VoIPネットワークセキュリティ

すべてにご挨拶。 SBCがVoIPネットワークを保護し、トラフィックの盗難を防止し、DoS / DDoS攻撃を反映し、VoIPサービスに完全なセキュリティを提供するという多くの記事がネットワーク上ですでに書かれています。 しかし、VoIPおよびSIPの世界における実際の攻撃とセキュリティを提供する技術についてはほとんど書かれていません。 この記事では、VoIPの世界での攻撃、その機能、従来のネットワーク攻撃との違い、AudioCodes SBCがこれらの攻撃をどのように防止し、誰もが書いているまさにその保護を提供する方法について説明しようとしました。



最初に、2つの基本的なSBC構成を定義します。

1. SIPトランクは、IPネットワークを介してSIPオペレーターに接続するために使用される場合、SBCの最も一般的な使用方法です。
2. 登録-SBCを使用して、リモートサブスクライバーをインターネットからIP PBX（たとえば、アスタリスク）に接続します。

セキュリティの観点から見ると、両者は大きく異なります。最初のケースでは、呼び出し元がわかっているためです（ただし、常にそうとは限りませんが、後で詳しく説明します）。 2番目のケースでは、登録と通話の発信元が最初はわかりません。 私の例はすべて、将来これらの2つのSBC（SIP）接続オプションを参照します。

セキュリティ設定は、最も単純なもの、つまり次のもので行う必要があります。

1. 制御インターフェイスは内部ネットワーク上でのみ設定し、できればアラームとは別に設定してください。 AudioCodes SBCのネットワークインターフェイスの役割にはいくつかの意味があります。 SBCの管理には、OAMPロールを持つインターフェイスが使用されます。 このインターフェイスは、内部ネットワークに配置する必要があります（特に、企業内から攻撃が発生する可能性がある大企業の場合）には、VoIPネットワークとは無関係の専用サブネットに配置する必要があります。
2. 可能であれば、非標準ポートを使用してください。 これは特に企業ネットワークに当てはまります。通信事業者は顧客を接続するためのポートについて通知することを余儀なくされ、事業者がどのアドレスとポートを使用しているかを見つけることは問題ではありません。 企業ネットワークについて話す場合、アドレスとポートに関する情報はどこにも公開されないため、それらを見つけるためのオプションは、メッセージでポートを確認するか、このアドレスを聞くだけです。 ほとんどの場合、VoIPネットワークに侵入する詐欺師は、テストSIPメッセージを多数のアドレスに送信し、応答を待つことから始まります。 答えを受け取ると、システムを破壊し始めます。 SIPに非標準のSIPポート5060を使用する場合、これにより少なくともSIPアドレスが見つかる可能性が低くなります。 AudioCodes SBCでは、インターネットに向かう任意のポートを使用できます。ポートは、ネットワーク内で使用されるポートとは異なる場合があります。 SBCが実行されるSIPポートは、SIPインターフェイステーブルで設定されます。 また、作業する予定のプロトコル（UDP / TCP / TLS）のみを構成することも重要です。 ポートが使用されていない場合は、値「0」のままにしてください。この場合、このポートはこのSIPインターフェースでは機能しません。
3. SIPトランクを設定するには、可能な限り、レベル3ファイアウォールを設定し、SIPメッセージとRTPトラフィックがSBCにアクセスできるアドレスのみを残す必要があります。 これらの設定はメニューで行います：（設定タブ> VoIPメニュー>セキュリティ>ファイアウォール設定）。 ただし、設定する際に考慮すべき点がいくつかあります。
   
