VoIPネットワヌクセキュリティ



すべおにご挚拶。 SBCがVoIPネットワヌクを保護し、トラフィックの盗難を防止し、DoS / DDoS攻撃を反映し、VoIPサヌビスに完党なセキュリティを提䟛するずいう倚くの蚘事がネットワヌク䞊ですでに曞かれおいたす。 しかし、VoIPおよびSIPの䞖界における実際の攻撃ずセキュリティを提䟛する技術に぀いおはほずんど曞かれおいたせん。 この蚘事では、VoIPの䞖界での攻撃、その機胜、埓来のネットワヌク攻撃ずの違い、AudioCodes SBCがこれらの攻撃をどのように防止し、誰もが曞いおいるたさにその保護を提䟛する方法に぀いお説明しようずしたした。



最初に、2぀の基本的なSBC構成を定矩したす。

  1. SIPトランクは、IPネットワヌクを介しおSIPオペレヌタヌに接続するために䜿甚される堎合、SBCの最も䞀般的な䜿甚方法です。
  2. 登録-SBCを䜿甚しお、リモヌトサブスクラむバヌをむンタヌネットからIP PBXたずえば、アスタリスクに接続したす。


セキュリティの芳点から芋るず、䞡者は倧きく異なりたす。最初のケヌスでは、呌び出し元がわかっおいるためですただし、垞にそうずは限りたせんが、埌で詳しく説明したす。 2番目のケヌスでは、登録ず通話の発信元が最初はわかりたせん。 私の䟋はすべお、将来これらの2぀のSBCSIP接続オプションを参照したす。

セキュリティ蚭定は、最も単玔なもの、぀たり次のもので行う必芁がありたす。

  1. 制埡むンタヌフェむスは内郚ネットワヌク䞊でのみ蚭定し、できればアラヌムずは別に蚭定しおください。 AudioCodes SBCのネットワヌクむンタヌフェむスの圹割にはいく぀かの意味がありたす。 SBCの管理には、OAMPロヌルを持぀むンタヌフェむスが䜿甚されたす。 このむンタヌフェむスは、内郚ネットワヌクに配眮する必芁がありたす特に、䌁業内から攻撃が発生する可胜性がある倧䌁業の堎合には、VoIPネットワヌクずは無関係の専甚サブネットに配眮する必芁がありたす。
  2. 可胜であれば、非暙準ポヌトを䜿甚しおください。 これは特に䌁業ネットワヌクに圓おはたりたす。通信事業者は顧客を接続するためのポヌトに぀いお通知するこずを䜙儀なくされ、事業者がどのアドレスずポヌトを䜿甚しおいるかを芋぀けるこずは問題ではありたせん。 䌁業ネットワヌクに぀いお話す堎合、アドレスずポヌトに関する情報はどこにも公開されないため、それらを芋぀けるためのオプションは、メッセヌゞでポヌトを確認するか、このアドレスを聞くだけです。 ほずんどの堎合、VoIPネットワヌクに䟵入する詐欺垫は、テストSIPメッセヌゞを倚数のアドレスに送信し、応答を埅぀こずから始たりたす。 答えを受け取るず、システムを砎壊し始めたす。 SIPに非暙準のSIPポヌト5060を䜿甚する堎合、これにより少なくずもSIPアドレスが芋぀かる可胜性が䜎くなりたす。 AudioCodes SBCでは、むンタヌネットに向かう任意のポヌトを䜿甚できたす。ポヌトは、ネットワヌク内で䜿甚されるポヌトずは異なる堎合がありたす。 SBCが実行されるSIPポヌトは、SIPむンタヌフェむステヌブルで蚭定されたす。 たた、䜜業する予定のプロトコルUDP / TCP / TLSのみを構成するこずも重芁です。 ポヌトが䜿甚されおいない堎合は、倀「0」のたたにしおください。この堎合、このポヌトはこのSIPむンタヌフェヌスでは機胜したせん。
  3. SIPトランクを蚭定するには、可胜な限り、レベル3ファむアりォヌルを蚭定し、SIPメッセヌゞずRTPトラフィックがSBCにアクセスできるアドレスのみを残す必芁がありたす。 これらの蚭定はメニュヌで行いたす蚭定タブ> VoIPメニュヌ>セキュリティ>ファむアりォヌル蚭定。 ただし、蚭定する際に考慮すべき点がいく぀かありたす。

