Cisco Unified Communications Manager SCCP インテグレーションガイド for Cisco Unity Connection Release 2.0

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco Unified Communications Manager SCCP インテグレーションガイド for Cisco Unity Connection Release 2.0

Chapter Title

Cisco Unity Connection ボイスメッセージポートの Cisco Unified Communications Manager 認証および暗号化

PDF - Complete Book (1.0 MB) PDF - This Chapter (229.0 KB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年5月30日

章のタイトル： Cisco Unity Connection ボイスメッセージポートの Cisco Unified Communications Manager 認証および暗号化

Cisco Unified CM セキュリティ機能
機能の概要
Cisco Unity Connection のセキュリティモード設定

Cisco Unity Connection ボイス
メッセージポートの Cisco Unified Communications Manager 認証および暗号化

Cisco Unity Connection と Cisco Unified Communications Manager 間の接続は、Cisco Unity Connection システムが攻撃を受けやすい箇所の 1 つです。脅威としては、次のようなことが考えられます。

• 中間者攻撃（攻撃者が Cisco Unified CM と Cisco Unity Connection ボイスメッセージポート間の情報フローを監視および改変するプロセス）

• ネットワークトラフィックスニフィング（攻撃者がソフトウェアを使用して、Cisco Unified CM、Cisco Unity Connection ボイスメッセージポート、および Cisco Unified CM の管理対象 IP Phone の間を流れる電話通話やシグナリング情報を取り込むプロセス）

• Cisco Unity Connection ボイスメッセージポートと Cisco Unified CM 間のコールシグナリングの改変

• Cisco Unity Connection ボイスメッセージポートとエンドポイント（電話機やゲートウェイなど）間のメディアストリームの改変

• Cisco Unity Connection ボイスメッセージポートの ID 盗難（Cisco Unity Connection 以外のデバイスが Cisco Unity Connection ボイスメッセージポートとして Cisco Unified CM にアクセスするプロセス）

• Cisco Unified CM サーバの ID 盗難（Cisco Unified CM 以外のサーバが Cisco Unified CM サーバとして Cisco Unity Connection ボイスメッセージポートにアクセスするプロセス）

Cisco Unified CM セキュリティ機能

Cisco Unified CM 4.1(3) 以降では、Cisco Unity Connection との接続を上記のような脅威からセキュリティで保護できます。表A-1 では、Cisco Unity Connection で利用できる Cisco Unified CM セキュリティ機能について説明します。

