電話ハッカーの侵入阻止の設定方法
ここでは、次の作業について説明します。
• 「着信 VoIP コール用の IP アドレス信頼認証の設定」
• 「着信 VoIP コール用の有効な IP アドレスの追加」
• 「着信 ISDN コールに対するダイヤル インの設定」
• 「アナログおよびデジタル FXO ポートでのセカンダリ ダイヤル トーンのブロック」
• 「電話ハッカーの侵入阻止のトラブルシューティングのヒント」
着信 VoIP コール用の IP アドレス信頼認証の設定
前提条件
• Cisco Unified CME 8.1 以降のバージョン。
制約事項
• IP アドレス信頼認証は、着信 SIP コールが SIP 電話機から発信された場合はスキップされます。
• IP アドレス信頼認証は、着信コールが IPv6 コールの場合はスキップされます。
• 着信 VoIP コールでは、IP アドレス信頼認証が「アップ」動作状態の場合に IP 信頼認証を呼び出す必要があります。
手順の概要
1. enable
2. configure terminal
3. voice service voip
4. ip address trusted authenticate
5. ip-address trusted call-block cause <code>
6. end
7. show ip address trusted list
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
voice service voip
Router(config)# voice service voip |
voice service voip コンフィギュレーション モードを開始します。 |
ステップ 4 |
ip address trusted authenticate
Router(conf-voi-serv)# ip address trusted authenticate |
電話ハッカーの侵入阻止サポートのため、着信 H.323 または SIP トランク コールの IP アドレス認証をイネーブルにします。 IP アドレス信頼リスト認証は、デフォルトでイネーブルになっています。「no ip address trusted list authenticate」コマンドを使用すると、IP アドレス信頼リスト認証がディセーブルになります。 |
ステップ 5 |
ip-address trusted call-block cause code
Router(conf-voi-serv)#ip address trusted call-block cause call-reject |
着信コールが IP アドレス信頼認証に対して拒否された場合に原因コードを発行します。
(注) IP アドレス信頼認証に失敗した場合は、着信 VoIP コールを切断するために call-reject (21) 原因コードが発行されます。
|
ステップ 6 |
end
Router()# end |
特権 EXEC モードに戻ります。 |
ステップ 7 |
show ip address trusted list
Router# #show ip address trusted list IP Address Trusted Authentication Administration State: UP Operation State: UP IP Address Trusted Call Block Cause: call-reject (21) |
着信 H.323 または SIP トランク コールの有効な IP アドレスのリスト、拒否された着信コールのコール ブロック原因を確認します。 |
例
Router #show ip address trusted list
IP Address Trusted Authentication
Administration State: UP
Operation State: UP
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 Session Targets:
Peer Tag Oper State Session Target
-------- ---------- --------------
11 DOWN ipv4:1.3.45.1
1 UP ipv4:1.3.45.1
IP Address Trusted List:
ipv4 172.19.245.1
ipv4 172.19.247.1
ipv4 172.19.243.1
ipv4 171.19.245.1
ipv4 172.19.245.0 255.255.255.0''
着信 VoIP コール用の有効な IP アドレスの追加
前提条件
• Cisco Unified CME 8.1 以降のバージョン。
手順の概要
1. enable
2. configure terminal
3. voice service voip
4. ip address trusted list
5. ipv4 ipv4 address network mask
6. end
7. show ip address trusted list
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
voice service voip
Router(config)# voice service voip |
voice service voip コンフィギュレーション モードを開始します。 |
ステップ 4 |
ip address trusted list
Router(conf-voi-serv)# ip address trusted list Router(cfg-iptrust-list)# |
ip address trusted list モードを開始して、有効な IP アドレスを手動で追加できるようにします。 |
ステップ 5 |
ipv4 {<ipv4 address> [<network mask>]}
Router(config)#voice service voip Router(conf-voi-serv)#ip taddress trusted list Router(cfg-iptrust-list)#ipv4 172.19.245.1 Router(cfg-iptrust-list)#ipv4 172.19.243.1 |
ip address trusted list で最大 100 個の IPv4 アドレスを追加できます。IP アドレス信頼リスト内で IP アドレスの重複は許可されません。 • (任意)network mask:サブネット IP アドレスを定義できます。 |
