- このマニュアルについて
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの設 定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- ボイス メッセージング ポートのセ キュリティ設定
- CTI、JTAPI、および TAPI の認証およ び暗号化の設定
- Survivable Remote Site Telephony (SRST)リファレンスのセキュリティ 設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIP トランク セキュリティ プロファイ ルの設定
- SIP トランクのダイジェスト認証の 設定
- トラブルシューティング
- 索引
Cisco CallManager セキュリティ ガイド Release 5.0(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月27日
章のタイトル: SIP トランク セキュリティ プロファイ ルの設定
SIP トランク セキュリティ プロファイルの設定
•
「SIP トランク セキュリティ プロファイルの設定内容」
• 「その他の情報」
SIP トランク セキュリティ プロファイルの概要
Cisco CallManager Administration では、デバイス セキュリティ モード、ダイジェスト認証、着信転送タイプまたは発信転送タイプの設定など、SIP トランク セキュリティ関連の設定がグループ化されます。SIP Trunk Configuration ウィンドウでプロファイルを選択することで、すべての構成済み設定を SIP トランクに適用できます。すべての SIP トランクに、セキュリティ プロファイルを適用する必要があります。SIP トランクがセキュリティをサポートしない場合は、ノンセキュア プロファイルを適用します。
SIP トランク セキュリティ プロファイルの検索
SIP トランク セキュリティ プロファイルを検索するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で、 System > Security Profile > SIP Trunk Security Profile の順に選択します。
ステップ 2 ドロップダウン リスト ボックスから、表示するセキュリティ プロファイルの検索基準を選択し、 Find をクリックします。
(注) データベースに登録されているすべての SIP トランク セキュリティ プロファイルを検索するには、検索基準を指定せずに、Find をクリックします。
ウィンドウが更新され、検索基準と一致するセキュリティ プロファイルが表示されます。
ステップ 3 表示するセキュリティ プロファイルの Name リンクをクリックします。
ヒント 検索結果内の Name または Description を検索するには、Search Within Results チェックボックスをオンにして、この手順で説明したように検索基準を入力し、Find をクリックします。
詳細については、「関連項目」を参照してください。
SIP トランク セキュリティ プロファイルの設定
SIP トランク セキュリティ プロファイルを追加、更新、またはコピーするには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で、 System > Security Profile > SIP Trunk Security Profile の順に選択します。
• 新しいプロファイルを追加するには、 Add New ボタンをクリックし、ステップ 3 に進みます。
• 既存のセキュリティ プロファイルをコピーするには、「SIP トランク セキュリティ プロファイルの検索」の説明に従い、適切なプロファイルを見つけて、コピーするセキュリティ プロファイルの横に表示されている Copy ボタンをクリックし、ステップ 3 に進みます。
• 既存のプロファイルを更新するには、「SIP トランク セキュリティ プロファイルの検索」の説明に従い、適切なセキュリティ プロファイルを見つけて、ステップ 3 に進みます。
ステップ 3 表14-1 の説明に従って、適切な設定を入力します。
セキュリティ プロファイルを作成した後、「SIP トランク セキュリティ プロファイルの適用」の説明に従い、トランクに適用します。
SIP トランクにダイジェスト認証を設定した場合は、トランクの SIP Realm ウィンドウと、SIP トランクを介して接続されるアプリケーションの Application User ウィンドウで、ダイジェスト クレデンシャルを設定する必要があります(まだ設定していない場合)。
アプリケーションレベル許可 SIP トランクを有効にした場合は、Application User ウィンドウで、そのトランクに許可される方式を設定する必要があります。
詳細については、「関連項目」を参照してください。
SIP トランク セキュリティ プロファイルの設定内容
表14-1 で、SIP トランク セキュリティ プロファイルの設定について説明します。Cisco CallManager の方式許可の詳細については、「対話」を参照してください。
|
|
|
|---|---|
セキュリティ プロファイルの名前を入力します。名前は、Trunk Configuration ウィンドウの SIP Trunk Security Profile ドロップダウン リスト ボックスに表示されます。 |
|
