この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco CallManager システムに認証および暗号化を実装すると、電話機や Cisco CallManager サーバの ID 盗難、データ改ざん、コール シグナリングやメディア ストリームの改ざんを防止することができます。こうした脅威を防ぐために、Cisco IP テレフォニー ネットワークでは認証された通信ストリームを確立して維持し、ファイルを電話機に転送する前にデジタル署名を行い、Cisco IP Phone 間のメディア ストリームおよびコール シグナリングを暗号化します。
• 「システム要件」
• 「デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート」
• 「インストール」
• 「証明書の種類」
• 「暗号化の概要」
• 「その他の情報」
表 1-1 に示す定義は、Cisco IP テレフォニー ネットワークで認証および暗号化を設定する場合に適用されます。
• Cisco CallManager 4.1(2) はクラスタ内の各サーバに対する最小要件です。
• シスコが提供するオペレーティング ステム バージョン 2000.2.6 (またはそれ以降)は、クラスタ内の各サーバに対する最小要件です。オペレーティング システム 2000.2.6 (またはそれ以降)に対応する最新のオペレーティング システム サービス リリースがインストールされていることを確認します。
• Cisco CTL クライアントをインストールする前に、ワークステーションまたはサーバで Windows 2000 sp3a (またはそれ以降)が動作していることを確認します。
• クラスタ内の各サーバでは、Windows 管理者と同じユーザ名およびパスワードが必要です。
• Certificate Authority Proxy Function (CAPF) については、「CAPF システムの対話および要件」を参照してください。
• 「インストール」
• 「Cisco CallManager と Cisco IP Phone との対話」
• 「サポートされる電話機でのセキュリティ メニューおよびアイコン」
• 「制限」
• 「デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート」
Cisco CallManager と Cisco IP Phone との対話
Cisco CallManager の新規インストールを実行している場合、Cisco CallManager クラスタはノンセキュア モードで起動します。Cisco CallManager のインストール後に電話機が起動すると、デバイスはすべてノンセキュアとしてCisco CallManager に登録されます。
Cisco CallManager 4.0(1) またはそれ以降のリリースからアップグレードした後は、アップグレード前に有効にしたセキュア モードで電話機が起動します。デバイスはすべて選択されたセキュリティ モードを使用して登録されます。
Cisco CallManager のインストールを行うと、対応する Cisco CallManager および TFTP サーバに自己署名証明書が作成されます。クラスタに認証を設定した後、Cisco CallManager はこの自己署名証明書を使用してサポートされた Cisco IP Phone を認証します。自己署名証明書が Cisco CallManager および TFTP サーバに存在していれば、Cisco CallManager はそれぞれの Cisco CallManager アップグレード時に証明書を再発行しません。
ヒント サポートされていないシナリオまたは安全でないシナリオについては、「制限」を参照してください。
Cisco CallManager は認証および暗号化のステータスをデバイス レベルで維持します。コールに関係するすべてのデバイスがセキュアとして登録されると、コール ステータスはセキュアとして登録されます。デバイスのいずれか 1 つがノンセキュアとして登録されると、発信者または受信者の電話機がセキュアとして登録されても、そのコールはノンセキュアとして登録されます。
ユーザが Cisco CallManager エクステンション モビリティを使用する場合、Cisco CallManager はデバイスの認証および暗号化ステータスを保持します。また、共有回線が設定されている場合も、Cisco CallManager はデバイスの認証および暗号化ステータスを保持します。
(注) このマニュアルに記載された機能は、限定された Cisco IP Phone モデルでサポートされています。サポートしている電話機の最新リストについては、Cisco CallManager 4.1(2) をサポートする電話機の管理マニュアルを参照してください。
表 1-2 に、さまざまな Cisco IP Phone でサポートされる機能のリストを示します。
サポートされる電話機でのセキュリティ メニューおよびアイコン
