Cisco CallManager セキュリティ ガイド Release 5.0(1)

対話

ここでは、シスコのセキュリティ機能が Cisco CallManager アプリケーションと対話する方法について説明します。

SIP 電話機およびトランクにプレゼンス グループ許可を追加するには、プレゼンス要求を許可ユーザに制限するプレゼンス グループを設定します。

（注） プレゼンス グループの設定の詳細については、『Cisco CallManager 機能およびサービス ガイド』を参照してください。

SIP トランクでプレゼンス要求を許可するには、Cisco CallManager で SIP トランクのプレゼンス要求を受け付けるように許可する必要があります。また、必要な場合、Cisco CallManager がリモート デバイスおよびアプリケーションからの着信プレゼンス要求を受け付けて認証するように、Cisco CallManager Administration でエンド ユーザ クライアントを設定します。

SIP 発信転送機能、および Web Transfer や Click to Dial などの高度な転送関連機能を SIP トランクで使用するには、Cisco CallManager で着信 Out of Dialog REFER 要求を受け付けるように許可する必要があります。

イベント レポートをサポートし（MWI サポートなど）、1 コールあたりの MTP 割り当て（ボイス メッセージング サーバからなど）を削減するには、Cisco CallManager で Unsolicited Notification SIP 要求を受け付けるように許可する必要があります。

Cisco CallManager が、SIP トランクの外部コールを外部デバイスまたはパーティに転送できるようにするには（有人転送など）、Cisco CallManager で REFER および INVITE の置換ヘッダー付き SIP 要求を受け付けるように許可する必要があります。

エクステンション モビリティでは、エンド ユーザごとに異なるクレデンシャルが設定されるため、ユーザがログインまたはログアウトしたときに、SIP ダイジェスト クレデンシャルが変更されます。

Cisco IPMA は、CTI（トランスポート層セキュリティ接続）へのセキュア接続をサポートします。管理者は、CAPF プロファイルを設定する必要があります（IPMA ノードごとに 1 つ）。

CTI/JTAPI/TAPI アプリケーションの複数のインスタンスが実行中の場合、CTI TLS をサポートするには、管理者が、アプリケーション インスタンスごとに一意のインスタンス ID（IID）を設定し、CTI Manager と JTAPI/TSP/CTI アプリケーションとの間のシグナリングおよびメディア通信ストリームを保護する必要があります。

デバイス セキュリティ モードが認証済みまたは暗号化済みになっている場合、Cisco Unity-CM TSP は Cisco CallManager TLS ポートを介して Cisco CallManager に接続します。セキュリティ モードがノンセキュアになっている場合、Cisco Unity TSP は Cisco CallManager ポートを介して Cisco CallManager に接続します。

制限

次の項で、シスコのセキュリティ機能に適用される制限について説明します。

• 「認証と暗号化」

• 「割り込みと暗号化」

• 「ワイドバンド コーデックと暗号化」

• 「メディア リソースと暗号化」

• 「デバイス サポートと暗号化」

• 「電話機アイコンと暗号化」

• 「クラスタおよびデバイス セキュリティ モード」

• 「パケット キャプチャと暗号化」

認証と暗号化

認証および暗号化機能をインストールして設定する前に、次の制限を考慮してください。

• クラスタをデバイス認証に必要なセキュア モードに設定すると、自動登録機能は動作しません。

• デバイス認証がクラスタに存在しない場合、つまり CTL Provider サービスを有効にしていないか Cisco CTL クライアントをインストールして設定していない場合、シグナリング暗号化およびメディア暗号化を実装できません。

• クラスタをセキュア モードに設定した場合、Cisco CallManager による Network Address Translation（NAT; ネットワーク アドレス変換）はサポートされません。

ファイアウォールで UDP を有効にすると、メディア ストリームによるファイアウォールの通過が許可されます。UDP を有効にすると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。

ヒント ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。

シグナリング暗号化では NAT トラバーサルをサポートしません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。

