- はじめに
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機 セキュリティ プロファイルの 設定
- セキュア インディケーション トーンの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの設定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- セキュアな会議リソースの設定
- ボイスメール ポートのセキュリティ 設定
- CTI、JTAPI、および TAPI の認証および 暗号化の設定
- Survivable Remote Site Telephony (SRST)参照先のセキュリティ設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIP トランク セキュリティ プロファイル の設定
- SIP トランクのダイジェスト認証の設定
- Cisco Unified Mobility Advantage の セキュリティ プロファイルの設定
- 索引
Cisco Unified Communications Manager セキュリティ ガイド Release 7.0(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: ゲートウェイおよびトランクの暗号化 の設定
ゲートウェイおよびトランクの暗号化の設定
•
「Cisco IOS MGCP ゲートウェイの暗号化の概要」
• 「H.323 ゲートウェイおよび H.323/H.225/H.245 トランクの暗号化の概要」
• 「ゲートウェイおよびトランクのセキュリティ設定用チェックリスト」
• 「ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項」
• 「Cisco Unified Communications Manager とゲートウェイまたはトランクとの間で IPSec を設定する場合の注意事項」
• 「SRTPを許可(SRTP Allowed) チェックボックスの設定」
• 「その他の情報」
Cisco IOS MGCP ゲートウェイの暗号化の概要
Cisco Unified Communications Manager は、MGCP SRTP パッケージを使用するゲートウェイをサポートしています。MGCP SRTP パッケージは、ゲートウェイがセキュア RTP 接続上でパケットを暗号化および復号化するときに使用されます。コール設定中に交換される情報によって、ゲートウェイがコールに SRTP を使用するかどうかが判別されます。デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。少なくとも 1 つのデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP への(およびその逆の)フォールバックは、セキュア デバイスから非セキュア デバイスへの転送、電話会議、トランスコーディング、保留音などで発生する場合があります。
システムが 2 つのデバイス間で暗号化済み SRTP コールを設定すると、Cisco Unified Communications Manager はセキュア コールのためのマスター暗号鍵とソルトを生成し、SRTP ストリームの場合にのみゲートウェイに送信します。ゲートウェイでもサポートされている SRTCP ストリームの場合、Cisco Unified Communications Manager は鍵とソルトを送信しません。これらの鍵は MGCP シグナリング パスを介してゲートウェイに送信されます。これは、IPSec を使用してセキュリティを設定する必要があります。Cisco Unified Communications Manager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、システムはゲートウェイにセッション鍵を暗号化せずに送信します。セッション鍵がセキュア接続を介して送信されるように、IPSec 接続が存在することを確認します。
ヒント SRTP 用に設定された MGCP ゲートウェイが、認証されたデバイス(SCCP を実行する認証された電話機など)とのコールに関わる場合、Cisco Unified Communications Manager はこのコールを認証済みとして分類するため、電話機にシールド アイコンが表示されます。コールに対してデバイスの SRTP 機能が正常にネゴシエートされると、Cisco Unified Communications Manager は、このコールを暗号化済みとして分類します。MGCP ゲートウェイがセキュリティ アイコンを表示できる電話機に接続されている場合、コールが暗号化されていると、電話機にロック アイコンが表示されます。
H.323 ゲートウェイおよび H.323/H.225/H.245 トランクの暗号化の概要
セキュリティをサポートする H.323 ゲートウェイおよびゲートキーパーまたは非ゲートキーパー制御の H.225/H.323/H.245 トランクは、Cisco Unified Communications オペレーティング システムで IPSec アソシエーションを設定した場合、Cisco Unified Communications Manager に対して認証ができます。Cisco Unified Communications Manager とこれらのデバイスとの間で IPSec アソシエーションを作成する方法については、『 Cisco Unified Communications Operating System アドミニストレーション ガイド 』を参照してください。
H.323、H.225、および H.245 デバイスは暗号鍵を生成します。これらの鍵は、IPSec で保護されたシグナリング パスを介して Cisco Unified Communications Manager に送信されます。Cisco Unified Communications Manager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、セッション鍵は暗号化されずに送信されます。セッション鍵がセキュア接続を介して送信されるように、IPSec 接続が存在することを確認します。