表A-1 Cisco Unity Connection で使用される Cisco Unified CM セキュリティ機能
セキュリティ機能	説明
シグナリング認証	Transport Layer Security（TLS）プロトコルを使用して、伝送中にシグナリングパケットが改ざんされていないことを検証するプロセス。シグナリング認証は、Cisco Certificate Trust List（CTL）ファイルの作成に依存します。脅威に対する効果：この機能は次の脅威から保護します。 • Cisco Unified CM と Cisco Unity Connection ボイスメッセージポート間の情報フローを改変する中間者攻撃 • コールシグナリングの改変 • Cisco Unity Connection ボイスメッセージポートの ID 盗難 • Cisco Unified CM サーバの ID 盗難
デバイス認証	デバイスの ID を検証して、エンティティがその ID 情報と一致していることを確認するプロセス。このプロセスは、各デバイスが他のデバイスの証明書を受け入れるときに、Cisco Unified CM と Cisco Unity Connection ボイスメッセージポート間で行われます。証明書が受け入れられると、デバイス間にセキュア接続が確立されます。デバイス認証は、Cisco Certificate Trust List（CTL）ファイルの作成に依存します。脅威に対する効果：この機能は次の脅威から保護します。 • Cisco Unified CM と Cisco Unity Connection ボイスメッセージポート間の情報フローを改変する中間者攻撃 • メディアストリームの改変 • Cisco Unity Connection ボイスメッセージポートの ID 盗難 • Cisco Unified CM サーバの ID 盗難
シグナリング暗号化	暗号方式を使用して、Cisco Unity Connection ボイスメッセージポートと Cisco Unified CM 間で送信されるすべての SCCP シグナリングメッセージの機密を（暗号化により）保持するプロセス。シグナリング暗号化により、各側に関連する情報、各側で入力された DTMF 番号、コールステータス、およびメディア暗号鍵などが、不意のアクセスや不正アクセスから保護されることが保証されます。脅威に対する効果：この機能は次の脅威から保護します。 • Cisco Unified CM と Cisco Unity Connection ボイスメッセージポート間の情報フローを監視する中間者攻撃 • Cisco Unified CM と Cisco Unity Connection ボイスメッセージポート間のシグナリング情報フローを監視するネットワークトラフィックスニフィング
メディア暗号化	暗号化手順を使用してメディアの機密を保持するプロセス。このプロセスは、IETF RFC 3711 で定義された Secure Real Time Protocol（SRTP）を使用して、目的の受信者だけが Cisco Unity Connection ボイスメッセージポートとエンドポイント（電話機やゲートウェイなど）間のメディアストリームを解釈できることを保証します。サポートされるのは、オーディオストリームだけです。メディア暗号化では、デバイス用のメディアマスター鍵ペアの作成、Cisco Unity Connection とエンドポイントへの鍵の配送、および鍵の転送時の配送の保護などが行われます。Cisco Unity Connection とエンドポイントでは、その鍵を使用してメディアストリームの暗号化と復号化を行います。脅威に対する効果：この機能は次の脅威から保護します。 • Cisco Unified CM と Cisco Unity Connection ボイスメッセージポート間のメディアストリームを傍受する中間者攻撃 • Cisco Unified CM、Cisco Unity Connection ボイスメッセージポート、および Cisco Unified CM の管理対象 IP Phone の間を流れる電話通話を盗聴するネットワークトラフィックスニフィング

認証およびシグナリング暗号化は、メディア暗号化の最小要件です。つまり、デバイスがシグナリング暗号化と認証をサポートしていない場合、メディア暗号化は行われません。

（注） Cisco Unified CM 認証および暗号化によって保護されるのは、ボイスメッセージポートへの通話だけです。メッセージストアに記録されたメッセージは、Cisco Unified CM 認証および暗号化機能によって保護されません。

機能の概要

Cisco Unity Connection と Cisco Unified CM 間のセキュリティ機能（認証および暗号化）では、次のものが必要になります。

• Cisco Unity Connection の管理でセキュアクラスタに登録されたすべての Cisco Unified CM サーバがリストされている Cisco Unified CM CTL ファイル。

• 認証および暗号化、またはそのどちらかを使用する各 Cisco Unity Connection サーバの
Cisco Unity Connection サーバルート証明書。ルート証明書は、作成日から 20 年間有効です。

• Cisco Unity Connection サーバルート証明書をルートとし、ボイスメッセージポートが Cisco Unified CM サーバへの登録時に提示する、Cisco Unity Connection ボイスメッセージポートデバイス証明書。

Cisco Unity Connection ボイスメッセージポートの認証および暗号化プロセスは、次のとおりです。

1. 各 Cisco Unity Connection ボイスメッセージポートが TFTP サーバに接続し、CTL ファイルをダウンロードして、すべての Cisco Unified CM サーバの証明書を抽出します。

2. 各 Cisco Unity Connection ボイスメッセージポートが Cisco Unified CM TLS ポートへのネットワーク接続を確立します。デフォルトでは、TLS ポートは 2443 です。ただし、ポート番号は設定変更できます。

3. 各 Cisco Unity Connection ボイスメッセージポートが Cisco Unified CM サーバへの TLS 接続を確立します。その際、デバイス証明書が確認され、ボイスメッセージポートが認証されます。

4. 各 Cisco Unity Connection ボイスメッセージポートが Cisco Unified CM サーバに登録します。その際、そのポートがメディア暗号化を使用するかどうかも指定します。

通話の動作

Cisco Unity Connection と Cisco Unified CM 間で通話が発信される場合、コールシグナリングメッセージとメディアストリームは、次の方法で処理されます。