• SRTP は、音声パケットのみを暗号化します。

割り込みと暗号化

割り込みと暗号化には、次の制限が適用されます。

• 割り込みに使用する Cisco IP Phone 7970 モデルに暗号化が設定されていない場合、Cisco IP Phone 7960 モデル（SCCP）および 7970 モデルのユーザは暗号化されたコールに割り込むことができません。この場合、割り込みが失敗すると、割り込みを開始した電話機でビジー トーンが再生されます。

発信側の電話機に暗号化が設定されている場合、割り込みの発信側は暗号化された電話機からの認証済みコールまたはノンセキュア コールに割り込むことができます。割り込みが発生した後、Cisco CallManager はこのコールをノンセキュアとして分類します。

発信側の電話機に暗号化が設定されている場合、割り込みの発信側は暗号化されたコールに割り込むことができ、コールの状態は暗号化済みであることが電話機に示されます。

割り込みに使用する電話機がノンセキュアの場合でも、ユーザは認証済みコールに割り込むことができます。発信側の電話機でセキュリティがサポートされていない場合でも、そのコールで認証アイコンは引き続き認証済みデバイスに表示されます。

ヒント 割り込み機能が必要な場合には C 割り込みを設定できますが、コールは自動的に Cisco CallManager によってノンセキュアとして分類されます。

• Cisco IP Phone モデル 7960 および モデルで暗号化機能を設定すると、設定された IP Phone が暗号化されたコールに参加する際に、割り込み要求を受け入れません。コールが暗号化されると、割り込みが失敗します。割り込みが失敗したことを示すトーンが電話機で再生されます。

次の設定を試みると、Cisco CallManager Administration にメッセージが表示されます。

–Phone Configuration ウィンドウで、暗号化をサポートするセキュリティ プロファイルを適用し、Built In Bridge 設定に On を選択し（デフォルト設定は On）、さらにこの特定の設定の作成後に Save をクリックする。

–Service Parameter ウィンドウで、Builtin Bridge Enable パラメータを更新する。

ワイドバンド コーデックと暗号化

次の情報は、暗号化が設定されていて、ワイドバンドのコーデック リージョンに関連付けられた Cisco IP Phone 7960 モデルまたは 7940 モデルに適用されます。これは、TLS/SRTP 用に設定された Cisco IP Phone 7960 モデルまたは 7940 モデルにのみ適用されます。

暗号化されたコールを確立するため、Cisco CallManager はワイドバンド コーデックを無視して、サポートされる別のコーデックを電話機が提示するコーデック リストから選択します。コールのもう一方のデバイスで暗号化が設定されていない場合、Cisco CallManager はワイドバンド コーデックを使用して認証済みおよびノンセキュア コールを確立できます。

メディア リソースと暗号化

Cisco CallManager は、メディア リソースを使用しないセキュア Cisco IP Phone（SCCP または SIP）、セキュア CTI デバイス/ルート ポイント、セキュア Cisco MGCP IOS ゲートウェイ、セキュア SIP トランク、セキュア H.323 ゲートウェイ、およびセキュア H.323/H.245/H.225 トランク間で、認証および暗号化されたコールをサポートします。たとえば次の場合に、Cisco CallManager 5.0 はメディア暗号化を提供しません。

• トランスコーダまたはメディア終端点に関連するコール

• Ad hoc 会議または Meet Me 会議

• 保留音に関連するコール

デバイス サポートと暗号化

Cisco IP Phone 7912 モデルなど一部の電話機は、暗号化されたコールをサポートしません。別の電話機は、暗号化はサポートしますが、証明書の署名の検証はサポートしません。詳細については、使用している電話機モデルおよびこのバージョンの Cisco CallManager をサポートする Cisco IP Phone 管理マニュアルおよびユーザ マニュアルを参照してください。

SIP トランクは SRTP 暗号化をサポートしません。Cisco CallManager は、SIP トランクおよび TLS とのセキュア コールで RTP 暗号化をサポートします。

（注） Cisco CallManager は主に、IOS ゲートウェイおよびゲートキーパー制御および非ゲートキーパー制御トランクの Cisco CallManager H.323 トランク用に、SRTP をサポートします。SRTP がコールを保証できない場合は、Cisco CallManager が RTP を保証します。

