Cisco CallManager セキュリティ ガイド Release 4.1(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月26日
章のタイトル: 電話機のセキュリティ設定
電話機のセキュリティ設定
•
「電話機におけるローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティング」
• 「サポートされる電話機モデルに対するセキュリティ デバイス システム デフォルトの設定」
• 「単一デバイスに対するデバイス セキュリティ モードの設定」
• 「Cisco Bulk Administration Tool を使用したデバイス セキュリティ モードの設定」
電話機のセキュリティ設定の概要
ここでは、サポートされる電話機にセキュリティを設定するために実行する次の作業概要について説明します。
• サポートされる電話機で Locally Significant Certificate (LSC; ローカルで有効な証明書)をインストールまたはアップグレードし、証明書を削除またはトラブルシューティングする。
• サポートされる電話機に、Device Security Mode を使用して認証または暗号化を設定する。
• Cisco CallManager Administration で電話機の設定を無効にして電話機のセキュリティを強化する。
電話機におけるローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティング
ローカルで有効な証明書を電話機でインストール、アップグレード、削除、またはトラブルシューティングするには、Cisco CallManager Administration の Phone Configuration ウィンドウで CAPF 設定値を構成する必要があります。CAPF 設定値を構成する方法については、「Certificate Authority Proxy Function の使用方法」を参照してください。
デバイス セキュリティ モードの設定
デバイスに認証または暗号化を設定するには、次の作業のいずれか 1 つを実行します。
• サポートされる電話機モデルに、デフォルトのデバイス セキュリティ モードを設定する。
• Cisco CallManager Administration の Phone Configuration ウィンドウで、単一デバイスにデバイス セキュリティ モードを設定する。
• Cisco Bulk Administration Tool を使用して、サポートされる電話機モデルにデバイス セキュリティ モードを設定する。
ヒント デバイス セキュリティ モードを設定するには、ローカルで有効な証明書または製造元でインストールされる証明書が電話機に必要です。
デバイス セキュリティ モードの設定内容については、「Device Security Mode 設定」を参照してください。
• 「システム要件」
• 「Cisco CTL Provider サービスのアクティブ化」
サポートされる電話機モデルに対するセキュリティ デバイス システム デフォルトの設定
(注) この手順では、変更内容を有効にするためにデバイスをリセットして Cisco CallManager サービスを再起動する必要があります。
Cisco CallManager Administration で、すべての電話機タイプのセキュリティ デバイス システム デフォルトは Non-Secure と表示されます。セキュリティ デバイス システム デフォルトを Authenticated または Encrypted に設定するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で System > Enterprise Parameters の順に選択します。
ステップ 2 Security Parameters セクションで Device Security Mode を探します。
ステップ 3 ドロップダウン リスト ボックスから、 Authenticated または Encrypted を選択します。詳細については、 表 5-1 を参照してください。
ステップ 4 Enterprise Parameters ウィンドウ最上部の Update をクリックします。
ステップ 5 クラスタ内のすべてのデバイスをリセットします。「デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート」を参照してください。
ステップ 6 変更内容を有効にするため、Cisco CallManager サービスを再起動します。
• 「システム要件」
単一デバイスに対するデバイス セキュリティ モードの設定
単一デバイスにデバイス セキュリティ モードを設定するには、次の手順を実行します。この手順では、デバイスはデータベースに追加済みで、証明書が存在しない場合は証明書が電話機にインストール済みであることを前提としています。
Cisco CallManager Administration の Phone Configuration ウィンドウで Device Security Mode を設定すると、デバイス設定 .xml ファイルが再構成されます。デバイス セキュリティ モードを初めて設定した後、あるいはデバイス セキュリティ モードを変更した場合は、デバイスをリセットする必要があります。リセットすると、電話機は新しい設定ファイルを要求します。
ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。
ステップ 2 電話機の検索対象を指定して Find をクリックするか、電話機すべてのリストを表示するために Find をクリックします。
データベースに電話機を追加していない場合、電話機はリストに表示されません。電話機の追加については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。
ステップ 3 デバイス名をクリックして、デバイスの Phone Configuration ウィンドウを開きます。
ステップ 4 Device Security Mode ドロップダウン リスト ボックスを見つけます。
電話機タイプがセキュリティをサポートしていない場合、このオプションは表示されません。その電話機タイプには認証も暗号化も設定することができません。
ステップ 5 Device Security Mode ドロップダウン リスト ボックスから、設定するオプションを選択します。オプションの説明については、 表 5-1 を参照してください。
Device Security Mode ドロップダウン リスト ボックスは、電話機が認証または暗号化をサポートしている場合にだけ表示されます。たとえば、電話機が暗号化をサポートしていない場合、暗号化オプションはドロップダウン リスト ボックスに表示されません。
• 「システム要件」
Cisco Bulk Administration Tool を使用したデバイス セキュリティ モードの設定
Cisco CallManager 4.1(2) をサポートする Cisco Bulk Administration Tool を使用して、暗号化または認証をサポートする特定の電話機モデルにデバイス セキュリティ モードを設定することができます。この作業の実行方法の詳細については、このバージョンの Cisco CallManager をサポートする『 Bulk Administration Tool ユーザ ガイド 』を参照してください。
• 「システム要件」
Device Security Mode 設定
Device Security Mode には、 表 5-1 に示すオプションがあります。
|
|
|
|---|---|
Cisco CallManager は電話機の整合性と認証を提供する。NULL/SHA を使用する TLS 接続を開始する。 |
