- はじめに
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機 セキュリティ プロファイルの 設定
- セキュア インディケーション トーンの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの設定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- セキュアな会議リソースの設定
- ボイスメール ポートのセキュリティ 設定
- CTI、JTAPI、および TAPI の認証および 暗号化の設定
- Survivable Remote Site Telephony (SRST)参照先のセキュリティ設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIP トランク セキュリティ プロファイル の設定
- SIP トランクのダイジェスト認証の設定
- Cisco Unified Mobility Advantage の セキュリティ プロファイルの設定
- 索引
Cisco Unified Communications Manager セキュリティ ガイド Release 7.0(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: SIP トランク セキュリティ プロファイル の設定
SIP トランク セキュリティ プロファイルの設定
•
「SIP トランク セキュリティ プロファイルの設定のヒント」
• 「SIP トランク セキュリティ プロファイルの設定内容」
• 「その他の情報」
SIP トランク セキュリティ プロファイルの概要
Cisco Unified Communications Manager の管理ページでは、SIP トランクに対するセキュリティ関連の設定がグループ化され、1 つのセキュリティ プロファイルを複数の SIP トランクに割り当てることができます。セキュリティ関連の設定には、デバイス セキュリティ モード、ダイジェスト認証、着信転送タイプや発信転送タイプの設定などがあります。[トランクの設定(Trunk Configuration)]ウィンドウでセキュリティ プロファイルを選択することで、構成済みの設定を SIP トランクに適用します。
Cisco Unified Communications Manager をインストールすると、自動登録用の事前定義済み非セキュア SIP トランク セキュリティ プロファイルが提供されます。SIP トランクのセキュリティ機能を有効にするには、新しいセキュリティ プロファイルを設定し、SIP トランクに適用します。トランクがセキュリティをサポートしていない場合は、非セキュア プロファイルを選択します。
SIP トランク セキュリティ プロファイルの設定のヒント
Cisco Unified Communications Manager の管理ページで SIP トランク セキュリティ プロファイルを設定する場合は、次の点を考慮してください。
• SIP トランクを設定する場合は、[トランクの設定(Trunk Configuration)]ウィンドウでセキュリティ プロファイルを選択する必要があります。デバイスがセキュリティをサポートしていない場合は、非セキュア プロファイルを適用します。
• 現在デバイスに割り当てられているセキュリティ プロファイルを削除することはできません。
• すでに SIP トランクに割り当てられているセキュリティ プロファイルの設定を変更すると、再構成した設定が、そのプロファイルを割り当てられているすべての SIP トランクに適用されます。
• デバイスに割り当てられているセキュリティ ファイルの名前を変更できます。古いプロファイル名および設定を割り当てられている SIP トランクは、新しいプロファイル名および設定を受け入れます。
• Cisco Unified Communications Manager 5.0 以降へのアップグレード前にデバイス セキュリティ モードを設定した場合は、Cisco Unified Communications Manager が SIP トランクのプロファイルを作成し、デバイスにプロファイルを適用します。
SIP トランク セキュリティ プロファイルの検索
SIP トランク セキュリティ プロファイルを検索するには、次の手順を実行します。
ステップ 1 [システム(System)]>[セキュリティプロファイル(Security Profile)] > [SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] の順に選択します。
検索と一覧表示ウィンドウが表示されます。アクティブな(前の)クエリーのレコードもウィンドウに表示される場合があります。
ステップ 2 データベース内のすべてのレコードを検索するには、ダイアログボックスが空であることを確認して、ステップ 3 へ進みます。
レコードをフィルタリングまたは検索するには、次の手順を実行します。
• 最初のドロップダウン リスト ボックスから、検索パラメータを選択します。
• 2 番目のドロップダウン リスト ボックスから検索パターンを選択します。
(注) 検索条件を追加するには、[+]ボタンをクリックします。条件を追加すると、指定したすべての条件に一致するレコードが検索されます。条件を削除するには、[-]ボタンをクリックして最後に追加した条件を削除するか、[フィルタのクリア(Clear Filter)]ボタンをクリックして追加したすべての検索条件を削除します。
一致するすべてのレコードが表示されます。[ページあたりの行数(Rows per Page)]ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。
ステップ 4 表示するレコードのリストから、表示するレコードのリンクをクリックします。