暗号化された設定ファイルをサポートしない電話機もあります。また、暗号化された設定ファイルはサポートするが、署名の検証をサポートしない電話機もあります。暗号化された設定ファイルをサポートするすべての電話機は、完全に暗号化された設定ファイルを受信するために、このリリースと互換性のある新しいファームウェアを必要とします（Cisco IP Phone 7905 モデルおよび 7912 モデル以外）。Cisco IP Phone 7905 モデルおよび 7912 モデルは、既存のセキュリティ機構を使用し、この機能のために新しいファームウェアを必要としません。

暗号化された設定ファイルの電話機でのサポートについては、「サポートされる電話機のモデル」を参照してください。

電話機アイコンと暗号化

暗号化のロック アイコンは、Cisco IP デバイス間のメディア ストリームが暗号化されていることを示します。

電話会議、コールの転送、保留などのタスクを実行するときに、暗号化ロック アイコンが電話機に表示されないことがあります。こうしたタスクに関連付けられたメディア ストリームが暗号化されていない場合、ステータスは暗号化済みからノンセキュアに変化します。

Cisco CallManager は、SIP トランク側接続で開始または終了するコールに対してはロック アイコンを表示しません。Cisco CallManager は、H.323 トランクで転送されるコールに対してはシールドアイコンを表示しません。

クラスタおよびデバイス セキュリティ モード

クラスタ セキュリティ モードがノンセキュアになっている場合は、Cisco CallManager Administration でデバイス セキュリティ モードが認証済みまたは暗号化済みと示されていても、電話機の設定ファイルのデバイス セキュリティ モードはノンセキュアです。このような場合、電話機は、クラスタ内で SRST 対応ゲートウェイおよび Cisco CallManager サーバとのノンセキュア接続を試行します。

クラスタ セキュリティ モードがノンセキュアになっている場合は、デバイス セキュリティ モードや SRST Allowed チェックボックスなど、Cisco CallManager Administration 内のセキュリティ関連の設定が無視されます。Cisco CallManager Administration 内の設定は削除されませんが、セキュリティは提供されません。

電話機が SRST 対応ゲートウェイへのセキュア接続を試行するのは、クラスタ セキュリティ モードがセキュアで、電話機設定ファイル内のデバイス セキュリティ モードが認証済みまたは暗号化済みに設定されており、Trunk Configuration ウィンドウで SRST Allowed? チェックボックスがオンになっていて、電話機の設定ファイル内に有効な SRST 証明書が存在する場合だけです。

パケット キャプチャと暗号化

SRTP 暗号化が実装されている場合、サードパーティのスニファは動作しません。適切な認証で許可された管理者は、Cisco CallManager Administration の設定を変更して、Cisco CallManager Administration でのパケットのキャプチャを開始できます（デバイスがパケット キャプチャをサポートする場合）。

デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート

ここでは、デバイスのリセットが必要な場合、Cisco CallManager Serviceability でサービスの再起動が必要な場合、またはサーバおよびクラスタをリブートする場合について説明します。

次のガイドラインを考慮します。

• Cisco CallManager Administration で、異なるセキュリティ プロファイルを適用した後は、単一デバイスをリセットする。

• 電話機のセキュリティ強化作業を実行した場合は、デバイスをリセットする。

• クラスタ全体のセキュリティ モードをセキュア モードからノンセキュア モード（またはその逆）に変更した後は、デバイスをリセットする。

• Cisco CTL クライアントの設定後、または CTL ファイルの更新後は、すべてのデバイスを再起動する。

• CAPF エンタープライズ パラメータを更新した後は、デバイスをリセットする。

• TLS 接続用のポートを更新した後は、Cisco CTL Provider サービスを再起動する。

• クラスタ全体のセキュリティ モードをセキュア モードからノンセキュア モード（またはその逆）に変更した後は、Cisco CallManager サービスを再起動する。

• Cisco Certificate Authority Proxy Function サービスに関連する CAPF サービス パラメータを更新した後は、このサービスを再起動する。

• Cisco CTL クライアントの設定後、または CTL ファイルの更新後は、Cisco CallManager Serviceability で Cisco CallManager および Cisco TFTP サービスをすべて再起動する。この作業は、これらのサービスが稼働するすべてのサーバで実行します。

