- このマニュアルについて
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの設 定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- ボイス メッセージング ポートのセ キュリティ設定
- CTI、JTAPI、および TAPI の認証およ び暗号化の設定
- Survivable Remote Site Telephony (SRST)リファレンスのセキュリティ 設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIP トランク セキュリティ プロファイ ルの設定
- SIP トランクのダイジェスト認証の 設定
- トラブルシューティング
- 索引
Cisco CallManager セキュリティ ガイド Release 5.0(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月27日
章のタイトル: トラブルシューティング
トラブルシューティング
この章では、セキュリティ関連の測定、およびセキュリティ関連の問題をトラブルシューティングするときの一般的なガイドラインについて説明します。この章は、次の内容で構成されています。
•
「CTL セキュリティ トークンのトラブルシューティング」
• 「電話機および Cisco IOS MGCP ゲートウェイの暗号化のトラブルシューティング」
• 「その他の情報」
Cisco CallManager のアラーム、パフォーマンス モニタ、ログ、およびトレースまたはエラー メッセージと修正処置の詳細については、次のマニュアル(またはオンライン ヘルプ)を参照してください。
• Real-Time Monitoring Tool(RTMT)の GUI およびパフォーマンス モニタのアラームの詳細については、『 Cisco CallManager Serviceability アドミニストレーション ガイド』および
『Cisco CallManager Serviceability システム ガイド 』を参照してください。
• エラー メッセージの詳細については、『 Cisco CallManager Serviceability アドミニストレーション ガイド』を参照してください。
• RTMT でのログおよびトレースの表示の詳細については、『 Cisco CallManager Serviceability システム ガイド 』を参照してください。
• パケット キャプチャの使用または設定、およびキャプチャしたパケットの分析の詳細については、『 Cisco CallManager トラブルシューティング ガイド Release 5.0(1) 』を参照してください。
• トラブルシューティングの手順および修正処置の詳細については、『 Cisco CallManager トラブルシューティング ガイド Release 5.0(1) 』を参照してください。
(注) この章では、Cisco IP Phone がロード エラーやセキュリティのバグなどによって障害を起こした場合に IP Phone をリセットする方法は説明していません。IP Phone のリセットについては、IP Phone のモデルに対応した『Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager』を参照してください。
Cisco IP Phone 7970 モデル、7960 モデル、および 7940 モデルだけから CTL ファイルを削除する方法については、表3-3、または IP Phone のモデルに対応した『Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager』を参照してください。
CLI の使用方法
Cisco IPT Platform Administration GUI の使用中に問題が発生した場合、管理者はコマンドライン インターフェイス(CLI)を使用して、トラブルシューティングの目的でシステム機能にアクセスできます。
CLI インターフェイスを使用するには、SSH アクセスができる環境とログイン ID およびパスワードが必要です。 CLI を使用してログ、トレース、およびパフォーマンス モニタを表示する方法については、『 Cisco IP Telephony Platform Administration Guide』を参照してください。
アラームの使用方法
Cisco CallManager Serviceability は、X.509 名不一致、認証エラー、暗号化エラーに対して、セキュリティ関連アラームを生成します。Serviceability GUI を使用して、アラームを定義できます。
アラームは、TFTP サーバおよび CTL ファイルのエラーが発生したときに、IP Phone で生成されます。IP Phone で生成されるアラームについては、IP Phone のモデルとタイプ(SCCP または SIP)に対応した『 Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager 』と、「Cisco IP Phone 上の CTL ファイルの削除」を参照してください。
パフォーマンス モニタ カウンタの使用方法
パフォーマンス モニタ カウンタは、Cisco CallManager に登録する認証済み IP Phone の数、完了した認証済みコールの数、および任意の時点でアクティブになっている認証済みコールの数を監視します。 表 16-1 に、セキュリティ機能に適用されるパフォーマンス カウンタを示します。
RTMT でパフォーマンス カウンタにアクセスする方法、perfmon ログの設定、およびカウンタの詳細については、『 CallManager Serviceability システム ガイド』、を参照してください。
CLI コマンドの show perf は、パフォーマンス モニタ情報を表示します。CLI インターフェイスの使用方法については、『 Cisco IP Telephony Platform Administration Guide 』を参照してください。