(注) リストの見出しに上向きまたは下向きの矢印がある場合は、その矢印をクリックして、ソート順序を逆にします。
詳細については、「関連項目」を参照してください。
SIP トランク セキュリティ プロファイルの設定
SIP トランク セキュリティ プロファイルを追加、更新、またはコピーするには、次の手順を実行します。
ステップ 1 Cisco Unified Communications Manager の管理ページで、 [システム(System)]>[セキュリティプロファイル(Security Profile)] >[ SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] の順に選択します。
• 新しいプロファイルを追加するには、検索ウィンドウで [新規追加(Add New)] をクリックします(プロファイルを表示してから、 [新規追加(Add New)] をクリックすることもできます)。設定ウィンドウが表示され、各フィールドのデフォルト設定が示されます。
• 既存のセキュリティ プロファイルをコピーするには、「SIP トランク セキュリティ プロファイルの検索」の説明に従って適切なプロファイルを見つけ、[コピー(Copy)]列内にあるそのレコード用の [コピー(Copy)] アイコンをクリックします(プロファイルを表示してから、 [コピー(Copy)] をクリックすることもできます)。設定ウィンドウが表示され、設定内容が示されます。
• 既存のプロファイルを更新するには、「SIP トランク セキュリティ プロファイルの検索」の説明に従い、適切なセキュリティ プロファイルを見つけて表示します。設定ウィンドウが表示され、現在の設定が示されます。
ステップ 3 表16-1 の説明に従って、適切な設定を入力します。
セキュリティ プロファイルを作成した後、「SIP トランク セキュリティ プロファイルの適用」の説明に従い、トランクに適用します。
SIP トランクにダイジェスト認証を設定した場合は、トランクの[SIPレルムの設定(SIP Realm Configuration)]ウィンドウと、SIP トランクを介して接続されるアプリケーションの[アプリケーションユーザの設定(Application User Configuration)]ウィンドウで、ダイジェスト信用証明書を設定する必要があります(まだ設定していない場合)。
SIP トランクを介して接続されるアプリケーションのアプリケーションレベル許可を有効にした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウで、そのアプリケーションに許可される方式を設定する必要があります(まだ設定していない場合)。
詳細については、「関連項目」を参照してください。
SIP トランク セキュリティ プロファイルの設定内容
表16-1 で、SIP トランク セキュリティ プロファイルの設定内容について説明します。
• 設定のヒントについては、「SIP トランク セキュリティ プロファイルの設定のヒント」を参照してください。
• 関連する情報および手順については、「関連項目」を参照してください。
|
|
|
|---|---|
セキュリティ プロファイルの名前を入力します。新しいプロファイルを保存すると、[トランクの設定(Trunk Configuration)]ウィンドウの[SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)]ドロップダウン リスト ボックスに名前が表示されます。 |
|
ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。 • • • |
|
[デバイスセキュリティモード(Device Security Mode)]が[非セキュア(Non Secure)]である場合、[TCP+UDP]が転送タイプとなります。 [デバイスセキュリティモード(Device Security Mode)]が[認証のみ(Authenticated)]または[暗号化(Encrypted)]である場合、[TLS]が転送タイプとなります。
(注) Transport Layer Security(TLS)プロトコルによって、Cisco Unified Communications Manager とトランクとの間の接続が保護されます。 |
|
ドロップダウン リスト ボックスから、発信転送モードを選択します。 [デバイスセキュリティモード(Device Security Mode)]が[非セキュア(Non Secure)]である場合、[TCP]または[UDP]を選択します。 [デバイスセキュリティモード(Device Security Mode)]が[認証のみ(Authenticated)]または[暗号化(Encrypted)]である場合、[TLS]が転送タイプとなります。
(注) TLS は、SIPトランクのシグナリング整合性、デバイス認証、およびシグナリング暗号化を実現します。 
|
|
ダイジェスト認証を有効にするには、このチェックボックスをオンにします。このチェックボックスをオンにすると、Cisco Unified Communications Manager は、トランクからのすべての SIP 要求でチャレンジを行います。 ダイジェスト認証は、デバイス認証、整合性、および信頼性を提供しません。これらの機能を使用するには、セキュリティ モード[認証のみ(Authenticated)]または[暗号化(Encrypted)]を選択します。 ダイジェスト認証の詳細については、「ダイジェスト認証」および 「SIP トランクのダイジェスト認証の設定」を参照してください。
|
|
ナンス値が有効な時間を秒単位で入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Cisco Unified Communications Manager は新しい値を生成します。
