4,723
回編集
差分
→iptablesなどソースIPによるフィルタリング
一般的なセキュリティ対策と同様に通す/通さないIPアドレスが明確な場合には効果的な対策のひとつです。<br>
特定のIPアドレスないしは、レンジからのREGISTERやSIPのセッションしか通さないのであれば、そのIPアドレスに対してのみSIP(5060)とRTP(UDPの10000~20000など)を開きます。<br>
ただしこの方法は「相手」のIPアドレスが明確な場合にのみ使える方法です。<br>
==SIPのユーザ名/パスワードを、わかりにくくする==
===パスワードを長くする===
まず第一にパスワードを長くし、わかりにくい文字列に変更すると総当たりされた場合に、ヒットする確率を下げることができます。
===ピア名を長くする===
サンプルの設定ファイルでは簡素化のために"内線番号=SIPピア名"という形で記述していますが、これは必ずしもイコールである必要はありません。ここをイコールにしている理由は
exten => _2XX,1,Dial(SIP/${EXEN})
のように内線番号そのままでSIPピアにダイヤルしたいからです。もし、この利便性を捨ててかまわないのであれば、以下のような記述はアリです。
---sip.conf---
[4207f1257d2a12cb]
username=4207f1257d2a12cb
secret=なんちゃら
・
・
---extensions.conf
exten => 201,1,Dial(SIP/4207f1257d2a12cb)
内線番号とSIPのピア名の紐付けを行っているのはextenです。なので、extenの中で正しく記述されていれば、SIPのピア(ユーザ)名は内線番号と一致している必要はありません。