ログおよびトレース ファイルの確認
Cisco Partner や Cisco Technical Assistance Center(TAC)など、この製品のテクニカル サポートに連絡する場合は、事前に、RTMT でノードのログ ファイルおよびトレース ファイルを確認してください。
管理者は、Serviceability Real-Time Monitoring Tool(RTMT)の Trace Collection Tool を使用して、ログ ファイルおよびトレース ファイルをサーバからダウンロードできます。ファイルを収集した後、RTMT の適切なビューアで表示できます。
(注) 暗号化をサポートするデバイスの場合、SRTP 鍵関連情報はトレース ファイルに表示されません。
トレース収集ツールの使用方法およびフィルタリングを使用してログ ファイル レコードを確認する方法については、『 Cisco CallManager Serviceability アドミニストレーション ガイド』および『Cisco CallManager Serviceability システム ガイド』を参照してください。
Cisco CallManage r は、ログ ファイルおよびトレース ファイルを複数のディレクトリに格納します(cm/log、cm/trace、tomcat/logs、tomcat/logs/security など)。CLI コマンドの activelog および inactivelog を使用して、ログ ファイルおよびトレース ファイルの検索、表示、および操作ができます。
CLI インターフェイスの使用方法の詳細については、『 Cisco IP Telephony Platform Administration Guide 』を参照してください。
ヒント ログ ファイルまたはトレース ファイルのディレクトリおよびファイル名がわからない場合は、TAC に問い合せてください。
セキュリティ ファイルのバックアップと復元
CAPF データなど、セキュリティ ファイルのバックアップおよび復元の手順については、『Cisco IP Telephone Disaster Recovery Framework Administration Guide』を参照してください。
証明書のトラブルシューティング
Cisco IPT Platform Administration の証明書管理ツールを使用すると、証明書の表示、削除と再生成、証明書の有効期限の監視、証明書および CTL ファイルのダウンロードとアップロード(更新した CTL ファイルを Unity にアップロードするなど)ができます。CLI を使用すると、自己署名証明書および信頼された証明書の一覧および表示、自己署名証明書の再生成ができます。
CLI コマンドの show cert、show web-security、set cert regen、および set web-security を使用して、CLI インターフェイスで証明書を管理できます(たとえば、set cert regen tomcat と使用します)。GUI または CLI を使用して証明書を管理する方法については、『 Cisco IP Telephony Platform
Administration Guide』を参照してください。
CTL セキュリティ トークンのトラブルシューティング
• 「不適切なセキュリティ トークン パスワードを続けて入力した場合のロックされたセキュリティ トークンのトラブルシューティング」
• 「セキュリティ トークン(etoken)を 1 つ紛失した場合のトラブルシューティング」
すべてのセキュリティ トークン(etoken)を紛失した場合は、Cisco TAC に問い合せてください。
不適切なセキュリティ トークン パスワードを続けて入力した場合のロックされたセキュリティ トークンのトラブルシューティング
各セキュリティ トークンには、リトライ カウンタが含まれています。リトライ カウンタは、etoken Password ウィンドウへのログインの連続試行回数を指定します。セキュリティ トークンのリトライ カウンタ値は 15 です。連続試行回数がカウンタ値を超えた場合、つまり、16 回連続で試行が失敗した場合は、セキュリティ トークンがロックされ、使用不能になったことを示すメッセージが表示されます。ロックされたセキュリティ トークンを再び有効にすることはできません。
追加のセキュリティ トークン(複数可)を取得し、CTL ファイルを設定します(「Cisco CTL クライアントの設定」を参照)。必要であれば、新しいセキュリティ トークン(複数可)を購入し、ファイルを設定します。
ヒント パスワードを正しく入力すると、カウンタがゼロにリセットされます。
セキュリティ トークン(etoken)を 1 つ紛失した場合のトラブルシューティング
セキュリティ トークンを 1 つ紛失した場合は、次の手順を実行します。
ステップ 2 CTL ファイルに署名したトークンを使用し、次の作業を実行して CTL ファイルを更新します。
各作業の実行方法の詳細については、「CTL ファイルの更新」を参照してください。
ステップ 3 IP Phone をすべてリセットします(「デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート」を参照)。
CAPF のトラブルシューティング
• 「IP Phone での認証文字列のトラブルシューティング」
• 「ローカルで有効な証明書の検証が失敗する場合のトラブルシューティング」
• 「CAPF 証明書がクラスタ内のサーバすべてにインストールされていることの確認」
• 「ローカルで有効な証明書が IP Phone 上に存在することの確認」
• 「製造元でインストールされる証明書(MIC)が IP Phone 内に存在することの確認」
IP Phone での認証文字列のトラブルシューティング
IP Phone で不適切な認証文字列を入力すると、IP Phone 上にメッセージが表示されます。IP Phone に正しい認証文字列を入力します。
