[연재] VoIP 장비의 방화벽/NAT 투과하기 - 3.H.460을 이용하기

                                                                             글싣는 순서
                                                                        1. 왜 문제를 일으키는 가?  
                                                                                         2. ALG를 이용하기 
                                                                                         3. H.460을 이용하기

지난 글에서 ALG (Application Layer Gateway)에 대해 살펴보았습니다. ALG에 간단히 정리하고 H.460에 대해 전개하겠습니다.

ALG는 기본적으로 Firewall 상에서 구동되는 기능이며, NAT로 인한 문제점을 해결하고, Voice Protocol 및 RTP를 이해하여 통화가 가능하도록 합니다. Stateful Packet Inspection으로 호시도가 발생할 때만 UDP Port를 개방하고, 통화를 마치면 UDP Port를 닫음으로 보안성을 높임니다. 또한, Topologu Hiding 개념을 통해 본사 또는 ISP의 중요 VoIP 망 자원을 보호합니다.

그렇다면, H.460 Traversal of H.323 across NATs and Firewalls 는 무엇인가? 말그대로 H.323 네트워크 상에  Firewall 과 NAT를 통과하여 음성 및 영상 통화가 가능하도록 하는 ITU 표준입니다. 폴리콤,라드비젼, 텐드버그가 함께 표준화를 진행하여 2005년 8월에 승인되었습니다. 세부적으로는 H.460.18 signaling 에 대한 부분과 H.460.19 Media 에 대한 부분으로 나눌 수가 있습니다.

트래픽이 몰리는 Public Network 상에 Traversal Server를 두고 H.460을 인지하는 단말들은 Traversal Server에 등록되어 사용합니다. 따라서, 단말은 H.460을 지원해야 하며, 활성화 및 비 활성화 옵션이 있을 것입니다. H.460의 장점은 다음과 같습니다.

• 기존의 Firewall을 그대로 사용하여 기존의 보안정책을 유지할 수 있다.
• H.460을 지원하는 단말들은 매우 단순한 설정만을 필요로 합니다.

H.323만을 사용하고 있는 대부분의 네트워크 상에서는 매우 효율적이다고 볼수 있습니다. 별도의 Traversal Server가 필요하고 이곳으로 트래픽이 몰리므로 대역폭에 대한 고려가 필요하며, Traversal Server가 방화벽이 아니므로 외부에 놓인 Traversal Server가 보안에 취약할 수 도 있습니다.

일반적인 H.460 구성은 다음과 같습니다. 파란색 선은 시그널링이며, 빨간색 선은 RTP입니다.

간단하게 새각하면, 각 지사의 단말 간에 호 소통이 가능하며, Traversal Server 로 모든 RTP가 경우하므로 두배의 대역폭이 필요하다는 단점을 쉽게 이해할 수 있을 것입니다. 만일 NAT/FW 위치에 Firewall with ALG를 사용한다면 이런 문제를 해결할 수 있을 것입니다.

외부에 있는 단말이 내부 단말에 접근하기 위해서는 외부에 있는 Traversal Server의 Public IP로 호를 시도합니다. 외부에 있는 Traversal Server는 NAT/FW로 인해 H.225 TCP 세션을 설정을 할수 없습니다. 그러나, 내부의 단말은 외부의 Traversal Server에 등록하기 위해 RAS RRQ 메세지를 전송할 수는 있습니다. 이 세션을 통해 호 설정이 가능한 pinhole이 NAT/FW에 생기는 것입니다.

아래그림은 H.460.18 을 지원하는 내부의 단말이 각각 Traversal Server에 일일이 등록되어 사용되는 것입니다.

아래그림은 Client Proxy를 통해 H.460.18을 지원하지 않는 단말을 Client Proxy를 통해 등록되어 사용되는 것입니다.

아래 그림은 사설망 내부의 Gatekeeper가 있을 경우 통신하는 방법입니다.

H.323 signaling Call Flow는 알고 계시겠지만, 다시 한 번 간단하게 설명드리겠습니다.

위의 그림을 보시면, 송신 단말은 GK에 등록되어 있지 않고 수신 단말은 GK에 등록되어 있음을 알수 있습니다. 또한 GK Directed Mode를 이용하여 호를 진행하고 있습니다. RRQ는 GK에 등록 요청이며, RCF는 등록 수락입니다. ARQ는 호 진행 요청이며, ACF는 호 진행 수락입니다.

H.460이 활성화 되면 다음과 같은 프로시저 진행됩니다.

우선 내부의 Endpoint는 외부의 GK에 RRQ를 송신하여 등록 요청및 RCF로 등록 수락이 이루어 집니다. 이때 TCP 1720 포트가 NAT/FW에 개방되어 있으며, 외부에서 내부로 접근할 수 있는 유일한 핀홀이 생성됩니다. 이 포트를 통해 TS (Traversal Server)는 SCI (Service Control Indication) 메세지를 전송하고, 이를 받은 단말은 TCP H.225 Facility 메세지를 전송하고, 이때 Firewall에서는 H.225 메세지가 전송될 수 있도록 TCP 핀홀이 생성됩니다.  이런 방식으로 호가 진행될 수 있도록 하는 것입니다.

 

위그림은 Hybrid 구조입니다. Traversal Server, Firewall with ALG, Firewall without ALG 가 혼합된 구조입니다. 이를 통해 신규 사이트에는 Firewall with ALG를 사용하여 전개하고, 기존 사이트에 Firewall without ALG를 그대로 사용할 수 있도록 하는 구조입니다. 이런 혼합형태가 대기업에서는 가장 비용효과적인 방법일 수 있을 것입니다.

드디어 연재가 마무리되었습니다. VoIP망상에서 방화벽 및 NAT를 통해 통화할 수 있는 방법 두가지에 대해 살펴보았습니다. 이글을 연재 하면서 느끼는 것은 정말 H.323은 SIP에 밀려서 사라지는 기술인가? 라는 의문을 같게 되었습니다. 마찬가지로 정말 PSTN은 사라질까? 라는 물음과 같은 맥락이겠지만, H.323 프로토콜은 여전히 매력적이기에 SIP가 세상을 평정하지는 못할 듯합니다. 오랜 기간 모든 VoIP 단말들은 H.323 / SIP를 지원하도록 계속 만들어질 때니까요.

---------------------------------
라인하트
CCIEV #18487
linecard@naver.com