE, ACK, BYE, OPTIONS e CANCEL para estabelecer e gerenciar chamadas. Essas mensagens descrevem quem está ligando, onde o terminal pode ser alcançado, quais codecs estão disponíveis e como a mídia deve ser trocada.

SIP é apenas a camada de sinalização. Depois que uma chamada é negociada, o áudio ou o vídeo geralmente flui por RTP ou RTP seguro em portas UDP separadas. Essa separação é a razão pela qual um dispositivo SIP pode aparecer on-line enquanto a chamada tem áudio unidirecional, nenhum áudio ou mídia que cai após alguns segundos.

A porta 5060 é a porta de sinalização SIP convencional. É comumente usado com UDP, mas o SIP também pode ser executado em TCP no 5060 quando a plataforma requer transporte confiável ou mensagens maiores. Muitos telefones, PBXs e troncos SIP ainda usam UDP 5060 por padrão.

A porta 5061 é comumente usada para SIP sobre TLS. O TLS protege os metadados de sinalização em trânsito e ajuda os clientes a verificar o servidor com o qual estão se comunicando. Ele não criptografa automaticamente o fluxo de mídia; a mídia de voz precisa de SRTP ou outra proteção de camada de mídia quando a privacidade é necessária.

O SIP informa aos terminais como iniciar, alterar e encerrar uma chamada. O RTP transporta os pacotes reais de áudio ou vídeo depois que os terminais concordam com os codecs e endereços. Os intervalos de portas RTP variam de acordo com PBX, provedor, sistema telefônico, SBC ou plataforma de voz em nuvem, portanto, não existe uma porta RTP universal única.

Exemplos comuns incluem intervalos UDP como 10000-20000, 16384-32767 ou intervalos específicos do provedor. Abra apenas os intervalos exigidos pela sua plataforma de voz e documente se o tráfego deve fluir dos telefones para o PBX, do PBX para o provedor ou em ambas as direções.

Abra portas SIP somente onde um telefone confiável, PBX, provedor de tronco SIP, controlador de borda de sessão ou gateway de voz precisar trocar sinalização. As implantações típicas permitem que os telefones acessem um PBX interno, um PBX para acessar um tronco SIP ou um SBC para mediar o tráfego VoIP público.

Não exponha o SIP amplamente apenas porque as chamadas precisam funcionar remotamente. Endpoints SIP públicos atraem scanners, tentativas de registro, fraudes tarifárias, enumeração de extensões e ataques de senha. Prefira VPN, peering privado, listas de permissões de provedores, SBCs ou redes de origem com escopo restrito.

Comece identificando o caminho exato da voz. Confirme qual dispositivo possui sinalização, qual lado inicia o registro, qual faixa de RTP a plataforma usa e se TLS ou SRTP é necessário. Em seguida, permita o SIP 5060 ou 5061 apenas entre as origens e destinos esperados.

Para ambientes NAT, configure o PBX ou SBC com o endereço público correto, redes locais, endereço de sinalização externa e endereço de mídia externa. Evite confiar cegamente no SIP ALG porque ele pode reescrever pacotes incorretamente e criar registros intermitentes ou falhas de áudio.

Uma verificação básica de porta pode confirmar se um ouvinte TCP, como SIP sobre TLS em 5061, está acessível. Para UDP 5060, use verificações com reconhecimento de SIP sempre que possível, pois o UDP não se comporta como uma conexão TCP. Ferramentas como sipsak, sipvicious em testes controlados, diagnósticos de provedores, registros de PBX e capturas de pacotes podem mostrar se as mensagens SIP estão alcançando o endpoint correto.

Após a sinalização funcionar, faça uma chamada de teste real e verifique a mídia. Verifique o áudio bidirecional, o tempo de configuração da chamada, a negociação do codec, os endereços de origem e destino RTP, traduções NAT, contadores de firewall e se os pacotes continuam após os primeiros segundos.

Se um telefone não puder ser registrado, verifique DNS, regras de firewall de saída, credenciais, domínio, modo de transporte, certificados TLS, listas de permissões de provedores e se o PBX ou proxy está escutando na porta SIP esperada. As falhas de registro geralmente são problemas de autenticação ou de política, e não apenas problemas de porta.

Se as chamadas forem conectadas, mas não tiverem áudio, inspecione os intervalos de RTP, os endereços NAT em SDP, SIP ALG, as configurações de RTP simétricas, os intervalos de IP de mídia do provedor e a direção do firewall. Se o áudio funcionar apenas em uma direção, um lado geralmente poderá enviar RTP enquanto o outro lado não poderá recebê-lo.

Limite a exposição SIP a provedores conhecidos, filiais, clientes VPN, SBCs ou redes privadas. Desative extensões não utilizadas, exija senhas fortes ou autenticação baseada em certificado quando houver suporte, tentativas de registro com limite de taxa e alerta sobre falhas de registro ou discagem internacional inesperada.

Use SIP sobre TLS e SRTP quando compatível, mas lembre-se de que a criptografia não substitui o controle de acesso. Mantenha o PBX, o SBC, o firmware do telefone e os gateways de voz corrigidos, revise os registros detalhados das chamadas em busca de fraude e separe as interfaces de gerenciamento de voz dos caminhos de sinalização pública.