- PR -

音声とその他通信を見分ける方法

1
投稿者投稿内容
KYO
ベテラン
会議室デビュー日: 2005/09/08
投稿数: 52
投稿日時: 2006-12-05 20:14
いつもお世話になってます。

音声系とデータ系の物理的に2系統ある通信経路があり、
万が一、音声系にデータ系のパケットが乗った際に検知できる
方法を探しています。

アプライアンス等を探したのですが、見つからず・・。
何かよい方法をご存知の方がいらっしゃいましたら、
ご教示をお願い致します。

SnortでUDP(VoIP系)とTCP(その他データ系)のシグネチャを作って、
アクションを起こす方法を思いついたのですが、現実的ではないのかなと。

Mac認証や認証VLAN等で、音声系に接続しても通信させない方法もありますが、
万が一乗った際の検知って出来るのでしょうか・・・。

追加です。
NW機器は触れません・・。
音声系のNW機器にログに出すACL入れて、syslogサーバで拾って
アクションを起こすのが一番早いとは思うのですが、、
これが出来ません・・。

[ メッセージ編集済み 編集者: KYO 編集日時 2006-12-05 20:50 ]
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-12-06 10:46
こんにちは。

引用:

KYOさんの書き込み (2006-12-05 20:14) より:

音声系とデータ系の物理的に2系統ある通信経路があり、万が一、音声系にデータ系のパケットが乗った際に検知できる方法を探しています。

「物理的に2系統ある通信経路」とは「WAN回線が2系統存在する」という
理解でよろしいですよね。
例)広域etherとインターネットVPNがあり、音声系は広域etherのみ利用したい等。

こうしたケースではルータ(L3SW)の前にトラフィック制御装置を追加する
方法が一般的だと思います。

トラフィック制御装置はロードバランサ(BIG-IP、AAS2208, 2216, 2424, 3408)
を使用するケースが多いので、その方面のSIベンダに相談すると話が早いと
思われます。

ロードバランサの主要機能は「データの宛先・送信元・内容により経路を分散
すると共に回線障害時に自動的に別経路へデータを転送する」ものなので、
相談内容に適合しています。
KYO
ベテラン
会議室デビュー日: 2005/09/08
投稿数: 52
投稿日時: 2006-12-07 20:37
>BackDoorさん

ご返信、ありがとうございます。
物理的に2系統あるNWのイメージとしては、
BackDoorさんのおっしゃる内容での認識であっています。

ご指摘頂いたように、アプリケーションスイッチ等の
制御アプライアンスを設置する方法や、認証系を用いた
制御が一般的だと思います。
ただ、今回はそういったものを用いず(想定されていない or 手がだせない)、
ただ物理的に2系統あるだけのシステムで音声系にデータパケットが
乗った場合の検知する方法を模索しておりまして・・。

接続させないソリューションとしては多々あるのですが、
接続した後の検知/監視をするソリューションは皆無の様な気がします。
音声系は基本的にUDPパケットのみの通信と認識しており、
そのNWにデータ系(TCP)パケットが乗った際に検知しようかなと
考えています。
snort等のパケットキャプチャする方法か、SNMPポーリング等の
TCP系MIBを取る方法か、、、なんか現実的な方法がないかなーと模索してます。

[ メッセージ編集済み 編集者: KYO 編集日時 2006-12-07 20:39 ]
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-12-08 09:34
引用:

KYOさんの書き込み (2006-12-07 20:37) より:

ただ、今回はそういったものを用いず(想定されていない or 手がだせない)、
ただ物理的に2系統あるだけのシステムで音声系にデータパケットが乗った場合の検知する方法を模索しておりまして・・。

なるほど、私の早とちりだったようですね。 (;^_^A

確認が後になり恐縮ですが、KYO様の「音声系」とは具体的にはVoIP以外のもの
(WAVEファイルのストリーミング配信)を含むのでしょうか?

引用:

音声系は基本的にUDPパケットのみの通信と認識しており、そのNWにデータ系(TCP)パケットが乗った際に検知しようかなと考えています。
snort等のパケットキャプチャする方法か、SNMPポーリング等のTCP系MIBを取る方法か、、、なんか現実的な方法がないかなーと模索してます。

リアルタイムで監視するのでなければ、SW類にモニタポート用の設定を入れ
パケットキャプチャし、後で解析する方法が思い浮かびますが、
>NW機器は触れません・・。
と言う状況では無理でしょうね。
いずれにしても、2経路のリモートルータに相当する部分でそれぞれパケット
キャプチャする必要性があるので難しいと思われます。

ご自身の興味による学習のためでしたら、net上での情報収集を推奨します。

VoIPを実現する技術
http://www.checkpoint.co.jp/securitycafe/readingroom/perimeter/voip.html
KYO
ベテラン
会議室デビュー日: 2005/09/08
投稿数: 52
投稿日時: 2006-12-09 11:52
> 確認が後になり恐縮ですが、KYO様の「音声系」とは具体的にはVoIP以外のもの
>(WAVEファイルのストリーミング配信)を含むのでしょうか?

将来的な拡張はあるかもしれませんが、現在想定されている音声系NWに流れる
パケットはVoIP(SIP&STP/UDP)のみを想定しています。

> いずれにしても、2経路のリモートルータに相当する部分でそれぞれパケット
> キャプチャする必要性があるので難しいと思われます。

そうですね、、、
方法はあると思うのですが、現実的でないようなものばかりで。
もう少し方法を模索したいと思います。
アドバイス、ありがとうございました。m(_ _)m
1

スキルアップ/キャリアアップ(JOB@IT)