この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Unified Communications Manager システムにセキュリティ対策を実装すると、電話や Cisco Unified Communications Manager サーバの個人情報/ID の盗用、データ改ざん、コール シグナリング/メディア ストリーム改ざんを防止できます。
Cisco IP テレフォニー ネットワークでは、認証済み通信ストリームを確立および維持し、ファイルを電話に転送する前にそのファイルにデジタル署名して、Cisco Unified IP Phone 間のメディア ストリームとコール シグナリングを暗号化します。
次の表の定義は、Cisco IP テレフォニー ネットワークの認証、暗号化およびその他のセキュリティ機能を設定する際に適用されます。
Cisco CTL クライアントで使用されたユーザ名とパスワード(Cisco Unified Communications Manager サーバへのログイン用)は [Cisco Unified Communications Manager Administration] のユーザ名およびパスワード([Cisco Unified Communications Manager Administration] へのログインに使用するユーザ名とパスワード)と一致する必要があります。
ボイス メール ポートのセキュリティを設定する前に、この Cisco Unified Communications Manager リリースをサポートするバージョンの Cisco Unity または Cisco Unity Connection システムをインストールしていることを確認します。
Cisco Unified Communications Manager システムは、コール セキュリティに対してトランスポート層からアプリケーション層にかけてのマルチレイヤ アプローチを採用しています。
Transport Layer Security には、シグナリングの認証と暗号化のための TLS および IPSec が含まれ、音声ドメインへのアクセスの制御と防止が実現されます。SRTP によってメディアの認証と暗号化が付加され、音声会話と他のメディアのプライバシーと機密性が保護されます。
次の表は、機能のサポート状況と設定状況に応じて SCCP コール セッション中に Cisco Unified Communications Manager に実装可能な認証と暗号化機能の概要を示します。
|
次の表に、機能のサポート状況と設定状況に応じて SIP コール セッション中に Cisco Unified Communications Manager に実装可能な認証と暗号化機能の概要を示します。
TLS モード:認証済みまたは暗号化済み(Cisco Unified IP Phone 7940G/7960G を除く)。 |
||||
|
Cisco Unified Communications Manager は、コールに参加する Cisco Unified Communications Manager サーバおよびデバイスのセキュリティ レベルに応じてコールのセキュリティ ステータスを提供します。
セキュリティ アイコンをサポートする電話には、コールのセキュリティ レベルが表示されます。
電話は、シグナリング セキュリティ レベルが「認証済み」のコールに対してはシールド アイコンを表示します。シールドは Cisco IP デバイス間のセキュアな接続を示します。これは、デバイスのシグナリングが認証済みまたは暗号化されていることを意味します。
電話は、暗号化されたメディアのコールに対してはロック アイコンを表示します。これは、デバイスが暗号化シグナリングと暗号化メディアを使用していることを意味します。
(注) | 一部の電話モデルでは、ロック アイコンのみが表示されます。 |
コールのセキュリティ ステータスは、ポイントツーポイント、クラスタ間およびクラスタ内、マルチホップ コールで変わることがあります。SCCP 回線、SIP 回線、および H.323 シグナリングでは、参加エンドポイントへのコール セキュリティ ステータスの変更の通知がサポートされています。セキュリティ アイコンに関連する制約については、セキュリティ アイコンおよび暗号化に関するトピックを参照してください。
コールの音声とビデオ部分がコールのセキュリティ ステータスのベースとなります。コールは、音声とビデオ部分の両方がセキュアである場合に限り、安全とみなされます。次の表で、セキュリティ アイコンが表示されるかどうかと、どのアイコンが表示されるかを決定するルールについて説明します。
(注) | 「Override BFCP Application Encryption Status When Designating Call Security Status」サービス パラメータは、パラメータ値が [True] で音声がセキュアであると、ロック アイコンを表示します。この状態は、他のすべてのメディア チャネルのセキュリティ ステータスを無視します。デフォルト パラメータ値は [False] です。 |
ここでは、シスコのセキュリティ機能が Cisco Unified Communications Manager アプリケーションとどのように連携するかについて説明します。
SIP を実行している電話やトランクにプレゼンス グループ認証を追加するには、プレゼンス グループを設定して、プレゼンス要求を認証済みユーザに限定します。
(注) |
プレゼンス グループ設定の詳細については、『Feature Configuration Guide for Cisco Unified Communications Manager』を参照してください。
