Register Authorization

Um recurso exclusivo do SBC Khomp para segurança da sua rede

 

A Khomp, em sua família de Media Gateways KMG MS, disponibiliza o recurso Register Authorization no SBC em todas as chamadas SIP simultâneamente. Assim, o recurso de Autorização de Registros atua em cenários de chamadas SIP entrantes de redes interna e externa, permitindo que as solicitações de registro SIP sejam autorizadas ou negadas.

As requisições de registro podem advir de agentes em home office, escritórios virtuais ou de PA’s remotas, por exemplo. Elas serão recebidas e tratadas pelo SBC, na extremidade da rede interna, permitindo que apenas as solicitações autorizadas sejam repassadas à rede interna, e as demais recusadas.

As requisições recusadas serão rejeitadas com uma mensagem de erro, ou podem ser simplesmente ignoradas, como é o caso de mensagens OPTIONS. Estas mensagens testam se há algum serviço SIP respondendo em determinado IP e, nesse caso, mesmo uma resposta com erro pode ser prejudicial à segurança da rede, sendo melhor ignorá-la.

A autorização ou não das solicitações são realizadas com base na autenticação dos usuários no PBX, mantendo o estado do registro e das transações dos usuários registrados.

O recurso permite ainda que sejam criadas políticas para permitir a aceitação ou rejeição de outros pacotes SIP, por exemplo, é possível configurar para aceitar requisições apenas de usuários registrados ou configurar para rejeitar todos os pacotes de determinado user agent.

 

Entre outras vantagens exclusivas do Register Authorization da Khomp é possível destacar:

● Pode assumir o controle da autenticação por meio de consulta a uma base de dados externa LDAP antes de chegar ao PBX, ou deixar a autenticação a cargo do PBX. Com servidor LDAP de base de dados, a operação pode contar com redundância de servidor, garantindo continuidade a prova de falhas de comunicação com o primeiro.

● Pode atuar como Back-to-Back User Agent (B2BUA), ou seja, intermedia toda a sinalização SIP desde o estabelecimento da chamada até a sua finalização. Ele é uma combinação de 2 entidades, o User Agent Client (UAC) e o User Agent Server (UAS) e, ao contrário de um servidor proxy, o B2BUA mantém o estado das transações e dos registros e participa de todas as requisições de uma chamada.

● Permite a criação de perfis de mídia para escolha de codecs e transcodificação. Com essa feature, pode-se criar configurações específicas para o telefone IP ou softphone que deseja realizar uma ligação através do KMG, usando um codec específico, e outro para ser usado dentro da rede, entre o KMG e o servidor PBX, por exemplo;

● Permite a conversão entre diferentes tipos de transporte (UDP/TCP/TLS). A comunicação do SBC com o User Agent Client (UAC) e com o User Agent Server (UAS) pode ser realizada em cada um dos lados com tipo de transporte diferente, e eles serão convertidos entre eles para poderem ser usados.

● Suporta certificados TLS diferentes por interface de rede. Como um protocolo de segurança, o TLS é responsável pela privacidade e integridade de dados entre duas aplicações que se comunicam pela internet. Com o uso de certificados de segurança os dados trafegados entre o navegador de internet do usuário e o servidor são criptografados e evitam que eles sejam capturados no meio desse caminho. Desta forma, mesmo que essas aplicações utilizem certificados TLS diferentes, a autorização de registros permite que todas as requisições sejam atendidas com segurança.

● Oferece aos usuários móveis acesso seguro à rede de voz sem necessidade de usar uma rede VPN (Virtual Private Network).

● Suporta travessia de NAT (Network Address Translation). O NAT faz a tradução dos endereços IP entre redes pública e privada, permitindo que requisições recebidas por meio de um IP público possam ser respondidas corretamente à origem, mesmo que essa esteja numa rede privada.

Oculta topologia da rede interna (topology hiding). Assim, caso ocorra algum tipo de ataque ao cliente, a rede interna estará protegida e “invisível” para o atacante.

● Pode executar registros em múltiplos PBX (redundância). Neste caso, deve haver mais de um servidor configurado para receber as requisições externas, e caso algum deles fique indisponível, o outro continua recebendo e registrando as requisições.