匿名

差分

パケットフィルタリング

785 バイト追加, 2009年2月25日 (水) 14:42
ですます調に変更。全体的な内容の見直し
=Asteriskとパケットフィルタリング=
近年、IAX,SIPポート宛の攻撃が多くなってきている。SIPポート宛の攻撃が多くなってきています。<BR>企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けるため、企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けます。<BR>防衛策を講じる必要が出てきている。また、サーバーを乗っ取られる可能性だけではなく、海外への電話発信の踏み台として使われた場合、法的/金銭的なリスクが発生します。<BR>そういったリスクを回避するため、防衛策を講じる必要があります。
=パケットフィルタリングに対する4つの方針=
ガチガチにポートを閉めると、ユーザーからクレームが挙がる事があるので、セキュリティと利便性の両方を考慮し、ガチガチにセキュリティを高め過ぎると利便性が失われ、ユーザーからクレームが挙がる事があります。<BR>妥協点を探る必要があるだろう。セキュリティと利便性の両方を考慮し、妥協点を探る必要があるでしょう。<BR> 
==IP直接指定==
特定のIPアドレスに限ってSIP/IAXポートを開放する。IAXポートを開放する方法。<BR>;SIP/IAXのパケットは指定した相手先のみ通信が可能になります。 ===利点:基本的にはITSP経由での通信となるので、セキュリティホールを突付かれ難くなる。===基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。 ;===弱点:通信先のIPが変わった場合、通信できなくなるのでトラブルに見舞われやすい。(と思う)===通信先のIPが変わった場合、通信できなくなるのでトラブルに遭いやすくなります。<BR>拠点間通信の場合、両方とも固定IPアドレスになっている必要があります。
==サブネット毎に開放==
サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式IAXポートでの通信を許可するホワイトリスト方式となります。
===利点===
基本的にはサーバー(ITSP)経由での通信となるので、セキュリティホールを突付かれ難くなる。基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。
===弱点===
*サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高いサーバーのIPアドレスが変わった場合、通信できなくなる可能性が高くなります。<BR>*拠点間通信をしている場合は通信を許可する必要あり拠点間通信をしている場合は、拠点毎に設定を確認する必要があります。<BR>*Re-Inviteが出来ない可能性有りInviteが出来ない可能性があります<BR>*障害の切り分けが面倒になる。障害の切り分けが面倒になります。<BR>*IPを一個だけ開けるよりはトラブルになり難い。IPを一個だけ開けるよりはトラブルになり難いでしょう。<BR>==SIP/IAXポート全開==
==SIP/IAXポート全開=利点===;利点:サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能です。<BR>IPアドレスの縛りが無いので利便性が高くなります。<BR>;===弱点:===SIP/IAXへの攻撃を受ける可能性が高い。セキュリティホールに注意することIAXへの攻撃を受ける可能性が高くなります。セキュリティホールに注意しましょう。
==ノーガード==
インターネットからのパケットは全てサーバーに流すようにする。パケットフィルタリングを行わない。インターネットからのパケットは全てサーバーに流すようにします。パケットフィルタリングを行わないやりかたになります。;===利点:管理コストを低く抑えることができる。===管理コストを低く抑えることができます。;===弱点:===[http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%83%BB%E3%83%8E%E3%83%BC%E3%82%AC%E3%83%BC%E3%83%89%E6%88%A6%E6%B3%95 サイバー・ノーガード戦法]を取らざるを得ない。によるセキュリティになります
=外部リンク=