Il SIP ALG (Application Layer Gateway) è una funzionalità integrata in numerosi router e dispositivi di sicurezza, progettata per facilitare la gestione del protocollo SIP (Session Initiation Protocol) attraverso le configurazioni NAT (Network Address Translation). Sebbene questa caratteristica sia pensata per assistere nell’ottimizzazione delle comunicazioni VoIP (Voice over IP), è frequente trovarla abilitata di default in molti dispositivi, specialmente in quelli di gamma economica, senza la possibilità di disattivarla facilmente.
Contrariamente alle intenzioni dei progettisti, quasi tutti i fabbricanti di centralini VoIP ne raccomandano la disattivazione. Il motivo dietro questa raccomandazione risiede nel fatto che, invece di fornire un aiuto, questo helper può introdurre complicazioni che rendono la diagnosi di eventuali problemi molto difficile, a meno che non si sia consapevoli della necessità di disattivarlo.
In questo articolo, approfondirò la natura del SIP ALG, esaminando come interagisce con i pacchetti SIP e in che modo può influenzare negativamente le prestazioni delle comunicazioni VoIP. Sarà fornita una panoramica dettagliata, con l’obiettivo di offrire una comprensione chiara su come gestire al meglio questa funzionalità per assicurare una comunicazione VoIP ottimale
Cosa fa il SIP ALG in pratica?
Facciamo un esempio di come modifica un INVITE SIP, che è un messaggio utilizzato per iniziare una chiamata o una sessione.
Immagina che un utente dietro a un NAT voglia avviare una chiamata VoIP verso un altro utente. Quando l’utente invia un INVITE SIP al destinatario, il messaggio contiene varie intestazioni, inclusi gli indirizzi IP e le porte che il destinatario dovrebbe usare per inviare la risposta o i dati della chiamata.
Ecco un semplificato esempio di come potrebbe apparire un INVITE SIP originale:
INVITE sip:destinatario@example.com SIP/2.0
Via: SIP/2.0/UDP 192.168.1.100:5060;branch=z9hG4bKnashds8
To: <sip:destinatario@example.com>
From: "Mittente" <sip:mittente@192.168.1.100>;tag=as34dfr
Call-ID: a84b4c76e66710
CSeq: 314159 INVITE
Contact: <sip:mittente@192.168.1.100>
Content-Type: application/sdp
Content-Length: ...
(corpodelmessaggio)
In questo esempio, l’indirizzo IP 192.168.1.100 è un indirizzo privato dietro al NAT. Quando l’heper sul router intercetta questo INVITE, modifica gli indirizzi IP e le porte presenti nel messaggio con valori che sono raggiungibili dal destinatario esterno, presumibilmente sostituendo l’indirizzo IP privato con l’indirizzo IP pubblico del router e adeguando le porte come necessario.
Dopo l’elaborazione da parte del SIP ALG, l’INVITE modificato potrebbe apparire così:
INVITE sip:destinatario@example.com SIP/2.0
Via: SIP/2.0/UDP 203.0.113.1:5060;branch=z9hG4bKnashds8
To: <sip:destinatario@example.com>
From: "Mittente" <sip:mittente@203.0.113.1>;tag=as34dfr
Call-ID: a84b4c76e66710
CSeq: 314159 INVITE
Contact: <sip:mittente@203.0.113.1>
Content-Type: application/sdp
Content-Length: ...
(corpodelmessaggio)
In questo esempio modificato, l’indirizzo IP 203.0.113.1 rappresenta l’indirizzo IP pubblico del router, che è visibile e raggiungibile da Internet. Grazie a queste modifiche, il destinatario esterno può rispondere all’INVITE e iniziare la comunicazione, superando i problemi causati dal NAT.
Tuttavia, è importante notare che, sebbene l’intenzione del SIP ALG sia di aiutare, a volte può causare più problemi di quanti ne risolva, a causa di implementazioni errate o incompatibilità con alcuni dispositivi o servizi SIP. In tali casi, può essere necessario disabilitare il l’ALG SIP sul router o sul dispositivo di sicurezza di rete.