IPSec アソシエーションの設定に加えて、Cisco Unified Communications Manager の管理ページのデバイス設定ウィンドウで[SRTPを許可(SRTP Allowed)]チェックボックスをオンにする必要があります。H.323 ゲートウェイ、H.225 トランク(ゲートキーパー制御)、クラスタ間トランク(ゲートキーパー制御)、クラスタ間トランク(非ゲートキーパー制御)などのデバイス設定ウィンドウがあります。このチェックボックスをオンにしない場合、Cisco Unified Communications Manager は RTP を使用してデバイスと通信します。このチェックボックスをオンにした場合、Cisco Unified Communications Manager は、デバイスに対して SRTP が設定されているかどうかに応じて、セキュア コールまたは非セキュア コールを発生させます。
Cisco Unified Communications Manager は、IPSec 接続が正しく設定されているかどうかを確認しません。接続が正しく設定されていない場合、セキュリティ関連情報が暗号化されずに送信されることがあります。
セキュア メディア パスまたはセキュア シグナリング パスを確立でき、デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。セキュア メディア パスまたはセキュア シグナリング パスを確立できない、または 1 つ以上のデバイスが SRTP をサポートしない場合、システムは RTP 接続を使用します。SRTP から RTP への(およびその逆の)フォールバックは、セキュア デバイスから非セキュア デバイスへの転送、電話会議、トランスコーディング、保留音などで発生する場合があります。
ヒント コールがパススルー対応 MTP を使用し、リージョン フィルタリングの後でデバイスの音声機能が一致し、どのデバイスに対しても[メディアターミネーションポイントが必須(Media Termination Point Required)]チェックボックスがオンになっていない場合、Cisco Unified Communications Manager はこのコールをセキュアに分類します。[メディアターミネーションポイントが必須(Media Termination Point Required)]チェックボックスがオンの場合、Cisco Unified Communications Manager は、コールの音声パススルーを無効にし、コールを非セキュアに分類します。コールに関連する MTP がない場合、デバイスの SRTP 機能によっては、Cisco Unified Communications Manager がそのコールを暗号化済みに分類することがあります。
SRTP が設定されているデバイスでは、デバイスに対する[SRTPを許可(SRTP Allowed)]チェックボックスがオンで、デバイスの SRTP 機能がコールに対して正常にネゴシエートされた場合、Cisco Unified Communications Manager はコールを暗号化済みに分類します。この基準を満たさない場合、Cisco Unified Communications Manager は、コールを非セキュアに分類します。デバイスがセキュリティ アイコンを表示できる電話機に接続されている場合、コールが暗号化されていると、電話機にロック アイコンが表示されます。
Cisco Unified Communications Manager は、トランクまたはゲートウェイによるアウトバウンド FastStart コールを非セキュアに分類します。 Cisco Unified Communications Manager の管理ページで、[SRTPを許可(SRTP Allowed)]チェックボックスをオンにした場合、Cisco Unified Communications Manager は[アウトバウンドFastStartを有効にする(Enable Outbound FastStart)]チェックボックスを無効にします。
SIP トランクの暗号化の概要
SIP トランクは、シグナリングとメディア両方についてセキュア コールをサポートできます。シグナリング暗号化は TLS によって、メディア暗号化は SRTP によって提供されます。
トランクに対してシグナリングの暗号化を設定するには、SIP トランク セキュリティ プロファイルを設定するときに、次のオプションを選択します( [システム(System)]>[セキュリティプロファイル(Security Profile)]>[SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] ウィンドウ)。
• [デバイスセキュリティモード(Device Security Mode)]ドロップダウン リストから[暗号化(Encrypted)]を選択
• [着信転送タイプ(Incoming Transport Type)]ドロップダウン リストから[TLS]を選択
• [発信転送タイプ(Outgoing Transport Type)]ドロップダウン リストから[TLS]を選択
SIP トランク セキュリティ プロファイルを設定した後、プロファイルをトランクに適用します( [デバイス(Device)]>[トランク(Trunk)]> SIP トランクの設定ウィンドウ)。
トランクに対してメディア暗号化を設定するには、[SRTPを許可(SRTP Allowed)]チェックボックスをオンにします(同様に [デバイス(Device)]>[トランク(Trunk)]> SIP トランクの設定ウィンドウ)。
SIP トランク セキュリティ プロファイルの設定の詳細については、 「SIP トランク セキュリティ プロファイルの設定」 の章を参照してください。
ゲートウェイおよびトランクのセキュリティ設定用チェックリスト
表15-1 を、Cisco IOS MGCP ゲートウェイでセキュリティを設定する方法について説明しているマニュアル『 Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways 』とともに使用してください。このマニュアルは、次の URL で入手できます。
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a0080357589.html
|
|
|
|
|---|---|---|
Cisco CTL クライアントをインストールし、設定したことを確認します。クラスタ セキュリティ モードが混合モードであることを確認します。 |
||
|
• • |
|
H.323 IOS ゲートウェイおよびクラスタ間トランクの場合、Cisco Unified Communications Manager の管理ページで[SRTPを許可(SRTP Allowed)]チェックボックスをオンにします。 |
[SRTPを許可(SRTP Allowed)]チェックボックスは[トランクの設定(Trunk Configuration)]ウィンドウまたは[ゲートウェイの設定(Gateway Configuration)]ウィンドウに表示されます。これらのウィンドウを表示する方法については、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』のトランクおよびゲートウェイに関する章を参照してください。 |
