Error de Comunicación SIP a través de Checkpoint NG R55

Publicado: 06/09/2010 en Checkpoint, Errores

Este caso es muy específico y hace referencia a un producto de Checkpoint que está a punto de desaparecer definitivamente. De hecho, actualmente ya no se encuentra soportado por el fabricante, pero me he decidido a escribir este post dado que siempre hay lugares en los que aun mantienen esta versión de firewall.

Para la comunicación VoIP, eran necesarias una serie de reglas en el cortafuegos que permitían el acceso a través del protocolo SIP al servidor destino. Para realizar las pruebas, se habilitó una regla entre origen y destino sin especificar el puerto (any) de la comunicación y asegurar que todo estaba instalado correctamente. Estos paquetes atravesaban sin problemas y la comunicación se establecía correctamente.

Una vez comprobado el correcto funcionamiento de la comunicación se restringió la regla especificacando el puerto SIP predefinido en Checkpoint y se volvió a probar. En este caso la comunicación era rechazada por el cortafuegos. Los mensajes que aparecían en el tracker, indicaban que la macheaba la regla 0 (Implied Rules). Esta regla indica que la comunicación se ha rechazado debido a una de las comprobaciones configuradas en smartdefense. El texto del mensaje era:

” Atack Info: Malformed SIP datagram, Unknown SIP message type dropped by rulebase”

Una primera búsqueda de este error nos indica que el rechazo se produce porque se encuentra activado en Smartdefense el checkeo de cabeceras SIP para VoIP, y checkpoint no reconoce las cabeceras SIP especificas del fabricante de VoIP. Estas cabeceras no son estandard, y la de este fabricante no se encuentra registrada para la versión R55 de Checkpoint por lo que no permite la conexión al considerarla un posible riesgo.

En smartdefense se encuentra la pestaña VoIP, en la que podemos habilitar o deshabilitar el checkeo de cabeceras SIP y probamos a deshabilitar el chequeo e instalar políticas pero el error vuelve a repetirse. Tras un poco de investigación exahustiva hayo la causa del problema. En R55, existen una serie de protocolos predefindos que se pueden configurar en las opciones avanzadas de los servicios. Entre estos protocolos, se encuentra el SIP_UDP que es el que usa el servicio predefinido sip. Al identificar un servicio como usuario de ese protocolo y usar dicho servicio en una regla ( no está incluído en el any) se activa por defecto el chequeo de cabeceras SIP, incluso si este chequeo se encuentra desactivado en smartdefense. Este chequeo además se activa para todas las conexiones SIP aunque correspondan a otra regla.

La solución es la siguiente: se debe crear un nuevo servicio para SIP de tipo UDP para el puerto 5060, cuyo tipo de protocolo sea none. Este servicio es el que se debe usar para todas las reglas que necesiten habilitar acceso a SIP, ya que si en alguna usamos el servicio con el protocolo específico activaremos el chequeo.

Hasta la proxima!

Anuncios
comentarios
  1. telmar dice:

    Este blog es realmente un paseo a través de toda la información que quería sobre este este tema tan interesante y no sabía a quién preguntar .

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s