「パケットフィルタリング」の版間の差分
細 (初版ながらも大体書いたので更新は多分無しばーじょん) |
(カテゴリ追加) |
||
(他の1人の利用者による、間の2版が非表示) | |||
1行目: | 1行目: | ||
=Asteriskとパケットフィルタリング= | =Asteriskとパケットフィルタリング= | ||
− | 近年、IAX, | + | 近年、IAX,SIPポート宛の攻撃が多くなってきています。<BR> |
− | + | 企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けます。<BR> | |
− | + | また、サーバーを乗っ取られる可能性だけではなく、海外への電話発信の踏み台として使われた場合、法的/金銭的なリスクが発生します。<BR> | |
+ | そういったリスクを回避するため、防衛策を講じる必要があります。 | ||
=パケットフィルタリングに対する4つの方針= | =パケットフィルタリングに対する4つの方針= | ||
− | + | ガチガチにセキュリティを高め過ぎると利便性が失われ、ユーザーからクレームが挙がる事があります。<BR> | |
− | + | セキュリティと利便性の両方を考慮し、妥協点を探る必要があるでしょう。<BR> | |
+ | |||
==IP直接指定== | ==IP直接指定== | ||
− | 特定のIPアドレスに限ってSIP/ | + | 特定のIPアドレスに限ってSIP/IAXポートを開放する方法。<BR> |
− | + | SIP/IAXのパケットは指定した相手先のみ通信が可能になります。 | |
− | + | ||
+ | ===利点=== | ||
+ | 基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。 | ||
+ | |||
+ | ===弱点=== | ||
+ | 通信先のIPが変わった場合、通信できなくなるのでトラブルに遭いやすくなります。<BR> | ||
+ | 拠点間通信の場合、両方とも固定IPアドレスになっている必要があります。 | ||
==サブネット毎に開放== | ==サブネット毎に開放== | ||
− | + | サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式となります。 | |
− | + | ===利点=== | |
− | + | 基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。 | |
− | + | ===弱点=== | |
+ | サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高くなります。<BR> | ||
+ | 拠点間通信をしている場合は、拠点毎に設定を確認する必要があります。<BR> | ||
+ | Re-Inviteが出来ない可能性があります<BR> | ||
+ | 障害の切り分けが面倒になります。<BR> | ||
+ | IPを一個だけ開けるよりはトラブルになり難いでしょう。<BR> | ||
==SIP/IAXポート全開== | ==SIP/IAXポート全開== | ||
− | + | ||
− | + | ===利点=== | |
+ | サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能です。<BR> | ||
+ | IPアドレスの縛りが無いので利便性が高くなります。<BR> | ||
+ | ===弱点=== | ||
+ | SIP/IAXへの攻撃を受ける可能性が高くなります。セキュリティホールに注意しましょう。 | ||
==ノーガード== | ==ノーガード== | ||
− | + | インターネットからのパケットは全てサーバーに流すようにします。パケットフィルタリングを行わないやりかたになります。 | |
− | + | ===利点=== | |
− | + | 管理コストを低く抑えることができます。 | |
+ | ===弱点=== | ||
+ | [http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%83%BB%E3%83%8E%E3%83%BC%E3%82%AC%E3%83%BC%E3%83%89%E6%88%A6%E6%B3%95 サイバー・ノーガード戦法]によるセキュリティになります | ||
=外部リンク= | =外部リンク= | ||
30行目: | 49行目: | ||
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080926/315503/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃(後編)] | *[http://itpro.nikkeibp.co.jp/article/COLUMN/20080926/315503/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃(後編)] | ||
*[http://www.voip-info.org/wiki/view/Asterisk+firewall+rules Asterisk firewall rules] ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例 | *[http://www.voip-info.org/wiki/view/Asterisk+firewall+rules Asterisk firewall rules] ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例 | ||
+ | [[Category:セキュリティ]] |
2010年7月25日 (日) 23:00時点における最新版
目次
Asteriskとパケットフィルタリング
近年、IAX,SIPポート宛の攻撃が多くなってきています。
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けます。
また、サーバーを乗っ取られる可能性だけではなく、海外への電話発信の踏み台として使われた場合、法的/金銭的なリスクが発生します。
そういったリスクを回避するため、防衛策を講じる必要があります。
パケットフィルタリングに対する4つの方針
ガチガチにセキュリティを高め過ぎると利便性が失われ、ユーザーからクレームが挙がる事があります。
セキュリティと利便性の両方を考慮し、妥協点を探る必要があるでしょう。
IP直接指定
特定のIPアドレスに限ってSIP/IAXポートを開放する方法。
SIP/IAXのパケットは指定した相手先のみ通信が可能になります。
利点
基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。
弱点
通信先のIPが変わった場合、通信できなくなるのでトラブルに遭いやすくなります。
拠点間通信の場合、両方とも固定IPアドレスになっている必要があります。
サブネット毎に開放
サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式となります。
利点
基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。
弱点
サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高くなります。
拠点間通信をしている場合は、拠点毎に設定を確認する必要があります。
Re-Inviteが出来ない可能性があります
障害の切り分けが面倒になります。
IPを一個だけ開けるよりはトラブルになり難いでしょう。
SIP/IAXポート全開
利点
サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能です。
IPアドレスの縛りが無いので利便性が高くなります。
弱点
SIP/IAXへの攻撃を受ける可能性が高くなります。セキュリティホールに注意しましょう。
ノーガード
インターネットからのパケットは全てサーバーに流すようにします。パケットフィルタリングを行わないやりかたになります。
利点
管理コストを低く抑えることができます。
弱点
サイバー・ノーガード戦法によるセキュリティになります
外部リンク
- IP電話に無言電話が着信する現象が多発,原因はインターネット上からの不正攻撃
- FUSION IP-Phoneへの無言電話多発の対応策について
- SIPスタックの実装の未熟さを突く攻撃(前編)
- SIPスタックの実装の未熟さを突く攻撃(後編)
- Asterisk firewall rules ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例