SIP ALG無効化の方法

※この記事は以下の記事の日本語訳です。

How to Disable SIP ALG

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Disable-SIP-ALG/ta-p/60637

概要

SIP ALGを無効化できる機能がPAN-OS6.0に追加されました。

SIP ALGはSIPペイロードのNATをし、メディア通信用のポートを動的に開きます。これは幾つかのSIPを実装にて、不具合を起こす可能性があります。このドキュメントはSIP ALGを無効化する方法について記述します。

注: このSIP ALGを無効化するオプションはパロアルトネットワークス ファイアウォールのデバイス全体に影響するオプションです。この機能はPanoramaは対象外です。

手順

ALGを無効化することによりファイアウォールがペイロードを変換するのを防ぎます。

1. WebUIの[Objects] > [アプリケーション]へ移動し、以下のように"sip"アプリケーションを検索します：
   
2. sipアプリケーションを開きます. ALGの設定が画面右下のオプションの部分にあります
   訳注：WebUIの言語で日本語を選択している場合、誤訳により[アルゴリズム]との表記となっています。）
3. [カスタマイズ]をクリックし、設定画面で[無効化 ALG]にチェックを入れます。
   

CLI上での設定方法：

CLI上でのSIP ALG無効化は次のコマンドを実行します：

# set shared alg-override application sip alg-disabled yes|no

ALGを無効化した後もSIPの不具合が起こる場合、パケットフィルターやパケットキャプチャーを設定したり、以下のコマンドを使ってさらなる情報収集のためにテストすることができます。

> debug dataplane packet-diag set:

log feature flow basic

log feature ctd basic

注：全てのIP電話システムがSIPアプリケーションを使用している訳ではありません。
ベンダーによってはRTPやRTCPといった別のアプリケーションを使用する物もあります。
これらの場合、電話で問題が発生している時は該当する電話の通信に対し、アプリケーションオーバーライドを適用の必要がある可能性があります。

アプリケーションオーバーライドについての詳細はこのドキュメントを参照してください：  How to Create an Application Override

著者 : rvanderveken