はじめに
本ドキュメントでは、VCS-E もしくは Expressway-E において、インターネット側からの SIP コールの受信について、特定のドメインを持つ送信元からのみ許容する方法を紹介します。CPL (Call Processing Language) で特定のドメインのみ許容するように設定します。
CPL の作成
以下の CPL は、VCE-E がインターネット側から Default Zone で example.com のドメインを持つ SIP-URI から受信する SIP コールのみ許容し、他の SIP コールは 403 エラーレスポンスで拒否する例となります。テキストエディタで記載し、ファイルに保存します。
1 つ目の unauthenticated-origin (認証されていないユーザ) には、正規表現で送信元 SIP-URI のドメインを下記のように記載します。宛先も制限する場合は、destination (宛先) に正規表現で適切な値を設定します。
2 つ目の unauthenticated-origin と destination には、それぞれ任意の認証されていないユーザ、任意の宛先を記載し、1 つ目の条件に引っかからなかったコールを 403 で拒否します。
<?xml version="1.0" encoding="UTF-8" ?>
<cpl xmlns="urn:ietf:params:xml:ns:cpl" xmlns:taa="http://www.tandberg.net/cpl-extensions" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:ns:cpl cpl.xsd">
<taa:routed>
<taa:rule-switch>
<taa:rule unauthenticated-origin=".*@example\.com" destination=".*">
<proxy/>
</taa:rule>
<!-- Reject call with reason 403 (SIP Forbidden Code) and message -->
<taa:rule unauthenticated-origin=".*" destination=".*">
<reject status="403" reason="Rejected by policy"/>
</taa:rule>
</taa:rule-switch>
</taa:routed>
</cpl>
CPL の適用
1. VCS-E の Web UI にログインし、Configuration > Call Policy > Configuration に進みます。
2. Call Policy Mode を Local Policy に設定します。
3. Select the new policy file から、先程作成した CPL を選択し、Upload file をクリックします。
4. Show call policy file をクリックして、CPL がアップロードされているか確認します。
CPL の処理順序
CPL の処理は、VCS のコールルーティングのうち、Transform の後、Search Rules の前で行われます。
- 1) Authentication
- 2) Transforms
- 3) SIP Routes
- 4) Admin Policy (CPL) <--
- 5) User Policy (FindMe)
- 6) Search rules
その他
セキュリティの観点上、外部からの攻撃を考慮して、VCS-E や Expressway-E では SIP UDP を無効にすることが推奨されています。
Configuration > Protocol > SIP
UDP mode を Off に設定
参考ドキュメント