[연재] VoIP 장비의 방화벽/NAT 투과하기 - 2. ALG를 이용하기

                                                                             글싣는 순서
                                                                       1. 왜 문제를 일으키는 가?  
                                                                       2. ALG를 이용하기 
                                                                                        3. H.460을 이용하기


시작하며..
지금까지 왜 VoIP와 NAT/방화벽 간에 문제를 일으키는 지 알아보았습니다. 최대한 쉽게 설명하기 위해 자세한 그림을 첨부하였습니다. 간단하게 정리하면, 기존의 방화벽은 Layer 3 헤더와 Layer 4 헤더에 대해서만 관여하기에 Layer 5 이상에 대한 제어를 수행하지 않기 때문이며, VoIP 어플리케이션은 Layer 5 이상의 헤더 정보 정보를 이용하기 때문에 문제가 발생합니다. 이를 해결하기 위한 방법은 NAT/Firewall이 Layer 5 이상의 헤더에 대한 제어가 가능해야합니다.  이런 기능을 수행할 수 있도록 하는 것이 Application Layer Gateway 또는 Voip-aware Firewall이라고 합니다.

요즘 출시되는 방화벽은 Application Layer Gateway (ALG) 기능이 기본으로 들어가 있거나, 소프트웨어 업그레이드로 기능을 수행할 수 있도록 되어 있습니다. 제가 가장 복잡한 H.323만을 가지고 이야기를 전개하고 있으나, SIP 및 MGCP에도 마찬가지로 적용됩니다. SIP및 MGCP는 더욱 간단하기에 H.323만을 이해하면 나머지는 쉽게 이해할 수 있습니다.

NAT/방화벽 해결을 위한 ALG(Application Layer Gateway)

가장 간단한 해결책은 방화벽이 VoIP 세션을 인지하고, IP Header의 IP 정보를 변경할 때 H.323헤더의 정보를 변경하는 것입니다. IP address에 대한 불일치를 쉽게 해결할 수 있습니다. 이러한 ALG를 통해 다음과 같은 기능을 수행합니다.

• NAT  Traversal
  NAT로 인해 Public address 및 Private address 를 해결할 수 있습니다.
  
• SPI (State Paket Inspection)
  RTP 전송을 위해서는 일반적으로 16,000개의 UDP Port (16384 ~32767)를 방화벽에서 개방해야 합니다. RTP는 이 중에 Port 번호를 랜덤하게 사용하여 패킷을 전송함으로 항상 개방해야 되는 문제가 있습니다. 따라서, SPI를 이용하면, Firewall은 호마다 설정되는 RTP의 Port Number를 확인한 후 일시적으로 개방하여 연결합니다. 통화가 끝나면 자동으로 Port 가 닫히므로, 보다 완벽한 보안을 구성할 수 있습니다. 따라서, 음성이 통과하는 Firewall에서는 이러한 기능이 기본적으로 지원되어야 합니다.
  
• Topology Hiding
  NAT를 통해 사설망 내부의 IP address 체계가 외부에 노출되지 않으므로, 망 내 VoIP 장비를 안전하게 보호할 수 있습니다. 외부에서는 단순하게 노출된 하나의 IP address만을 통해 접근합니다.
  

ALG는 일반적으로 독립된 장비로 존재하지 않고, 기존의 Firewall에 포함되는 형식을 취합니다.

ISP의 해결책 SBC(Session Boarder Controller)

ISP가 일반 가입자를 대상으로 VoIP 서비스를 시작하면서, NAT 환경에 있는 가입자를 수용할 방법이 필요했습니다. 그래서 등장한 것이 SBC입니다. SBC는 다음과 같은 기능을 수행합니다.

• NAT / NAT Traversal
  NAT 기능이 활성화되어 있으며, 이를 통해 Topoloy Hiding이 가능합니다. 즉, 내부 Softswitch 및 Application Server를 사설 IP 로 설정하여 외부에서 내부로 직접 접근할 수 없으며, SBC를 통해서만이 가능합니다.  또한, 가입자가 사설망에 있을 경우에도 SBC가 인식하고 NAT Traversal을 해줍니다.
  
• Security
  기본적인 DoS Attack, Access Control, 침입 방지 등과 같은 보안기능을 수행합니다.
  
• Service Assurance
  QoS Packet Marking, SLA, CDR 생성, Bandwidth Admission Control 등을 수행합니다.
  
• Call Routing
  인입호에 대해 내부로 보낼 것인지 또는 외부 다른 IP PBX로 보낼 것인지를 선택하도록 합니다. 또한 Intelligent Routing이 가능합니다.
  
• Interworking
  H.323 및 SIP 프로토콜을 상호간에 호환이 가능하도록 합니다.
  