• 両方のエンドポイントが暗号化モードに設定されている場合、コールシグナリングメッセージとメディアストリームは暗号化されます。

• 一方のエンドポイントが認証モードに設定され、もう一方のエンドポイントが暗号化モードに設定されている場合、コールシグナリングメッセージは認証されます。ただし、コールシグナリングメッセージもメディアストリームも暗号化されません。

• 一方のエンドポイントが非セキュアモードに設定され、もう一方のエンドポイントが暗号化モードに設定されている場合、コールシグナリングメッセージもメディアストリームも暗号化されません。

Cisco Unity Connection のセキュリティモード設定

Cisco Unity Connection の管理の［セキュリティモード（Security Mode）］の設定により、ポートにおけるコールシグナリングメッセージの処理方法と、メディアストリームの暗号化が可能かどうかが決まります。表A-2 では、各ポートに対する［テレフォニー統合（Telephony Integrations）］ >［ポート（Port）］> ［ポートの基本設定（Port Basics）］ページの［セキュリティモード（Security Mode）］設定の効果について説明します。

表A-2 ボイスメッセージポートに関する［セキュリティモード（Security Mode）］の設定
設定	動作
［非セキュア（Non-secure）］	コールシグナリングメッセージがクリア（暗号化されていない）テキストとして送信され、認証された TLS ポートではなく非認証ポートを使用して Cisco Unified CM に接続されるため、コールシグナリングメッセージの完全性とプライバシーは保証されません。また、メディアストリームも暗号化できません。
［認証（Authenticated）］	コールシグナリングメッセージは認証された TLS ポートを使用して Cisco Unified CM に接続されるため、完全性が保証されます。ただし、クリア（暗号化されていない）テキストで送信されるため、コールシグナリングメッセージのプライバシーは保証されません。また、メディアストリームも暗号化されません。
［暗号化（Encrypted）］	コールシグナリングメッセージは認証された TLS ポートを使用して Cisco Unified CM に接続され、暗号化されるため、完全性とプライバシーが保証されます。また、メディアストリームも暗号化できます。注意メディアストリームが暗号化されるようにするには、両方のエンドポイントが暗号化モードで登録されている必要があります。ただし、一方のエンドポイントが非セキュアモードまたは認証モードに設定され、もう一方のエンドポイントが暗号化モードに設定されている場合、メディアストリームは暗号化されません。また、仲介デバイス（トランスコーダやゲートウェイなど）で暗号化が有効になっていない場合も、メディアストリームは暗号化されません。

セキュリティの無効化と再有効化

Cisco Unity Connection と Cisco Unified CM 間の認証および暗号化機能の有効と無効を切り替えるには、すべての Cisco Unified CM クラスタの［セキュリティモード（Security Mode）］を［非セキュア（Non-secure）］に変更し、さらに Cisco Unified CM の管理ページで適切な設定を変更します。

認証および暗号化を再度有効にするには、［セキュリティモード（Security Mode）］を［認証（Authenticated）］または［暗号化（Encrypted）］に変更します。

（注）認証および暗号化を無効にした場合や再度有効にした場合、Cisco Unity Connection サーバルート証明書をエクスポートしてすべての Cisco Unified CM サーバにコピーする必要はありません。

複数のクラスタに対する複数の設定

Cisco Unity Connection に複数の Cisco Unified CM 電話システム連動が含まれている場合は、Cisco Unified CM 電話システム連動ごとに異なる［セキュリティモード（Security Mode）］設定を保持できます。たとえば、1 つ目の Cisco Unified CM 電話システム連動を［暗号化（Encrypted）］に設定し、2 つ目の Cisco Unified CM 電話システム連動を［非セキュア（Non-secure）］に設定することができます。

個別のボイスメッセージポートの設定

トラブルシューティングを行う場合は、Cisco Unity Connection ボイスメッセージポートの認証および暗号化の有効と無効を個別に切り替えることができます。それ以外の場合は、Cisco Unified CM ポートグループ内のすべてのボイスメッセージポートを同一の［セキュリティモード（Security Mode）］設定にしておくことをお勧めします。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco Unified Communications Manager SCCP インテグレーション ガイド for Cisco Unity Connection Release 2.0