- Cisco Unified Communications Manager セキュリティ ガイド
- はじめに
- セキュリティの基礎
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- デフォルトのセキュリティ
- Cisco CTL クライアントの設定
- 証明書の設定
- Cisco Unified IP Phone および Cisco Unity ボイス メール ポートのセキュリティ
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの設定
- セキュア インディケーション トーンと非セ キュア インディケーション トーンの設定
- アナログ エンドポイントの暗号化の設定
- Certificate Authority Proxy Function の使 用方法
- 暗号化された電話機設定ファイルの設定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- セキュアな会議リソースの設定
- ボイスメール ポートのセキュリティ設定
- セキュア コールのモニタリングと録音の設定
- Cisco Unified IP Phone のバーチャル プライベート ネットワーク
- バーチャル プライベート ネットワークの設定
- VPN ゲートウェイの設定
- VPN グループの設定
- VPN プロファイルの設定
- VPN 機能設定
- Cisco CTI、JTAPI、および TAPI アプリケーションのセ キュリティ
- CTI、JTAPI、および TAPI の認証と暗号化の 設定
- SRST 参照先、トランク、ゲートウェイ、および Cisco Unified Mobility Advantage サーバのセキュリティ
- セキュア SRST(Survivable Remote Site Telephony)参照先の設定
- ゲートウェイおよびトランクの暗号化の設定
- SIP トランク セキュリティ プロファイルの設定
- SIP トランクのダイジェスト認証の設定
- Cisco Unified Mobility Advantage サーバ セキュリティ プロファイルの設定
- 索引
Cisco Unified Communications Manager セキュリティ ガイド リリース 8.5(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: ゲートウェイおよびトランクの暗号化の設定
ゲートウェイおよびトランクの暗号化の設定
•
「Cisco IOS MGCP ゲートウェイの暗号化の概要」
• 「H.323 ゲートウェイおよび H.323/H.225/H.245 トランクの暗号化の概要」
• 「ゲートウェイおよびトランクのセキュリティ設定用チェックリスト」
• 「ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項」
• 「Cisco Unified Communications Manager とゲートウェイまたはトランクとの間で IPSec を設定する場合の注意事項」
• 「[SRTPを許可(SRTP Allowed)] チェックボックスの設定」
• 「参考情報」
Cisco IOS MGCP ゲートウェイの暗号化の概要
Cisco Unified Communications Manager は、MGCP SRTP パッケージを使用するゲートウェイをサポートしています。MGCP SRTP パッケージは、ゲートウェイがセキュア RTP 接続上でパケットを暗号化および復号化するときに使用されます。コール設定中に交換される情報によって、ゲートウェイがコールに SRTP を使用するかどうかが判別されます。デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。少なくとも 1 つのデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP への(およびその逆の)フォールバックは、セキュア デバイスから非セキュア デバイスへの転送、電話会議、トランスコーディング、保留音などで発生する場合があります。
システムが 2 つのデバイス間で暗号化済み SRTP コールを設定すると、Cisco Unified Communications Manager はセキュア コールのためのマスター暗号鍵とソルトを生成し、SRTP ストリームの場合にのみゲートウェイに送信します。ゲートウェイでもサポートされている SRTCP ストリームの場合、Cisco Unified Communications Manager は鍵とソルトを送信しません。これらの鍵は MGCP シグナリング パスを介してゲートウェイに送信されます。これは、IPSec を使用してセキュリティを設定する必要があります。Cisco Unified Communications Manager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、システムはゲートウェイにセッション鍵を暗号化せずに送信します。セッション鍵がセキュア接続を介して送信されるように、IPSec 接続が存在することを確認します。
ヒント SRTP 用に設定された MGCP ゲートウェイが、認証されたデバイス(SCCP を実行する認証された電話機など)とのコールに関わる場合、Cisco Unified Communications Manager はこのコールを認証済みとして分類するため、電話機にシールド アイコンが表示されます。コールに対してデバイスの SRTP 機能が正常にネゴシエートされると、Cisco Unified Communications Manager は、このコールを暗号化済みとして分類します。MGCP ゲートウェイがセキュリティ アイコンを表示できる電話機に接続されている場合、コールが暗号化されていると、電話機にロック アイコンが表示されます。