   
   • ほとんどの場合、SIPトランクはIPアドレスではなく、ドメイン名に構成されます。 したがって、パブリックインターネットに使用されるDNSサーバーへのポートを開くことを忘れないでください。そうしないと、SBCはサーバーアドレスを見つけられません。
   • ジョイントに大規模なオペレーターまたは大規模なシステムが付属している場合、IPアドレスを正しく判別することは常に可能とはほど遠いです。 これは、オペレーターが同じ名前で動作する複数のシステムを使用しているという事実によるものです。 さらに、そこのIPアドレスは削除または追加できます。これが、ある時点でのすべての呼び出しが機能しなくなるか、呼び出しの一部になる理由です。
   したがって、標準のファイアウォールを使用することが望ましいですが、テレフォニーサービスを損なわないように慎重に賢明に使用する必要があります。
4. 次に、コールアドミッション制御-コール制御を構成します。 これらは、通話とSIPメッセージの両方に対するさまざまな制限です。 ここでは、異なるSBC構成（SIPトランクと登録）の値が異なります。
   
   
   • 同時セッション。 同時接続の数を制限してください。 SIPトランクについて説明する場合、各オペレーターのセッション数は、彼から購入するセッション数以下である必要があります。 理論的には、オペレーターはより多くのセッションをブロックする必要がありますが、ここでは「信頼する方がよいが、自宅でさらに確認する」という原則でこの問題に取り組む価値があります。 インターネット経由でユーザーを接続すること（登録構成）について話す場合、1つ、最大2つの同時呼び出しに、かなり厳密に制限する必要があります。 コールを転送できるようにするために、2つのコールが必要になる場合があります。 同時に、攻撃者はシステム内の追加の「ホール」としてコール転送を使用できます。 したがって、この設定を使用すると、コールはシステムに転送され、必要な場所に転送されます。次に、2番目のコールを設定して転送することもできます。
   • SIPトランクの場合、音声トラフィックの増加に対する制限を設定する価値もあります。 十分に大きいVoIP接続を使用すると、制御が難しくなり、成長の急増を判断するのがかなり難しくなります。 メカニズムの1つは、各方向の1秒あたりのセッションの制限です。 登録を使用した構成について説明する場合、これは特に、攻撃者がパスワードを取得しようとするときに、1秒あたりの登録試行回数を制限する場合に当てはまります。 。
   
   
   AudioCodes SBCでは、システム全体、および個々の宛先または個別のSIPインターフェイスに対してコールアドミッション制御を設定できます。 また、リモートサブスクライバーの場合、個々のユーザーに制限を構成できます。 コールアドミッションコントロールは、次のように構成されます。（[構成]タブ> [VoIP]メニュー> [SBC]> [アドミッションコントロール]）
5. セキュリティを構成する次の手順は、ルーティングを構成することです。 ルーティングを設定するときは、ルーティングに使用される数値形式を注意深く調べる必要があります。 小さなプレフィックス、*文字、および一般的な規則は避けてください。 指定された数値の長さの値を持つ数値形式をより頻繁に使用します。 コールルーティングは、可能な限り詳細にする必要があります。これにより、コールは、目的の番号および特定の番号からのみ発信できます。 これはかなり単純なルールですが、残念ながら多くの人が忘れています。
6. もう1つの重要な設定は、メッセージが特定の要件を満たしていることを確認するためのメッセージの修飾です。 簡単な例として、私は以下を与えることができます。 会社の標準として、同社は（例として）sipphoneのスマートフォン用のソフトウェアクライアントを使用しています。 これらは、「User-Agent：sipphone-version-9.99」という形式のユーザーエージェントフィールドを使用します。 この場合、SBCでは、user-agentフィールドに（sipphone-version-）（。*）が含まれるデバイスからのみ登録と呼び出しを受け入れるように設定する必要があります。 そのため、デバイスを十分に正確に識別するために十分な数のルールを設定でき、攻撃者は自分が使用する正しいSIPメッセージ形式を選択するのに多くの時間を費やす必要があります。
7. どの会社（特に通信事業者）でも、トラフィックの盗難はパスワード（人的要因）の平凡な盗難によって行われます。 アクセスパラメータとパスワードを使用したログインにより、ネットワークを簡単かつ簡単にハッキングし、必要に応じてトラフィックを生成できます。 保護として、従業員に伝達されないSIP電話で個別のログイン/パスワードを使用できます。 しかし、残念なことに、これはさまざまな理由で常に可能とは限りません。 たとえば、オペレータは、クライアントが任意のデバイスを使用して登録できるように、独自のソフトウェアスイッチにアクセスするためのユーザー名/パスワードを提供します。 IPテレフォニーネットワークをさらに保護するために、AudioCodesは独自のパスワードを持つユーザーの個別のリストを設定します。 これにより、人的要因の影響を減らすことができます。これは、ネットワーク内部から登録用のパスワードを知っているため、外部から同じパスワードで登録することができず、外部からのパスワードの制御がより困難になるためです（たとえば、IT部門のみがスマートフォンを設定するなど）。 通信事業者の場合、そのような決定はRestAPIを使用して行われますが、このトピックは別の記事です。 また、これにより、SBCデータベース内のユーザーにのみ外部アクセスを提供できます。
8. （まれではありますが）攻撃する1つの方法は、誤ったSIPメッセージをデバイスに送信することです。 これは、IP PBXを無効にするために行われます。このようなメッセージを処理するときに、IP PBXがこのメッセージを正しく認識せず、失敗するか正しく動作しない可能性があるためです。 このようなメッセージを防止するために、AudioCodes SBCでメッセージポリシーテーブル（[構成]タブ> [VoIP]> [SIP定義]> [メッセージポリシーテーブル]）が構成されます。 また、この表では、SIPメッセージのさまざまなパラメーターを説明できます。たとえば、最大メッセージ長、最大ヘッダー長、最大ボディ要素長、最大ヘッダー数など、メッセージは正しいと見なされます。 許可または拒否されるSIPメッセージメソッドを定義することもできます（INVITE \ BYE \ REFERおよびその他）。 これにより、SIPメッセージの正確性を詳細に確認し、IP-PBX /ソフトウェアスイッチに、彼が正しく受信するメッセージのみを送信できます。
   