セキュリティをサポートする電話機に、特定のセキュリティ関連設定を構成して表示することができます。たとえば、サポートされている電話機で、電話機にインストールされている証明書がローカルで有効な証明書(LSC)か製造元でインストールされる証明書(MIC)かを確認できます。セキュリティ メニューおよびアイコンの詳細については、使用している電話機モデルおよびこのバージョンの Cisco CallManager をサポートする Cisco IP Phone 管理およびユーザ マニュアルを参照してください。
同様に、Cisco CallManager がコールを認証済みまたは暗号化済みとして分類すると、コールの状態を示すアイコンが電話機に表示されます。Cisco CallManager がコールを認証済みまたは暗号化済みとして分類する場合を判別するには、「制限」を参照してください。
認証および暗号化機能をインストールして設定する前に、次の制限を考慮してください。
• クラスタをデバイス認証に必要な混合モードに設定すると、自動登録機能は動作しません。
• デバイス認証がクラスタに存在しない場合、つまり Cisco CTL クライアントをインストールして設定していない場合、シグナリング暗号化およびメディア暗号化を実装できません。
• マルチクラスタ TFTP 構成を使用する場合、Cisco CTL クライアントを介して、すべての Cisco CallManager クラスタに同じセキュリティ モードを設定する必要があります。各クラスタに Cisco CTL クライアントをインストールし、設定時にクラスタ全体で同じセキュリティ モードを選択する必要があります。
• クラスタを混合モードに設定した場合、シスコでは Cisco CallManager による Network Address Translation (NAT; ネットワーク アドレス変換)をサポートしません。VOIP のファイアウォールおよび NAT トラバーサルを許可する Application Layer Gateways(ALG)はシグナリング暗号化では動作しません。
ファイアウォール で UDP ALG を有効化すると、メディア ストリームによるファイアウォールの通過が許可されます。UDP ALG を有効化すると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。
ヒント ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。
シグナリング暗号化では NAT トラバーサルをサポートしません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。
• 割り込みに使用する電話機に暗号化が設定されていない場合、ユーザは暗号化されたコールに割り込むことができません。この場合、割り込みが失敗すると、割り込みを開始した電話機でビジー トーンが再生されます。
発信側の電話機に暗号化が設定されている場合、割り込みの発信側は暗号化された電話機からの認証済みコールまたはノンセキュア コールに割り込むことができます。割り込みが発生した後、Cisco CallManager はこのコールをノンセキュアとして分類します。
発信側の電話機に暗号化が設定されている場合、割り込みの発信側は暗号化されたコールに割り込むことができ、コールの状態は暗号化済みであることが電話機に示されます。
割り込みに使用する電話機がノンセキュアの場合でも、ユーザは認証済みコールに割り込むことができます。発信側の電話機でセキュリティがサポートされていない場合でも、そのコールで認証アイコンは引き続き認証済みデバイスに表示されます。
ここで説明した情報は、「暗号化および割り込みの設定に関するメッセージ」と併せて使用してください。
ヒント 割り込み機能が必要な場合には C 割り込みを設定できますが、コールは自動的に Cisco CallManager によってノンセキュアとして分類されます。
• 次の情報は、暗号化が設定されていて、ワイドバンドのコーデック リージョンに関連付けられた Cisco IP Phone 7960 モデルまたは 7940 モデルに適用されます。暗号化されたコールを確立するため、Cisco CallManager はワイドバンド コーデックを無視して、サポートされる別のコーデックを電話機が提示するコーデック リストから選択します。コールのもう一方のデバイスで暗号化が設定されていない場合、Cisco CallManager はワイドバンド コーデックを使用して認証済みおよびノンセキュア コールを確立できます。
• Cisco CallManager はメディア リソースが使用されていない単一クラスタ内のセキュア Cisco IP Phone とセキュア IOS ゲートウェイとの間で、認証済みおよび暗号化されたコールをサポートします。たとえば次の場合に、Cisco CallManager 4.1(2) は認証、整合性、暗号化をどれも提供しません。
–Computer Telephony Integration (CTI; コンピュータ テレフォニー インテグレーション)デバイス、一部のゲートウェイ、クラスタ間トランク、トランスコーダ、メディア終端点
