La fonction SIP-ALG est sensée simplifier la vie des périphériques SIP derrière NAT / PAT et fonctionne en réécrivant les informations d’en-tête SIP et de session SDP pertinentes avec l’adresse IP publique du routeur et du port utilisé.
Lorsque le trafic SIP est crypté à l’aide de TLS, les routeurs ne peuvent pas manipuler les paquets afin que les périphériques utilisant TLS ne soient pas affectés. C’est pourquoi, tous les utilisateurs de Wildix rencontrent moins de problèmes lors de la connexion de périphériques distants et bénéficient d’un niveau de sécurité plus élevé.
La majorité des opérateurs SIP ne prennent malheureusement pas en charge TLS et le chiffrement, ce qui permet aux routeurs compatibles SIP-ALG de modifier les paquets en transit. Le problème est que souvent les options SIP-ALG ne fonctionnent pas correctement ou que les modifications apportées par l’application SIP-ALG résident sur le routeur, en conflit avec les changements d’en-têtes NAT traversés par le point de terminaison SIP (généralement par les périphériques compatibles STUN). Dans de tels cas, il en résulte des appels n’ayant aucun sens.
La meilleure approche consiste à désactiver l’option SIP-ALG et à toujours utiliser le chiffrement chaque fois que cela est possible.
Une fois l’option SIP-ALG désactivés, notez que le routeur / pare-feu n’ouvrira automatiquement aucun port pour RTP, car il arrêtera d’analyser tous les paquets SIP. Pour cette raison, assurez-vous que l’opérateur prend en charge le protocole RTP symétrique et répondra avec les paquets RTP à l’adresse / au port d’où ils proviennent, ou qu’une redirection de port complète pour tous les ports RTP de la gamme est activée (ex : 10000-11000).
Ci-dessous, une liste des ressources disponibles pour désactiver l’option SIP-ALG sur les routeurs:
Cisco 1800 – https://supportforums.cisco.com/discussion/11262011/disable-sip-alg-cisco-1800-series-router
Fortigate:
- Ouvrez la CLI Fortigate depuis le tableau de bord.
- Entrez les commandes suivantes dans la CLI de FortiGate:
- paramètres du système de configuration
- désactiver l’assistance SIP
- désactiver SIP-nat-trace
- redémarrer l’appareil
- Rouvrir CLI et entrez les commandes suivantes – ne pas entrer de texte après //:
- configuration du système d’assistance de session
- affiche // recherche l’entrée SIP, généralement 12, mais peut varier.
- supprimer 12 // ou le numéro que vous avez identifié à partir de la commande précédente.
- Désactivez le traitement RTP comme suit:
- configuration du profil VoIP
- modifier par défaut
- configuration SIP
- désactiver RTP
Technicolor, Thomson ou SpeedTouch Router – http://docs.sipcentric.com/article/142-technicolor-or-thomson-router
Zyxel – http://www.voiptuts.com/2011/02/disable-sip-alg-on-zyxel-660-family.html
SonicWall – https://support.siteserver.com/kb/a109/sonicwall-disabling-sip-alg.aspx
Asus Routers:
Désactiver l’option ‘SIP Passerelle’ sous « Paramètres avancés / WAN » -> « NAT Passerelle ».
Si votre routeur ne dispose pas de cette option, SIP-ALG peut être désactivé via Telnet.
Billion:
Recherchez l’option SIP-ALG dans les paramètres NAT ou du pare-feu.
DrayTek:
TP-Link:
How to Disable SIP ALG on TP-Link ADSL modem router
Linksys:
Recherchez l’option « SIP-ALG » dans l’onglet « Administration » sous « Avancé ».
Il peut également être nécessaire de désactiver le pare-feu SPI.
Microtik:
Désactiver ‘SIP Helper‘.
Netgear:
Recherchez une case à cocher «SIP-ALG» dans les paramètres «WAN».
Port Scan et Protection DoS doivent également être désactivés.
Désactivez STUN dans les paramètres VoIP du téléphone.
D-Link:
Dans les paramètres « Avancés » -> « Configuration de la passerelle au niveau de l’application (ALG) », décochez l’option « SIP ».
Huawei:
Le paramètre SIP-ALG se trouve généralement dans le menu « Sécurité ».
Adtran Netvanta:
Désactivez SIP-ALG sous « Firewall / ACLs » -> « ALG Paramètres ».