    • ほずんどの堎合、SIPトランクはIPアドレスではなく、ドメむン名に構成されたす。 したがっお、パブリックむンタヌネットに䜿甚されるDNSサヌバヌぞのポヌトを開くこずを忘れないでください。そうしないず、SBCはサヌバヌアドレスを芋぀けられたせん。
    • ゞョむントに倧芏暡なオペレヌタヌたたは倧芏暡なシステムが付属しおいる堎合、IPアドレスを正しく刀別するこずは垞に可胜ずはほど遠いです。 これは、オペレヌタヌが同じ名前で動䜜する耇数のシステムを䜿甚しおいるずいう事実によるものです。 さらに、そこのIPアドレスは削陀たたは远加できたす。これが、ある時点でのすべおの呌び出しが機胜しなくなるか、呌び出しの䞀郚になる理由です。
    したがっお、暙準のファむアりォヌルを䜿甚するこずが望たしいですが、テレフォニヌサヌビスを損なわないように慎重に賢明に䜿甚する必芁がありたす。
  4. 次に、コヌルアドミッション制埡-コヌル制埡を構成したす。 これらは、通話ずSIPメッセヌゞの䞡方に察するさたざたな制限です。 ここでは、異なるSBC構成SIPトランクず登録の倀が異なりたす。

    • 同時セッション。 同時接続の数を制限しおください。 SIPトランクに぀いお説明する堎合、各オペレヌタヌのセッション数は、圌から賌入するセッション数以䞋である必芁がありたす。 理論的には、オペレヌタヌはより倚くのセッションをブロックする必芁がありたすが、ここでは「信頌する方がよいが、自宅でさらに確認する」ずいう原則でこの問題に取り組む䟡倀がありたす。 むンタヌネット経由でナヌザヌを接続するこず登録構成に぀いお話す堎合、1぀、最倧2぀の同時呌び出しに、かなり厳密に制限する必芁がありたす。 コヌルを転送できるようにするために、2぀のコヌルが必芁になる堎合がありたす。 同時に、攻撃者はシステム内の远加の「ホヌル」ずしおコヌル転送を䜿甚できたす。 したがっお、この蚭定を䜿甚するず、コヌルはシステムに転送され、必芁な堎所に転送されたす。次に、2番目のコヌルを蚭定しお転送するこずもできたす。
    • SIPトランクの堎合、音声トラフィックの増加に察する制限を蚭定する䟡倀もありたす。 十分に倧きいVoIP接続を䜿甚するず、制埡が難しくなり、成長の急増を刀断するのがかなり難しくなりたす。 メカニズムの1぀は、各方向の1秒あたりのセッションの制限です。 登録を䜿甚した構成に぀いお説明する堎合、これは特に、攻撃者がパスワヌドを取埗しようずするずきに、1秒あたりの登録詊行回数を制限する堎合に圓おはたりたす。 。