–Session Initiation Protocol(SIP; セッション開始プロトコル)および H.323 デバイス
ヒント 暗号化のロック アイコンは、Cisco IP デバイス間のメディア ストリームが暗号化されていることを示します。
電話会議、コールの転送、保留などのタスクを実行するときに、暗号化ロック アイコンが電話機に表示されないことがあります。こうしたタスクに関連付けられたメディア ストリームが暗号化されていない場合、ステータスは暗号化済みからノンセキュアに変化します。
ヒント Terminal Services は、Cisco CTL クライアントのインストールに使用しないでください。シスコは、Cisco Technical Assistance Center (TAC)がリモートでトラブルシューティングおよび設定作業を行えるように Terminal Services をインストールしています。
CAPF を使用すると CPU 使用率が上昇するため、CAPF を使用して証明書を生成するときは VNC を使用しないでください。
• 必ず安全なテスト環境でインストールおよび設定タスクを実行してから、広範囲のネットワークに展開する。
• Cisco CallManager 4.1 は DC Directory に対して LDAPS (LDAP over SSL)を自動的にインストールする。Microsoft Active Directory や Netscape Server Directory など、会社のディレクトリを Cisco CallManager と統合する場合には、SSL をサポートするオプションを設定することができます。この作業を実行する方法については、『 Installing Cisco Customer Directory Configuration Plugin for Cisco CallManager 4.0(1) 』を参照してください。
LDAPS を使用するシスコ提供アプリケーションのリストについては、『 Cisco CallManager システム ガイド 』を参照してください。
• このマニュアルに記載されている機能は、Cisco.com で入手可能なシスコが提供する最新のオペレーティング システムのサービス リリースおよびアップグレードと共に使用する。
• このマニュアルに記載されている機能は、このリリースの Cisco CallManager をサポートする Cisco Security Agent と共に使用する。
• このマニュアルに記載されている機能は、シスコ認定のサードパーティ製セキュリティ アプリケーション(MacAfee アンチウィルス ソフトウェアなど)と共に使用する。
• リモート ロケーションにあるゲートウェイおよびその他のアプリケーション サーバに対しては Windows ネイティブ モード IPSEC を使用する。たとえば、Cisco Unity、Cisco IP Contact Center (IPCC)、その他の Cisco CallManager サーバなどです。
• Cisco CallManager およびセキュアな Cisco IOS MGCP ゲートウェイ間の IPSEC を設定する。Cisco IOS MGCP ゲートウェイには、2600 XM、2691、2811、2821、2851、3640A、3660、3725、3745、38XX シリーズ、および VG224 があります。
Cisco CallManager サーバおよびゲートウェイを設定した後、Windows 2000 IPSEC を使用すると、セキュアな MGCP ゲートウェイが Cisco CallManager と連携します。これで、MGCP ゲートウェイと Cisco CallManager の間でシグナリング情報(たとえば、DTMF 番号、パスワード、PIN、暗号キーなど)が送信されるときに、確実に暗号化されます。MGCP ゲートウェイと Cisco CallManager の間のコール制御とシグナリング パケットはすべて、このセキュア IPSEC トンネルを経由します。
Cisco CallManager は、セキュア コールのためのマスター暗号キーとソルトを生成し、SRTP ストリームの場合にのみゲートウェイに送信します。Cisco IOS MGCP ゲートウェイでサポートされている SRTCP ストリームの場合、Cisco CallManager はキーとソルトを送信しません。
Cisco CallManager は、MGCP SRTP パッケージを使用するゲートウェイをサポートしています。MGCP SRTP パッケージは、ゲートウェイがセキュア RTP 接続上でパケットを暗号化および復号化するときに必要です。Cisco CallManager は、デバイスに対する SRTP 接続を確立しますが、デバイスが SRTP をサポートしていなければ、ゲートウェイと交信して、コールが RTP 接続を使用することを確認します。SRTP から RTP への(およびその逆の)フォールバックは、セキュア デバイスからノンセキュア デバイスへの転送、保留音楽、非 SRTP トランスコーダを使用するコールなどで発生する場合があります。