ヒント IP Phone が Cisco CallManager に登録されていることを確認してください。IP Phone が Cisco CallManager に登録されていない場合、IP Phone で認証文字列を入力することはできません。
IP Phone のデバイス セキュリティ モードがノンセキュアになっていることを確認してください。
電話機に適用されるセキュリティ プロファイルの認証モードが By Authentication String に設定されていることを確認します。
CAPF では、IP Phone で認証文字列を入力できる連続試行回数が制限されています。10 回連続で正しい認証文字列が入力されなかった場合は、正しい文字列の入力を再試行できる状態になるまでに、10 分以上かかります。
ローカルで有効な証明書の検証が失敗する場合のトラブルシューティング
IP Phone では、次のような場合に、ローカルで有効な証明書の検証が失敗することがあります。たとえば、証明書が CAPF によって発行されたバージョンでない場合、CAPF 証明書がクラスタ内の一部のサーバ上に存在しない場合、CAPF 証明書が CAPF ディレクトリ内に存在しない場合、IP Phone が Cisco CallManager に登録されていない場合などです。ローカルで有効な証明書の検証が失敗する場合は、SDL トレース ファイルと CAPF トレース ファイルでエラーを検討します。
CAPF 証明書がクラスタ内のサーバすべてにインストールされていることの確認
Cisco Certificate Authority Proxy Function サービスをアクティブにすると、CAPF に固有な鍵ペアおよび証明書が CAPF によって自動生成されます。CAPF 証明書は Cisco CTL クライアントによってクラスタ内のすべてのサーバにコピーされ、拡張子 .0 を使用します。CAPF 証明書が存在することを確認するには、Cisco IPT Platform GUI または CLI で、CAPF 証明書を表示します。
ローカルで有効な証明書が IP Phone 上に存在することの確認
ローカルで有効な証明書が電話機にインストールされていることを確認するには、 Model Information または Security Configuration 電話機メニューを使用して、LSC 設定を表示します。詳細については、IP Phone のモデルとタイプ(SCCP または SIP)に対応した『Cisco IP Phone アドミニストレーション ガイド』を参照してください。
製造元でインストールされる証明書(MIC)が IP Phone 内に存在することの確認
MIC が電話機に存在することを確認するには、 Model Information または Security Configuration 電話機メニューを使用して、MIC 設定を表示します。詳細については、IP Phone のモデルとタイプ(SCCP または SIP)に対応した『Cisco IP Phone アドミニストレーション ガイド』を参照してください。
電話機および Cisco IOS MGCP ゲートウェイの暗号化のトラブルシューティング
• 「BAT に対する IP Phone のパケット キャプチャの設定」
パケット キャプチャの使用方法
SRTP 暗号化を有効にした後は、メディア パケットと TCP パケットのスニファを実行するサードパーティ製のトラブルシューティング ツールが連動しないため、問題が発生する場合は、
Cisco CallManager Administration を使用して次の作業を実行する必要があります。
• Cisco CallManager とデバイス(Cisco IP Phone、Cisco SIP IP Phone、Cisco IOS MGCP ゲートウェイ、H.323 ゲートウェイ、または H.323/H.245/H.225 トランク)との間で交換されるメッセージのパケットを分析する。
• メッセージからメディアの暗号鍵関連情報を抽出し、デバイス間のメディアを復号化する。
パケット キャプチャの使用または設定、およびキャプチャした SRTP 暗号化コール(および、その他のすべてのコール タイプ)のパケットの分析の詳細については、『 Cisco CallManager トラブルシューティング ガイド Release 5.0(1) 』を参照してください。
ヒント この作業を同時に複数のデバイスで実行すると、CPU 消費量が高くなり、コール処理が中断される場合があります。この作業は、コール処理の中断を最小限に抑えられるときに実行することを強くお勧めします。
BAT に対する IP Phone のパケット キャプチャの設定
この Cisco CallManager リリースと互換性のある Bulk Administration Tool を使用すると、電話機でパケット キャプチャ モードを設定できます。この作業を実行する方法については、『Cisco CallManager Bulk Administration Guide』を参照してください。
ヒント BAT でこの作業を実行すると、CPU 消費量が高くなり、コール処理が中断される場合があります。この作業は、コール処理の中断を最小限に抑えられるときに実行することを強くお勧めします。
その他の情報
• 「証明書の種類」
• 「CTL セキュリティ トークンのトラブルシューティング」
• 「電話機および Cisco IOS MGCP ゲートウェイの暗号化のトラブルシューティング」
• Cisco IP Telephone Disaster Recovery Framework Administration Guide
• Cisco CallManager Bulk Administration Guide
• Cisco CallManager Serviceability アドミニストレーション ガイド
• Cisco CallManager Serviceability システム ガイド
• Cisco CallManager トラブルシューティング ガイド Release 5.0(1)
フィードバック