(注) ナンス値は、ダイジェスト認証をサポートするランダム値で、ダイジェスト認証パスワードの MD5 ハッシュの計算に使用されます。 |
|
このフィールドは、[着信転送タイプ(Incoming Transport Type)]および[発信転送タイプ(Outgoing Transport Type)]に TLS を設定した場合に適用されます。 デバイス認証のために、SIP トランク デバイスの X.509 証明書の件名を入力します。Cisco Unified Communications Manager クラスタがある場合、または TLS ピアに対して SRV ルックアップを使用する場合、単一のトランクが複数のホストに解決されることがあります。その結果、トランクに複数の X.509 の件名が設定されます。複数の X.509 の件名がある場合は、スペース、カンマ、セミコロン、またはコロンのいずれか 1 つを使用して、名前を区切ります。
例:ポート 5061 の SIP TLS trunk1 の[X.509の件名(X.509 Subject Name)]は、my_cm1, my_cm2 です。ポート 5071 の SIP TLS trunk1 の[X.509の件名(X.509 Subject Name)]は、my_cm2, my_cm3 です。この場合、ポート 5061 の SIP TLS trunk3 の[X.509の件名(X.509 Subject Name)]は my_ccm4 にできますが、my_cm1 にはできません。 |
|
着信ポートを選択します。1024 ~ 65535 の一意のポート番号を入力します。着信 TCP および UDP の SIP メッセージのデフォルト ポート値は、5060 です。着信 TLS メッセージの保護されたデフォルト SIP ポートは、5061 です。入力した値は、このプロファイルを使用するすべての SIP トランクに適用されます。
|
|
アプリケーションレベルの許可は、SIP トランクを介して接続されるアプリケーションに適用されます。 このチェックボックスをオンにする場合は、[ダイジェスト認証を有効化(Enable Digest Authentication)]チェックボックスもオンにし、トランクのダイジェスト認証を設定する必要があります。Cisco Unified Communications Manager は、許可されているアプリケーション方式を確認する前に、SIP アプリケーション ユーザを認証します。 アプリケーション レベルの許可が有効な場合は、まずトランクレベルの許可が発生してから、アプリケーション レベルの許可が発生します。つまり、Cisco Unified Communications Manager は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウで SIP アプリケーション ユーザに許可されている方式よりも先に、(このセキュリティ プロファイルで)トランクに許可されている方式を確認します。
トランクのダイジェスト認証設定の詳細については、「SIP トランクのダイジェスト認証の設定」を参照してください。許可の詳細については、「許可」および 「相互作用」を参照してください。[アプリケーションユーザの設定(Application User Configuration)]ウィンドウでアプリケーション レベルの許可を設定する方法の詳細については、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』を参照してください。 |
|
Cisco Unified Communications Manager が SIP トランク経由で着信するプレゼンス サブスクリプション要求を受け付けるようにする場合は、このチェックボックスをオンにします。 [アプリケーションレベル認証を有効化(Enable Application Level Authorization)]チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この機能について許可するアプリケーション ユーザの[プレゼンス登録の許可(Accept Presence Subscription)]チェックボックスをオンにします。 アプリケーションレベルの許可が有効で、アプリケーション ユーザの[プレゼンス登録の許可(Accept Presence Subscription)]チェックボックスがオンで、トランクのチェックボックスがオフの場合、トランクに接続されている SIP ユーザ エージェントに 403 エラー メッセージが送信されます。 |
|
Cisco Unified Communications Manager が SIP トランク経由で着信する非インバイトのアウトオブダイアログ REFER 要求を受け付けるようにする場合は、このチェックボックスをオンにします。 [アプリケーションレベル認証を有効化(Enable Application Level Authorization)]チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この方式について許可するアプリケーション ユーザの[アウトオブダイアログREFERの許可(Accept Out-of-Dialog REFER)]チェックボックスをオンにします。 |
|
Cisco Unified Communications Manager が SIP トランク経由で着信する非インバイトの未承諾 NOTIFY メッセージを受け付けるようにする場合は、このチェックボックスをオンにします。 [アプリケーションレベル認証を有効化(Enable Application Level Authorization)]チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この方式について許可するアプリケーション ユーザの[未承諾NOTIFYの許可(Accept Unsolicited Notification)]チェックボックスをオンにします。 |
