!

!
!
!
!
!
!
!
!
!
!
!
!

Anexos Remotos para Lyric MG.

!
White Paper versin 1.0

Fecha: Septiembre 2014

!
!
!
!
!
!
!
!
!
!
!
Historia del Documento.
!
!
Version

Fecha

Cambios

1.0

Sep 10, 2014

1. Versin Inicial

Tabla de Contenidos.

!
!
!
!
!

Historia del Documento.

Tabla de Contenidos.

Objetivo.

Escenario.

Seguridad.

Firewall.

Doble Registro y Otras Estrategias de Seguridad.

Confiabilidad.

Cliente Remoto.

Conclusin.

10

!
!
!
!
!
!
!
!
!
!
!
!
!
Objetivo.
!

Este documento tiene por objetivo ilustrar la configuracin y uso del mdulo de anexos remotos para Lyric MG,
mostrando de forma guiada la configuracin del mdulo en el equipo y la configuracin de un softphone.

!
!
!

!
!

Escenario.

!
!

El mdulo de anexos remotos para Lyric MG viene a dar solucin a un problema muy tpico en cualquier organizacin
moderna, y que es resolver el cmo dar servicio telefnico de anexos ubicados fuera del permetro de la red local (LAN)
de la empresa, de forma tal que no se comprometa la seguridad de dicha red. En ese sentido, las preguntas que se
deben resolver son: Cmo dar acceso a la PBX desde los anexos remotos sin comprometer la seguridad? Cmo
atravesar la NAT del cliente para entregar una llamada? La arquitectura de la solucin basada en Lyric MG es la que se
muestra en la siguiente figura:

Cliente SIP
Remoto

INTERNET

PSTN

ITSP
(MPLS/WAN)

REGISTRO Cliente
SIP en SBC

SIP TRUNK ITSP

ROUTER

FIREWALL/
NAT

LYRIC MG/SBC

Registro del SBC en

la PBX

SIP TRUNK PBX

LAN

PBX IP

PBX IP

Fig. 1 - Arquitectura de la solucin de anexos remotos basada en Lyric MG

La solucin presentada se basa en utilizar un Lyric MG como elemento de borde de red, instalado entre la PBX y los
anexos remotos, administrando los registros de los anexos remotos y generando nuevos registros hacia la PBX. De esta
forma, la PBX nunca est expuesta fuera del permetro de la red LAN, y los anexos nunca entran a la red. Por otro lado,
la PBX puede, o no, utilizar las caractersticas de media gateway del Lyric MG para entrocar las llamadas salientes hacia
el proveedor de telefona.

!
!

Seguridad.

Firewall.
En trminos de seguridad, el Lyric MG est diseado para operar como un firewall de telefona, tal que evita el
compromiso del permetro de la red del cliente. El firewall opera de forma automtica, abriendo y cerrando los puertos
requeridos para los protocolos SIP, RTP, RTCP, SRTP, TLS en la medida que se requiere para establecer la
comunicacin con un determinado anexo remoto y no puede ser manipulado por el usuario, ms all de la
programacin de port-forwarding, cuyas reglas de redireccionamiento siempre tienen tiempo de expiracin. La ventana
del firewall muestra el detalle de cada puerto abierto, tal como se ve en la figura:

Fig. 2 - Firewall dinmico del Lyric MG

Cuando se genera una llamada, se abren los puertos necesarios y se generan registros en la tabla del firewall, similares
a los de la figura 3. Estas entradas permanecen activas hasta que termina la comunicacin, en cuyo caso, se cierran
los puertos y desaparecen de la tabla.

Fig. 3 - Firewall dinmico del Lyric MG - Puertos abiertos por llamada saliente.

Doble Registro y Otras Estrategias de Seguridad.

El doble registro permite al Lyric MG opera como cortafuegos en los intentos de registro por parte de los anexos
remotos. En el dilogo de configuracin del Lyric MG, slo se debe configurar: un nombre del anexo, el nombre del
usuario, la contrasea local del anexo.

Fig. 4 - Anexo Remotos - Configuracin de nuevo anexo

La contrasea para el cliente remoto es generada de forma aleatoria por el Lyric MG, y consiste en una secuencia de
16 caracteres, 24 smbolos cada uno, es decir, es una contrasea de 74 bit, equivalente a 1022 combinaciones.

El mdulo de anexos remotos fuerza la autenticacin, no slo para el registro, sino que tambin para cada
solicitud que tenga su origen en el anexo remoto, y as se evita la suplantacin de sesin.

Otra caracterstica de seguridad radica en que las credenciales nunca se transmiten durante el proceso de
autenticacin, sino que se utiliza en el mtodo Digest Access Authentication, definido en el RFC 3261.

Por ltimo, el mdulo de anexos incorpora mecanismos de bloqueo por lista negra para una cierta cantidad de
reintentos de registro por parte de una direccin IP remota.

!
!

Confiabilidad.

Una de las principales debilidades de las soluciones de anexos remotos consiste en los mecanismos para atravesar
NAT y mantener esa conexin abierta en el tiempo para poder entregar llamadas desde la PBX.

Tpicamente el problema pasa porque se requiere tener disponible servicios complementarios como STUN o ICE. En el
caso de los clientes de anexos remotos, nada de esto es necesario.

El mdulo de Anexos Remotos del Lyric MG realiza toda la normalizacin SIP necesaria, adems de contar con
mecanismos de Hole-Punching Server necesarios para atravesar la NAT del cliente y maneter la conexin viva, de tal
forma que es posible entregar llamadas entrantes en el cliente remoto, incluso en las condiciones de instalacin ms
adversas, ya que tampoco se requiere una IP fija en el cliente.

Por lo tanto, la configuracin del cliente externo es realmente trivial. Tal como se muestra en la figura 5, en el Lyric MG,
se debe configurar cul de las dos interfaces de red quedar expuesta a internet, en qu puertos y protocolos recibir
las conexiones.

Fig. 5 - Anexo Remotos - Configuracin del servicio

Por el lado del servidor, se debe especificar la interfaz de red, la direccin IP, puerto y protocolo en que la PBX est
esperando recibir conexiones. Adems se configura el puerto desde el cual se inician las solicitudes hacia la PBX.

!
!

Cliente Remoto.

Desde el punto de vista de los clientes remotos, no es muy distinto lo que se debe configurar. En el caso de este white
paper, utilizaremos el softphone Zoiper para ejemplificar la configuracin del cliente remoto.

Fig. 6 - Configuracin del Cliente SIP

En la figura 6 se muestran los parmetros a configurar. En el campo de dominio se especifica la direccin IP y puerto de
conexin en el que el Lyric MG est esperando recibir las solicitudes de los anexos remotos. los campos de usuario y
contrasea se rellenan con el usuario del anexo y la contrasea remota configurada por el Lyric MG.

Al finalizar se hace click en el botn Registrar y una vez que el cliente se ha registrado en el Lyric, se muestra el estado
del registro.

!
!
!

Conclusin.

!
!

El mdulo de anexos es una excelente solucin para habilitar usuarios remotos de una PBX, puesto que, tal como fue
demostrado en este documento, de forma segura y confiable, permitir habilitar clientes SIP con el mnimo de
configuracin y sin requerir servicios complementarios para poder atravesar la NAT del cliente, como STUN o ICE.

!
!
!
!
!

Lo invitamos a conocer ms sobre este producto en nuestra pgina web www.yx.cl

!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!

!
!
YX Wireless S.A.

Av. del Valle 945, Of. 2601

Huechuraba
8580710 Santiago
CHILE

url: www.yx.cl
tel: +56 2 2760-5100
mail: ventas@yx.cl