トラブル対策-不正なSIP着信?(1) | ヤマハの音とネットワーク製品を語る

[ファイアウォール] トラブル対策-不正なSIP着信?(1)

ヤマハの平野です。

今朝(9/9)より、インターネット上のSIP端末(IP電話機)に不正な着信が連続している事象が発生しているようです。rt100i-usersで回答された暫定の対応策(対策のヒント)をご案内いたします。

【暫定回避策】

「自分宛であるかどうか識別してから着信させる」ように、着信制限の設定を追加すれば電話が鳴らないようにはできると思います。

以下のような設定です。
analog sip arrive permit 1 myname
analog sip call myname 1 sip:電話ユーザ名
analog sip arrive permit 2 myname
analog sip call myname 2 sip:電話ユーザ名

○IP電話サービスキャリアを使っている場合の「電話ユーザ名」

電話ユーザ名に登録するのは、sip server コマンドのsipアドレス部分に書かれている@の前までになります。

○インターネット電話帳を使っている場合の「電話ユーザ名」

適当な電話ユーザ名で良いのですが、発信側の機器に登録している電話帳の設定も合わせる必要があります。

○ネットボランチ電話を使っている場合の「電話ユーザ名」

電話ユーザ名はsip:NetVolantePhoneとしておけば良いと思います。

○色々使っている場合

全部登録しておく必要がありますので、analog sip arrive myaddress で着信できる電話ユーザ名を増やしてください。

【注意事項】

ダイヤルイン等で電話ユーザ名を利用する設定になっている場合は、これらの設定を行うと着信できなくなる可能性があるので設定しないでください。
不正なSIPパケットを送信してくる送信元が判明したら、IPフィルターで弾くようにしてください。(syslog notice on, syslog debug on等の状態で、ログに記録されます。)

【関連情報】

無言電話がかかってくる / 不正なSIPパケットを受信する
http://www.rtpro.yamaha.co.jp/RT/FAQ/VoIP/troublevoip-ans.html#9

【関連記事】

【関連Web速報】

IP電話に無言電話が着信する現象が多発，原因はインターネット上からの不正攻撃
http://itpro.nikkeibp.co.jp/article/NEWS/20080910/314570/

【インシデント報告】

今回のような現象について、JPCERT/CC経由で調査・対応していただくことが可能なようです。実際のアクセスログなど事象を確認できる情報や下記の情報を、info@jpcert.or.jp に届けると、スムーズに進むのだそうです。

--- (届出様式からの抜粋) ----
----------------------------------------------------------------------
3. 発生したインシデントの概要
----------------------------------------------------------------------
3-1 アクセス元に関する情報をご記入下さい。
     IP アドレス、ホスト名など:
3-2 インシデントの内容、発見方法、対処などについてご記入下さい。
3-3 インシデントが発生したシステムについてご記入下さい。
     IP アドレス 又は ホスト名:
     プロトコル 又は ポート:
     関連ソフトウェア:
     ハードウェア/OS:
     発生日時:
     タイムゾーン(時間帯):
  ____________________________________________________________
   該当するログ情報をメールに添付するかこちらに挿入して下さい。
   注: テキスト形式でお願いします。また、ログの読み方について
       簡単にご説明ください。
  ____________________________________________________________

----- ここまで -----