|
Cisco Unified Communications Manager が既存の SIP ダイアログを置き換える新しい SIP ダイアログを受け付けるようにする場合は、このチェックボックスをオンにします。 [アプリケーションレベル認証を有効化(Enable Application Level Authorization)]チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この方式について許可するアプリケーション ユーザの[REPLACE ヘッダの許可(Accept Replaces Header)]チェックボックスをオンにします。 |
|
Cisco Unified Communications Manager が、関連付けられた SIP トランクから SIP ピアにコールのセキュリティ アイコン ステータスを送信するようにする場合は、このチェックボックスをオンにします。 |
SIP トランク セキュリティ プロファイルの適用
[トランクの設定(Trunk Configuration)]ウィンドウで、SIP トランク セキュリティ プロファイルをトランクに適用します。デバイスにセキュリティ プロファイルを適用するには、次の手順を実行します。
ステップ 1 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って、トランクを検索します。
ステップ 2 [トランクの設定(Trunk Configuration)]ウィンドウが表示されたら、 [SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] 設定を見つけます。
ステップ 3 セキュリティ プロファイルのドロップダウン リスト ボックスから、デバイスに適用するセキュリティ プロファイルを選択します。
ステップ 5 [リセット(Reset)] をクリックして、トランクをリセットします。
SIP トランクにダイジェスト認証を有効にするプロファイルを適用した場合は、トランクの[SIPレルムの設定(SIP Realm Configuration)]ウィンドウでダイジェスト信用証明書を設定する必要があります。「SIP レルムの設定」を参照してください。
アプリケーションレベルの許可を有効にするプロファイルを適用した場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウで、ダイジェスト信用証明書と可能な許可方式を設定する必要があります(まだ設定していない場合)。
詳細については、「関連項目」を参照してください。
SIP トランク セキュリティ プロファイルの削除
ここでは、Cisco Unified Communications Manager データベースから SIP トランク セキュリティ プロファイルを削除する方法について説明します。
Cisco Unified Communications Manager の管理ページからセキュリティ プロファイルを削除する前に、別のプロファイルをデバイスに適用するか、該当プロファイルを使用するすべてのデバイスを削除してください。該当プロファイルを使用しているデバイスを検索するには、[SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)]ウィンドウの[関連リンク(Related Links)]ドロップダウン リスト ボックスから [依存関係レコード(Dependency Records)] を選択して、 [移動(Go)] をクリックします。
システムで依存関係レコード機能が有効になっていない場合は、レコードの[依存関係レコード要約(Dependency Records Summary)]ウィンドウに、依存関係レコードを有効にすると実行できるアクションを示すメッセージが表示されます。また、依存関係レコード機能を使用すると、CPU 使用率が高くなるという情報も表示されます。依存関係レコードの詳細については、『 Cisco Unified Communications Manager システム ガイド 』を参照してください。
ステップ 1 「SIP トランク セキュリティ プロファイルの検索」の手順に従って、セキュリティ プロファイルを検索します。
• 複数のセキュリティ プロファイルを削除するには、検索と一覧表示ウィンドウで、次の作業のどちらかを実行します。
–削除するセキュリティ プロファイルの横に表示されているチェックボックスをオンにして、 [選択項目の削除(Delete Selected)] をクリックします。
–この選択に対するすべての設定可能なレコードを削除するには、 [すべてを選択(Select All)] をクリックしてから [選択項目の削除(Delete Selected)] をクリックします。
• 単一のセキュリティ プロファイルを削除するには、検索と一覧ウィンドウで、次の作業のどちらかを実行します。
–削除するセキュリティ プロファイルの横に表示されているチェックボックスをオンにして、 [選択項目の削除(Delete Selected)] をクリックします。
–セキュリティ プロファイルの [名前(Name)] リンクをクリックします。指定したセキュリティ プロファイルの設定ウィンドウが表示されたら、 [削除(Delete)] をクリックします。
ステップ 3 削除操作の確認を要求するプロンプトが表示されたら、 [OK] をクリックして削除するか、 [キャンセル(Cancel)] をクリックして削除操作を取り消します。
詳細については、「関連項目」を参照してください。
その他の情報
• 「SIP トランク セキュリティ プロファイルの設定のヒント」
• 「SIP トランク セキュリティ プロファイルの設定内容」
• 「許可」
• 「相互作用」
フィードバック