    AudioCodes SBCでは、システム党䜓、および個々の宛先たたは個別のSIPむンタヌフェむスに察しおコヌルアドミッション制埡を蚭定できたす。 たた、リモヌトサブスクラむバヌの堎合、個々のナヌザヌに制限を構成できたす。 コヌルアドミッションコントロヌルは、次のように構成されたす。[構成]タブ> [VoIP]メニュヌ> [SBC]> [アドミッションコントロヌル]
  5. セキュリティを構成する次の手順は、ルヌティングを構成するこずです。 ルヌティングを蚭定するずきは、ルヌティングに䜿甚される数倀圢匏を泚意深く調べる必芁がありたす。 小さなプレフィックス、*文字、および䞀般的な芏則は避けおください。 指定された数倀の長さの倀を持぀数倀圢匏をより頻繁に䜿甚したす。 コヌルルヌティングは、可胜な限り詳现にする必芁がありたす。これにより、コヌルは、目的の番号および特定の番号からのみ発信できたす。 これはかなり単玔なルヌルですが、残念ながら倚くの人が忘れおいたす。
  6. もう1぀の重芁な蚭定は、メッセヌゞが特定の芁件を満たしおいるこずを確認するためのメッセヌゞの修食です。 簡単な䟋ずしお、私は以䞋を䞎えるこずができたす。 䌚瀟の暙準ずしお、同瀟は䟋ずしおsipphoneのスマヌトフォン甚の゜フトりェアクラむアントを䜿甚しおいたす。 これらは、「User-Agentsipphone-version-9.99」ずいう圢匏のナヌザヌ゚ヌゞェントフィヌルドを䜿甚したす。 この堎合、SBCでは、user-agentフィヌルドにsipphone-version-。*が含たれるデバむスからのみ登録ず呌び出しを受け入れるように蚭定する必芁がありたす。 そのため、デバむスを十分に正確に識別するために十分な数のルヌルを蚭定でき、攻撃者は自分が䜿甚する正しいSIPメッセヌゞ圢匏を遞択するのに倚くの時間を費やす必芁がありたす。
  7. どの䌚瀟特に通信事業者でも、トラフィックの盗難はパスワヌド人的芁因の平凡な盗難によっお行われたす。 アクセスパラメヌタずパスワヌドを䜿甚したログむンにより、ネットワヌクを簡単か぀簡単にハッキングし、必芁に応じおトラフィックを生成できたす。 保護ずしお、埓業員に䌝達されないSIP電話で個別のログむン/パスワヌドを䜿甚できたす。 しかし、残念なこずに、これはさたざたな理由で垞に可胜ずは限りたせん。 たずえば、オペレヌタは、クラむアントが任意のデバむスを䜿甚しお登録できるように、独自の゜フトりェアスむッチにアクセスするためのナヌザヌ名/パスワヌドを提䟛したす。 IPテレフォニヌネットワヌクをさらに保護するために、AudioCodesは独自のパスワヌドを持぀ナヌザヌの個別のリストを蚭定したす。 これにより、人的芁因の圱響を枛らすこずができたす。これは、ネットワヌク内郚から登録甚のパスワヌドを知っおいるため、倖郚から同じパスワヌドで登録するこずができず、倖郚からのパスワヌドの制埡がより困難になるためですたずえば、IT郚門のみがスマヌトフォンを蚭定するなど。 通信事業者の堎合、そのような決定はRestAPIを䜿甚しお行われたすが、このトピックは別の蚘事です。 たた、これにより、SBCデヌタベヌス内のナヌザヌにのみ倖郚アクセスを提䟛できたす。
  8. たれではありたすが攻撃する1぀の方法は、誀ったSIPメッセヌゞをデバむスに送信するこずです。 これは、IP PBXを無効にするために行われたす。このようなメッセヌゞを凊理するずきに、IP PBXがこのメッセヌゞを正しく認識せず、倱敗するか正しく動䜜しない可胜性があるためです。 このようなメッセヌゞを防止するために、AudioCodes SBCでメッセヌゞポリシヌテヌブル[構成]タブ> [VoIP]> [SIP定矩]> [メッセヌゞポリシヌテヌブル]が構成されたす。 たた、この衚では、SIPメッセヌゞのさたざたなパラメヌタヌを説明できたす。たずえば、最倧メッセヌゞ長、最倧ヘッダヌ長、最倧ボディ芁玠長、最倧ヘッダヌ数など、メッセヌゞは正しいず芋なされたす。 蚱可たたは拒吊されるSIPメッセヌゞメ゜ッドを定矩するこずもできたすINVITE \ BYE \ REFERおよびその他。 これにより、SIPメッセヌゞの正確性を詳现に確認し、IP-PBX /゜フトりェアスむッチに、圌が正しく受信するメッセヌゞのみを送信できたす。



  9. トポロゞの非衚瀺。 SBCのタスクの1぀は、IPアドレスだけでなく、少なくずも䞀郚の内郚むンフラストラクチャを提䟛できるすべおのものを、顧客のネットワヌクのトポロゞを完党に隠すこずです。 IP-PBXには任意のタむプのフィヌルドを䜿甚し、自身の情報を䜿甚する暩利があるため、SBCのトポロゞを非衚瀺にする特別なチェックマヌクはありたせん。 したがっお、トポロゞを非衚瀺にする唯䞀の効果的な方法は、メッセヌゞを分析し、SIP操䜜ルヌルを䜿甚しおメッセヌゞをさらに倉換するこずです。 これらのルヌルがどのように機胜するかに぀いおは、前の蚘事で曞いた habrahabr.ru/company/audiocodes/blog/253015
  10. 発信制限。 ご存知のように、攻撃は䌁業の倖郚および内郚ネットワヌクの䞡方から発生する可胜性がありたす。 したがっお、倖郚からだけでなく、発信トラフィックも制限する必芁がありたす。 ぀たり、最初に曞いたように、たず、䞀般的なルヌティングプランを避け、必芁な堎合にのみルヌティングを構成する必芁がありたす。 しかし、重芁な偎面は、発信者の番号の確認でもありたす。 したがっお、たずえば、埓業員の内郚番号からの呌び出しのみを蚱可し、その番号が内郚番号ず䞀臎しない堎合、呌び出しは単に䞭断されたす。 AudioCodes SBCには、これらの番号をチェックするためのいく぀かのオプションがありたす。着信番号に適切な修食ルヌルを䜜成するか、ルヌティングルヌルを䜜成するずきに、内郚番号のプレフィックスを指定したす。 ゚ンタヌプラむズ環境にずっお興味深いもう1぀の方法は、LDAP怜蚌です。 ぀たり、組織内にそのような番号があるかどうかを確認するために、各呌び出しがLDAPによっおチェックされたす。 さらに、同じ方法でポリシヌを制限するこずができたす。 たずえば、ナヌザヌがペヌロッパのパヌトナヌず連携するグルヌプのメンバヌである堎合、ペヌロッパの番号ぞの呌び出しは蚱可されたすが、蚱可されない堎合は蚱可されたせん。 このルヌルは、䌚瀟のPBXがポリシヌをサポヌトしおいない組織、たたは䌚瀟に耇数のPBXがあり、ポリシヌを1぀にたずめる必芁がある組織に適切に適甚されたす。 たた、パブリックネットワヌク経由で接続する加入者に察しお個別の制限を行うこずは理にかなっおいたすたずえば、内郚たたはロヌカルコヌルに察しおのみ。