ドロップダウン リスト ボックスから、着信転送モードを選択します。 
Cisco CallManager とトランクとの間の接続が保護されます。TLS オプションを選択する場合は、Outgoing Transport Type ドロップダウン リスト ボックスでも TLS オプションを選択してください。 |
|
ドロップダウン リスト ボックスから、発信転送モードを選択します。Incoming Transport Type に TLS を選択した場合は、Outgoing Transport Type にも TLS を選択する必要があります。
|
|
ドロップダウン ボックスから、次のオプションのいずれか 1 つを選択します。 • • •
|
|
Cisco CallManager が、トランクに接続する SIP ユーザ エージェントの ID でチャレンジを行う場合は、このチェックボックスをオンにします。Cisco CallManager が ID でチャレンジを行った後、トランクは MD5 チェックサム、ユーザ名、パスワード、ナンス値、要求された URI で応答し、Cisco CallManager Administration で設定したクレデンシャルに基づいて Cisco CallManager が情報を検証します。クレデンシャルが一致した場合、ダイジェスト認証は成功します。 このチェックボックスをオンにすると、Cisco CallManager は、トランクからのすべての SIP 要求でチャレンジを行います。 ダイジェスト認証は、整合性や信頼性を提供しません。トランクの整合性および信頼性を保証するには、TLS プロトコルを設定します。 |
|
ナンス値は、ダイジェスト認証をサポートするランダム値で、ダイジェスト認証パスワードの MD5 ハッシュの計算に使用されます。 ナンス値が有効な時間を秒単位で入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Cisco CallManager は新しい値を生成します。 |
|
このフィールドは、Incoming Transport Type および Outgoing Transport Type に TLS を設定した場合に適用されます。 SIP トランクに接続されている認証済みデバイスに対する X.509 証明書の件名を入力します。Cisco CallManager クラスタがある場合、または TLS ピアに対して SRV ルックアップを使用する場合、単一のトランクが複数のホストに解決されることがあります。その結果、トランクに複数の X.509 の件名が設定されます。複数の X.509 の件名がある場合は、スペース、カンマ、セミコロン、またはコロンのいずれか 1 つを使用して、名前を区切ります。
例:ポート 5061 の SIP TLS trunk1 の X.509 Subject Name は、my_cm1, my_cm2 です。ポート 5071 の SIP TLS trunk1 の X.509 Subject Name は、my_cm2, my_cm3 です。この場合、ポート 5061 の SIP TLS trunk3 の X.509 Subject Name は my_ccm4 にできますが、my_cm1 にはできません。 |
|
着信ポートを選択します。1024 ~ 65535 の一意のポート番号を入力します。着信 TCP および UDP の SIP メッセージのデフォルト ポート値は、5060 です。 入力した値は、プロファイルを使用するすべての SIP トランクに適用されます。必要に応じて、同じ着信ポート番号をすべての SIP トランクに設定できます。 |
|
このチェックボックスをオンにする場合は、Enable Digest Authentication チェックボックスをオンにし、トランクのダイジェスト認証を設定する必要があります。トランクのダイジェスト認証設定の詳細については、「SIP トランクのダイジェスト認証の設定」を参照してください。 このチェックボックスをオンにすると、トランクレベルの許可が発生してから、アプリケーションレベルの許可が発生します。アプリケーションレベルの許可は、アプリケーションから SIP ユーザ エージェントで送信された SIP メッセージに対して発生します。アプリケーションレベルの許可は、Application User Configuration ウィンドウ(User Management > Application User)でオンにした許可チェックボックスに基づきます。
|
|
Cisco CallManager が SIP トランク経由で着信するプレゼンス サブスクリプション要求を受け付けるようにする場合は、このチェックボックスをオンにします。 Enable Application Level Authorization チェックボックスをオンにした場合は、Application User Configuration ウィンドウに移動し、この機能について許可するアプリケーション ユーザの Accept Presence Subscription チェックボックスをオンにします。 アプリケーションレベルの許可が有効で、アプリケーション ユーザの Accept Presence Subscription チェックボックスがオンで、トランクのチェックボックスがオフの場合、トランクに接続されている SIP ユーザ エージェントに 403 エラー メッセージが送信されます。 |
|
