Expressway 또는 VCS 에 들어오는 SIP 공격 막기

Expressway 나 VCS를 구축하고 나면 외부로부터 엄청난 SIP 공격이 들어옵니다.

 

오늘 아침에 Call History 입니다. 아침 7시를 기준으로 보니 한 시간 동안 15번정도 호가 들어 왔네요

참 쉬지 않고 많은 넘들이 돌아가면서 공격하는군요

 

저 같은 경우 도메인이 아닌 IP로 된 수신자로 호가 들어 오는 경우 내부로 호가 들어가지 않게 설정합니다.

외부에서 영상통화를 하고자 하는 경우 보통 도메인으로 안내를 하기 때문에 IP로 통화를 하는 경우는 거의 없습니다.

 

그외에 외부로 부터의 공격을 어떻게 막아야 할까요?

위의 그림을 자세히 보면 공격하는 넘들은 Source가 항상 Destination의 IP와 같은 IP로 설정을 합니다.

이런 경우 막기 쉽습니다.

Expressway의 CPL을 사용합니다.

설정하는 위치는 configuration – Call Policy – configuration 입니다.

우선 “Call Policy mode”를 “Local CPL” 로 변경하고 “Save” 합니다.

 

그리고 XML 문서를 하나 만듭니다.

<cpl xmlns=”urn:ietf:params:xml:ns:cpl” xmlns:taa=”http://www.tandberg.net/cpl-extensions” xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance” xsi:schemaLocation=”urn:ietf:params:xml:ns:cpl cpl.xsd”>

<taa:routed>

<taa:rule-switch>

<!– EXP-E IP로 된 발신자정보를 사용하는 호 인입되는 경우 모두 block –>

<taa:rule unauthenticated-origin=”(.*)@“Expressway-E의 IP” destination=”(.*)”>

     <reject status=”404″ reason=”Denied by policy”/>

     </taa:rule>

<taa:rule unauthenticated-origin=”(.*)” destination=”(.*)”>

<!– All other calls allowed –>

<proxy/>

</taa:rule>

    </taa:rule-switch>

</taa:routed>

</cpl>

 

내용은 위와 같습니다.

위의 “Expressway-E의 IP” 부분을 수정해 주시면 됩니다.

수정할때는 123\.123\.123\.123 으로 합니다.

IP를 입력할때는 “.”를 “\.”로 입력해야 합니다.

“.”를 1개의 Digit로 보는게 기본이라 특수문자를 그대로 입력하고 싶으면 “\”를 문자 앞에 입력해야 합니다.

한글이 들어 있으니 저장할 때 UTF-8로 저장합니다.

 

Select the new Call Policy file 의 찾아보기를 눌러서 XML 파일을 업로드하면 설정은 끝입니다.

 

잘 입력되면 위와 같이 successful 이 보입니다.

 

위와 같이 Source가 Expressway의 IP로 호가 들어 오는 경우 Status가 404 Denied by policy 로 보이면서 호가 막히는 것을 확인 할 수 있습니다.

Subscribe
알림
0 Comments
Inline Feedbacks
View all comments
Translate »
0
Would love your thoughts, please comment.x
()
x