Asteriskとパケットフィルタリング

近年、IAX,SIPポート宛の攻撃が多くなってきている。
企業内で050番号を使用している場合や拠点間接続をしている場合、外部からの攻撃により、サーバーどころか各電話機までもがダメージを受けるため、
防衛策を講じる必要が出てきている。

パケットフィルタリングに対する4つの方針

ガチガチにポートを閉めると、ユーザーからクレームが挙がる事があるので、セキュリティと利便性の両方を考慮し、
妥協点を探る必要があるだろう。

IP直接指定

特定のIPアドレスに限ってSIP/IAXポートを開放する。

利点

基本的にはITSP経由での通信となるので、セキュリティホールを突付かれ難くなる。

弱点

通信先のIPが変わった場合、通信できなくなるのでトラブルに見舞われやすい。(と思う)

サブネット毎に開放

サーバーが使用しているIPアドレスの使用範囲を絞り、その範囲内に限ってSIP/IAXポートでの通信を許可する。
ITSPを利用している場合は、Whoisゲートウェイを利用して、ITSPが使用しているIPアドレスの範囲を絞るようにする。

利点

基本的にはサーバー(ITSP)経由での通信となるので、セキュリティホールを突付かれ難くなる。

弱点

サーバーのIPアドレスが変わった場合、通信できなくなる可能性が高い
IPを一個だけ開けるよりかはトラブルになり難い。

SIP/IAXポート全開

利点

サーバー側でIPアドレスを変えても問題なくSIPでの通信が可能

弱点

SIP/IAXへの攻撃を受ける可能性が高い。セキュリティホールに注意すること

ノーガード

インターネットからのパケットは全てサーバーに流すようにする。パケットフィルタリングを行わない。

利点

管理コストを低く抑えることができる。

弱点

サイバー・ノーガード戦法を取らざるを得ない。

外部リンク

• IP電話に無言電話が着信する現象が多発，原因はインターネット上からの不正攻撃
• FUSION IP-Phoneへの無言電話多発の対応策について
• SIPスタックの実装の未熟さを突く攻撃（前編）
• SIPスタックの実装の未熟さを突く攻撃（後編）
• Asterisk firewall rules ←voip-info.orgの記事。UNIX系OSでのファイアウォールの例