Kurumunuzda VoIP(Voice Over IP) altyapısı kullanıyor ve daha verimli hale getirmek istiyorsanız bu yazı tam size göre. İşte NAT ve VoIP kullanımı hakkında bilmeniz gereken önemli hususlar;
VoIP, IP üzerinden sesin taşınmasıdır. Bu teknoloji günümüzde artık sıkça kullanılmakta, analog iletişim yöntemlerinin yerine geçmektedir. Sesli iletişimin üzerine görüntülü görüşmeyi de eklediğimizde bu tercih artık diğer iletişim altyapılarının yerini almıştır diyebiliriz.
Fakat VoIP’de de her altyapıda olduğu gibi temel problemler çıkabilir ve bu problemlerin giderilmesine yönelik ucuz ve pahalı çözümler bulunmaktadır. Hattan düşmek, gelen çağrılarının bazılarını alamama ve gelen çağrıların otomatik olarak sesli mesaja yönlenmesi gibi sorunlarla karşılaşılır. Bu sorunlara ilave olarak, en önemli problemlerden birisi de içerisinde güvenlik sorunsalını da barındıran NAT/Firewall arkasındaki istemcilerin durumudur. Bu yazımızda çözümleri ve aralarındaki farkları inceleyeceğiz;
NAT nedir?
NAT’ı kısaca açıklayacak olursak, lokal ağda bulunan bir bilgisayarın internete çıkarken bir yönlendirici tarafından IP adres ve port numarasının değiştirilmesidir. Ayrıca NAT keepalive özelliği sayesinde, düşen aramalarla, otomatik olarak başarısız olan aramalarla veya diğer tarafla olan bağlantınızı sonlandıran başka sorunlarla karşılaşmanızı engeller. Bu küçük ama kullanışlı özellik, VoIP telefonlarınızın yerel ağınızda açık olarak kullandığı bağlantı noktalarının korunmasına yardımcı olur.
VOIP kullanıcılarının sorunlarından olan; hattan düşmek, gelen çağrıları alamama ve çağrının otomatik olarak sesli mesaja yönlenmesini de NAT çözümler sunar. Örneğin, bir VoIP telefonunu bir VoIP servisi ile kaydettiğinizde, VoIP telefonu IP adresi üzerinden servisine geçer. VoIP servisi, daha sonra, kayıtlı IP adresi yoluyla o cihazdan gelen tüm çağrıları gönderir. Telefon kaydedildikten sonra, VoIP servisi, telefonun farklı bir yapılandırma ile kaydetmediği sürece, telefonun IP adresi aynı kaldığını varsayar. Güvenlik amacıyla yönlendiriciler, uykuda görünen bağlantı noktalarını düzenli olarak kapatır fakat VOIP servisi bu kapalı bağlantı noktasına çağrı göndermeye devam eder ve kesintiye uğramış çağrılara sebep verir. Dolasıyla, çağrılar başarısız olur. Fakat NAT Keepalive ile bu sorunlar çözülebilir.
NAT Keepalive, portun hala kullanımda olduğunu gösteren, VoIP telefonundan yönlendiriciye UDP adı verilen çok küçük veri paketleri gönderen bir özelliktir. Bu küçük paketler telefonunuzu veya telefon sisteminiz tarafından belirlenen zaman aralıklarında gönderilir. UDP paketleri bant genişliğini etkilemez, bu nedenle çağrı kalitesi üzerinde herhangi bir etkisi olmaz.
Bir telefon bir VoIP servisi ile kaydedildiğinde, düzenli olarak proxy'ye kayıt olma sürecinden geçer. Bu ne sıklıkta tamamen yapılandırılabilir tam olarak bilemiyoruz. Ancak, çoğu NAT tablosunun süresi 60 saniye içinde sona erer, bu nedenle NAT keepalive her 25-50 saniyede bir UDP paketi göndererek telefon bağlantı noktalarının açık kalmasına izin verir. Böylelikle, VOIP çağrıları, kesintiye uğramaz ve çağrılar otomatik olarak sesli mesaja gönderilmez.
