Cisco CallManager セキュリティ ガイド Release 4.1(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月29日
章のタイトル: 電話機のセキュリティ設定
電話機のセキュリティ設定
•
「電話機におけるローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティング」
• 「サポートされる電話機モデルに対するセキュリティ デバイス システム デフォルトの設定」
• 「単一デバイスに対するデバイス セキュリティ モードの設定」
• 「Cisco Bulk Administration Tool を使用したデバイス セキュリティ モードの設定」
電話機のセキュリティ設定の概要
Cisco CallManager の新規インストールを実行している場合、Cisco CallManager クラスタはノンセキュア モードで起動します。Cisco CallManager のインストール後に電話機が起動すると、デバイスはすべてノンセキュアとして Cisco
CallManager に登録されます。
Cisco CallManager 4.0(1) またはそれ以降のリリースからアップグレードした後は、アップグレード前に有効にしたセキュア モードで電話機が起動します。デバイスはすべて選択されたセキュリティ モードを使用して登録されます。
Cisco CallManager のインストールを行うと、対応する Cisco CallManager および TFTP サーバに自己署名証明書が作成されます。クラスタに認証を設定した後、Cisco CallManager はこの自己署名証明書を使用してサポートされた Cisco IP
Phone を認証します。自己署名証明書が Cisco CallManager および TFTP サーバに存在していれば、Cisco CallManager はそれぞれの Cisco CallManager アップグレード時に証明書を再発行しません。
ヒント サポートされていないシナリオまたは安全でないシナリオについては、「制限」を参照してください。
Cisco CallManager は認証および暗号化のステータスをデバイス レベルで維持します。コールに関係するすべてのデバイスがセキュアとして登録されると、コール ステータスはセキュアとして登録されます。デバイスのいずれか 1 つがノンセキュアとして登録されると、発信者または受信者の電話機がセキュアとして登録されても、そのコールはノンセキュアとして登録されます。
ユーザが Cisco CallManager エクステンション モビリティを使用する場合、Cisco CallManager はデバイスの認証および暗号化ステータスを保持します。また、共有回線が設定されている場合も、Cisco CallManager はデバイスの認証および暗号化ステータスを保持します。
表 5-1 に、さまざまな Cisco IP Phone でサポートされる機能のリストを示します。
ヒント Cisco CallManager Administration で機能を設定することができますが、それらは互換性のあるファームウェア ロードをインストールするまで電話機で機能しない場合があります。
サポートされる電話機および機能の最新のリストは、Cisco CallManager 4.1(3) をサポートする電話機管理およびユーザ マニュアル、Cisco CallManager リリース ノート、Cisco CallManager サービス リリース readme ドキュメント、ご使用のファームウェア ロードをサポートするファームウェア マニュアルを参照してください。
ヒント 暗号化された Cisco IP Phone に対して共有回線を設定する場合は、暗号化に対して回線を共有するデバイスをすべて設定します。つまり、すべてのデバイスのデバイス セキュリティ モードを暗号化済みに設定します。
セキュリティをサポートする電話機に、特定のセキュリティ関連設定を構成して表示することができます。たとえば、サポートされている電話機で、電話機にインストールされている証明書がローカルで有効な証明書(LSC)か製造元でインストールされる証明書(MIC)かを確認できます。セキュリティ メニューおよびアイコンの詳細については、使用している電話機モデルおよびこのバージョンの Cisco CallManager をサポートする Cisco IP Phone 管理およびユーザ マニュアルを参照してください。
同様に、Cisco CallManager がコールを認証済みまたは暗号化済みとして分類すると、コールの状態を示すアイコンが電話機に表示されます。Cisco CallManager がコールを認証済みまたは暗号化済みとして分類する場合を判別するには、
「制限」を参照してください。
次のタスクを実行して、サポートされる電話機のセキュリティを設定します。
• サポートされる電話機で Locally Significant Certificate (LSC; ローカルで有効な証明書)をインストールまたはアップグレードし、証明書を削除またはトラブルシューティングする。
• サポートされる電話機に、Device Security Mode を使用して認証または暗号化を設定する。
• Cisco CallManager Administration で電話機の設定を無効にして電話機のセキュリティを強化する。
電話機におけるローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティング
ローカルで有効な証明書を電話機でインストール、アップグレード、削除、またはトラブルシューティングするには、Cisco CallManager Administration の Phone Configuration ウィンドウで CAPF 設定値を構成する必要があります。CAPF 設定値を構成する方法については、「Certificate Authority Proxy Function の使用方法」を参照してください。
デバイス セキュリティ モードの設定
デバイスに認証または暗号化を設定するには、次の作業のいずれか 1 つを実行します。
• サポートされる電話機モデルに、システム デフォルトのデバイス セキュリティ モードを設定する。
• Cisco CallManager Administration の Phone Configuration ウィンドウで、単一デバイスにデバイス セキュリティ モードを設定する。
• Cisco Bulk Administration Tool を使用して、サポートされる電話機モデルにデバイス セキュリティ モードを設定する。
ヒント デバイス セキュリティ モードを設定するには、ローカルで有効な証明書または製造元でインストールされる証明書が電話機に必要です。