Cisco IOS MGCP ゲートウェイおよび Cisco CallManager 間のセキュリティを設定するには、Cisco CTL クライアントを混合モードでインストールおよび設定したことを確認してください。Cisco CallManager Administration で、電話機に暗号化を設定したことを確認します。次に、Cisco CallManager およびゲートウェイ間で、IPSEC を設定します。IPSEC の設定方法に関する情報については、Microsoft および/またはシスコが提供している IPSEC 関連資料を参照してください。最後に、『 Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways 』で記載されたように、ゲートウェイ上でセキュリティ関連の設定タスクを実行します。このドキュメントは、次の URL から入手できます。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123t/123t_11/gtsecure.htm
• 通話料金の不正を防止するため、『 Cisco CallManager システム ガイド 』に説明されている電話会議の機能拡張を設定する。同様に、コールの外部転送を制限する設定作業を実行することができます。この作業を実行する方法については、『 Cisco CallManager 機能およびサービス ガイド 』を参照してください。
• SRST リファレンスおよび SRST 対応ゲートウェイでセキュリティを設定する。
• Cisco CallManager から MGCP ゲートウェイまで IPSEC を設定する。
デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート
ここでは、デバイスのリセットが必要な場合、Cisco CallManager Serviceability でサービスの再起動が必要な場合、またはサーバおよびクラスタをリブートする場合について説明します。
• 単一デバイスのセキュリティ モードを Cisco CallManager Administration で変更した後は、デバイスをリセットする。
• 電話機のセキュリティ強化作業を実行した場合は、デバイスをリセットする。
• クラスタ全体のセキュリティ モードを混合モードからノンセキュア モード(またはその逆)に変更した後は、デバイスをリセットする。
• Cisco CTL クライアントの設定後、または CTL ファイルの更新後は、すべてのデバイスを再起動する。
• SRST リファレンスのセキュリティ設定後は、従属デバイスをリセットする。
• CAPF エンタープライズ パラメータの更新後は、デバイスをリセットする。
• TLS 接続用のポートを更新した後は、Cisco CTL Provider サービスを再起動する。
• クラスタ全体のセキュリティ モードを混合モードからノンセキュア モード(またはその逆)に変更した後は、Cisco CallManager サービスを再起動する。
• Cisco Certificate Authority Proxy Function サービスに関連する CAPF サービス パラメータを更新した後は、このサービスを再起動する。
• Cisco CTL クライアントの設定後、または CTL ファイルの更新後は、Cisco CallManager Serviceability で Cisco CallManager および Cisco TFTP サービスをすべて再起動する。この作業は、これらのサービスが稼動するすべてのサーバで実行します。
• Smart Card サービスを Started および Automatic に設定した場合は、Cisco CTL クライアントをインストールしたサーバをリブートする。
Cisco CallManager サービスを再起動するには、『 Cisco CallManager Serviceability アドミニストレーション ガイド 』を参照してください。
設定の更新後に単一のデバイスをリセットするには、「単一デバイスに対するデバイス セキュリティ モードの設定」 を参照してください。
クラスタ内のデバイスをすべてリセットするには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で System > Cisco CallManager の順に選択します。
ステップ 2 ウィンドウの左側のペインで、サーバを選択します。
ステップ 3 Reset Devices をクリックします。
ステップ 4 クラスタ内のサーバごとに、ステップ 2 とステップ 3 を実行します。
• 「システム要件」
認証のサポートを可能にするには、プラグインの Cisco CTL クライアントを Cisco CallManager Administration からインストールします。Cisco CTL クライアントは、USB ポートのある単一の Windows 2000 サーバまたはワークステーションにインストールする必要があります。USB ポートのある Cisco CallManager サーバにクライアントをインストールするよう選択することもできます。Cisco CTL クライアントをインストールするためには、少なくとも 2 つのセキュリティ トークンを入手する必要があります。
