セキュリティ

SPIT (SPam over Internet Telephony), TDoS (Telephony Denial-Of-Service), Fuzzing, War dialer などを利用した、SIPサーバに対する攻撃に備えて、以下について注意してください。

 

– Brekeke SIP Server/PBX v3.2 以降で、Block List 機能が実装されています。SIPサーバに対するアタックに対して、様々なポリシーにより送信元の IPアドレスをブロックします。インターネットから、SIPサーバのSIPポートにアクセスを許可する場合は、必ず、Block List機能をオンにしてください。

– 管理画面のデフォルトパスワードは、必ず変更してください。

– SIPの認証情報が漏洩しないようにしてください。オート・プロビジョニング機能を利用して認証情報を管理すると、端末にマニュアルでパスワードを設定する作業が必要なくなり、漏洩の確立を下げることができます。

– 状況に応じて、管理画面へのアクセスは、SSLを利用してください

– Brekeke製品は、なるべく新しいバージョンにバージョンアップするようにしてください。

– Brekeke SIP Server アドミニストレーター・ガイド のセクション 9. Security を参考にしてください。

– ダイヤルプランに下記の設定を追加してください。

 

ダイヤルプランの追加 (バージョン3.2 以降)

管理画面の [SIP Server] > [Dial Plan] > [Preliminary] 画面で、以下の設定を入れることで、攻撃に利用されるメジャーなツールからのアクセスを禁止します。

Brekeke PBX v3.8 以降ではデフォルトの Preliminary ルールとして、マッチングパターンに $pbx.precheck = ^true、デプロイパターンに $pbx.preprocess が存在します。その場合は下記の設定は必要ありません。

---------------------------------------
[Matching Patterns]
$str.lowercase(User-Agent) = friendly-scanner|sundayddr|vaxsipuseragent|sipcli|custom|pplsip|vaxsipuseragent|sipscan|sipvicious|sipptk
$request = ^(\S+)

[Deploy Patterns]
$action = block
$param = Method=%1 UA=%{User-Agent}
----------------------------------------
---------------------------------------
[Matching Patterns]
From = sipsscuser|sipvicious
$request = ^(\S+)

[Deploy Patterns]
$action = block
$param = Method=%1 UA=%{User-Agent}
----------------------------------------

この例の Preliminaryルール にマッチしたリクエストの情報は、[SYSTEM] > [Block List] > [Blocked IP Address] 画面からチェックできます。$param に設定された、SIPメソッドと User-Agent ヘッダーの内容が、[Reason] として入ります。