|
SIP トランクの場合、SIP トランク セキュリティ プロファイルを設定し、トランクに適用します(この処理を行っていない場合)。また、 [デバイス(Device)]>[トランク(Trunk)]> SIP トランクの設定ウィンドウで、[SRTPを許可(SRTP Allowed)]チェックボックスを必ずオンにします。 |
||
• |
||
ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項
このマニュアルでは、IPSec の設定方法は説明しません。代わりに、ネットワーク インフラストラクチャで IPSec を設定する際の考慮事項と推奨事項を示します。IPSec をネットワーク インフラストラクチャで設定し、Cisco Unified Communications Manager とデバイスとの間では設定しない場合は、IPSec の設定前に、次のことを検討してください。
• シスコは、Cisco Unified Communications Manager 自体ではなくインフラストラクチャで IPSec をプロビジョニングすることをお勧めします。
• IPSec を設定する前に、既存の IPSec または VPN 接続、プラットフォームの CPU への影響、帯域幅への影響、ジッタまたは待ち時間、およびその他のパフォーマンス上のメトリックを考慮してください。
• 『 Voice and Video Enabled IPSec Virtual Private Networks Solution Reference Network Design Guide 』を参照してください。これは、次の URL で入手できます。
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns241/c649/ccmigration_09186a00801ea79c.pdf
• 『 Cisco IOS Security Configuration Guide, Release 12.2 』(またはそれ以降)を参照してください。これは、次の URL で入手できます。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_book09186a0080087df1.html
• セキュア Cisco IOS MGCP ゲートウェイで接続のリモート エンドを終了します。
• テレフォニー サーバがあるネットワークの信頼されている領域内で、ネットワーク デバイスのホスト エンドを終了します。たとえば、ファイアウォール内のアクセス コントロール リスト(ACL)またはその他のレイヤ 3 デバイスです。
• ホスト エンド IPSec 接続を終了するために使用する装置は、ゲートウェイの数やゲートウェイへの予期されるコール ボリュームによって異なります。たとえば、Cisco VPN 3000 Series Concentrators、Catalyst 6500 IPSec VPN Services Module、または Cisco Integrated Services Routers を使用できます。
• 「ゲートウェイおよびトランクのセキュリティ設定用チェックリスト」に示されている順序どおりに手順を実行してください。
Cisco Unified Communications Manager とゲートウェイまたはトランクとの間で IPSec を設定する場合の注意事項
この章で説明する Cisco Unified Communications Manager とゲートウェイまたはトランクとの間での IPSec の設定については、『 Cisco Unified Communications Operating System アドミニストレーション ガイド 』を参照してください。
SRTPを許可(SRTP Allowed) チェックボックスの設定
[SRTPを許可(SRTP Allowed)]チェックボックスは、Cisco Unified Communications Manager の管理ページの次の設定ウィンドウに表示されます。
• H.225 トランク(ゲートキーパー制御)のトランク設定ウィンドウ
• クラスタ間トランク(ゲートキーパー制御)のトランク設定ウィンドウ
• クラスタ間トランク(非ゲートキーパー制御)のトランク設定ウィンドウ
H.323 ゲートウェイ、およびゲートキーパーまたは非ゲートキーパー制御の H.323/H.245/H.225 トランクまたは SIP トランクに対して[SRTPを許可(SRTP Allowed)]チェックボックスを設定するには、次の手順を実行します。
ステップ 1 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って、ゲートウェイまたはトランクを検索します。
ステップ 2 ゲートウェイまたはトランクの設定ウィンドウが開いたら、[SRTPを許可(SRTP Allowed)]チェックボックスをオンにします。
ステップ 4 [リセット(Reset)] をクリックして、デバイスをリセットします。
ステップ 5 H323 について IPSec が正しく設定されたことを確認します(SIP については、TLS が正しく設定されたことを確認します)。
詳細については、「関連項目」を参照してください。
その他の情報
• 「暗号化の概要」
• 「Cisco IOS MGCP ゲートウェイの暗号化の概要」
• 「H.323 ゲートウェイおよび H.323/H.225/H.245 トランクの暗号化の概要」
• 「ゲートウェイおよびトランクのセキュリティ設定用チェックリスト」
• 「ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項」
• 「Cisco Unified Communications Manager とゲートウェイまたはトランクとの間で IPSec を設定する場合の注意事項」
• Cisco Unified Communications Operating System アドミニストレーション ガイド
• Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways
• Cisco IOS Security Configuration Guide, Release 12.2 (またはそれ以降)
• Voice and Video Enabled IPSec Virtual Private Networks Solution Reference Network Design Guide
フィードバック