• CTL Provider サービスを開始または停止した後は、すべての Cisco CallManager および Cisco TFTP サービスを再起動する。

• SRST リファレンスのセキュリティ設定後は、従属デバイスをリセットする。

• Smart Card サービスを Started および Automatic に設定した場合は、Cisco CTL クライアントをインストールしたサーバをリブートする。

• アプリケーション ユーザ CAPF プロファイルに関連付けられているセキュリティ関連のサービス パラメータを設定した後は、Cisco IP Manager Assistant（IPMA）サービス、Cisco WebDialer Web サービス、および Cisco Extended Functions サービスを再起動する。

Cisco CallManager サービスを再起動するには、『 Cisco CallManager Serviceability アドミニストレーション ガイド 』を参照してください。

設定の更新後に単一のデバイスをリセットするには、「SCCP または SIP 電話機セキュリティ プロファイルの適用」を参照してください。

クラスタ内のデバイスをすべてリセットするには、次の手順を実行します。

手順

ステップ 1 Cisco CallManager Administration で System > Cisco CallManager の順に選択します。

Find/List ウィンドウが表示されます。

ステップ 2 Find をクリックします。

設定済みの Cisco CallManager サーバのリストが表示されます。

ステップ 3 デバイスをリセットする Cisco CallManager を選択します。

ステップ 4 Reset をクリックします。

ステップ 5 クラスタ内のサーバごとに、ステップ 2 とステップ 4 を実行します。

メディア暗号化の設定と割り込み

「割り込みと暗号化」に加えて、次の情報も参照してください。

暗号化が設定されている Cisco IP Phone 7960 モデルおよび 7940 モデルに対して割り込みを設定しようとすると、次のメッセージが表示されます。

If you configure encryption for Cisco IP Phone models 7960 and 7940, those encrypted devices cannot accept a barge request when they are participating in an encrypted call.When the call is encrypted, the barge attempt fails.

メッセージが表示されるのは、Cisco CallManager Administration で次の作業を実行したときです。

• Phone Configuration ウィンドウで、Device Security Mode に Encrypted を選択し（システム デフォルトは Encrypted）、Built In Bridge 設定に On を選択し（デフォルト設定は On）、さらにこの特定の設定の作成後に Insert または Update をクリックする。

• Enterprise Parameter ウィンドウで、Device Security Mode パラメータを更新する。

• Service Parameter ウィンドウで、Built In Bridge Enable パラメータを更新する。

ヒント 変更内容を有効にするには、従属する Cisco IP デバイスをリセットする必要があります。

イメージ認証

このプロセスは、バイナリ イメージ（つまり、ファームウェア ロード）が電話機でロードされる前に改ざんされるのを防ぎます。イメージが改ざんされると、電話機は認証プロセスで失敗し、イメージを拒否します。イメージ認証は、Cisco CallManager のインストール時に自動的にインストールされる署名付きバイナリ ファイルを使用して行われます。同様に、Web からダウンロードするファームウェア アップデートでも署名付きバイナリ イメージが提供されます。

デバイス認証

このプロセスでは、デバイスの ID を検証し、このエンティティが主張内容と一致することを確認します。サポートされるデバイスのリストについては、「サポートされる電話機のモデル」を参照してください。

デバイス認証は、Cisco CallManager サーバと、サポートされる Cisco IP Phone、SIP トランク、または JTAPI/TAPI/CTI アプリケーション（サポートされる場合）の間で発生します。認証された接続は、各エンティティが他のエンティティの証明書を受け付けたときにのみ、これらのエンティティの間で発生します。この相互証明書交換プロセスは、相互認証と呼ばれます。

デバイス認証は、「Cisco CTL クライアントの設定」で説明する Cisco CTL ファイルの作成（Cisco CallManager サーバ ノードおよびアプリケーションの認証の場合）、および「Certificate Authority Proxy Function の使用方法」で説明する Certificate Authority Proxy Function（電話機および JTAPI/TAPI/CTI アプリケーションの認証の場合）に依存します。