クラスタ セキュリティ モードがノンセキュアになっている場合は、Cisco
CallManager Administration でデバイス セキュリティ モードが認証済みまたは暗号化済みと示されていても、電話機の設定ファイルのデバイス セキュリティ モードはノンセキュアです。このような場合、電話機は、クラスタ内で SRST 対応ゲートウェイおよび Cisco CallManager サーバとのノンセキュア接続を試行します。
クラスタ セキュリティ モードがノンセキュアになっている場合は、デバイス セキュリティ モードなど、Cisco CallManager Administration 内のセキュリティ関連の設定が無視されます。Cisco CallManager Administration 内の設定は削除されませんが、セキュリティは提供されません。
デバイス セキュリティ モードの設定内容については、「Device Security Mode 設定」を参照してください。
• 「Cisco CTL Provider サービスのアクティブ化」
サポートされる電話機モデルに対するセキュリティ デバイス システム デフォルトの設定
(注) この手順では、変更内容を有効にするためにデバイスをリセットして Cisco
CallManager サービスを再起動する必要があります。
Cisco CallManager Administration で、すべての電話機タイプのセキュリティ デバイス システム デフォルトは Non-Secure と表示されます。セキュリティ デバイス システム デフォルトを Authenticated または Encrypted に設定するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で System > Enterprise Parameters の順に選択します。
ステップ 2 Security Parameters セクションで Device Security Mode を探します。
ステップ 3 ドロップダウン リスト ボックスから、 Authenticated または Encrypted を選択します。詳細については、 表 5-2 を参照してください。
ステップ 4 Enterprise Parameters ウィンドウ最上部の Update をクリックします。
ステップ 5 クラスタ内のすべてのデバイスをリセットします。「デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート」を参照してください。
ステップ 6 変更内容を有効にするため、Cisco CallManager サービスを再起動します。
• 「システム要件」
単一デバイスに対するデバイス セキュリティ モードの設定
単一デバイスにデバイス セキュリティ モードを設定するには、次の手順を実行します。この手順では、デバイスはデータベースに追加済みで、証明書が存在しない場合は証明書が電話機にインストール済みであることを前提としています。
Cisco CallManager Administration の Phone Configuration ウィンドウで Device
Security Mode を設定すると、デバイス設定 .xml ファイルが再構成されます。デバイス セキュリティ モードを初めて設定した後、あるいはデバイス セキュリティ モードを変更した場合は、デバイスをリセットする必要があります。リセットすると、電話機は新しい設定ファイルを要求します。
ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。
ステップ 2 電話機の検索対象を指定して Find をクリックするか、電話機すべてのリストを表示するために Find をクリックします。
データベースに電話機を追加していない場合、電話機はリストに表示されません。IP Phone の追加については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。
ステップ 3 デバイス名をクリックして、デバイスの Phone Configuration ウィンドウを開きます。
ステップ 4 Device Security Mode ドロップダウン リスト ボックスを見つけます。
電話機タイプがセキュリティをサポートしていない場合、このオプションは表示されません。その電話機タイプには認証も暗号化も設定することができません。
ステップ 5 Device Security Mode ドロップダウン リスト ボックスから、設定するオプションを選択します。オプションの説明については、 表 5-2 を参照してください。
Device Security Mode ドロップダウン リスト ボックスは、電話機が認証または暗号化をサポートしている場合にだけ表示されます。たとえば、電話機が暗号化をサポートしていない場合、暗号化オプションはドロップダウン リスト ボックスに表示されません。
Cisco Bulk Administration Tool を使用したデバイス セキュリティ モードの設定
Cisco CallManager 4.1(3) をサポートする Cisco Bulk Administration Tool を使用して、暗号化または認証をサポートする特定の電話機モデルにデバイス セキュリティ モードを設定することができます。この作業の実行方法の詳細については、このバージョンの Cisco CallManager をサポートする『 Bulk Administration Tool ユーザ ガイド 』を参照してください。
Device Security Mode 設定
Device Security Mode には、 表 5-2 に示すオプションがあります。
|
|
|
|---|---|
Cisco CallManager は電話機の整合性と認証を提供する。 |
|
Cisco CallManager は電話機の整合性、認証、および暗号化を提供する。AES128/SHA を使用する TLS 接続を開始する。 |
認証、暗号化、LSC ステータスによる電話機の検索
セキュリティ機能に関連付けられている電話機を検索するため、Cisco
CallManager Administration の Phone Find/List ウィンドウで次の基準のどちらかを選択できます。
• Device Security Mode :このオプションを選択すると、認証または暗号化をサポートする電話機のリストが表示されます。このオプションを選択する場合、デバイスが Authenticated か Encrypted かを指定することもできます。Find ボタンをクリックすると、電話機モデル、Device Security Mode、Device Name、Description、Directory Number、Owner User ID などが表示されます(設定されている場合)。
