「パケットフィルタリング」の版間の差分
提供: VoIP-Info.jp
細 (初版ながらも大体書いたので更新は多分無しばーじょん) |
細 (→サブネット毎に開放) |
||
| 12行目: | 12行目: | ||
==サブネット毎に開放== | ==サブネット毎に開放== | ||
| − | + | サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式 | |
| − | + | ===利点=== | |
| − | + | 基本的にはサーバー(ITSP)経由での通信となるので、セキュリティホールを突付かれ難くなる。 | |
| − | + | ===弱点=== | |
| + | *サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高い | ||
| + | *拠点間通信をしている場合は通信を許可する必要あり | ||
| + | *Re-Inviteが出来ない可能性有り | ||
| + | *障害の切り分けが面倒になる。 | ||
| + | *IPを一個だけ開けるよりはトラブルになり難い。 | ||
| + | |||
==SIP/IAXポート全開== | ==SIP/IAXポート全開== | ||
;利点:サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能 | ;利点:サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能 | ||
2009年2月25日 (水) 11:35時点における版
目次
Asteriskとパケットフィルタリング
近年、IAX,SIPポート宛の攻撃が多くなってきている。
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けるため、
防衛策を講じる必要が出てきている。
パケットフィルタリングに対する4つの方針
ガチガチにポートを閉めると、ユーザーからクレームが挙がる事があるので、セキュリティと利便性の両方を考慮し、
妥協点を探る必要があるだろう。
IP直接指定
特定のIPアドレスに限ってSIP/IAXポートを開放する。
- 利点
- 基本的にはITSP経由での通信となるので、セキュリティホールを突付かれ難くなる。
- 弱点
- 通信先のIPが変わった場合、通信できなくなるのでトラブルに見舞われやすい。(と思う)
サブネット毎に開放
サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式
利点
基本的にはサーバー(ITSP)経由での通信となるので、セキュリティホールを突付かれ難くなる。
弱点
- サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高い
- 拠点間通信をしている場合は通信を許可する必要あり
- Re-Inviteが出来ない可能性有り
- 障害の切り分けが面倒になる。
- IPを一個だけ開けるよりはトラブルになり難い。
SIP/IAXポート全開
- 利点
- サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能
- 弱点
- SIP/IAXへの攻撃を受ける可能性が高い。セキュリティホールに注意すること
ノーガード
インターネットからのパケットは全てサーバーに流すようにする。パケットフィルタリングを行わない。
- 利点
- 管理コストを低く抑えることができる。
- 弱点
- サイバー・ノーガード戦法を取らざるを得ない。
外部リンク
- IP電話に無言電話が着信する現象が多発,原因はインターネット上からの不正攻撃
- FUSION IP-Phoneへの無言電話多発の対応策について
- SIPスタックの実装の未熟さを突く攻撃(前編)
- SIPスタックの実装の未熟さを突く攻撃(後編)
- Asterisk firewall rules ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例