ヒント Cisco CallManager 信頼ストアに SIP ユーザ エージェント証明書が含まれ、SIP ユーザ エージェントの信頼ストアに Cisco CallManager 証明書が含まれている場合、SIP トランク経由で接続する SIP ユーザ エージェントは、Cisco CallManager に対して認証されます。Cisco CallManager 信頼ストアの更新の詳細については、『Cisco IP Telephony Platform Administration Guide』を参照してください。

ファイル認証

このプロセスでは、電話機でダウンロードするデジタル署名されたファイルを検証します。たとえば、設定、呼出音一覧、ロケール、CTL ファイルなどがあります。電話機は署名を検証して、ファイルが作成後に改ざんされていないことを確認します。サポートされるデバイスのリストについては、「サポートされる電話機のモデル」を参照してください。

クラスタをノンセキュア モードに設定した場合、TFTP サーバはどのファイルにも署名しません。クラスタをセキュア モードに設定した場合、TFTP サーバは呼出音一覧、ローカライズ、デフォルトの .cnf.xml、呼出音一覧 wav ファイルなど、.sgn 形式のスタティック ファイルに署名します。TFTP サーバは、ファイルのデータが変更されたことを確認するたびに、<device name>.cnf.xml 形式のファイルに署名します。

キャッシングが無効になっている場合、TFTP サーバは署名付きファイルをディスクに書き込みます。TFTP サーバは、保存されたファイルが変更されたことを確認すると、再度そのファイルに署名します。ディスク上に新しいファイルを置くと、保存されていたファイルは上書きされて削除されます。電話機で新しいファイルをダウンロードするには、管理者が Cisco CallManager Administration で影響を受けたデバイスを再起動しておく必要があります。

電話機は、TFTP サーバからファイルを受信すると、ファイルのシグニチャを確認して、ファイルの整合性を検証します。電話機で認証された接続を確立するには、次の基準が満たされることを確認します。

• 証明書が電話機に存在する必要がある。

• CTL ファイルが電話機にあり、そのファイルに Cisco CallManager エントリおよび証明書が存在する必要がある。

• デバイスに認証または暗号化を設定した。

（注） ファイル認証は Certificate Trust List（CTL; 証明書信頼リスト）ファイルの作成に依存します。これについては、「Cisco CTL クライアントの設定」で説明します。

シグナリング認証

このプロセスはシグナリング整合性とも呼ばれ、TLS プロトコルを使用して、転送中のシグナリング パケットが改ざんされていないことを検証します。

シグナリング認証は Certificate Trust List（CTL; 証明書信頼リスト）ファイルの作成に依存します。これについては、「Cisco CTL クライアントの設定」で説明します。

ダイジェスト認証

この SIP トランクおよび電話機用のプロセスによって、Cisco CallManager は、SIP ユーザ エージェント（UA）が Cisco CallManager に要求を送信したときに、UA の ID でチャレンジができます（SIP ユーザ エージェントは、SIP メッセージを発信したデバイスまたはアプリケーションを表します）。

Cisco CallManager は、回線側電話機またはデバイスから発信され、SIP トランク経由で到達した SIP コールのユーザ エージェント サーバ（UAS）、SIP トランクに向けて発信された SIP コールのユーザ エージェント クライアント（UAC）、または、回線対回線接続またはトランク対トランク接続のバックツーバック ユーザ エージェント（B2BUA）として機能します。ほとんどの環境では、
Cisco CallManager は主に、SCCP および SIP エンドポイントを接続する B2BUA として機能します。

Cisco CallManager は、SIP トランク経由で接続する SIP 電話機または SIP デバイスで（UAS として）チャレンジを行うことができます。また、SIP トランク インターフェイスで受信したチャレンジに（UAC として）応答できます。電話機に対してダイジェスト認証が有効になっている場合、
Cisco CallManager は、キープアライブ メッセージ以外のすべての SIP 電話機要求でチャレンジを行います。