H.323 ゲートウェイおよび H.323/H.225/H.245 トランクの暗号化の概要
セキュリティをサポートする H.323 ゲートウェイおよびゲートキーパー、または非ゲートキーパー制御の H.225/H.323/H.245 トランクは、Cisco Unified Communications オペレーティング システムで IPSec アソシエーションを設定した場合、Cisco Unified Communications Manager に対して認証ができます。Cisco Unified Communications Manager とこれらのデバイスとの間で IPSec アソシエーションを作成する方法については、 『 Cisco Unified Communications Operating System Administration Guide 』 を参照してください。
H.323、H.225、および H.245 デバイスは暗号鍵を生成します。これらの鍵は、IPSec で保護されたシグナリング パスを介して Cisco Unified Communications Manager に送信されます。Cisco Unified Communications Manager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、セッション鍵は暗号化されずに送信されます。セッション鍵がセキュア接続を介して送信されるように、IPSec 接続が存在することを確認します。
IPSec アソシエーションの設定に加えて、Cisco Unified Communications Manager の管理のデバイス設定ウィンドウで [SRTPを許可(SRTP Allowed)] チェックボックスをオンにする必要があります。H.323 ゲートウェイ、H.225 トランク(ゲートキーパー制御)、クラスタ間トランク(ゲートキーパー制御)、クラスタ間トランク(非ゲートキーパー制御)などのデバイス設定ウィンドウがあります。このチェックボックスをオンにしない場合、Cisco Unified Communications Manager は RTP を使用してデバイスと通信します。このチェックボックスをオンにした場合、Cisco Unified Communications Manager は、デバイスに対して SRTP が設定されているかどうかに応じて、セキュア コールまたは非セキュア コールを発生させます。
Cisco Unified Communications Manager は、IPSec 接続が正しく設定されているかどうかを確認しません。接続が正しく設定されていない場合、セキュリティ関連情報が暗号化されずに送信されることがあります。
セキュア メディア パスまたはセキュア シグナリング パスを確立でき、デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。セキュア メディア パスまたはセキュア シグナリング パスを確立できない、または 1 つ以上のデバイスが SRTP をサポートしない場合、システムは RTP 接続を使用します。SRTP から RTP への(およびその逆の)フォールバックは、セキュア デバイスから非セキュア デバイスへの転送、電話会議、トランスコーディング、保留音などで発生する場合があります。
ヒント コールがパススルー対応 MTP を使用し、リージョン フィルタリングの後でデバイスの音声機能が一致し、どのデバイスに対しても [メディアターミネーションポイントが必須(Media Termination Point Required)] チェックボックスがオンになっていない場合、Cisco Unified Communications Manager はこのコールをセキュアに分類します。[メディアターミネーションポイントが必須(Media Termination Point Required)] チェックボックスがオンの場合、Cisco Unified Communications Manager は、コールの音声パススルーを無効にし、コールを非セキュアに分類します。コールに関連する MTP がない場合、デバイスの SRTP 機能によっては、Cisco Unified Communications Manager がそのコールを暗号化済みに分類することがあります。
SRTP が設定されているデバイスでは、デバイスに対する [SRTPを許可(SRTP Allowed)] チェックボックスがオンで、デバイスの SRTP 機能がコールに対して正常にネゴシエートされた場合、Cisco Unified Communications Manager はコールを暗号化済みに分類します。この基準を満たさない場合、Cisco Unified Communications Manager は、コールを非セキュアに分類します。デバイスがセキュリティ アイコンを表示できる電話機に接続されている場合、コールが暗号化されていると、電話機にロック アイコンが表示されます。
Cisco Unified Communications Manager は、トランクまたはゲートウェイによるアウトバウンド FastStart コールを非セキュアに分類します。Cisco Unified Communications Manager の管理ページで、[SRTPを許可(SRTP Allowed)] チェックボックスをオンにした場合、Cisco Unified Communications Manager は [アウトバウンドFastStartを有効にする(Enable Outbound FastStart)] チェックボックスを無効にします。