SBC라고 한다면 기본적으로 이러한 기능을 가지고 있으며, 경우에 따라서는 Transcoding 기능까지 수행하는 장비들도 있습니다. 대표적으로는 Nexton, Achme 등이 있으며, 현재는 ISP급으로 대용량을 지원합니다. 일반 기업용으로 나오기도 하는 데 아직까지는 배보다 배꼽이 큰 경우가 많습니다. SBC를 이용한다면 NAT에 대한 문제를 해결할 수 있습니다. 일반 대기업의 거대 망에도 충분히 적용가능할 것입니다.

일반 기업을 위한 솔루션 폴리콤의 V2IU

일반 기업의 경우 NAT Traversal을 위한 것이 주요 목적이라고 생각됩니다. 또한 기본적으로 IP PBX, MCU 등과 같은 VoIP 주요 장비를 보호할 수 있는 방법이 필요할 것입니다. 그래서, 필요한 것이 V2IU와 같은 솔루션입니다.

위 그림에서 보면, 각 지사도 사설 IP를 사용하고, 본사도 사설 IP를 사용하며, 본사 중앙에 IP PBX가 있을 경우입니다. 보통 이렇게 되어 있을 경우는 IPSec과 같은 터널을 사용하여 연결하는 것이 일반적입니다. 그러나 터널을 사용하지 않을 경우는 V2IU와 같은 솔루션을 통해 VoIP 서비스가 가능하도록 합니다. V2IU는 다음과 같은 기능이 있습니다.

• NAT / NAT Traversal
  - H.323, SIP, MGCP
  - Topology Hiding
  
• Gatekeeper
  - Devices Registration
  - Call Admission Control
  
• Firewall
  - IP Routing
  - Stateful Packet Inspection
  
• Traffic Management (Service Assurence)
  - QoS Marking
  - Priority ueuing
  
• VoIP Monitoring
  - Call Testing
  - 서비스 품질을 MOS (Mean of Score) 값으로 표시
  
• DHCP Server / Relay , TFTP relay
  - IP Phone을 위해 사용
  

위와 같은 기능을 통해 다양한 형태의 서비스를 지원합니다. 본사의 VoIP 장비를 보호하기 위해 V2IU 한대만을 설치하는 것도 가능합니다.  다시 정리하면 아래그림과 같습니다. 두가지 종류가 있으며, 상황에 맞게 사용할 수 있는 것이 장점입니다. S Series와 E Series 두가지가 있으며, S Series는 Traversal Server로 사용됩니다. 이에 대해서는 나중에 다시 다루도록 하겠습니다. 아래 그림에서 보듯이 방화벽을 별도로 설치하지 않고 V2IU를 통해 Firewall 및 ALG 기능을 동시에 수행하는 것입니다.

지금까지 간단하게 VoIP 네트워크에서 방화벽 투과하기 위한 방법에 대해 살펴보았습니다. 결국은 방화벽을 투과하기 위해서 ALG는 기존의 방화벽을 우회하도록 하는 것입니다. ALG도 두개의 인터페이스를 가지고 하나는 사설는 사설 IP 하나는 공인 IP를 사용하도록 되어 있습니다. V2IU를 사용하게 되면, 통과하는 모든 트래픽은 V2IU의 공인 IP 하나로 통일되어 구분되는 것이므로 반드시 공인 쪽이 필요하게 됩니다. 따라서, Firewall과 병렬로 구성하는 방법이 있겠습니다.

위 그림처럼, 병렬로 구성하여 VoIP 트래픽은 V2IU만을 통해서 가도록 하고, 기존의 Firewall은 데이타 트래픽만을 처리하도록 하는 것이 하나의 방법이며, 또하나는 아래그림처럼 Firewall과 직렬로 구성하는 것입니다.  기존의 방화벽에서는 V2IU가 가진 공인 IP 대역은 NAT를 사용하지 않도록 설정해주어야 하며, 이 IP에 대한 UDP 16384 ~ 32767까지의 포트와 VoIP Signaling을 위한 포트가 개방되면 됩니다.

제가 아는 ALG는 V2IU 밖에 없어서 이를 기준으로 작성하였으며, 기본적으로 ALG가 되는 모든 장비에서 지원할 수 있는 방법입니다. 따라서, 이 장비만 가능하다고 생각하시면 않될 것입니다. 시스코 및 기타 벤더에서 ALG를 활성화 할 수 있는 FIrewall이 나오는 것으로 알고 있으며, 회사의 특성에 맞게 구입하시면 됩니다.

다음 글에서는 H.460를 이용한 방법에 대해 설명하겠습니다. 이는 H로 시작하는 것으로 보아서 H.323 망에서만이 가능한 방법입니다. 상대방과 자신이 모두 NAT를 이용하고 있는 상황에서 원할하게 호를 소통하기 위한 방법이기도 합니다. 이 표준은 기존의 VoIP를 이해하지 못하는 방화벽을 그대로 두고,  외부에 Traversal Server를 두어서 연동하는 방법입니다. 다음에 자세히 설명드리겠습니다.

--------------
라인하트
CCIEV #18487
linecard@naver.com