RPAD를 통한 호제한

RPAD를 통한 호제한

RPAD는 외부에 있는 영상 또는 음성단말을 내부 인프라와 연동시켜서 통신하게끔 도와주는 장비이다. 보통 기업의 DMZ 구간에 위치하게 된다.

RPAD는 방화벽 내부에 위치하게되지만, 오픈된 포트를 통해 발생하는 다양한 보안 이슈를 겪을 수 있다. 아래 내용은 이러한 보안 이슈를 최소화하기 위한 설정이다.

목차

1. 비인증 사용자에 대한 제한

2. Guest User 에 대한 제한

    a. Guest User 에게 Conference Bridge접근만 허용하고 PtoP Call 은 제한.

    b. 특정 IP address 사용자의 Call 제한.

 

 

1. 비인증 사용자에 대한 제한.

RPAD를 통해 일어날수 있는 Call 시나리오는

1. 리모트 사용자가 사내로 Call

   

2. 사내에서 리모트 사용자가로 Call

   

3. Guest 사용자가 사내로 Call

   

4. 사내에서 Guest 사용자가로 Call
   
5. 기업대기업을 RPAD로 연결

   

 

등이 있다. 이 중 리모트 사용자는 ID와 Password를 가지고 , RPAD에 Register 하여 Call을 한다. 이 리모트 사용자는 Resource Manager 를 통해 단말에 적용하는 다양한 설정를 Provisioning 받아 동작하는 방식과 사용자가 지정한 단말 설정을 사용하고 Registration 만 RPAD를 거쳐 하는 두가지 방식이 있습니다. 또한 Guest 사용자는 따로 등록을 하지 않고, RPAD의 IP로 직접 Call 하는 사용자를 말합니다. 여기서 비인증 사용자는 Provisioning 을 받지 않은 모든 방식을 칭합니다.

아래는 비인증 사용자는 내부로 Call을 할 수 없도록 하는 설정입니다.

 

ㄱ.RPAD> Configuration > Access control List Settings 로 접속하여 Add 를 누른다.

ㄴ. ACL Setting 창에서 Signaling Protocol, 외부 IP주소, 포트를 설정한다.

ㄷ. Rule setting 란에서 add 버튼을 누르면 아래와 같은 메뉴가 나온다.

Access Control List Name 은 조건이고 , Action 란은 어떤 처리를 할지 정해주는 란이다.

예를 들면, Access Control List Name을 SIP_Registration 으로 선택하고 Action 을 Deny 로 선택하면 RPAD를 통해 SIP registration 되어 있는 단말은 내부로 Call을 할 수 없다.

ㄹ.Access_Withour_Resource_manager_Provision 을 선택하고, Action 은 accept 로 선택한다.

*. Access Control List Settings 에 설정된 값은 Inbound Outbound 관계없이 양방향으로 적용된다.

 

설정을 끝내면 Guest User 는 Call 을 시도해도 거부된다. 또한, ID와 Password 만 가지고 Provisioning 없이 등록하려해도 아래와 같이 등록을 거부한다.

 

2. Guest User 에 대한 제한

    a. Guest User 에게 Conference Bridge접근만 허용하고 PtoP Call 은 제한.

    - 고객의 요구에의해 외부 사용자가 Conference Bridge 에는 접속 가능하고, 개인 사용자 또는 룸형 장비에는 Call 할 수 없도록 요구할 수 있다. 이런 경우 RPAD에 외부에서 들어오는 Called Number 에 특정 String 을 삽입 후 , DMA의 Dial Rule 에서 Rule 을 거칠 때 Dial by conference room ID를 거칠 때문 삽입된 특정 String 을 빼주는 Script 를 넣어주고, 다른 Rule 에는 Script 를 넣어주지 않아 RPAD를 거칠때 붙은 String 때문에 alias 를 찾지 못해 Call을 drop시킨다.

설정은 아래와 같다.

 

ㄱ. Configuration > SIP Settings 메뉴로 가면 External Port Settings 에 제약을 주고자하는 Port를 선택 후 Edit 를 누른다.

ㄴ. Dial String Policy 를 체크 후 특정 String 을 Prefix of Userinfo 란에 삽입한다.

ㄷ. DMA의 Dial Rules 란으로 이동하여 Dial by conference room ID 를 선택 후 Edit한다.

ㄹ. 호출된 String 에 특정 스트링이 매칭 되면, 특정 스트링을 빼주는 Script 를 삽입니다.

ㅁ. 설정이 끝나면 외부 사용자는 Conference Bridge 외에는 접근 할 수 없다.

 

    b. 특정 IP address 사용자의 Call 제한.

위의 RPAD 설정 중 Access Control List Settings 에는 운영자가 직접 Rule 을 만들어 Call에 제약을 발생 시킬 수 있다. 이를 Access Control List Rules 에서 하며, 그 중 IP를 이용한 제약을 만들 수 있다.

ㄱ. RPAD > Configuration > Access Control List Rules 로 접근 후 Add를 눌러 Rule을 생성할 준비를 한다.

ㄴ. 새창이 뜨면 Add 버튼을 눌러 Rule을 생성 할 수 있다.

ㄷ. Attribute 란에는 매칭 시킬 수 있는 다양한 값들이 있다. 이중 Request.src-ip를 선택 후 Value 란에는 허용 또는 거부 할 IP를 삽입니다.

ㄹ.이렇게 생성된 Rule 은 ACL Setting 에서 Rule을 선택 하여 적용 한다.

이렇게 적용하면, 10.230.108.75 를 소스IP로 달고 오는 단말은 거부 된다.

 

마치며.

이와 같은 방법들은 보안을 위해 만들어낸 응용 중 하나입니다.따라서 운영자의 능력에 따라 다양한 제약을 만들 수 있습니다. ACL Rule을 잘 활용한다면, 다양한 외부 위협을 막을 수 있을 것입니다.