4,174
回編集
差分
→総当たり対策
SIPのユーザ名、パスワードを総当たりしてくる攻撃の対策方法。<br>
総当たりで来るので、対策はそこそこ面倒です。<br>
==SIPポート番号をずらす==
デフォルトのSIPポートは5060/udpですが、これを別なポート番号にしてください。<br>
現在よく見られる攻撃は5060を狙い撃ちで来ます。このためSIPポート番号を移動することによって効果的な"逃げ"が行えます。<br>
ただしSIPポート番号を変更した場合には電話機等のSIPクライアント側も設定変更を行う必要があります(当然ですが)。<br>
==iptablesなどソースIPによるフィルタリング==
一般的なセキュリティ対策と同様に通す/通さないIPアドレスが明確な場合には効果的な対策のひとつです。<br>
==Fail2banを使用する==
fail2ban はログファイルを検査することにより、iptablesへ登録することでブロックする方式のツールです。SSHへのBruto Forceアタック対策などに使用されますが、Asteriskのログ検査を行うことでSIPをブロックするのにも使用できます。<br>
→[[AsteriskSIP-fail2banFail2ban]]
==ドメイン認証を使う==
exten => _201.,1,Dial(SIP/5e8518af331d-${EXTEN})
このフレーズの部分 5e8518af331d を使うことで、ピア名を長くしてしまうわけです。
==Asterisk 11の名前付きACLを使う==
Asterisk 11から名前付きACL(Named ACL)が使用可能になっています。これを使うことで、SIPのピア毎にアクセス制御をかけることが可能です。
*[[Asterisk 11 名前付きACL]]
=外にかけられないように対策=
海外に通話できる番号を禁止してしまいましょう。そうすれば海外に対して発信できないので超高額な電話代の請求をされる可能性は、ぐっと低くなります。<br>
例えば頭が'00'とか'010'に対しては発信させないようにextenで書いてしまいます。ですが、これでは国際通話ができないので不便という場合には「超長いプレフィックス」などを使うとダイヤルできるようにしておくと良いでしょう。<br>
==そもそもの海外発信契約を止める==
キャリアと契約すると黙っていても国際通話ができるようになっていますが、これを止めます。一番安全かもしれません。
[[Category:セキュリティ]]
