MGCP (特定コマンドの許可)
SmartDefenseは、MGCPに対する完全なネットワーク・レベルのセキュリティを提供します。
SmartDefenseは、RFC-2705、RFC-3435(バージョン1.0)、およびITU TGCP仕様J.171に厳密 に準拠しています。また、フラグメント化されたパケットの検査、アンチ・スプーフィング、サー ビス妨害攻撃に対する保護など、すべてのSmartDefenseの機能がサポートされています。ただし、
MGCPでのNATはサポートされていません。
さらに、SmartDefenseはハンドオーバー・ロケーションを制限して制御信号とデータ接続を制御 します。
表 3-125
デフォルトの設定: オフ(R60より前の全バージョン)/オン(R60)
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効 表 3-126
R55で保護機能がオンの 場合の動作
R55Wで保護機能がオンの 場合の動作
R60で保護機能がオンの場合の 動作
保護を実施 保護を実施 保護を実施
表 3-127
デフォルトの設定: 許可
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効
SCCP(Skinny)
第3章 Application Intelligence 87
SCCP ( Skinny )
SCCP(Skinny Client Control Protocol)は、テレフォニー・ゲートウェイをコール・エージェント
(またはメディア・ゲートウェイ・コントローラ)と呼ばれる外部のコール制御デバイスから制御 します。
SmartDefenseは、SCCPベースのVoIP通信に対して完全な接続性とネットワーク・レベルのセキュ
リティを提供します。 すべてのSCCPトラフィックが検査され、適正なトラフィックは通過を許可 され、攻撃は遮断されます。アンチ・スプーフィングやサービス妨害攻撃に対する保護など、
SmartDefenseのすべての機能がサポートされています。 フラグメント化されたパケットは、カーネ
ル・ベースのストリーミングを使用して調査され、セキュリティが保護されます。 ただし、SCCP デバイスでのNATはサポートされていません。
さらに、SmartDefenseはハンドオーバー・ロケーションを制限して制御信号とデータ接続を制御 します。
SmartDefenseは状態を追跡し、すべてのSCCPメッセージに対して状態が有効であることを検証
します。 多くの主要なメッセージに対しては、メッセージのパラメータの存在と正当性も検証します。
SmartDefenseは、SCCP接続に対して追加のコンテンツ・セキュリティ検査を実行することで、高
度な保護を提供できます。
表 3-129
デフォルトの設定: オン
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: VoIPトラフィックのアクセラレーションが無効 表 3-130
NG FP3~R55 R55W
NGX(R60)管理 サーバから保護機 能をオンにした場 合の動作
NGX(R60)管理 サーバから保護機能を Monitor-Onlyにした場 合の動作
NGX(R60)管理 サーバから保護機 能をオンにした場 合の動作
NGX(R60)管理 サーバから保護機能を Monitor-Onlyにした場 合の動作
保護を非実施 保護を非実施 同じ N/A
SNMP(SNMPプロトコル)
SNMP ( SNMP プロトコル)
このセクションで説明する保護機能は、SNMPv3(最新バージョンのSNMP)を厳密に適用し、そ れより前のバージョンを拒否するオプションにより、SNMPの脆弱性に対する保護を提供します。
また、このウィンドウではSNMPのすべてのバージョンを許可する一方で、SNMPv1とSNMPv2 のデフォルトのコミュニティ文字列を利用した要求を破棄することもできます。
Allow Only SNMPv3 Traffic ( SNMPv3 のトラフィックの み許可)
この保護機能により、旧バージョンのSNMPの使用を防止します。 SNMPv3を強制させることにより、
SmartDefenseは認証機能を使用できない旧バージョンのSNMP(SNMPv1およびSNMPv2)の使
用を制限することができます。
表 3-131
デフォルトの設定: オフ
保護機能により生成されるログ:
NGXのパフォーマンスへの影響: SNMPトラフィックのアクセラレーションが無効 表 3-132
NG FP3~R55 R55W
NGX(R60)管理 サーバから保護機 能をオンにした場 合の動作
NGX(R60)管理 サーバから保護機能を Monitor-Onlyにした場 合の動作
NGX(R60)管理 サーバから保護機 能をオンにした場 合の動作
NGX(R60)管理 サーバから保護機能を Monitor-Onlyにした場 合の動作
保護を非実施 保護を非実施 同じ 同じ
Drop Requests with Default Community Strings for SNMPv1 and SNMPv2(SNMPv1とSNMPv2のデフォルトのコミュニティ文字列を使用する要求を破棄)
第3章 Application Intelligence 89