Cisco CallManager のインストール時に、メディアおよびシグナリング暗号化が自動的にインストールされます。
Cisco CallManager は Cisco CallManager 仮想ディレクトリに SSL(Secure Sockets Layer)を自動的にインストールします。
Cisco Certificate Authority Proxy Function(CAPF)は、Cisco CallManager Administration の一部として自動的にインストールされます。
シスコでは次の種類の証明書を電話機およびサーバで使用します。
• Manufacture-Installed Certificate(MIC; 製造元でインストールされる証明書):この証明書は、サポートされている電話機にシスコの製造過程で自動的にインストールされます。特定の電話機モデルでは、MIC と Locally Significant Certificate (LSC; ローカルで有効な証明書) を 1 つずつ同じ電話機にインストールできます。その場合、デバイス セキュリティ モードで認証または暗号化を設定すると、Cisco CallManager に認証を受けるときに LSC が MIC より優先されます。
• Locally Significant Certificate (LSC; ローカルで有効な証明書):この種類の証明書は、Cisco Certificate Authority Proxy Function (CAPF)に関連する必要な作業を実行した後で、サポートされている電話機にインストールされます。特定の電話機モデルでは、LSC と MIC を 1 つずつ同じ電話機にインストールできます。その場合、デバイス セキュリティ モードで認証または暗号化を設定すると、Cisco CallManager に認証を受けるときに LSC が MIC より優先されます。
• CAPF 証明書:この証明書は、Cisco CTL クライアントの設定が完了した後で、クラスタ内のすべてのサーバにコピーされます。この証明書は、クラスタ内の各サーバで C:\Program Files\Cisco\Certificates にインストールされます。
• HTTPS 証明書: SSL 対応の Cisco CallManager 仮想ディレクトリをホスティングする IIS Web サイトにインストールされると、このサーバ認証証明書 httpscert.cer は IIS サーバとブラウザ クライアントとの間の認証を提供します。この証明書は C:\Program Files\Cisco\Certificates にインストールされます。
• 自己署名 Cisco CallManager 証明書:この証明書 ccmserver.cer は、Cisco CallManager 4.1 のインストール時に自動的にインストールされます。
Cisco CallManager 自己署名証明書によって、サーバの識別情報が提供されます。この情報には、Cisco CallManager サーバ名と Global Unique Identifier (GUID)が含まれます。Cisco CallManager は、DER 形式の証明書をクラスタ内の各サーバの C:\Program Files\Cisco\Certificates に格納します。管理者には、証明書に対して読み取り専用のアクセス権があります。
• SRST 対応ゲートウェイの SRST 証明書:SRST リファレンスでセキュリティを設定し、電話機をリセットした後で、この証明書は Cisco CallManager データベースに追加されます。電話機はこの証明書を設定ファイルから取得します。この証明書は、Cisco CTL ファイルにはありません。ゲートウェイの SRST 証明書の詳細については、ゲートウェイをサポートする Cisco SRST のマニュアルを参照してください。
• 「インストール」
• 電話機と Cisco CallManager との間で行われるコール処理シグナリングの変更(認証)
• 表 1-1 で定義した Man-in-the-Middle(仲介者)攻撃(認証)
このプロセスは、バイナリ イメージ(つまり、ファームウェア ロード)が電話機でロードされる前に改ざんされるのを防ぎます。イメージが改ざんされると、電話機は認証プロセスで失敗し、イメージを拒否します。イメージ認証は、Cisco CallManager のインストール時に自動的にインストールされる署名付きバイナリ ファイルを使用して行われます。同様に、Web からダウンロードするファームウェア アップデートでも署名付きバイナリ イメージが提供されます。
サポートされるデバイスのリストについては、「対話および制限」 を参照してください。
このプロセスでは、デバイスの ID を検証し、このエンティティが要求する内容と一致することを確認します。サポートされるデバイスのリストについては、「対話および制限」を参照してください。
