- このマニュアルについて
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの設 定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- ボイス メッセージング ポートのセ キュリティ設定
- CTI、JTAPI、および TAPI の認証およ び暗号化の設定
- Survivable Remote Site Telephony (SRST)リファレンスのセキュリティ 設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIP トランク セキュリティ プロファイ ルの設定
- SIP トランクのダイジェスト認証の 設定
- トラブルシューティング
- 索引
Cisco CallManager セキュリティ ガイド Release 5.0(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月26日
章のタイトル: ゲートウェイおよびトランクの暗号化 の設定
ゲートウェイおよびトランクの暗号化の設定
•
「Cisco IOS MGCP ゲートウェイの暗号化の概要」
• 「H.323 ゲートウェイおよび H.323/H.225/H.245 トランクの暗号化の概要」
• 「ゲートウェイおよびトランクのセキュリティ設定用チェックリスト」
• 「ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項」
• 「Cisco CallManager とゲートウェイまたはトランクとの間で IPSec を設定する場合の注意事項」
• 「その他の情報」
Cisco IOS MGCP ゲートウェイの暗号化の概要
Cisco CallManager は、MGCP SRTP パッケージを使用するゲートウェイをサポートしています。MGCP SRTP パッケージは、ゲートウェイがセキュア RTP 接続上でパケットを暗号化および復号化するときに使用されます。コール設定中に交換される情報によって、ゲートウェイがコールに SRTP を使用するかどうかが判別されます。デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。少なくとも 1 つのデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP への(およびその逆の)フォールバックは、セキュア デバイスからノンセキュア デバイスへの転送、電話会議、トランスコーディング、保留音などで発生する場合があります。
システムが 2 つのデバイス間で暗号化済み SRTP コールを設定すると、Cisco CallManager はセキュア コールのためのマスター暗号鍵とソルトを生成し、SRTP ストリームの場合にのみゲートウェイに送信します。ゲートウェイでもサポートされている SRTCP ストリームの場合、Cisco CallManager は鍵とソルトを送信しません。これらの鍵は MGCP シグナリング パスを介してゲートウェイに送信されます。これは、IPSec を使用してセキュリティを設定する必要があります。Cisco CallManager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、システムはゲートウェイにセッション鍵を暗号化せずに送信します。セッション鍵がセキュア接続を介して送信されるように、IPSec 接続が存在することを確認します。
ヒント SRTP 用に設定された MGCP ゲートウェイが、認証されたデバイス(認証された SCCP 電話機など)とのコールに関わる場合、Cisco CallManager はこのコールを認証済みとして分類するため、電話機にシールド アイコンが表示されます。コールに対してデバイスの SRTP 機能が正常にネゴシエートされると、Cisco CallManager は、このコールを暗号化済みとして分類します。MGCP ゲートウェイがセキュリティ アイコンを表示できる電話機に接続されている場合、コールが暗号化されていると、電話機にロック アイコンが表示されます。
H.323 ゲートウェイおよび H.323/H.225/H.245 トランクの暗号化の概要
セキュリティをサポートする H.323 ゲートウェイおよびゲートキーパーまたは非ゲートキーパー制御の H.225/H.323/H.245 トランクは、Cisco IPT Platform Administration で IPSec アソシエーションを設定した場合、Cisco CallManager に対して認証ができます。Cisco CallManager とこれらのデバイスとの間で IPSec アソシエーションを作成する方法については、『 Cisco IP Telephony Platform Administration Guide 』を参照してください。
H.323、H.225、および H.245 デバイスは暗号鍵を生成します。これらの鍵は、IPSec で保護されたシグナリング パスを介して Cisco CallManager に送信されます。Cisco CallManager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、セッション鍵は暗号化されずに送信されます。セッション鍵がセキュア接続を介して送信されるように、IPSec 接続が存在することを確認します。