（注） Cisco CallManager は、回線側の電話機からのチャレンジには応答しません。

Cisco CallManager は、複数の異なるコール レッグを持つコールとして、SIP コールを定義します。通常、2 つの SIP デバイスで 2 者が通話するとき、2 つの異なるコール レッグが存在します。1 つは、発信 SIP UA と Cisco CallManager の間（発信コール レッグ）で、もう 1 つは Cisco CallManager と宛先 SIP UA の間（着信コール レッグ）です。各コール レッグは、別のダイアログを表します。ダイジェスト認証は、ポイントツーポイント プロセスなので、各コール レッグの認証は別のコール レッグから独立しています。SRTP 機能は、ユーザ エージェント間でネゴシエーションされる機能に応じて、コール レッグごとに変更できます。

ヒント ダイジェスト認証は、整合性や信頼性を提供しません。デバイスの整合性および信頼性を保証するには、デバイスに TLS プロトコルを設定します（デバイスが TLS をサポートする場合）。デバイスが暗号化をサポートしている場合は、デバイス セキュリティ モードを暗号化に設定します。デバイスが暗号化された電話機設定ファイルをサポートする場合は、ファイルの暗号化を設定します。

Cisco CallManager サーバは、ヘッダーにナンスとレルムを含む SIP 401（Unauthorized）メッセージを使用してチャレンジを開始します（ナンスは、MD5 ハッシュの計算に使用するランダム数を指定します）。SIP ユーザ エージェントが Cisco CallManager の ID でチャレンジを行うとき、
Cisco CallManager は SIP 401 および SIP 407（Proxy Authentication Required）メッセージに応答します。

SIP 電話機またはトランクのダイジェスト認証を有効にして、ダイジェスト クレデンシャルを設定した後、Cisco CallManager は、ユーザ名、パスワード、およびレルムのハッシュを含むクレデンシャル チェックサムを計算します。Cisco CallManager は、値を暗号化し、ユーザ名とチェックサムをデータベースに格納します。各ダイジェスト ユーザは、レルムごとにダイジェスト クレデンシャルのセットを 1 つ持つことができます。

ヒント SIP 電話機は、Cisco CallManager レルムの中にのみ存在できます。SIP トランクの場合、レルムは SIP トランク経由で接続するドメイン（xyz.com など）を表し、要求の発信元の識別に役立ちます。

Cisco CallManager がユーザ エージェントでチャレンジを行うとき、Cisco CallManager は、ユーザ エージェントがクレデンシャルを表す必要のあるレルムとナンスの値を示します。応答を受信した後、Cisco CallManager は、データベースに格納されているユーザ名のチェックサムと、UA からの応答ヘッダーで受信したクレデンシャルを比較して検証します。クレデンシャルが一致した場合、ダイジェスト認証は成功し、Cisco CallManager は SIP 要求を処理します。

SIP トランク経由で接続しているユーザ エージェントからのチャレンジに応答するとき、Cisco CallManager は、チャレンジ メッセージ ヘッダーで指定されているレルムに設定されている Cisco CallManager ユーザ名およびパスワードで応答します。Cisco CallManager がチャレンジを受ける場合、Cisco CallManager は、チャレンジ メッセージで指定されているレルムに基づいてユーザ名をルックアップし、パスワードを暗号化します。Cisco CallManager は、パスワードを復号化し、ダイジェストを計算し、応答メッセージで表します。

管理者は、電話機ユーザまたはアプリケーションユーザの SIP ダイジェスト クレデンシャルを設定します。アプリケーションの場合は、Cisco CallManager Administration の Applications User Configuration ウィンドウで、ダイジェスト クレデンシャルを指定します。SIP 電話機の場合は、Cisco CallManager Administration の End User ウィンドウで、ダイジェスト認証クレデンシャルを指定し、電話機に適用します。

ユーザを設定した後でクレデンシャルを電話機に関連付けるには、Phone Configuration ウィンドウで Digest User（エンド ユーザ）を選択します。電話機をリセットした後、クレデンシャルは、TFTP サーバが電話機に提供する電話機設定ファイルに存在するようになります。

エンド ユーザのダイジェスト認証を有効にしたが、ダイジェスト クレデンシャルは設定しなかった場合、電話機は登録できません。クラスタ モードがノンセキュアで、ダイジェスト認証を有効にし、ダイジェスト クレデンシャルを設定した場合、ダイジェスト クレデンシャルは電話機に送信されますが、Cisco CallManager でもチャレンジが開始されます。