ステップ 6 |
end
Router(config-register-pool)# end |
特権 EXEC モードに戻ります。 |
ステップ 7 |
show ip address trusted list
Router# show shared-line |
着信 H.323 または SIP トランク コール用の有効な IP アドレスのリストを表示します。 |
例
次の例は、信頼できる IP アドレスとして設定された 4 個の IP アドレスを示しています。
Router#show ip address trusted list
IP Address Trusted Authentication
Administration State: UP
Operation State: UP
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 Session Targets:
Peer Tag Oper State Session Target
-------- ---------- --------------
11 DOWN ipv4:1.3.45.1
1 UP ipv4:1.3.45.1
IP Address Trusted List:
ipv4 172.19.245.1
ipv4 172.19.247.1
ipv4 172.19.243.1
ipv4 171.19.245.1
ipv4 171.19.10.1
着信 ISDN コールに対するダイヤル インの設定
着信 ISDN コールに対してダイヤル インを設定するには、次の手順を実行します。
制約事項
• direct-inward-dial isdn は、着信 ISDN オーバーラップ ダイヤル コール用としてサポートされません。
手順の概要
1. enable
2. configure terminal
3. voice service pots
4. direct-inward-dial isdn
5. end
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
voice service pots
Router(config)# voice service pots Router(conf-voi-serv)# |
音声電話サービス カプセル化タイプ(POTS)で音声サービス コンフィギュレーション モードを開始します。 |
ステップ 4 |
direct-inward-dial isdn
Router(conf-voi-serv)#direct-inward-dial isdn |
着信 ISDN 番号に対するダイヤル イン(DID)をイネーブルにします。着信 ISDN(一括ダイヤル)コールは、番号が DID トランクから受信されたように処理されます。着信者番号は、発信ダイヤルピアの選択に使用されます。ダイヤル トーンは発信者側に聞こえません。 |
ステップ 5 |
exit
Router(conf-voi-serv)# exit |
voice service pots コンフィギュレーション モードを終了します。 |
例
!
voice service voip
ip address trusted list
ipv4 172.19.245.1
ipv4 172.19.247.1
ipv4 172.19.243.1
ipv4 171.19.245.1
ipv4 171.19.10.1
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
allow-connections sip to sip
supplementary-service media-renegotiate
sip
registrar server expires max 120 min 120
!
!
dial-peer voice 1 voip
destination-pattern 5511...
session protocol sipv2
session target ipv4:1.3.45.1
incoming called-number 5522...
direct-inward-dial
dtmf-relay sip-notify
codec g711ulaw
!
dial-peer voice 100 pots
destination-pattern 91...
incoming called-number 2...
forward-digits 4
!
アナログおよびデジタル FXO ポートでのセカンダリ ダイヤル トーンのブロック
アナログおよびデジタル FXO ポートでセカンダリ ダイヤル トーンをブロックするには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. voice-port
4. no secondary dialtone
5. exit
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
voice-port
Router(config)#voice-p 2/0/0 |
音声ポート コンフィギュレーション モードを開始します。 • アナログまたはデジタル FXO ポート番号を入力します。 |
ステップ 4 |
no secondary dialtone
Router((config-voiceport)# no secondary dialtone |
アナログおよびデジタル FXO ポートでセカンダリ ダイヤル トーンをブロックします。 |
ステップ 5 |
end
Router(conf-voiceport)# exit |
特権 EXEC モードに戻ります。 |
ステップ 6 |
show run
Router# show run | sec voice-port 2/0/0 |
特定の音声ポートでセカンダリ ダイヤル トーンがディセーブルにされていることを確認します。 |
例
Router(config)#voice-p 2/0/0
Router(config-voiceport)# no secondary dialtone
!
end
Router# show run | sec voice-port 2/0/0
Foreign Exchange Office 2/0/0 Slot is 2, Sub-unit is 0, Port is 0
Type of VoicePort is FXO
Operation State is DORMANT
Administrative State is UP
...
