SPIT (SPam over Internet Telephony), TDoS (Telephony Denial-Of-Service), Fuzzing, War dialer などを利用した、SIPサーバに対する攻撃に備えて、以下について注意してください。
– Brekeke SIP Server/PBX v3.2 以降で、ブロックリスト機能が実装されています。SIPサーバに対するアタックに対して、様々なポリシーにより送信元の IPアドレスをブロックします。インターネットから、SIPサーバーのSIPポートにアクセスを許可する場合は、必ず、ブロックリスト機能をオンにしてください。
– 管理画面のデフォルトパスワードは、必ず変更してください。
– SIPの認証情報が漏洩しないようにしてください。オート・プロビジョニング機能を利用して認証情報を管理すると、端末にマニュアルでパスワードを設定する作業が必要なくなり、漏洩の確立を下げることができます。
– 可能であれば、SIPサーバーの前にファイアウォールを使用して、不明なリモートIPアドレスをブロックしてください。
– 状況に応じて、管理画面へのアクセスは、SSLを利用してください。
– Brekeke製品は、なるべく新しいバージョンにバージョンアップするようにしてください。
– Brekeke SIP Server アドミニストレーター・ガイド のセクション 9. Security を参考にしてください。
– クライアントのSIPデバイスのSIPポートを5060ではなく、他のポートに変更してください。
– ダイヤルプランに下記の設定を追加してください。
ダイヤルプランの追加 (バージョン3.2 以降)
管理画面の [SIP Server] > [Dial Plan] > [Preliminary] 画面で、以下の設定を入れることで、攻撃に利用されるメジャーなツールからのアクセスを禁止します。
※Brekeke PBX v3.8 以降ではデフォルトの Preliminary ルールとして、マッチングパターンに $pbx.precheck = ^true、デプロイパターンに $pbx.preprocess が存在します。その場合は下記の設定は必要ありません。
---------------------------------------
[Matching Patterns]
$str.lowercase(User-Agent) = friendly-scanner|sundayddr|vaxsipuseragent|sipcli|custom|pplsip|vaxsipuseragent|sipscan|sipvicious|sipptk
$request = ^(\S+)
[Deploy Patterns]
$action = block
$param = Method=%1 UA=%{User-Agent}
----------------------------------------
---------------------------------------
[Matching Patterns]
From = sipsscuser|sipvicious
$request = ^(\S+)
[Deploy Patterns]
$action = block
$param = Method=%1 UA=%{User-Agent}
----------------------------------------
この例の Preliminaryルール にマッチしたリクエストの情報は、[SYSTEM] > [Block List] > [Blocked IP Address] 画面からチェックできます。$param に設定された、SIPメソッドと User-Agent ヘッダーの内容が、[Reason] として入ります。