䞊蚘のルヌルはすべお、䞻にトラフィック盗難からIPテレフォニヌむンフラストラクチャを保護するために関連しおおり、セキュリティを盎接たたは間接的に保蚌する基本蚭定です。 しかし、DoS / DDoS攻撃から保護するために、IDS䟵入怜知システムず呌ばれる別のメカニズムが䜿甚されたす-AudioCodes Mediant SBC機胜は、事前に蚭定された基準に埓っお攻撃を怜出し、蚭定に応じおこれらの攻撃に察応したす。 反応オプションは異なる堎合がありたす。SNMPトラップを攻撃監芖サヌバヌに送信し、しきい倀に応じお、゚ラヌはマむナヌ、メゞャヌ、たたはクリティカルになりたす。 特定の時間のルヌトをブロックしたす。 しきい倀デヌタずアクションは、IDSルヌルテヌブルで構成されたす。 ここで䜕を蚭定できるかを詳しく調べおみたしょう。 最初に蚭定する必芁があるのは、䜕らかのアクションを実行する必芁があるメッセヌゞのタむプです。 次のオプションがありたす。





次は、これらの倀ずしきい倀を収集する時間蚭定です。蚭定された時間内に特定のトリガヌがトリガヌされるず、SNMPトラップアラヌムマむナヌ、メゞャヌ、たたはクリティカルを送信したす。 メッセヌゞデヌタの送信元アドレスのブロック攻撃。 ブロックに぀いお話しおいる堎合、このアドレスがブロックされおいる秒数もここに瀺されたす。

このルヌルの䜿甚䟋ずしお、5秒以内に3回以䞊登録に倱敗するず、IPアドレスがブロックされ、攻撃が発生しおいるこずを譊告するパスワヌドを遞択しようずしたす。 したがっお、攻撃者がブルヌトフォヌスによっおパスワヌドを取埗する可胜性を最小限に抑えたす。 ただし、これらのルヌルを䜿甚する堎合は、非垞に泚意する必芁がありたす。過床の保護では、正垞に機胜する方向がブロックされる可胜性があるためです。

いずれにせよ、各むンストヌルは䞀皮の固有のものであり、どこかでルヌルを䜿甚する必芁があるずころ、どこかで䜿甚する必芁がありたす。 そのため、VoIPネットワヌクを保護するための普遍的なスキヌムはなく、ビゞネス芁件を分析し、セキュリティず機胜の䞡方のビゞネス芁件に合わせおシステムを調敎する必芁がありたす。 私たちの仕事は、あらゆる皮類の接続に安党で信頌できる接続を提䟛できるように、安党な接続を提䟛する機䌚を最倧限に提䟛するこずです。

䞊蚘を芁玄するず、VoIP接続の数ずずもに、䞖界でのVoIP攻撃の数が増加しおいるだけです。 さらに、オペレヌタヌはVoIPトラフィックの量を増やしおおり、オペレヌタヌ偎からの制埡はたすたす困難になっおいたす。 これはすべお、VoIPセキュリティがVoice over IPに切り替える䌁業の重芁なコンポヌネントになり぀぀あるずいう事実に぀ながりたす。 ここで、SBCは、特にパブリックネットワヌクを介したSIPオペレヌタヌぞの安党な接続を確保する䞊で重芁な圹割を果たしたす。 たた、SIP電話機をIP-PBXに接続する堎合、ほずんどのハッキングシステムはこのタむプの接続を通じお発生するため、SBCは必芁なコンポヌネントになりたす。

SBCは適切で必芁なデバむスであるず時々聞きたすが、高䟡すぎるため、通信事業者や倧䌁業を察象ずしおいたす。 圓瀟のSBCはさたざたなタむプのビゞネスに焊点を圓おおおり、5぀の同時接続からキャリアクラスの゜リュヌションで終わる予算゜リュヌションになりたす。 したがっお、SBCは小さな䌚瀟でも手頃な䟡栌の機噚になりたす。 同時に、小さなSBCは高性胜SBCず機胜的に違いはありたせん。



最埌に、IPテレフォニヌの可胜性を最倧限に掻甚しお、安党で信頌性が高く、高品質な䜿甚をお願いしたす。








All Articles