デバイス認証は、各エンティティが他方のエンティティの持つ証明書を受け入れるときに、Cisco CallManager サーバとサポートされる Cisco IP Phone との間で行われます。そのときだけ、エンティティ間の接続が保護されます。デバイス認証は、「Cisco CTL クライアントの設定」 で説明するように、Cisco CTL ファイルの作成に依存します。
このプロセスでは、電話機でダウンロードするデジタル署名されたファイルを検証します。たとえば、設定、呼出音一覧、ロケール、CTL ファイルなどがあります。電話機はシグニチャを検証して、ファイルの作成後に改ざんされていないことを確認します。サポートされるデバイスのリストについては、「対話および制限」 を参照してください。
クラスタをノンセキュア モードに設定した場合、TFTP サーバはどのファイルにも署名しません。クラスタを混合モードに設定した場合、TFTP サーバは呼出音一覧、ローカライズ、デフォルトの .cnf.xml、呼出音一覧 wav など、.sgn 形式のスタティック ファイルに署名します。TFTP サーバは、ファイルのデータが変更されたことを確認するたびに、<device name>.cnf.xml 形式のファイルに署名します。
キャッシングが無効になっている場合、TFTP サーバは署名付きファイルをディスクに書き込みます。TFTP サーバは、保存されたファイルが変更されたことを確認すると、再度そのファイルに署名します。ディスク上に新しいファイルを置くと、保存されていたファイルは上書きされて削除されます。電話機で新しいファイルをダウンロードするには、管理者が Cisco CallManager Administration で影響を受けたデバイスを再起動しておく必要があります。
電話機は、TFTP サーバからファイルを受信すると、ファイルのシグニチャを確認して、ファイルの整合性を検証します。電話機で TLS 接続を確立するには、次の基準が満たされることを確認します。
• CTL ファイルが電話機にあり、そのファイルに Cisco CallManager エントリおよび証明書が存在する必要がある。
(注) ファイル認証は Certificate Trust List(CTL; 証明書信頼リスト) ファイルの作成に依存します。これについては、「Cisco CTL クライアントの設定」 で説明します。
このプロセスはシグナリング整合性とも呼ばれ、TLS プロトコルを使用して、転送中のシグナリング パケットが改ざんされていないことを検証します。
シグナリング認証は Certificate Trust List(CTL; 証明書信頼リスト) ファイルの作成に依存します。これについては、「Cisco CTL クライアントの設定」 で説明します。
• 「システム要件」
ヒント 暗号化は、Cisco CallManager 4.1 をクラスタ内の各サーバにインストールすると、自動的にインストールされます。暗号化をサポートするデバイスのリストについては、「システム要件」 を参照してください。
セキュリティ パッケージのファイルは、C:\Program Files\Cisco\bin にインストールされます。
Cisco CallManager では、次の種類の暗号化をサポートします。
シグナリング暗号化により、デバイスと Cisco CallManager サーバとの間で送信されるすべての SCCP シグナリング メッセージが確実に暗号化されます。
シグナリング暗号化は、各側に関連する情報、各側で入力された DTMF 番号、コール ステータス、メディア暗号キーなどについて、予期しないアクセスや不正アクセスから保護します。
クラスタを混合モードに設定した場合、シスコでは Cisco CallManager による Network Address Translation (NAT; ネットワーク アドレス変換)をサポートしません。VOIP のファイアウォールおよび NAT トラバーサルを許可する Application Layer Gateways (ALG)はシグナリング暗号化では動作しません。
ファイアウォール で UDP ALG を有効化すると、メディア ストリームによるファイアウォールの通過が許可されます。UDP ALG を有効化すると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。
ヒント ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。
シグナリング暗号化では NAT トラバーサルをサポートしません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。
メディア暗号化は SRTP を使用し、対象とする受信者だけが、サポートされるデバイス間のメディア ストリームを解釈できるようになります。サポートには、オーディオ ストリームだけが含まれます。メディア暗号化には、デバイス用のメディア マスター キー ペアの作成、デバイスへのキー配送、キー転送中の配送の保護が含まれます。