Secondary dialtone is disabled
電話ハッカーの侵入阻止のトラブルシューティングのヒント
着信 VOIP コールが IP アドレス信頼認証によって拒否される場合は、特定の内部エラー コード(IEC)1.1.228.3.31.0 がコール履歴レコードに保存されます。IEC サポートを使用すると、失敗したコールまたは拒否されたコールをモニタできます。拒否されたコールをモニタするには、次の手順を実行します。
ステップ 1 show voice iec description コマンドを使用して、IEC コードのテキスト説明を見つけます。
Router# show voice iec description 1.1.228.3.31.0
IEC Version: 1
Entity: 1 (Gateway)
Category: 228 (User is denied access to this service)
Subsystem: 3 (Application Framework Core)
Error: 31 (Toll fraud call rejected)
Diagnostic Code: 0
ステップ 2 Enable iec statistics コマンドを使用して、IEC 統計情報を表示します。次の例は、電話ハッカーの侵入コール拒否エラー コードのために、2 コールが拒否されたことを示しています。
Router# Enable iec statistics
Router(config)#voice statistics type iec
Router#show voice statistics iec since-reboot
Internal Error Code counters
----------------------------
Counters since reboot:
SUBSYSTEM Application Framework Core [subsystem code 3]
[errcode 31] Toll fraud call rejected 2
ステップ 3 enable IEC syslog コマンドを使用して、IEC エラー付きでコールが解放されたときに記録された syslog メッセージを確認します。
Router# Enable iec syslog
Router (config)#voice iec syslog
Feb 11 01:42:57.371: %VOICE_IEC-3-GW: Application Framework Core:
Internal Error (Toll fraud call rejected): IEC=1.1.228.3.31.0 on
callID 288 GUID=DB3F10AC619711DCA7618593A790099E
ステップ 4 show call history voice last コマンドを使用して、着信 VOIP コールの送信元アドレスを確認します。
Router# show call history voice last 1
GENERIC:
SetupTime=3306550 ms
Index=6
...
InternalErrorCode=1.1.228.3.31.0
...
RemoteMediaIPAddress=1.5.14.13
...
ステップ 5 IEC は Radius Accounting Stop レコードの VSA に保存されます。外部 RADIUS サーバを使用して、拒否されたコールをモニタできます。
Feb 11 01:44:06.527: RADIUS: Cisco AVpair [1] 36 "internal-error-code=1.1.228.3.31.0"
ステップ 6 IEC の詳細を cCallHistoryIec MIB オブジェクトから取得します。IEC の詳細については、 ttp://www.cisco.com/en/US/docs/ios/voice/monitor/configuration/guide/vt_voip_err_cds_ps6350_TSD_Products_Configuration_Guide_Chapter.html を参照してください。
getmany 1.5.14.10 cCallHistoryIec
cCallHistoryIec.6.1 = 1.1.228.3.31.0
>getmany 172.19.156.132 cCallHistory
cCallHistorySetupTime.6 = 815385
cCallHistoryPeerAddress.6 = 1300
cCallHistoryPeerSubAddress.6 =
cCallHistoryPeerId.6 = 8000
cCallHistoryPeerIfIndex.6 = 76
cCallHistoryLogicalIfIndex.6 = 0
cCallHistoryDisconnectCause.6 = 15
cCallHistoryDisconnectText.6 = call rejected (21)
cCallHistoryConnectTime.6 = 0
cCallHistoryDisconnectTime.6 = 815387
cCallHistoryCallOrigin.6 = answer(2)
cCallHistoryChargedUnits.6 = 0
cCallHistoryInfoType.6 = speech(2)
cCallHistoryTransmitPackets.6 = 0
cCallHistoryTransmitBytes.6 = 0
cCallHistoryReceivePackets.6 = 0
cCallHistoryReceiveBytes.6 = 0
cCallHistoryReleaseSrc.6 = internalCallControlApp(7)
cCallHistoryIec.6.1 = 1.1.228.3.31.0
>getone 172.19.156.132 cvVoIPCallHistoryRemMediaIPAddr.6
cvVoIPCallHistoryRemMediaIPAddr.6 = 1.5.14.13