管理者は、電話機に対するチャレンジ用、および SIP トランク経由で受信するチャレンジ用の SIP レルムを設定します。SIP Realm GUI は、UAC モードのトランク側クレデンシャルを提供します。電話機の SIP レルムは、サービス パラメータ SIP Station Realm で設定します。SIP レルムとユーザ名およびパスワードは、Cisco CallManager に対してチャレンジができる SIP トランク ユーザ エージェントごとに、Cisco CallManager Administration で設定する必要があります。

管理者は、外部デバイスに対してナンス値が有効な時間を分単位で設定します。この時間を超えると、Cisco CallManager はナンス値を拒否し、新しい番号を生成します。

許可

Cisco CallManager は、許可プロセスを使用して、SIP 電話機、SIP トランク、および SIP トランクの SIP アプリケーション要求からのメッセージについて、一定のカテゴリを制限します。

SIP INVITE メッセージと in-dialog メッセージ、および SIP 電話機の場合、Cisco CallManager は通話検索空間およびパーティションを通じて許可を与えます。

電話機からの SIP SUBSCRIBE 要求の場合、Cisco CallManager は、プレゼンス グループへのユーザ アクセスに許可を与えます。

SIP トランクの場合、Cisco CallManager はプレゼンス サブスクリプションおよび non-INVITE SIP メッセージ（out-of-dial REFER、Unsolicited Notification、置換ヘッダー付き SIP 要求など）の許可を与えます。SIP Trunk Security Profile ウィンドウで、関連するチェックボックスをオンにして、許可を指定します。

アプリケーションレベルの許可が設定されている場合、許可は、まず SIP トランクに対して発生し（SIP Trunk Security Profile での設定に従います）、次に SIP トランクの SIP アプリケーション ユーザ エージェントに対して発生します（Application User Configuration での設定に従います）。トランクの場合、Cisco CallManager はトランク ACL 情報をダウンロードしてキャッシュします。ACL 情報は、着信 SIP 要求に適用されます。ACL が SIP 要求を許可しない場合、コールは 403 Forbidden メッセージで失敗します。

ACL が SIP 要求を許可する場合、Cisco CallManager は、SIP Trunk Security Profile でダイジェスト認証が有効かどうかを確認します。ダイジェスト認証が有効でなく、アプリケーションレベルの許可が有効でない場合、Cisco CallManager は要求を処理します。ダイジェスト認証が有効な場合、Cisco CallManager は着信要求に認証ヘッダーが存在することを確認してから、ダイジェスト認証を使用して、発信元アプリケーションを識別します。ヘッダーが存在しない場合、Cisco CallManager は 401 メッセージでデバイスに対するチャレンジを行います。

SIP アプリケーション許可を SIP トランクで有効にするには、SIP Trunk Security Profile ウィンドウで Enable Application Level Authorization チェックボックスをオンにする必要があります。アプリケーションレベルの ACL を適用する前に、Cisco CallManager は、ダイジェスト認証で SIP トランク ユーザ エージェントを認証します。そのため、アプリケーションレベルの許可を発生させるには、SIP Trunk Security Profile でダイジェスト認証を有効にする必要があります。

シグナリング暗号化

シグナリング暗号化により、デバイスと Cisco CallManager サーバとの間で送信されるすべての SIP および SCCP シグナリング メッセージが確実に暗号化されます。

シグナリング暗号化は、各側に関連する情報、各側で入力された DTMF 番号、コール ステータス、メディア暗号鍵などについて、予期しないアクセスや不正アクセスから保護します。

クラスタをセキュア モードに設定した場合、Cisco CallManager による Network Address Translation（NAT; ネットワーク アドレス変換）はサポートされません。NAT はシグナリング暗号化では動作しません。

ファイアウォール で UDP ALG を有効にすると、メディア ストリームによるファイアウォールの通過が許可されます。UDP ALG を有効にすると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。

ヒント ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。

シグナリング暗号化では NAT トラバーサルをサポートしません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。

