差分
新しいページ: 'AsteriskのSIPのセキュリティを向上させる方法 =大前提= まず第一に用事がない(外からREGISTさせる必要がない)Asteriskはインターネッ...'
AsteriskのSIPのセキュリティを向上させる方法
=大前提=
まず第一に用事がない(外からREGISTさせる必要がない)Asteriskはインターネットから到達可能な所に置かない、つまりインターネットに出さない/開かないのが当然の措置です。一般的な内線網であれば、外部との接続にはゲートウェイ等が用いられるためIPリーチャブルなところにAsteriskを置く必要はありません。<br>
サンプル設定ファイルをそのまま使用してはいけません。サンプル設定ファイルの中身は「誰でも」見られますし、公開されています。つまり攻撃者も同じ情報を入手できるということです。<br>
当たり前の話ですが、外部に対してサーバを開くことの危険性を理解していないのであれば、サーバをインターネット上に出すべきではありません。
=総当たり対策=
SIPのユーザ名、パスワードを総当たりしてくる攻撃の対策方法。<br>
総当たりで来るので、対策はそこそこ面倒です。<br>
==iptablesなどソースIPによるフィルタリング==
一般的なセキュリティ対策と同様に通す/通さないIPアドレスが明確な場合には効果的な対策のひとつです。<br>
特定のIPアドレスないしは、レンジからのREGISTERやSIPのセッションしか通さないのであれば、そのIPアドレスに対してのみSIP(5060)とRTP(UDPの10000~20000など)を開きます。<br>
=大前提=
まず第一に用事がない(外からREGISTさせる必要がない)Asteriskはインターネットから到達可能な所に置かない、つまりインターネットに出さない/開かないのが当然の措置です。一般的な内線網であれば、外部との接続にはゲートウェイ等が用いられるためIPリーチャブルなところにAsteriskを置く必要はありません。<br>
サンプル設定ファイルをそのまま使用してはいけません。サンプル設定ファイルの中身は「誰でも」見られますし、公開されています。つまり攻撃者も同じ情報を入手できるということです。<br>
当たり前の話ですが、外部に対してサーバを開くことの危険性を理解していないのであれば、サーバをインターネット上に出すべきではありません。
=総当たり対策=
SIPのユーザ名、パスワードを総当たりしてくる攻撃の対策方法。<br>
総当たりで来るので、対策はそこそこ面倒です。<br>
==iptablesなどソースIPによるフィルタリング==
一般的なセキュリティ対策と同様に通す/通さないIPアドレスが明確な場合には効果的な対策のひとつです。<br>
特定のIPアドレスないしは、レンジからのREGISTERやSIPのセッションしか通さないのであれば、そのIPアドレスに対してのみSIP(5060)とRTP(UDPの10000~20000など)を開きます。<br>
