「パケットフィルタリング」の版間の差分

提供: VoIP-Info.jp
移動先: 案内検索
(初版ながらも大体書いたので更新は多分無しばーじょん)
 
(カテゴリ追加)
 
(他の1人の利用者による、間の2版が非表示)
1行目: 1行目:
 
=Asteriskとパケットフィルタリング=
 
=Asteriskとパケットフィルタリング=
近年、IAX,SIPポート宛の攻撃が多くなってきている。<BR>
+
近年、IAX,SIPポート宛の攻撃が多くなってきています。<BR>
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けるため、<BR>
+
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けます。<BR>
防衛策を講じる必要が出てきている。
+
また、サーバーを乗っ取られる可能性だけではなく、海外への電話発信の踏み台として使われた場合、法的/金銭的なリスクが発生します。<BR>
 +
そういったリスクを回避するため、防衛策を講じる必要があります。
 
=パケットフィルタリングに対する4つの方針=
 
=パケットフィルタリングに対する4つの方針=
ガチガチにポートを閉めると、ユーザーからクレームが挙がる事があるので、セキュリティと利便性の両方を考慮し、<BR>
+
ガチガチにセキュリティを高め過ぎると利便性が失われ、ユーザーからクレームが挙がる事があります。<BR>
妥協点を探る必要があるだろう。<BR>
+
セキュリティと利便性の両方を考慮し、妥協点を探る必要があるでしょう。<BR>
 +
 
 
==IP直接指定==
 
==IP直接指定==
特定のIPアドレスに限ってSIP/IAXポートを開放する。
+
特定のIPアドレスに限ってSIP/IAXポートを開放する方法。<BR>
;利点:基本的にはITSP経由での通信となるので、セキュリティホールを突付かれ難くなる。
+
SIP/IAXのパケットは指定した相手先のみ通信が可能になります。
;弱点:通信先のIPが変わった場合、通信できなくなるのでトラブルに見舞われやすい。(と思う)
+
 
 +
===利点===
 +
基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。
 +
 
 +
===弱点===
 +
通信先のIPが変わった場合、通信できなくなるのでトラブルに遭いやすくなります。<BR>
 +
拠点間通信の場合、両方とも固定IPアドレスになっている必要があります。
  
 
==サブネット毎に開放==
 
==サブネット毎に開放==
サーバーが使用しているIPアドレスの使用範囲を絞り、その範囲内に限ってSIP/IAXポートでの通信を許可する。<BR>
+
サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式となります。
ITSPを利用している場合は、Whoisゲートウェイを利用して、ITSPが使用しているIPアドレスの範囲を絞るようにする。
+
===利点===
;利点:基本的にはサーバー(ITSP)経由での通信となるので、セキュリティホールを突付かれ難くなる。
+
基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。
;弱点:サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高い<BR>IPを一個だけ開けるよりかはトラブルになり難い。
+
===弱点===
 +
サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高くなります。<BR>
 +
拠点間通信をしている場合は、拠点毎に設定を確認する必要があります。<BR>
 +
Re-Inviteが出来ない可能性があります<BR>
 +
障害の切り分けが面倒になります。<BR>
 +
IPを一個だけ開けるよりはトラブルになり難いでしょう。<BR>
 
==SIP/IAXポート全開==
 
==SIP/IAXポート全開==
;利点:サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能
+
 
;弱点:SIP/IAXへの攻撃を受ける可能性が高い。セキュリティホールに注意すること
+
===利点===
 +
サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能です。<BR>
 +
IPアドレスの縛りが無いので利便性が高くなります。<BR>
 +
===弱点===
 +
SIP/IAXへの攻撃を受ける可能性が高くなります。セキュリティホールに注意しましょう。
 
==ノーガード==
 
==ノーガード==
インターネットからのパケットは全てサーバーに流すようにする。パケットフィルタリングを行わない。
+
インターネットからのパケットは全てサーバーに流すようにします。パケットフィルタリングを行わないやりかたになります。
;利点:管理コストを低く抑えることができる。
+
===利点===
;弱点:[http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%83%BB%E3%83%8E%E3%83%BC%E3%82%AC%E3%83%BC%E3%83%89%E6%88%A6%E6%B3%95 サイバー・ノーガード戦法]を取らざるを得ない。
+
管理コストを低く抑えることができます。
 +
===弱点===
 +
[http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%83%BB%E3%83%8E%E3%83%BC%E3%82%AC%E3%83%BC%E3%83%89%E6%88%A6%E6%B3%95 サイバー・ノーガード戦法]によるセキュリティになります
  
 
=外部リンク=
 
=外部リンク=
30行目: 49行目:
 
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080926/315503/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃(後編)]
 
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080926/315503/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃(後編)]
 
*[http://www.voip-info.org/wiki/view/Asterisk+firewall+rules Asterisk firewall rules] ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例
 
*[http://www.voip-info.org/wiki/view/Asterisk+firewall+rules Asterisk firewall rules] ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例
 +
[[Category:セキュリティ]]

2010年7月25日 (日) 23:00時点における最新版

Asteriskとパケットフィルタリング

近年、IAX,SIPポート宛の攻撃が多くなってきています。
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けます。
また、サーバーを乗っ取られる可能性だけではなく、海外への電話発信の踏み台として使われた場合、法的/金銭的なリスクが発生します。
そういったリスクを回避するため、防衛策を講じる必要があります。

パケットフィルタリングに対する4つの方針

ガチガチにセキュリティを高め過ぎると利便性が失われ、ユーザーからクレームが挙がる事があります。
セキュリティと利便性の両方を考慮し、妥協点を探る必要があるでしょう。

IP直接指定

特定のIPアドレスに限ってSIP/IAXポートを開放する方法。
SIP/IAXのパケットは指定した相手先のみ通信が可能になります。

利点

基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。

弱点

通信先のIPが変わった場合、通信できなくなるのでトラブルに遭いやすくなります。
拠点間通信の場合、両方とも固定IPアドレスになっている必要があります。

サブネット毎に開放

サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式となります。

利点

基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。

弱点

サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高くなります。
拠点間通信をしている場合は、拠点毎に設定を確認する必要があります。
Re-Inviteが出来ない可能性があります
障害の切り分けが面倒になります。
IPを一個だけ開けるよりはトラブルになり難いでしょう。

SIP/IAXポート全開

利点

サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能です。
IPアドレスの縛りが無いので利便性が高くなります。

弱点

SIP/IAXへの攻撃を受ける可能性が高くなります。セキュリティホールに注意しましょう。

ノーガード

インターネットからのパケットは全てサーバーに流すようにします。パケットフィルタリングを行わないやりかたになります。

利点

管理コストを低く抑えることができます。

弱点

サイバー・ノーガード戦法によるセキュリティになります

外部リンク