1,009
回編集
差分
細
初版ながらも大体書いたので更新は多分無しばーじょん
=Asteriskとパケットフィルタリング=
近年、IAX,SIPポート宛の攻撃が多くなってきている。<BR>
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けるため、<BR>
防衛策を講じる必要が出てきている。
=パケットフィルタリングに対する4つの方針=
ガチガチにポートを閉めると、ユーザーからクレームが挙がる事があるので、セキュリティと利便性の両方を考慮し、<BR>
妥協点を探る必要があるだろう。<BR>
==IP直接指定==
特定のIPアドレスに限ってSIP/IAXポートを開放する。
;利点:基本的にはITSP経由での通信となるので、セキュリティホールを突付かれ難くなる。
;弱点:通信先のIPが変わった場合、通信できなくなるのでトラブルに見舞われやすい。(と思う)
==サブネット毎に開放==
サーバーが使用しているIPアドレスの使用範囲を絞り、その範囲内に限ってSIP/IAXポートでの通信を許可する。<BR>
ITSPを利用している場合は、Whoisゲートウェイを利用して、ITSPが使用しているIPアドレスの範囲を絞るようにする。
;利点:基本的にはサーバー(ITSP)経由での通信となるので、セキュリティホールを突付かれ難くなる。
;弱点:サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高い<BR>IPを一個だけ開けるよりかはトラブルになり難い。
==SIP/IAXポート全開==
;利点:サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能
;弱点:SIP/IAXへの攻撃を受ける可能性が高い。セキュリティホールに注意すること
==ノーガード==
インターネットからのパケットは全てサーバーに流すようにする。パケットフィルタリングを行わない。
;利点:管理コストを低く抑えることができる。
;弱点:[http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%83%BB%E3%83%8E%E3%83%BC%E3%82%AC%E3%83%BC%E3%83%89%E6%88%A6%E6%B3%95 サイバー・ノーガード戦法]を取らざるを得ない。
=外部リンク=
*[http://itpro.nikkeibp.co.jp/article/NEWS/20080910/314570 IP電話に無言電話が着信する現象が多発,原因はインターネット上からの不正攻撃]
*[http://www.fusioncom.co.jp/oshirase/20080909_2.html FUSION IP-Phoneへの無言電話多発の対応策について]
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080827/313505/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃(前編)]
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080926/315503/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃(後編)]
*[http://www.voip-info.org/wiki/view/Asterisk+firewall+rules Asterisk firewall rules] ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例
近年、IAX,SIPポート宛の攻撃が多くなってきている。<BR>
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けるため、<BR>
防衛策を講じる必要が出てきている。
=パケットフィルタリングに対する4つの方針=
ガチガチにポートを閉めると、ユーザーからクレームが挙がる事があるので、セキュリティと利便性の両方を考慮し、<BR>
妥協点を探る必要があるだろう。<BR>
==IP直接指定==
特定のIPアドレスに限ってSIP/IAXポートを開放する。
;利点:基本的にはITSP経由での通信となるので、セキュリティホールを突付かれ難くなる。
;弱点:通信先のIPが変わった場合、通信できなくなるのでトラブルに見舞われやすい。(と思う)
==サブネット毎に開放==
サーバーが使用しているIPアドレスの使用範囲を絞り、その範囲内に限ってSIP/IAXポートでの通信を許可する。<BR>
ITSPを利用している場合は、Whoisゲートウェイを利用して、ITSPが使用しているIPアドレスの範囲を絞るようにする。
;利点:基本的にはサーバー(ITSP)経由での通信となるので、セキュリティホールを突付かれ難くなる。
;弱点:サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高い<BR>IPを一個だけ開けるよりかはトラブルになり難い。
==SIP/IAXポート全開==
;利点:サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能
;弱点:SIP/IAXへの攻撃を受ける可能性が高い。セキュリティホールに注意すること
==ノーガード==
インターネットからのパケットは全てサーバーに流すようにする。パケットフィルタリングを行わない。
;利点:管理コストを低く抑えることができる。
;弱点:[http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%83%BB%E3%83%8E%E3%83%BC%E3%82%AC%E3%83%BC%E3%83%89%E6%88%A6%E6%B3%95 サイバー・ノーガード戦法]を取らざるを得ない。
=外部リンク=
*[http://itpro.nikkeibp.co.jp/article/NEWS/20080910/314570 IP電話に無言電話が着信する現象が多発,原因はインターネット上からの不正攻撃]
*[http://www.fusioncom.co.jp/oshirase/20080909_2.html FUSION IP-Phoneへの無言電話多発の対応策について]
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080827/313505/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃(前編)]
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080926/315503/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃(後編)]
*[http://www.voip-info.org/wiki/view/Asterisk+firewall+rules Asterisk firewall rules] ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例