パケットフィルタリング

2009年2月25日 (水) 14:42時点におけるMR G (トーク | 投稿記録)による版 (ですます調に変更。全体的な内容の見直し)

目次

Asteriskとパケットフィルタリング

近年、IAX,SIPポート宛の攻撃が多くなってきています。
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けます。
また、サーバーを乗っ取られる可能性だけではなく、海外への電話発信の踏み台として使われた場合、法的/金銭的なリスクが発生します。
そういったリスクを回避するため、防衛策を講じる必要があります。

パケットフィルタリングに対する4つの方針

ガチガチにセキュリティを高め過ぎると利便性が失われ、ユーザーからクレームが挙がる事があります。
セキュリティと利便性の両方を考慮し、妥協点を探る必要があるでしょう。

IP直接指定

特定のIPアドレスに限ってSIP/IAXポートを開放する方法。
SIP/IAXのパケットは指定した相手先のみ通信が可能になります。

利点

基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。

弱点

通信先のIPが変わった場合、通信できなくなるのでトラブルに遭いやすくなります。
拠点間通信の場合、両方とも固定IPアドレスになっている必要があります。

サブネット毎に開放

サーバー(ITSPなど)が使用しているIPアドレス帯をWhoisゲートウェイなどで確認し、その範囲に限ってSIP/IAXポートでの通信を許可するホワイトリスト方式となります。

利点

基本的にはITSPや許可した相手との通信となるので、セキュリティホールを突付かれ難くなります。

弱点

サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高くなります。
拠点間通信をしている場合は、拠点毎に設定を確認する必要があります。
Re-Inviteが出来ない可能性があります
障害の切り分けが面倒になります。
IPを一個だけ開けるよりはトラブルになり難いでしょう。

SIP/IAXポート全開

利点

サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能です。
IPアドレスの縛りが無いので利便性が高くなります。

弱点

SIP/IAXへの攻撃を受ける可能性が高くなります。セキュリティホールに注意しましょう。

ノーガード

インターネットからのパケットは全てサーバーに流すようにします。パケットフィルタリングを行わないやりかたになります。

利点

管理コストを低く抑えることができます。

弱点

サイバー・ノーガード戦法によるセキュリティになります

外部リンク