認証およびシグナリング暗号化は、メディア暗号化の最小要件となります。つまり、デバイスがシグナリング暗号化および認証をサポートしていない場合、メディア暗号化を行うことができません。
1. メディア暗号化および認証をサポートするデバイス A とデバイス B があり、Cisco CallManager に登録されています。
2. デバイス A がデバイス B に対してコールを行うと、Cisco CallManager はキー マネージャ機能からメディア セッション マスター値のセットを 2 つ要求します。
3. 両方のデバイスで 2 つのセットを受信します。1 つはデバイス A からデバイス B へのメディア ストリーム用、もう 1 つはデバイス B からデバイス A へのメディア ストリーム用です。
4. デバイス A は最初のマスター値セットを使用して、デバイス A からデバイス B へのメディア ストリームを暗号化して認証するキーを取得します。
5. デバイス A は 2 番目のマスター値セットを使用して、デバイス B からデバイス A へのメディア ストリームを認証して復号化するキーを取得します。
6. これとは反対の操作手順で、デバイス B がこれらのセットを使用します。
7. 両方のデバイスは、キーを受信した後に必要なキー導出を実行し、SRTP パケット処理が行われます。
ヒント サポートされる項目のリストについては、「対話および制限」 を参照してください。
• 「システム要件」
表 1-3 に、認証および暗号化を実装するために必要な作業を示します。また、各章には指定されたセキュリティ機能のために実行が必要な作業のチェックリストが含まれる場合もあります。
|
|
|
---|---|---|
クラスタにある各サーバのCisco CallManager |
||
パブリッシャ データベース サーバの |
||
デフォルト設定を使用しない場合は、TLS 接続用のポートを設定します。 |
||
Cisco CTL クライアント用に設定するサーバについて、少なくとも 2 つのセキュリティ トークンとパスワード、ホスト名または IP アドレス、およびポート番号を入手します。 |
||
|
• 「システム要件」 • 「インストール」 |
|
|
||
Cisco CallManager 4.1 へのアップグレード前に証明書の操作を実行して CAPF をサブスクライバ サーバで実行した場合、CAPF データを 4.0 パブリッシャ データベース サーバにコピーしてから、クラスタを Cisco CallManager 4.1 にアップグレードする必要があります。 |
• 「システム要件」 • 「4.0サブスクライバ サーバから 4.0 パブリッシャ データベース サーバへの CAPF 1.0(1) データのコピー」 |
|
• 「システム要件」 |
||
|
||
|
||
Cisco CallManager のアップグレード前に設定した場合、デバイス設定はアップグレード時に自動的に移行されます。 |
||
Cisco CallManager およびセキュアな Cisco IOS MGCP ゲートウェイ間で、IPSEC を設定します。 |
||
• Cisco IP Phone 7960G/7940G アドミニストレーション ガイド for Cisco CallManager
• Cisco IP Phone Administration Guide for Cisco CallManager, Cisco IP Phone Model 7970G
• Cisco IP Phone 7902G/7905G/7912G アドミニストレーション ガイド Cisco CallManager Release 4.0
• ご使用の電話機モデルをサポートしているファームウェア リリース ノート
• Cisco IP Telephony Solution Reference Network Design Guide
• 通話料金の不正、オペレーティング システムの強化、TCP/UDP ポートなどのトピックに関するセキュリティ アプリケーション ノート
• クラスタにインストールされている Cisco CallManager 4.1 バージョンと互換性のある Cisco Security Agent のマニュアル
• cisco.com でシスコが提供するオペレーティング システムのアップグレードおよびサービス リリースに関する Readme ドキュメント
• ディレクトリ アプリケーション対応の Cisco MultiLevel Administration、通話料金の不正防止、および SSL の使用方法について説明している Cisco CallManager Administration ドキュメント
• Cisco IOS MGCP ゲートウェイに対するメディア認証とシグナリング認証および暗号化機能
• Configuring IPSEC from Cisco CallManager to MGCP Gateways
• SRST 対応のゲートウェイをサポートしている Cisco Survivable Remote Site Telephony(SRST)の管理マニュアル