IPSec アソシエーションの設定に加えて、Cisco CallManager Administration のデバイス設定ウィンドウで SRTP Allowed チェックボックスをオンにする必要があります。デバイス設定ウィンドウには、H.323 Gateway、H.225 Trunk (Gatekeeper Controlled)、Inter-Cluster Trunk (Gatekeeper Controlled)、Inter-Cluster Trunk (Non-Gatekeeper Controlled) があります。このチェックボックスをオンにしない場合、Cisco CallManager は RTP を使用してデバイスと通信します。このチェックボックスをオンにした場合、Cisco CallManager は、デバイスに対して SRTP が設定されているかどうかに応じて、セキュア コールまたはノンセキュア コールを発生させます。
Cisco CallManager は、IPSec 接続が正しく設定されているかどうかを確認しません。接続が正しく設定されていない場合、セキュリティ関連情報が暗号化されずに送信されることがあります。
セキュア メディア パスまたはセキュア シグナリング パスを確立でき、デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。セキュア メディア パスまたはセキュア シグナリング パスを確立できない、または 1 つ以上のデバイスが SRTP をサポートしない場合、システムは RTP 接続を使用します。SRTP から RTP への(およびその逆の)フォールバックは、セキュア デバイスからノンセキュア デバイスへの転送、電話会議、トランスコーディング、保留音などで発生する場合があります。
ヒント コールがパススルー対応 MTP を使用し、リージョン フィルタリングの後でデバイスの音声機能が一致し、どのデバイスに対しても MTP Required チェックボックスがオンになっていない場合、Cisco CallManager はこのコールをセキュアに分類します。MTP Required チェックボックスがオンの場合、Cisco CallManager は、コールの音声パススルーを無効にし、コールをノンセキュアに分類します。コールに関連する MTP がない場合、デバイスの SRTP 機能によっては、Cisco CallManager がそのコールを暗号化済みに分類することがあります。
SRTP が設定されているデバイスでは、デバイスに対する SRTP Allowed チェックボックスがオンで、デバイスの SRTP 機能がコールに対して正常にネゴシエートされた場合、Cisco CallManager はコールを暗号化済みに分類します。この基準を満たさない場合、Cisco CallManager は、コールをノンセキュアに分類します。デバイスがセキュリティ アイコンを表示できる電話機に接続されている場合、コールが暗号化されていると、電話機にロック アイコンが表示されます。
Cisco CallManager は、トランクまたはゲートウェイによる発信ファストスタート コールをノンセキュアに分類します。Cisco CallManager Administration で、SRTP Allowed チェックボックスをオンにした場合、Cisco CallManager は Enable Outbound FastStart チェックボックスを無効にします。
SIP トランクの暗号化の概要
セキュア SIP トランクは、TLS 経由のセキュア コールをサポートできます。ただし、シグナリング暗号化はサポートされますが、メディア暗号化(SRTP)はサポートされません。トランクがメディア暗号化をサポートしないため、コールのすべてのデバイスが認証またはシグナリング暗号化をサポートしている場合、通話中に電話機にシールド アイコンが表示されます。
トランクに対してシグナリングの暗号化を設定するには、SIP トランク セキュリティ プロファイルを設定するときに、次のオプションを選択します。
• Incoming Transport Type ドロップダウン リスト ボックスで、TLS を選択
• Outgoing Transport Type ドロップダウン リスト ボックスで、TLS を選択
• Device Security Mode ドロップダウン リスト ボックスで、Encrypted を選択
SIP トランク セキュリティ プロファイルを設定した後、トランクに適用します。IPSec をまだ設定していない場合は、設定します。
ヒント SIP トランクは、IPSec 設定を使用して、セキュリティ関連情報が暗号化されずに送信されることを防ぎます。Cisco CallManager は、IPSec が正しく設定されていることを確認しません。IPSec を正しく設定しないと、セキュリティ関連情報が公開される可能性があります。
ゲートウェイおよびトランクのセキュリティ設定用チェックリスト
表13-1 を、Cisco IOS MGCP ゲートウェイでセキュリティを設定する方法について説明しているマニュアル『 Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways 』とともに使用してください。このマニュアルは、次の URL で入手できます。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123t/123t_11/gtsecure.htm
ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項
