VoIP の概要

トピック:
VoIP とは
VoIP のセキュリティ
VoIP プロトコル
SonicWALL の VoIP 機能

VoIP とは

Voice over IP (VoIP) は、ボイス トラフィックをインターネット プロトコル (IP) ネットワーク経由で搬送できるようにする一連の技術を意味する、包括的な用語です。VoIP は、パケット交換電話網 (PSTN) で使用された従来のアナログ回線交換式のボイス通信とは対照的に、音声通話のボイス ストリームをデータ パケットに転送します。

ボイス テレフォニーとデータを 1 つの統合 IP ネットワーク システムに一体化する VoIP は、ネットワークと電気通信の収束を促す大きな原動力となっています。VoIP は、冗長なインフラストラクチャと通信回線による高価な使用料金を削減することで企業コストを切り詰めるとともに、拡張管理機能や通話サービス機能を提供します。

VoIP のセキュリティ

通信コストを削減しつつ、さまざまな場所の従業員に企業ボイス サービスを展開するために VoIP 技術を実装している企業は、ボイス/データ ネットワークの収束に関連したセキュリティ リスクに直面しています。VoIP セキュリティおよびネットワークの保全は、あらゆる VoIP 配備に欠くことのできない部分です。

今日のデータ ネットワークで問題化しているセキュリティ脅威は VoIP にも共通していますが、VoIP をネットワーク上のアプリケーションとして追加した場合、そうした脅威がさらに危険性を増します。ネットワークに VoIP コンポーネントを追加すると、新たなセキュリティ要件が加わってしまうことになります。

VoIP に包含されている複雑な規格のなかには、ソフトウェア実装のバグおよび脆弱性が放置されているものもあります。今日利用可能なあらゆるオペレーティング システムおよびアプリケーションに障害を及ぼしているものと同じ種類のバグおよび脆弱性が、VoIP 装置にも障害を及ぼします。今日の VoIP 通話サーバおよびゲートウェイ機器の多くが、脆弱な Windows/Linux オペレーティング システム上に構築されています。

VoIP のファイアウォール要件

VoIP は、標準の TCP/UDP ベースのアプリケーションよりも複雑です。VoIP シグナルおよびプロトコルが複雑であることや、ファイアウォールで送信元アドレスおよび送信元ポート情報をネットワーク アドレス変換 (NAT) によって変換する際に不整合が生じることなどから、標準ファイアウォールをVoIP が効率的に通過するのは困難になっています。そうした理由のいくつかを次に挙げます。
VoIP の動作には、2 つの異なるプロトコルが使用される - クライアントと VoIP サーバ間にはシグナル プロトコルが使用され、クライアント間にはメディア プロトコルが使用されます。各セッションのメディア プロトコル (RTP/RTCP) で使用されるポート/IP アドレスのペアは、シグナル プロトコルによって動的にネゴシエートされます。ファイアウォールは、この情報を動的に追跡し保守し、セッションに対して選択されたポートを確実に開放して、適時に閉じる必要があります。
マルチ メディア ポートは、シグナル セッションによって動的にネゴシエートされる - メディア ポートのネゴシエーションは、シグナル プロトコル (IP アドレスおよびポート情報) のペイロードに含まれています。ファイアウォールは、各パケットに対して精密パケット検査を実行し、情報を取得してセッションを動的に維持する必要があるため、別途ファイアウォール処理を要求します。
送信元/送信先 IP アドレスは、VoIP のシグナル パケット内に埋め込まれている - NAT をサポートしているファイアウォールでは、パケットの IP アドレスおよびポートが IP ヘッダー レベルで変換されます。完全対称型 NAT ファイアウォールでは、NAT のバインドを頻繁に調整し、各ファイアウォールで防御されているネットワークに着信パケットが入り込む可能性のあるピンホールを任意に閉じて、サービス プロバイダから顧客に送出される着信通話を遮断します。VoIP を効果的にサポートするには、ファイアウォールをパケットが通過するたびに、NAT ファイアウォールで精密パケット検査を実行して埋め込み IP アドレスおよびポート情報を変換する必要があります。
さまざまな VoIP システムで使用される各種メッセージ フォーマットから成るシグナル プロトコル スイートを、ファイアウォールで処理する必要がある - ベンダー 2 社が同じプロトコル スイートを使用しているからといって、それらのプロトコル スイートに相互運用性があるとは限りません。

VoIP および NAT の複雑さに起因する多くの障害を克服するためにベンダー各社が提供しているのが、セッション ボーダ コントローラ (SBC) です。SBC はファイアウォールのインターネット側に配置され、VoIP メディア トラフィックおよびシグナル トラフィックをすべて終了してから再開することによって、VoIP ネットワーク境界を制御します。SBC は本質的に、VoIP 非対応のファイアウォールに対する VoIP トラフィック用プロキシとして機能します。Dell SonicWALL ネットワーク セキュリティ装置は VoIP 対応のファイアウォールであるため、ネットワーク上に SBC を配置する必要がありません。

* 
補足:VoIP は、SonicOS 6.1を稼働できるすべての Dell SonicWALL 装置でサポートされています。ただし、VoIP アプリケーションは RFC に準拠する必要があります。