Cisco CallManager が SIP トランク経由で着信する non-INVITE、 Enable Application Level Authorization チェックボックスをオンにした場合は、Application User Configuration ウィンドウに移動し、この方式について許可するアプリケーション ユーザの Accept Out-of-Dialog Refer チェックボックスをオンにします。 |
|
Cisco CallManager が SIP トランク経由で着信する non-INVITE、Unsolicited Notification メッセージを受け付けるようにする場合は、このチェックボックスをオンにします。 Enable Application Level Authorization チェックボックスをオンにした場合は、Application User Configuration ウィンドウに移動し、この方式について許可するアプリケーション ユーザの Accept Unsolicited Notification チェックボックスをオンにします。 |
|
Cisco CallManager が既存の SIP ダイアログを置き換える新しい SIP ダイアログを受け付けるようにする場合は、このチェックボックスをオンにします。 Enable Application Level Authorization チェックボックスをオンにした場合は、Application User Configuration ウィンドウに移動し、この方式について許可するアプリケーション ユーザの Accept Header Replacement チェックボックスをオンにします。 |
SIP トランク セキュリティ プロファイルの適用
Trunk Configuration ウィンドウで、SIP トランク セキュリティ プロファイルをトランクに適用します。デバイスにセキュリティ プロファイルを適用するには、次の手順を実行します。
ステップ 1 『 Cisco CallManager アドミニストレーション ガイド 』の説明に従って、トランクを検索します。
ステップ 2 Trunk Configuration ウィンドウが表示されたら、 SIP Trunk Security Profile 設定を見つけます。
ステップ 3 セキュリティ プロファイルのドロップダウン リスト ボックスから、デバイスに適用するセキュリティ プロファイルを選択します。
ステップ 5 Reset をクリックして、電話機をリセットします。
SIP トランクにダイジェスト認証を設定した場合は、トランクの SIP Realm ウィンドウと、SIP トランクを介して接続されるアプリケーションの Application User ウィンドウで、ダイジェスト クレデンシャルを設定する必要があります(まだ設定していない場合)。「SIP レルムの設定」を参照してください。
詳細については、「関連項目」を参照してください。
SIP トランク セキュリティ プロファイルの削除
ここでは、Cisco CallManager データベースから SIP トランク セキュリティ プロファイルを削除する方法について説明します。
Cisco CallManager Administration からセキュリティ プロファイルを削除する前に、別のプロファイルをデバイスに適用するか、当該プロファイルを使用するすべてのデバイスを削除してください。当該プロファイルを使用しているデバイスを検索するには、SIP Trunk Security Profile Configuration ウィンドウの Related Links ドロップダウン リスト ボックスから Dependency Records を選択して、 Go をクリックします。
システムで Dependency Records 機能が有効になっていない場合は、レコードの依存性の概要ウィンドウに、Dependency Records を有効にすると実行できるアクションを示すメッセージが表示されます。また、Dependency Records 機能を使用すると、CPU 使用率が高くなるという情報も表示されます。Dependency Records の詳細については、『 Cisco CallManager システム ガイド 』を参照してください。
ステップ 1 「SIP トランク セキュリティ プロファイルの検索」の手順に従って、セキュリティ プロファイルを検索します。
ステップ 2 複数のセキュリティ プロファイルを削除するには、Find and List ウィンドウで、適切なチェックボックスの横に表示されているチェックボックスをオンにして、 Delete Selected アイコンまたは Delete Selected ボタンをクリックします。
ステップ 3 単一のセキュリティ プロファイルを削除するには、次の作業のどちらかを実行します。
• Find and List ウィンドウで、適切なセキュリティ プロファイルの横に表示されているチェックボックスをオンにして、 Delete Selected アイコンまたは Delete Selected ボタンをクリックします。
• Find and List ウィンドウで、セキュリティ プロファイルの Name リンクをクリックします。指定した Security Profile Configuration ウィンドウが表示されたら、 Delete Selected アイコンまたは Delete Selected ボタンをクリックします。
ステップ 4 削除操作の確認を要求するプロンプトが表示されたら、 OK をクリックして削除するか、 Cancel をクリックして削除操作を取り消します。
詳細については、「関連項目」を参照してください。
フィードバック