Cisco Unified Communications Manager の一部の種類のゲートウェイおよびトランクでは、共有秘密鍵(Diffie-Hellman 鍵)やその他の H.235 データを 2 つの H.235 エンドポイント間で透過的に通過させることができます。このため、これら 2 つのエンドポイントではセキュア メディア チャネルを確立できます。
H.235 データを通過できるようにするには、次のトランクおよびゲートウェイの設定で [H.235パススルー使用可能(H.235 Pass Through Allowed)] チェックボックスをオンにします。
トランクおよびゲートウェイの設定については、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』を参照してください。
SIP トランクの暗号化の概要
SIP トランクは、シグナリングとメディア両方についてセキュア コールをサポートできます。シグナリング暗号化は TLS によって、メディア暗号化は SRTP によって提供されます。
トランクに対してシグナリングの暗号化を設定するには、SIP トランク セキュリティ プロファイルを設定するときに、次のオプションを選択します([システム(System)] > [セキュリティプロファイル(Security Profile)] > [SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] ウィンドウ)。
• [デバイスセキュリティモード(Device Security Mode)] ドロップダウン リストから [暗号化(Encrypted)] を選択
• [着信転送タイプ(Incoming Transport Type)] ドロップダウン リストから [TLS] を選択
• [発信転送タイプ(Outgoing Transport Type)] ドロップダウン リストから [TLS] を選択
SIP トランク セキュリティ プロファイルを設定した後、プロファイルをトランクに適用します([デバイス(Device)] > [トランク(Trunk)] > SIP トランクの設定ウィンドウ)。
トランクに対してメディア暗号化を設定するには、[SRTPを許可(SRTP Allowed)] チェックボックスをオンにします(同様に [デバイス(Device)] > [トランク(Trunk)] > SIP トランクの設定ウィンドウ)。
SIP トランク セキュリティ プロファイルの設定の詳細については、 「SIP トランク セキュリティ プロファイルの設定」 の章を参照してください。
ゲートウェイおよびトランクのセキュリティ設定用チェックリスト
表 24-1 を、Cisco IOS MGCP ゲートウェイでセキュリティを設定する方法について説明しているマニュアル『 Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways 』とともに使用してください。このマニュアルは、次の URL で入手できます。
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a0080357589.html
|
|
|
|
|---|---|---|
Cisco CTL クライアントをインストールし、設定したことを確認します。クラスタ セキュリティ モードが混合モードであることを確認します。 |
||
| ヒント ネットワーク インフラストラクチャで IPSec を設定することも、Cisco Unified Communications Manager とゲートウェイまたはトランクとの間で IPSec を設定することもできます。どちらかの方法で IPSec を設定した場合、もう 1 つの方法を使用する必要はありません。 | • • |
|
H.323 IOS ゲートウェイおよびクラスタ間トランクの場合、Cisco Unified Communications Manager の管理ページで [SRTPを許可(SRTP Allowed)] チェックボックスをオンにします。 |
[SRTPを許可(SRTP Allowed)] チェックボックスは [トランクの設定(Trunk Configuration)] ウィンドウまたは [ゲートウェイの設定(Gateway Configuration)] ウィンドウに表示されます。これらのウィンドウを表示する方法については、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』のトランクおよびゲートウェイに関する章を参照してください。 |
|
SIP トランクの場合、SIP トランク セキュリティ プロファイルを設定し、トランクに適用します(この処理を行っていない場合)。また、[デバイス(Device)] > [トランク(Trunk)] > SIP トランクの設定ウィンドウで、[SRTPを許可(SRTP Allowed)] チェックボックスを必ずオンにします。
|
||
• |
||
ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項
このマニュアルでは、IPSec の設定方法は説明しません。代わりに、ネットワーク インフラストラクチャで IPSec を設定する際の考慮事項と推奨事項を示します。IPSec をネットワーク インフラストラクチャで設定し、Cisco Unified Communications Manager とデバイスとの間では設定しない場合は、IPSec の設定前に、次のことを検討してください。