• LSC Status :このオプションを選択すると、ローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティングに CAPF を使用する電話機のリストが表示されます。このオプションを選択する場合、CAPF によって現在実行されている Certification Operation を指定することもできます。たとえば、Operation Pending、Success、Upgrade Failed、Delete Failed、Troubleshoot Failed などがあります。Find ボタンをクリックすると、電話機モデル、LSC Status、Device Name、Description、Directory Number、および Owner User ID が表示されます(設定されている場合)。
電話機を検索してリスト表示する方法については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。
ヒント Cisco CallManager Administration の Phone Find/List ウィンドウでは、デバイスの削除およびリセットも実行できます。
電話機のセキュリティ強化
電話機のセキュリティを強化するには、Cisco CallManager Administration の Phone
Configuration ウィンドウで作業を実行する必要があります。この項では、次のトピックについて取り上げます。
• 「PC Voice VLAN Access 設定の無効化」
デフォルトで Cisco IP Phone は Gratuitous ARP (GARP)パケットを受け入れます。デバイスによって使用される GARP は、ネットワーク上にデバイスがあることを宣言します。しかし、攻撃者はこうしたパケットを使用して有効なネットワーク デバイスのスプーフィングを行うことができます。たとえば、攻撃者はデフォルト ルータを宣言する GARP を送信できます。必要に応じて、Cisco
CallManager Administration の Phone Configuration ウィンドウで Gratuitous ARP を無効にすることができます。
(注) GARP を無効化しても、電話機はデフォルト ルータを識別することができます。
電話機の Web サーバ機能を無効にすると、統計および設定情報を提供する電話機の内部 Web ページにアクセスできなくなります。電話機の Web ページにアクセスできないと、Cisco Quality Report Tool などの機能が正しく動作しません。また Web サーバを無効にすると、CiscoWorks など、Web アクセスに依存するサービサビリティ アプリケーションにも影響があります。
Web サービスが無効かどうかを判別するため、電話機はサービスの無効/有効を示す設定ファイル内のパラメータを解析します。Web サービスが無効であれば、電話機はモニタリング用に HTTP ポート 80 を開かず、電話機の内部 Web ページに対するアクセスをブロックします。
デフォルトで Cisco IP Phone はスイッチ ポート(上流のスイッチを向くポート)で受信したすべてのパケットを PC ポートに転送します。Cisco CallManager
Administration の Phone Configuration ウィンドウで PC Voice VLAN Access 設定を無効にすると、ボイス VLAN 機能を使用する PC ポートから受信したパケットは廃棄されます。さまざまな Cisco IP Phone モデルがそれぞれの方法でこの機能を使用しています。
• Cisco IP Phone 7940/7960 モデルは、PC ポートで送受信される、ボイス VLAN のタグが付いたパケットをすべて廃棄する。
• Cisco IP Phone 7970 モデルは、PC ポートで送受信され、802.1Q タグが含まれる ボイス VLAN 上のパケットをすべて廃棄する。
• Cisco IP Phone 7912 モデルはこの機能を実行できない。
デフォルトでは、Cisco IP Phone の Settings ボタンを押すと、電話機の設定情報を含むさまざまな情報にアクセスできます。Cisco CallManager Administration の Phone Configuration ウィンドウで Setting Access 設定を無効にすると、電話機で Settings ボタンを押したときに通常は表示されるすべてのオプションにアクセスできなくなります。オプションには、Contrast、Ring Type、Network Configuration、
Model Information、および Status 設定があります。
これらの設定は、Cisco CallManager Administration の設定を無効にすると、電話機に表示されません。設定を無効にした場合、電話機ユーザは Volume ボタンに関連付けられた設定を保存できません。たとえば、ユーザは音量を保存できなくなります。
この設定を無効にすると、電話機の現在の Contrast、Ring Type、Network
Configuration、Model Information、Status、および Volume 設定が自動的に保存されます。これらの電話機設定を変更するには、Cisco CallManager Administration で Setting Access 設定を有効にする必要があります。
デフォルトで Cisco CallManager は、PC ポートのあるすべての Cisco IP Phone 上で PC ポートを有効にします。必要に応じて、Cisco CallManager Administration の Phone Configuration ウィンドウで PC Port 設定を無効にすることができます。PC ポートを無効にすると、ロビーや会議室の電話機で役立ちます。
電話機のセキュリティ強化作業の実行
ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。
ステップ 2 電話機の検索対象を指定して Find をクリックするか、電話機すべてのリストを表示するために Find をクリックします。
ステップ 3 デバイス名をクリックして、デバイスの Phone Configuration ウィンドウを開きます。
ヒント これらの設定に関する情報を確認するには、Phone Configuration ウィンドウでパラメータの横に表示されている i ボタンをクリックします。
ステップ 5 無効にする各パラメータのドロップダウン リスト ボックスから、 Disabled を選択します。
フィードバック