パケットフィルタリングのソースを表示

=Asteriskとパケットフィルタリング=
近年、IAX,SIPポート宛の攻撃が多くなってきています。<BR>
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けます。<BR>
また、サーバーを乗っ取られる可能性だけではなく、海外への電話発信の踏み台として使われた場合、法的/金銭的なリスクが発生します。<BR>
そういったリスクを回避するため、防衛策を講じる必要があります。
=パケットフィルタリングに対する4つの方針=
ガチガチにセキュリティを高め過ぎると利便性が失われ、ユーザーからクレームが挙がる事があります。<BR>
セキュリティと利便性の両方を考慮し、妥協点を探る必要があるでしょう。<BR>

==IP直接指定==
特定のIPアドレスに限ってSIP/IAXポートを開放する方法。<BR>
SIP/IAXのパケットは指定した相手先のみ通信が可能になります。

===利点===
基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。

===弱点===
通信先のIPが変わった場合、通信できなくなるのでトラブルに遭いやすくなります。<BR>
拠点間通信の場合、両方とも固定IPアドレスになっている必要があります。

==サブネット毎に開放==
サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式となります。
===利点===
基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。
===弱点===
サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高くなります。<BR>
拠点間通信をしている場合は、拠点毎に設定を確認する必要があります。<BR>
Re-Inviteが出来ない可能性があります<BR>
障害の切り分けが面倒になります。<BR>
IPを一個だけ開けるよりはトラブルになり難いでしょう。<BR>
==SIP/IAXポート全開==

===利点===
サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能です。<BR>
IPアドレスの縛りが無いので利便性が高くなります。<BR>
===弱点===
SIP/IAXへの攻撃を受ける可能性が高くなります。セキュリティホールに注意しましょう。
==ノーガード==
インターネットからのパケットは全てサーバーに流すようにします。パケットフィルタリングを行わないやりかたになります。
===利点===
管理コストを低く抑えることができます。
===弱点===
[http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%83%BB%E3%83%8E%E3%83%BC%E3%82%AC%E3%83%BC%E3%83%89%E6%88%A6%E6%B3%95 サイバー・ノーガード戦法]によるセキュリティになります

=外部リンク=
*[http://itpro.nikkeibp.co.jp/article/NEWS/20080910/314570 IP電話に無言電話が着信する現象が多発，原因はインターネット上からの不正攻撃]
*[http://www.fusioncom.co.jp/oshirase/20080909_2.html FUSION IP-Phoneへの無言電話多発の対応策について]
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080827/313505/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃（前編）]
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080926/315503/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃（後編）]
*[http://www.voip-info.org/wiki/view/Asterisk+firewall+rules Asterisk firewall rules] ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例
[[Category:セキュリティ]]