ダウンロード

Cisco IOS Firewall の SIP 拡張機能によるセキュアユニファイドコミュニケーションの実現

ホワイトペーパー

Cisco IOS Firewall の SIP 拡張機能によるセキュアユニファイドコミュニケーションの実現

シスコユニファイドコミュニケーションの完全性および可用性の向上

概要

多くの企業ではユニファイドコミュニケーション（単一ネットワークインフラストラクチャ上でのデータ、音声、および映像の統合）を利用することで、通信コストを大幅に削減すると同時に、従業員の生産性とモビリティを高めることに成功しています。ユニファイドコミュニケーションシステムを保護してサービスの可用性とシステムの完全性を維持することは、このようなユニファイドコミュニケーションの利点を実現する上で非常に重要です。シスコではシステムの保護を強化するため、シスコユニファイドコミュニケーションのすべてのアプリケーションとシステムに複数のセキュリティ対策を導入することを推奨しています。ユニファイドコミュニケーションシステムの主要な構成要素には、エンドポイント、コール制御、アプリケーション、そしておそらく最も重要な統合型 IP ネットワークインフラストラクチャの 4 つがあります。ルータをベースにしたシスコのセキュリティソリューションは、これら 4 つの構成要素のセキュリティ保護を可能にし、セキュアなユニファイドコミュニケーションアーキテクチャを構築する際の安定した基盤として機能します。Cisco IOS® Firewall では、ユニファイドコミュニケーションの構成要素の完全性と可用性を維持するのに役立つシステムのセキュリティとポリシー制御機能が利用できます。

利点

シスコのセキュアユニファイドコミュニケーションには、次のような利点があります。

シスコユニファイドコミュニケーションのセキュリティ上の脅威の軽減：セキュリティ上の脆弱性を悪用しようとする行為、および企業のセキュリティポリシーや業界のベストプラクティスと異なる動作を見逃しません。
シスコユニファイドコミュニケーションの完全性の向上：通信要求が正しいものであることを確認し、ユニファイドコミュニケーションシステムの主要な要素を保護します。
システム可用性の維持：主要なユニファイドコミュニケーションサービス（通信ゲートウェイや基盤となるネットワークインフラストラクチャなど）で、高い可用性や、サービス停止を狙った攻撃への耐性を維持するのに役立ちます。
ネットワーク管理と IT スタッフの生産性の向上：一貫性があり、効率的なシスコユニファイドコミュニケーションのセキュリティポリシーと手順の実施が企業内で可能になります。
シスコユニファイドコミュニケーションの総所有コスト（TCO）の削減：一貫性のあるセキュリティコントロールを導入（たとえば、リモートサイトのセキュリティとユニファイドコミュニケーションを共通のデバイス上に統合）することで、ユニファイドコミュニケーションシステムの操作手順を改善します。

SIP

Session Initiation Protocol（SIP）は、1 人または複数の参加者とのセッションの確立、変更、および切断を行うアプリケーション層の制御（シグナリング）プロトコルです。これらのセッションには、インターネット電話、マルチメディア配信、およびマルチメディア会議などが含まれます。SIP は HTTP に類似した、要求/応答型のトランザクションプロトコルです。各トランザクションは、サーバで特定のメソッド（機能）を呼び出す要求と、1 つまたは複数の応答で構成されます。

SIP ではプロキシサーバを使用し、ユーザの現在位置への要求のルーティング、サービスを使用するユーザの認証と許可、プロバイダーの呼ルーティングポリシーの実行、およびユーザへの各種機能の提供を行います。SIP は異なる複数のトランスポートプロトコル上で動作します。

Cisco IOS Firewall による音声セキュリティの強化

Cisco IOS Firewall の SIP 保護は Cisco IOS Firewall の拡張機能で、RFC 3261 に準拠した SIP トラフィックの検査と制御を行うことができます。この SIP 保護機能は、重要なシステムリソースの脆弱性を悪用する際に使用される不正な SIP シグナリングや要求が、有効な SIP エンドポイントや呼制御リソースに悪影響を及ぼさないようにします。不正パケット（プロトコルファジングともいう）はユニファイドコミュニケーションシステムを悪用する代表的な手段です。Cisco IOS Firewall では、これらの不正パケットをフィルタリングし、システムの悪用を効果的に防ぎます。

Cisco IOS Firewall の SIP 検査はプロトコル適合性の検査だけでなく、きめ細かなアプリケーションポリシーの適用にも役立ちます。Cisco IOS Firewall の SIP 検査には、許可されたサービスだけを使用できるようにする各種ツールが用意されています。また、さまざまなフィルタリングオプションを使用して、ネットワークアドレスだけでなく、ユーザや電話番号に基づいてポリシーを適用することができます。このように、Cisco IOS Firewall の SIP 検査はユニファイドコミュニケーションに完全に対応したセキュリティプラットフォームとして利用できます。

Cisco IOS Firewall の SIP 保護は、SIP の各種セキュリティ要件に対応し、以下の方法でシスコユニファイドコミュニケーション製品ラインの新機能のサポートを向上させます。

