Register Authorization

Un recurso exclusivo de SBC Khomp para la seguridad de su red

 

Khomp, con su familia de Media Gateways KMG MS, coloca a la disposición el recurso Register Authorization en SBC en todas las llamadas SIP simultáneas. De esta forma, el recurso Register Authorization actúa en escenarios de llamadas SIP entrantes de redes internas y externas, lo que permite que las solicitudes de registro SIP se autoricen o nieguen.

Las solicitudes de registro pueden provenir de agentes en home office, oficinas virtuales o PA remotas. El SBC las recibe y trata en el extremo de la red interna y, de esta forma, solo las solicitudes autorizadas se envían a la red interna; el resto se niega.

Las solicitudes negadas se rechazan con mensaje de error o pueden ignorarse, como es el caso de los mensajes OPTIONS. Estos mensajes prueban si hay algún servicio SIP que responda en determinado IP y, en este caso, incluso una respuesta con error puede ser perjudicial para la seguridad de la red y es mejor ignorarla.

La autorización o no de las solicitudes se realiza con base en la autenticación de los usuarios en el PBX, lo que mantiene el estado del registro y de las transacciones de los usuarios registrados.

El recurso también permite que se creen políticas para permitir la aceptación o rechazo de otros paquetes SIP. Por ejemplo, se puede configurar para aceptar solicitudes solo de usuarios registrados o para rechazar todos los paquetes de determinado user agent.

 

Entre otras ventajas exclusivas de Register Authorization de Khomp se pueden destacar:

● La capacidad de asumir el control de la autenticación por medio de una consulta a una base de datos externa LDAP antes de llegar al PBX, o dejar la autenticación a cargo del PBX. Con un servidor LDAP de base de datos, la operación puede contar con redundancia de servidor, lo que garantiza la continuidad a prueba de fallas de comunicación con el primero.

● Puede actuar como Back-to-Back User Agent (B2BUA), es decir, realiza la intermediación de toda la señalización SIP desde el establecimiento de la llamada hasta su finalización. Se trata de una combinación de 2 entidades, el User Agent Client (UAC) y el User Agent Server (UAS) y, contrario a un servidor proxy, el B2BUA mantiene el estado de las transacciones y de los registros y participa en todas las solicitudes de una llamada.

● Permite la creación de perfiles de medios para la elección de códecs y transcodificación. Con este recurso, se pueden crear configuraciones específicas para el teléfono IP o softphone que desea realizar una llamada a través del KMG mediante un códec específico; además, puede usarse otro dentro de la red, entre el KMG y el servidor PBX.

● Permite la conversión entre diferentes tipos de transporte (UDP/TCP/TLS). La comunicación del SBC con el User Agent Client (UAC) y con el User Agent Server (UAS) puede realizarse en cada uno de los lados con tipo de transporte diferente, y se convierten entre sí para el uso.

● Admite certificados TLS diferentes por interfaz de red. Como protocolo de seguridad, el TLS es responsable de la privacidad e integridad de datos entre dos aplicaciones que se comunican por Internet. Con el uso de certificados de seguridad, los datos transportados entre el navegador de Internet del usuario y el servidor se encriptan y se evita que se capturen en mitad del camino. De esta forma, aunque estas aplicaciones utilicen certificados TLS diferentes, la autorización de registros permite que todas las solicitudes se atiendan con seguridad.

● Ofrece a los usuarios móviles acceso seguro a la red de voz sin necesidad de usar una red VPN (Virtual Private Network).

● Admite NAT transversal (Network Address Translation). La NAT traduce las direcciones IP entre redes públicas y privadas, lo que permite que las solicitudes recibidas por medio de un IP público pueden responderse correctamente en el origen, aunque esté en una red privada.

Oculta topología de la red interna (topology hiding). De esta forma, en caso de que haya algún tipo de ataque al cliente, la red interna estará protegida e “invisible” para el atacante.

● Puede ejecutar registros en varios PBX (redundancia). En este caso, debe haber más de un servidor configurado para recibir las solicitudes externas y, en caso de que alguno de ellos pierda la disponibilidad, el otro sigue recibiendo y registrando las solicitudes.

De acuerdo con nuestra política de privacidad, utilizamos cookies para garantizar que siempre tenga la mejor experiencia al visitar nuestro sitio web. Sepa mas