   
   
   
9. トポロジの非表示。 SBCのタスクの1つは、IPアドレスだけでなく、少なくとも一部の内部インフラストラクチャを提供できるすべてのものを、顧客のネットワークのトポロジを完全に隠すことです。 IP-PBXには任意のタイプのフィールドを使用し、自身の情報を使用する権利があるため、SBCのトポロジを非表示にする特別なチェックマークはありません。 したがって、トポロジを非表示にする唯一の効果的な方法は、メッセージを分析し、SIP操作ルールを使用してメッセージをさらに変換することです。 これらのルールがどのように機能するかについては、前の記事で書いた： habrahabr.ru/company/audiocodes/blog/253015
10. 発信制限。 ご存知のように、攻撃は企業の外部および内部ネットワークの両方から発生する可能性があります。 したがって、外部からだけでなく、発信トラフィックも制限する必要があります。 つまり、最初に書いたように、まず、一般的なルーティングプランを避け、必要な場合にのみルーティングを構成する必要があります。 しかし、重要な側面は、発信者の番号の確認でもあります。 したがって、たとえば、従業員の内部番号からの呼び出しのみを許可し、その番号が内部番号と一致しない場合、呼び出しは単に中断されます。 AudioCodes SBCには、これらの番号をチェックするためのいくつかのオプションがあります。着信番号に適切な修飾ルールを作成するか、ルーティングルールを作成するときに、内部番号のプレフィックスを指定します。 エンタープライズ環境にとって興味深いもう1つの方法は、LDAP検証です。 つまり、組織内にそのような番号があるかどうかを確認するために、各呼び出しがLDAPによってチェックされます。 さらに、同じ方法でポリシーを制限することができます。 たとえば、ユーザーがヨーロッパのパートナーと連携するグループのメンバーである場合、ヨーロッパの番号への呼び出しは許可されますが、許可されない場合は許可されません。 このルールは、会社のPBXがポリシーをサポートしていない組織、または会社に複数のPBXがあり、ポリシーを1つにまとめる必要がある組織に適切に適用されます。 また、パブリックネットワーク経由で接続する加入者に対して個別の制限を行うことは理にかなっています（たとえば、内部またはローカルコールに対してのみ）。
    
    