SIP トランクは、シグナリング暗号化をサポートしますが、メディア暗号化はサポートしません。

メディア暗号化

メディア暗号化は SRTP を使用し、対象とする受信者だけが、サポートされるデバイス間のメディア ストリームを解釈できるようになります。サポートには、オーディオ ストリームだけが含まれます。メディア暗号化には、デバイス用のメディア マスター鍵ペアの作成、デバイスへの鍵配送、鍵転送中の配送の保護が含まれます。

デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。少なくとも 1 つのデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバックは、セキュア デバイスからノンセキュア デバイスへの転送、電話会議、トランスコーディング、保留音などで発生する場合があります。

セキュリティがサポートされているほとんどのデバイスで、認証およびシグナリング暗号化は、メディア暗号化の最小要件となります。つまり、デバイスがシグナリング暗号化および認証をサポートしていない場合、メディア暗号化を行うことができません。Cisco IOS ゲートウェイおよびトランクは、認証なしのメディア暗号化をサポートします。SRTP 機能（メディア暗号化）を有効にする場合は、Cisco IOS ゲートウェイおよびトランクに対して IPSec を設定する必要があります。

ヒント Cisco IOS MGCP ゲートウェイ、H.323 ゲートウェイ、H.323/H.245/H.225 トランク、および SIP トランクでセキュリティ関連情報が暗号化されずに送信されないようにするには、IPSec 設定に依存します。したがって、ゲートウェイおよびトランクに SRTP またはシグナリング暗号化を設定する前に、IPSec を設定することを強く推奨します。Cisco CallManager は、IPSec が正しく設定されていることを確認しません。IPSec を正しく設定しないと、セキュリティ関連情報が公開される可能性があります。

セキュア SIP トランクは、TLS 経由のセキュア コールをサポートできます。ただし、シグナリング暗号化はサポートされますが、メディア暗号化（SRTP）はサポートされません。トランクがメディア暗号化をサポートしないため、コールのすべてのデバイスが認証またはシグナリング暗号化をサポートしている場合、通話中に電話機にシールド アイコンが表示されます。

次の例で、SCCP および MGCP コールのメディア暗号化を示します。

1. メディア暗号化および認証をサポートするデバイス A とデバイス B があり、Cisco CallManager に登録されています。

2. デバイス A がデバイス B に対してコールを行うと、Cisco CallManager はキー マネージャ機能からメディア セッション マスター値のセットを 2 つ要求します。

3. 両方のデバイスで 2 つのセットを受信します。1 つはデバイス A からデバイス B へのメディア ストリーム用、もう 1 つはデバイス B からデバイス A へのメディア ストリーム用です。

4. デバイス A は最初のマスター値セットを使用して、デバイス A からデバイス B へのメディア ストリームを暗号化して認証する鍵を取得します。

5. デバイス A は 2 番目のマスター値セットを使用して、デバイス B からデバイス A へのメディア ストリームを認証して復号化する鍵を取得します。

6. これとは反対の操作手順で、デバイス B がこれらのセットを使用します。

7. 両方のデバイスは、鍵を受信した後に必要な鍵導出を実行し、SRTP パケット処理が行われます。

（注） SIP 電話機および H.323 トランク/ゲートウェイは、独自の暗号パラメータを生成し、Cisco CallManager に送信します。

設定ファイルの暗号化

Cisco CallManager は、暗号化された設定ファイルをサポートする電話機用の設定ファイル ダウンロードの一部として、ダイジェスト クレデンシャルおよびその他の保護されたデータを電話機に送出します（「サポートされる電話機のモデル」を参照）。デバイス設定ファイルだけが、ダウンロード用に暗号化されます。Cisco CallManager は、暗号鍵を符号化し、データベースに格納します。

暗号化された設定ファイルを有効にするには、TFTP Encrypted Configuration エンタープライズ パラメータを True に設定します。TFTP サーバは、シンメトリック鍵と公開鍵の暗号化を使用して、設定ファイルを暗号化および復号化します。詳細については、 第 7 章「電話機設定ファイルの暗号化について」 を参照してください。

TFTP Encrypted Configuration エンタープライズ パラメータを False に設定すると、Cisco CallManager は、SIP 電話機またはトランク セキュリティ プロファイルでダイジェスト認証が有効になっている場合にダイジェスト クレデンシャルが暗号化されずに送信されるという警告メッセージを表示します。