• シスコは、Cisco Unified Communications Manager 自体ではなくインフラストラクチャで IPSec をプロビジョニングすることをお勧めします。
• IPSec を設定する前に、既存の IPSec または VPN 接続、プラットフォームの CPU への影響、帯域幅への影響、ジッタまたは待ち時間、およびその他のパフォーマンス上のメトリックを考慮してください。
• 『 Voice and Video Enabled IPSec Virtual Private Networks Solution Reference Network Design Guide 』を参照してください。これは、次の URL で入手できます。
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns241/c649/ccmigration_09186a00801ea79c.pdf
• 『 Cisco IOS Security Configuration Guide, Release 12.2 』(またはそれ以降)を参照してください。これは、次の URL で入手できます。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_book09186a0080087df1.html
• セキュア Cisco IOS MGCP ゲートウェイで接続のリモート エンドを終了します。
• テレフォニー サーバがあるネットワークの信頼されている領域内で、ネットワーク デバイスのホスト エンドを終了します。たとえば、ファイアウォール内のアクセス コントロール リスト(ACL)またはその他のレイヤ 3 デバイスです。
• ホスト エンド IPSec 接続を終了するために使用する装置は、ゲートウェイの数やゲートウェイへの予期されるコール ボリュームによって異なります。たとえば、Cisco VPN 3000 シリーズ コンセントレータ、Catalyst 6500 IPSec VPN サービス モジュール、または Cisco サービス統合型ルータを使用できます。
• 「ゲートウェイおよびトランクのセキュリティ設定用チェックリスト」に示されている順序どおりに手順を実行してください。
Cisco Unified Communications Manager とゲートウェイまたはトランクとの間で IPSec を設定する場合の注意事項
この章で説明する Cisco Unified Communications Manager とゲートウェイまたはトランクとの間での IPSec の設定については、 『 Cisco Unified Communications Operating System Administration Guide 』 を参照してください。
[SRTPを許可(SRTP Allowed)] チェックボックスの設定
[SRTPを許可(SRTP Allowed)] チェックボックスは、Cisco Unified Communications Manager の管理の次の設定ウィンドウに表示されます。
• H.225 トランク(ゲートキーパー制御)のトランク設定ウィンドウ
• クラスタ間トランク(ゲートキーパー制御)のトランク設定ウィンドウ
• クラスタ間トランク(非ゲートキーパー制御)のトランク設定ウィンドウ
H.323 ゲートウェイ、およびゲートキーパー制御または非ゲートキーパー制御の H.323/H.245/H.225 トランクまたは SIP トランクに対して [SRTPを許可(SRTP Allowed)] チェックボックスを設定するには、次の手順を実行します。
ステップ 1 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って、ゲートウェイまたはトランクを検索します。
ステップ 2 ゲートウェイまたはトランクの設定ウィンドウが開いたら、[SRTPを許可(SRTP Allowed)] チェックボックスをオンにします。
ステップ 4 [リセット(Reset)] をクリックして、デバイスをリセットします。
ステップ 5 H323 について IPSec が正しく設定されたことを確認します(SIP については、TLS が正しく設定されたことを確認します)。
「関連項目」を参照してください。
参考情報
• 「暗号化の概要」
• 「Cisco IOS MGCP ゲートウェイの暗号化の概要」
• 「H.323 ゲートウェイおよび H.323/H.225/H.245 トランクの暗号化の概要」
• 「ゲートウェイおよびトランクのセキュリティ設定用チェックリスト」
• 「ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項」
• 「Cisco Unified Communications Manager とゲートウェイまたはトランクとの間で IPSec を設定する場合の注意事項」
• 『 Cisco Unified Communications Operating System Administration Guide 』
• 『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』
• 『Cisco IOS Security Configuration Guide, Release 12.2』 (またはそれ以降)
• 『Voice and Video Enabled IPSec Virtual Private Networks Solution Reference Network Design Guide』
フィードバック