このマニュアルでは、IPSec の設定方法は説明しません。代わりに、ネットワーク インフラストラクチャで IPSec を設定する際の考慮事項と推奨事項を示します。IPSec をネットワーク インフラストラクチャで設定し、Cisco CallManager とデバイスとの間では設定しない場合は、IPSec の設定前に、次のことを検討してください。
• シスコは、Cisco CallManager 自体ではなくインフラストラクチャで IPSec をプロビジョンすることをお勧めします。
• IPSec を設定する前に、既存の IPSec または VPN 接続、プラットフォームの CPU への影響、帯域幅への影響、ジッタまたは待ち時間、およびその他のパフォーマンス上のメトリックを考慮してください。
• 『 Voice and Video Enabled IPSec Virtual Private Networks Solution Reference Network Design Guide 』を参照してください。これは、次の URL で入手できます。
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns241/c649/ccmigration_09186a00801ea79c.pdf
• 『 Cisco IOS Security Configuration Guide, Release 12.2 (or later)』を参照してください。これは、次の URL で入手できます。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_book09186a0080087df1.html
• セキュア Cisco IOS MGCP ゲートウェイで接続のリモート エンドを終了します。
• テレフォニー サーバがあるネットワークの信頼されている領域内で、ネットワーク デバイスのホスト エンドを終了します。たとえば、ファイアウォール内のアクセス コントロール リスト(ACL)またはその他のレイヤ 3 デバイスです。
• ホスト エンド IPSec 接続を終了するために使用する装置は、ゲートウェイの数やゲートウェイへの予期されるコール ボリュームによって異なります。たとえば、Cisco VPN 3000 Series Concentrators、Catalyst 6500 IPSec VPN Services Module、または Cisco Integrated Services Routers を使用できます。
• 「ゲートウェイおよびトランクのセキュリティ設定用チェックリスト」に示されている順序どおりに手順を実行してください。
Cisco CallManager とゲートウェイまたはトランクとの間で IPSec を設定する場合の注意事項
Cisco CallManager と、この章で説明しているゲートウェイまたはトランクとの間で IPSec を設定する方法については、『 Cisco IP Telephony Platform Administration Guide 』を参照してください。
SRTP Allowed チェックボックスの設定
SRTP Allowed チェックボックスは、Cisco CallManager Administration の次の設定ウィンドウに表示されます。
• H.323 Gateway Configuration ウィンドウ
• H.225 Trunk (Gatekeeper Controlled) Configuration ウィンドウ
• Inter-Cluster Trunk (Gatekeeper Controlled) Configuration ウィンドウ
• Inter-Cluster Trunk (Non-Gatekeeper Controlled) Configuration ウィンドウ
H.323 ゲートウェイ、およびゲートキーパーまたは非ゲートキーパー制御の H.323/H.245/H.225 トランクに対して SRTP Allowed チェックボックスを設定するには、次の手順を実行します。
ステップ 1 『 Cisco CallManager アドミニストレーション ガイド 』の説明に従って、ゲートウェイまたはトランクを検索します。
ステップ 2 ゲートウェイまたはトランクの設定ウィンドウが開いたら、SRTP Allowed チェックボックスをオンにします。
ステップ 4 Reset をクリックして、デバイスをリセットします。
ステップ 5 IPSec が正しく設定されたことを確認します。
詳細については、「関連項目」を参照してください。
その他の情報
• 「暗号化の概要」
• 「Cisco IOS MGCP ゲートウェイの暗号化の概要」
• 「H.323 ゲートウェイおよび H.323/H.225/H.245 トランクの暗号化の概要」
• 「ゲートウェイおよびトランクのセキュリティ設定用チェックリスト」
• 「ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項」
• 「Cisco CallManager とゲートウェイまたはトランクとの間で IPSec を設定する場合の注意事項」
• Cisco IP Telephony Platform Administration Guide
• Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways
• Cisco IOS Security Configuration Guide, Release 12.2 (or later)
• Voice and Video Enabled IPSec Virtual Private Networks Solution Reference Network Design Guide
フィードバック