上記のルールはすべて、主にトラフィック盗難からIPテレフォニーインフラストラクチャを保護するために関連しており、セキュリティを直接または間接的に保証する基本設定です。 しかし、DoS / DDoS攻撃から保護するために、IDS（侵入検知システム）と呼ばれる別のメカニズムが使用されます-AudioCodes Mediant SBC機能は、事前に設定された基準に従って攻撃を検出し、設定に応じてこれらの攻撃に対応します。 反応オプションは異なる場合があります。SNMPトラップを攻撃監視サーバーに送信し、しきい値に応じて、エラーはマイナー、メジャー、またはクリティカルになります。 特定の時間のルートをブロックします。 しきい値データとアクションは、IDSルールテーブルで構成されます。 ここで何を設定できるかを詳しく調べてみましょう。 最初に設定する必要があるのは、何らかのアクションを実行する必要があるメッセージのタイプです。 次のオプションがあります。

• 接続の悪用-TLS認証の問題
• 不正なメッセージ-無効なSIPメッセージ。 SBCは、SIP標準の正確性と、指定された値（最大メッセージ長、SIPメッセージポリシールールへの準拠）の両方についてメッセージをチェックします。
• 認証の失敗-認証、登録の確認中、または接続の確立中にエラーが発生しました
• ダイアログの確立の失敗-ダイアログの確立中のエラー（接続など）。 これは、メッセージの資格の問題、ルーティングの問題、またはその他のローカルエラーの可能性があります。
• 異常な流れは有効なダイアログではありません。 既存のダイアログに関係のない回答。 ユーザーに関係のないリクエスト。

次は、これらの値としきい値を収集する時間設定です。設定された時間内に特定のトリガーがトリガーされると、SNMPトラップアラーム（マイナー、メジャー、またはクリティカル）を送信します。 メッセージデータの送信元アドレスのブロック（攻撃）。 ブロックについて話している場合、このアドレスがブロックされている秒数もここに示されます。

このルールの使用例として、5秒以内に3回以上登録に失敗すると、IPアドレスがブロックされ、攻撃が発生していることを警告するパスワードを選択しようとします。 したがって、攻撃者がブルートフォースによってパスワードを取得する可能性を最小限に抑えます。 ただし、これらのルールを使用する場合は、非常に注意する必要があります。過度の保護では、正常に機能する方向がブロックされる可能性があるためです。

いずれにせよ、各インストールは一種の固有のものであり、どこかでルールを使用する必要があるところ、どこかで使用する必要があります。 そのため、VoIPネットワークを保護するための普遍的なスキームはなく、ビジネス要件を分析し、セキュリティと機能の両方のビジネス要件に合わせてシステムを調整する必要があります。 私たちの仕事は、あらゆる種類の接続に安全で信頼できる接続を提供できるように、安全な接続を提供する機会を最大限に提供することです。

上記を要約すると、VoIP接続の数とともに、世界でのVoIP攻撃の数が増加しているだけです。 さらに、オペレーターはVoIPトラフィックの量を増やしており、オペレーター側からの制御はますます困難になっています。 これはすべて、VoIPセキュリティがVoice over IPに切り替える企業の重要なコンポーネントになりつつあるという事実につながります。 ここで、SBCは、特にパブリックネットワークを介したSIPオペレーターへの安全な接続を確保する上で重要な役割を果たします。 また、SIP電話機をIP-PBXに接続する場合、ほとんどのハッキングシステムはこのタイプの接続を通じて発生するため、SBCは必要なコンポーネントになります。

SBCは適切で必要なデバイスであると時々聞きますが、高価すぎるため、通信事業者や大企業を対象としています。 当社のSBCはさまざまなタイプのビジネスに焦点を当てており、5つの同時接続からキャリアクラスのソリューションで終わる予算ソリューションになります。 したがって、SBCは小さな会社でも手頃な価格の機器になります。 同時に、小さなSBCは高性能SBCと機能的に違いはありません。



最後に、IPテレフォニーの可能性を最大限に活用して、安全で信頼性が高く、高品質な使用をお願いします。