Şirketler, VOIP kullanırken çağrı kesintileri ne kadar büyük bir sorun gibi gözükse de aslında en büyük sorun güvenliktir. Şirketler için NAT ve VOIP’yi bir arada kullanmak, güvenlik sorunu teşkil edebilir. Lokal ağda bulunan bilgisayarların IP adresleri ile public internet üzerinden bir erişim mümkün değildir ve IPv4 de dünyadaki IP ağına bağlanabilecek her cihaz için yeterli IP adresi sunmamaktadır. Bu durumdan ötürü sizin cihazınızın internete çıkmadan önce gönderdiği bilgi, NAT tarafından adres dönüşümüne sokulur ve size gelen cevap da bu dönüşüm tablosundan eşleştirilerek lokal ağdaki doğru adrese gönderilir.
İşte VOIP’de de sorun burada çıkmaktadır. Bir şirketin onlarca hatta yüzlerce IP abonesi olabilir. Bu kadar abone için bu yönlendirmeleri güvenli olarak nasıl sağlayabilirsiniz? Çünkü NAT üzerindeki ayarlar tek başına yeterli değildir ve bunun yanında firewall üzerinde de port açma ayarlarını yapmalısınız ki bu açıklıklar sizi güvenlik konusunda biraz daha düşünmeye zorlayacaktır.
VOIP dünyasında en çok kullanılan protokol SIP protokolüdür. Sinyalleşmeyi içerisinde barındıran SIP protokolü, ses iletimi için ise RTP protokolünü kullanır. Sizin SIP sinyalleşmesi için NAT ve Firewall ayarları yanında sayısı kimi zaman binleri bulabilecek, gerekli RTP portlarını da açmanız gerekebilir ve her şirket buna güvenlik gerekçesi ile müsaade etmeyebilir.
Peki Çözümler Neler?
Bahsettiğimiz bu durumlarda farklı cihazlar ve protokoller sunulmaktadır;
- SIP ALG (SIP Application Level Gateway) Cihazları: Bu, SIP protokolünden anlayan ve SIP paketlerinin içerisindeki IP ve port bilgilerini modifiye edebilen ve cevap geldiğinde iletişimin devamını sağlayacak şekilde IP ve port bilgilerini değiştirebilen cihazlardır.
- SBC (Session Border Controller) Cihazları: Bu çözüm SIP ALG’lerin daha gelişmiş bir versiyonudur. NAT özelliğinin yanı sıra güvenlik olaylarını da üstlenir ve şirket ağında daha az konfigürasyon yapmanıza yardımcı olur. Sinyalleşme paketlerinin yanında ses paketlerini de üzerinden geçirdiği için ses iletim problemlerini en aza indirir. Fakat ucuz bir çözüm değildir.
- STUN protokolü sayesinde, NAT arkasındaki bir istemci kendi public IP adresini öğrenebilir ve SIP paketini bu bilgilere göre doldurur. İsteği gönderdiği yer ise böylelikle cevap göndereceği public IP adresini öğrenmiş olur. STUN sunucular public internette bulunur ve basit STUN isteğine yine basit bir cevap paketi döner.
- TURN: TURN, STUN protokolü üzerine geliştirilmiştir. Public internette bulunan bir Relay sunucu, bütün SIP ve ses paketlerini üzerinden geçirir. İstemcilerin NAT tipine göre farklı davranışlar göstererek iletişimin kesintisiz olmasını sağlar.
- ICE: ICE Mekanizması STUN ve TURN ü kullanır. İstemci karşısındaki kullanıcıya, kendisi ile bağlantı kurabileceği IP-port bilgilerini gönderir. Bu bilgileri alan istemci, sırası ile kendisine gelen IP-port adreslerine bağlanmaya çalışır. Bağlandığı anda diğer yolları denemeyi bırakır ve bu yol üzerinden iletişim başlar. Görüşme esnasında bu mekanizma sürekli devrede olabilir ve bağlantı kopması ihtimallerine karşı sürekli başka bir yolu hazır tutma amacındadır.
Yukarıda bahsedilen protokol ve cihazlar dışında küçük veya büyük, ucuz veya pahalı, basit veya karmaşık farklı çözümler de elbette bulunmaktadır. Fakat temelde benzer görevleri yerine getirmektedir. Şirketler veya bireysel kullanıcılar bütçe ve isteklerine göre istedikleri çözümü bulabilirler.
Kaynak: Eyeball, Telecom.Altanai
Bu yazıyı okuyanlar, bunları da okudu;
Neden IPv6 - IPv4'nin Eksik Yönleri ve IPv6'nın Sağladığı Faydalar
IP Santralı Hackerlardan Korumak
WebRTC, İşletmeniz İçin Doğru Bir Seçim Mi?