292
回編集
差分
カテゴリ追加
=Asteriskとパケットフィルタリング=
近年、IAX,SIPポート宛の攻撃が多くなってきている。SIPポート宛の攻撃が多くなってきています。<BR>企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けるため、企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けます。<BR>防衛策を講じる必要が出てきている。また、サーバーを乗っ取られる可能性だけではなく、海外への電話発信の踏み台として使われた場合、法的/金銭的なリスクが発生します。<BR>そういったリスクを回避するため、防衛策を講じる必要があります。
=パケットフィルタリングに対する4つの方針=
==IP直接指定==
特定のIPアドレスに限ってSIP/IAXポートを開放する。IAXポートを開放する方法。<BR>;SIP/IAXのパケットは指定した相手先のみ通信が可能になります。 ===利点:基本的にはITSP経由での通信となるので、セキュリティホールを突付かれ難くなる。===基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。 ;===弱点:通信先のIPが変わった場合、通信できなくなるのでトラブルに見舞われやすい。(と思う)===通信先のIPが変わった場合、通信できなくなるのでトラブルに遭いやすくなります。<BR>拠点間通信の場合、両方とも固定IPアドレスになっている必要があります。
==サブネット毎に開放==
サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式IAXポートでの通信を許可するホワイトリスト方式となります。
===利点===
===弱点===
==SIP/IAXポート全開=利点===;利点:サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能です。<BR>IPアドレスの縛りが無いので利便性が高くなります。<BR>;===弱点:===SIP/IAXへの攻撃を受ける可能性が高い。セキュリティホールに注意することIAXへの攻撃を受ける可能性が高くなります。セキュリティホールに注意しましょう。
==ノーガード==
=外部リンク=
*[http://itpro.nikkeibp.co.jp/article/COLUMN/20080926/315503/?ST=ipcom SIPスタックの実装の未熟さを突く攻撃(後編)]
*[http://www.voip-info.org/wiki/view/Asterisk+firewall+rules Asterisk firewall rules] ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例
[[Category:セキュリティ]]