|
Cisco CallManager は電話機の整合性、認証、および暗号化を提供する。AES128/SHA を使用する TLS 接続を開始する。 |
• 「システム要件」
認証、暗号化、LSC ステータスによる電話機の検索
セキュリティ機能に関連付けられている電話機を検索するため、Cisco CallManager Administration の Phone Find/List ウィンドウで次の基準のどちらかを選択できます。
• Device Security Mode :このオプションを選択すると、認証または暗号化をサポートする電話機のリストが表示されます。このオプションを選択する場合、デバイスが Authenticated か Encrypted かを指定することもできます。Find ボタンをクリックすると、電話機モデル、Device Security Mode、Device Name、Description、Directory Number、Owner User ID などが表示されます(設定されている場合)。
• LSC Status :このオプションを選択すると、ローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティングに CAPF を使用する電話機のリストが表示されます。このオプションを選択する場合、CAPF によって現在実行されている Certification Operation を指定することもできます。たとえば、Operation Pending、Success、Upgrade Failed、Delete Failed、Troubleshoot Failed などがあります。Find ボタンをクリックすると、電話機モデル、LSC Status、Device Name、Description、Directory Number、および Owner User ID が表示されます(設定されている場合)。
電話機を検索してリスト表示する方法については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。
ヒント Cisco CallManager Administration の Phone Find/List ウィンドウでは、デバイスの削除およびリセットも実行できます。
電話機のセキュリティ強化
電話機のセキュリティを強化するには、Cisco CallManager Administration の Phone Configuration ウィンドウで作業を実行する必要があります。この項では、次のトピックについて取り上げます。
• 「PC Voice VLAN Access 設定の無効化」
デフォルトで Cisco IP Phone は Gratuitous ARP (GARP)パケットを受け入れます。デバイスによって使用される GARP は、ネットワーク上にデバイスがあることを宣言します。しかし、攻撃者はこうしたパケットを使用して有効なネットワーク デバイスのスプーフィングを行うことができます。たとえば、攻撃者はデフォルト ルータを宣言する GARP を送信できます。必要に応じて、Cisco CallManager Administration の Phone Configuration ウィンドウで Gratuitous ARP を無効にすることができます。
(注) GARP を無効化しても、電話機はデフォルト ルータを識別することができます。
電話機の Web サーバ機能を無効にすると、統計および設定情報を提供する電話機の内部 Web ページにアクセスできなくなります。電話機の Web ページにアクセスできないと、Cisco Quality Report Tool などの機能が正しく動作しません。また Web サーバを無効にすると、CiscoWorks など、Web アクセスに依存するサービサビリティ アプリケーションにも影響があります。
Web サービスが無効かどうかを判別するため、電話機はサービスの無効/有効を示す設定ファイル内のパラメータを解析します。Web サービスが無効であれば、電話機はモニタリング用に HTTP ポート 80 を開かず、電話機の内部 Web ページに対するアクセスをブロックします。
デフォルトで Cisco IP Phone はスイッチ ポート(上流のスイッチを向くポート)で受信したすべてのパケットを PC ポートに転送します。Cisco CallManager Administration の Phone Configuration ウィンドウで PC Voice VLAN Access 設定を無効にすると、ボイス VLAN 機能を使用する PC ポートから受信したパケットは廃棄されます。さまざまな Cisco IP Phone モデルがそれぞれの方法でこの機能を使用しています。
• Cisco IP Phone 7940/7960 モデルは、PC ポートで送受信される、ボイス VLAN のタグが付いたパケットをすべて廃棄する。
• Cisco IP Phone 7970 モデルは、PC ポートで送受信され、802.1Q タグが含まれる ボイス VLAN 上のパケットをすべて廃棄する。
• Cisco IP Phone 7912 モデルはこの機能を実行できない。
デフォルトでは、Cisco IP Phone の Settings ボタンを押すと、電話機の設定情報を含むさまざまな情報にアクセスできます。Cisco CallManager Administration の Phone Configuration ウィンドウで Setting Access 設定を無効にすると、電話機で Settings ボタンを押したときに通常は表示されるすべてのオプションにアクセスできなくなります。オプションには、Contrast、Ring Type、Network Configuration、Model Information、および Status 設定があります。
これらの設定は、Cisco CallManager Administration の設定を無効にすると、電話機に表示されません。設定を無効にした場合、電話機ユーザは Volume ボタンに関連付けられた設定を保存できません。たとえば、ユーザは音量を保存できなくなります。
この設定を無効にすると、電話機の現在の Contrast、Ring Type、Network Configuration、Model Information、Status、および Volume 設定が自動的に保存されます。これらの電話機設定を変更するには、Cisco CallManager Administration で Setting Access 設定を有効にする必要があります。
デフォルトで Cisco CallManager は、PC ポートのあるすべての Cisco IP Phone 上で PC ポートを有効にします。必要に応じて、Cisco CallManager Administration の Phone Configuration ウィンドウで PC Port 設定を無効にすることができます。PC ポートを無効にすると、ロビーや会議室の電話機で役立ちます。
電話機のセキュリティ強化作業の実行
ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。
ステップ 2 電話機の検索対象を指定して Find をクリックするか、電話機すべてのリストを表示するために Find をクリックします。
ステップ 3 デバイス名をクリックして、デバイスの Phone Configuration ウィンドウを開きます。
ヒント これらの設定に関する情報を確認するには、Phone Configuration ウィンドウでパラメータの横に表示されている i ボタンをクリックします。
ステップ 5 無効にする各パラメータのドロップダウン リスト ボックスから、 Disabled を選択します。
フィードバック