Perchè disabilitare il SIP ALG?
La prassi comune suggerirebbe che un Gateway a Livello Applicativo (ALG) dovrebbe essere abilitato. Molte impostazioni predefiniscono anche il SIP ALG su “on” per default, sia nei router consumer che in quelli commerciali.
Il SIP ALG è stato introdotto con intenzioni positive per superare le limitazioni della Traduzione degli Indirizzi di Rete, comuni nei router broadband. Tuttavia, oggi interferisce con i protocolli IP e di segnalazione, risultando superfluo nelle moderne applicazioni VoIP.
Poiché gli ALG operano al Livello Applicativo del Modello OSI, non considerano i datagrammi dei protocolli di trasporto come UDP o TCP. Al contrario, i protocolli di segnalazione VoIP risolvono queste problematiche includendo gli indirizzi IP pubblici e privati in ogni pacchetto.
Alcuni router tentano di migliorare la sicurezza chiudendo le connessioni aperte nel firewall, noto come “firewall pinhole”. Tuttavia, quando un proxy SIP scarta i pacchetti, ciò può compromettere le chiamate VoIP già stabilite.
Dovresti disabilitare l’helper SIP perchè:
- Interrompe il traffico SIP, incluso quello delle chiamate e delle app per videoconferenze.
- Influenza la percezione della affidabilità dei telefoni da scrivania e delle app VoIP.
- Non è necessario quando si utilizzano fornitori VoIP basati su cloud.
Per la maggior parte degli utenti VoIP con un servizio telefonico virtuale, la prassi consigliata è disattivare completamente SIP ALG. L’unico motivo per mantenerlo abilitato è se il produttore del router o il provider VoIP lo richiedono. Essendo VoIP e i Gateway a Livello Applicativo elementi cruciali, forniranno impostazioni adeguate per funzionare con il tuo provider VoIP.
Come disattivare SIP ALG su Mikrotik RouterOS
MikroTik RouterOS, come sempre, dimostra la sua notevole flessibilità consentendoci di disattivare il SIP ALG in pochi semplici passaggi. Questa funzionalità è facilmente accessibile attraverso l’interfaccia grafica, rendendo il processo rapido e intuitivo.
Ecco la procedura da seguire utilizzando l’interfaccia grafica:
- Accedi al dispositivo MikroTik utilizzando Winbox o l’interfaccia web.
- Naviga fino alla sezione ‘IP‘ e seleziona ‘Firewall‘ e poi ‘Service Ports‘.
- Trova l’opzione ‘SIP‘, fai clic su di essa e premi il tasto ‘X‘ per disabilitarla.
Per coloro che preferiscono utilizzare la riga di comando, ecco il comando da eseguire nella CLI per disattivare il SIP ALG:
/ip firewall service-port disable sip
Seguendo questi semplici passaggi, è possibile disabilitare rapidamente il SIP ALG su un router MikroTik, garantendo una gestione efficace delle chiamate VoIP e migliorando la connettività complessiva della rete
Conclusioni
In conclusione, disabilitare SIP ALG sui router rappresenta una pratica fondamentale per garantire un’efficace gestione delle chiamate VoIP e migliorare la connettività complessiva della rete. La flessibilità offerta da MikroTik RouterOS consente agli utenti di eseguire questa operazione in pochi semplici passaggi, sia attraverso l’interfaccia grafica che tramite la riga di comando. Questa azione non solo elimina gli ostacoli causati da un’implementazione errata o incompatibilità con alcuni dispositivi o servizi SIP, ma anche migliora la stabilità e l’affidabilità delle comunicazioni VoIP. La consapevolezza dell’importanza di disattivare SIP ALG si traduce in una gestione ottimale delle chiamate VoIP, assicurando un’esperienza utente senza interruzioni e garantendo che il flusso delle comunicazioni rimanga fluido e efficiente.
Gianmarco Bonan