不適切または悪意のあるトラフィックの制限：Cisco IOS Firewall の SIP 保護は、必須ヘッダーフィールドの遵守、許可されていないヘッダーフィールドの制限、各メッセージのコンテキストにおけるヘッダーパラメータの有効性の確認、および未知の SIP メソッドへの設定可能なポリシーの適用を通じて、不正なトラフィックを利用した攻撃が成功する可能性を減少させます。
管理の容易性を保証：Cisco IOS Firewall の SIP 検査では、構成の変更が必要になった場合に、SIP イベントや SIP メッセージに関する Syslog メッセージを提供することで、新しいメソッドや拡張機能の設定、動的な追加を行うことができます。
SIPの機能を拡張する新しい規格に対するサポートの追加：SIP-TCP、Session Description Protocol（SDP; セッション記述プロトコル）のグループ化（RFC 3388）、sip-outbound（draft-ietf-sip-outbound）、代替ネットワークアドレスタイプ（RFC 4091）、非対称ルーティングのサポート/rport（RFC 3581）、および SIP マルチパート MIME（Multipurpose Internet Mail Extensions）
Cisco CallManagerのアップグレードおよび IP-IP ゲートウェイバージョンのサポート：Cisco Unified CallManager バージョン 5 および Cisco Unified CallManager Express バージョン 4.0 の要件に対応できるように SIP サポートをアップデートし、Cisco CallManager Express v3.x および Cisco CallManager v4.x 以上と整合性のある Cisco IP-IP ゲートウェイバージョンとの相互運用性を提供します。

Cisco IOS Firewall の SIP 保護は、次の方法を使用して DoS 攻撃を防ぎます。DoS 攻撃によってリソースが枯渇すると、ユニファイドコミュニケーションの音声システムが中断してしまう可能性があります。

SIP INVITE および REGISTER メッセージのレートリミット
SIP メッセージ総数のレートリミット
アクティブコール数の制限

SIP アプリケーションおよび検査制御では、SIP アプリケーションのアクティビティをきめ細かに制御できます（表 1）。

表 1 SIP アプリケーションおよび検査制御による SIP アプリケーションアクティビティの詳細な制御

機能	利点
発信者および着信者のブラックリスト/ホワイトリスト	通話先を制限することにより、不正な通話料金発生の可能性を軽減する
SIP メッセージのフィルタリング：メソッド（またはメソッドグループ） Uniform Resource Identifier（URI; ユニフォームリソース識別子）または URI グループ SIP バージョン SIP ヘッダーフィールド	問題がないことがわかっているコンテンツへの SIP メッセージを制限して、呼制御リソースやエンドホストへの攻撃を抑制する
Via ヘッダーの IP アドレスや名前に基づく SIP メッセージのフィルタリング機能	特定の DoS 攻撃を防御し、発信元または宛先のエンドホストを外部から保護する
エンドポイントのソフトウェアバージョンの非開示	攻撃者がホストのフィンガープリントから脆弱性を発見するような偵察活動を防止する
コンテンツ長と実際のパケット長のクロスチェック	バッファオーバーラン/アンダーラン攻撃の可能性を軽減する
以下を指定する機能総メッセージ長に基づく SIP メッセージ最小/最大コンテンツ長メソッド、URI、Via ヘッダー、全ヘッダーなどの各種フィールドの最小/最大長	バッファオーバーフローおよび DoS 攻撃を制限し、きめ細かなアプリケーション制御を可能にする
コンテンツタイプに基づくメッセージフィルタリング機能	SIP で伝送されるコンテンツタイプを管理し、不適切または悪意のあるデータを伝送する可能性のある不要なコンテンツタイプをフィルタリングする
インスタントメッセージングの無効化機能	望ましくない SIP インスタントメッセージングアプリケーションの動作をブロックする

図 1 は、セキュアユニファイドコミュニケーションで、推奨されるマルチレイヤアーキテクチャを示しています。

図 1 シスコが推奨する、セキュアユニファイドコミュニケーションのマルチレイヤアーキテクチャ
※ 画像をクリックすると、大きく表示されます。

構成例

以下の構成例は、Cisco IOS Firewall がユニファイドコミュニケーションの構成要素（Cisco Unified Communications Manager、Cisco Unified Border Element、およびエンドポイントなど）を保護する上で重要な役割を果たしています。

構成 1：SIP トランクベース接続

これはサービスプロバイダーの SIP トランクを使用してリモートブランチサイトへのアクセスを提供する標準的な構成です（図 2）。Cisco Unified Border Element は、サービスプロバイダーが提供する SIP トランクサービスを使用して、本社サイトにある Cisco Unified Communications Manager との SIP トランク連動を提供します。ブランチサイト（Cisco IP Phone を使用）は Cisco IOS Firewall で保護されています。これにより、リモートサイトはサービスプロバイダーネットワークに安全に接続することができます。

図 2 SIP トランクベース接続の構成
※ 画像をクリックすると、大きく表示されます。

構成 2：企業の在宅勤務者用の構成

この構成例は、VPN トンネルを介した本社と企業の在宅勤務者サイトとの接続を示しています。ベースとなる伝送路には WAN（専用線またはインターネット接続）が使用されています。リモート側の電話機は本社の Communications Manager に登録します。ただし、信頼できない WAN 接続からリモートサイトを保護するために、Cisco IOS Firewall で本社のユニファイドコミュニケーションリソースと電話機間の通信を保護できるようになっています。

図 3 企業の在宅勤務者用の構成
※ 画像をクリックすると、大きく表示されます。

まとめ

Cisco IOS Firewall の SIP 検査および制御は、データネットワーク、ユニファイドコミュニケーションインフラストラクチャのリソース（Cisco Unified Communications Manager や Cisco Unified Communications Manager Express など）、および IP テレフォニーのエンドポイントとリソース（IP フォン、Cisco Unity®、および Cisco TelePresence リソースなど）の保護に役立つきめ細かなネットワークトラフィック保護機能を備えています。これらのリソースの保護を強化することで、音声およびデータリソースの信頼性、パフォーマンス、およびセキュリティを確保し、さまざまなビジネスニーズに対応できる実効性のある環境を実現できます。

Hierarchical Navigation

Cisco IOS Firewall