SIP トランクでプレゼンス要求を許可するには、SIP トランクでのプレゼンス要求を許可するよう Cisco Unified Communications Manager を設定します。また必要な場合には、リモートデバイスやアプリケーションからの着信プレゼンス要求の受け入れと認証を行うよう Cisco Unified Communications Manager を設定します。
SIP で開始された転送機能、および SIP トランクでの Web 転送やクリック ツー ダイヤルといったその他転送関連の高度な機能を使用するには、着信 Out-of-Dialog REFER 要求を受け入れるよう SIP トランク セキュリティ プロファイルを設定します。
イベント レポートのサポート(MWI サポートなど)を提供する場合、および(ボイス メッセージ サーバなどからの)コールごとの MTP 割り当てを減少させる場合は、Unsolicited NOTIFY SIP 要求を受け入れるよう SIP トランク セキュリティ プロファイルを設定します。
Cisco Unified Communications Manager が、SIP トランクの外部コールを外部デバイスまたは外部パーティに転送できるようにするには(在席転送の場合など)、REFERS および INVITES の Replaces ヘッダー付き SIP 要求を受け入れるよう、SIP トランク セキュリティ プロファイルを設定します。
エクステンション モビリティの場合、ユーザのログインとログアウトの際に SIP ダイジェスト クレデンシャルが変化します。異なるユーザには異なるクレデンシャルが設定されるためです。
CAPF プロファイルを設定した場合(各 Cisco Unified Communications Manager Assistant ノードに 1 つ)、Cisco Unified Communications Manager Assistant は CTI へのセキュアな接続をサポートします(Transport Layer Security 接続)。
CTI/JTAPI/TAPI アプリケーションのインスタンスが複数実行されている場合、CTI TLS をサポートするには、CTI Manager と JTAPI/TSP/CTI アプリケーション間のシグナリングおよびメディア通信ストリームを保護するために、すべてのアプリケーション インスタンスに一意のインスタンス ID(IID)を設定する必要があります。
デバイス セキュリティ モードが認証済みまたは暗号化済みの場合、Cisco Unity-CM TSP は Cisco Unified Communications Manager TLS ポートを介して Cisco Unified Communications Manager に接続します。セキュリティ モードが非セキュアの場合、Cisco Unity TSP は CTI Manager ポートを介して Cisco Unified Communications Manager に接続します。
認証機能および暗号化機能をインストールして設定する前に、次の制限事項を考慮してください。
自動登録は、混合モードを設定すると機能しません。
シグナリング暗号化またはメディア暗号化は、デバイス認証なしでは実装できません。デバイス認証をインストールするには、Cisco CTL Provider サービスを有効にしてから、Cisco CTL クライアントをインストールして設定します。
混合モードを設定している場合、Cisco Unified Communications Manager ではネットワーク アドレス変換(NAT)がサポートされません。
メディア ストリームのファイアウォール トラバーサルを許可するために、ファイアウォールで UDP を有効にできます。UDP を有効にすると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。
ヒント | ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。 |
シグナリング暗号化では、NAT トラバーサルがサポートされません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。
帯域幅の要件のため、Cisco Unified IP Phone 7940G と 7960G は、アクティブな暗号化されたコールでの暗号化されたデバイスからの割り込みをサポートしません。割り込みの試行は失敗します。発信側の電話では、割り込みが失敗したことを示すトーンが再生されます。
リリース 8.2 以前のリリースを実行中の暗号化された Cisco Unified IP Phone は、認証済み参加者または非セキュア参加者としてのみアクティブな通話に割り込みできます。
発信者がセキュアな SCCP コールに割り込む場合、システムはターゲット デバイスで内部トーン再生メカニズムを使用し、ステータスはセキュアのままになります。
発信者がセキュアな SIP コールに割り込む場合、システムは保留トーンを再生し、トーンの間 Cisco Unified Communications Manager がコールを非セキュアとして分類します。
(注) | リリース 8.3 以降を実行中の、非セキュアまたは認証済み Cisco Unified IP Phone は、暗号化されたコールに割り込むことができます。会議のセキュリティ ステータスは、セキュリティ アイコンによって表示されます。 |
以下の情報は、暗号化向けに設定され、ワイドバンド コーデック地域が割り当てられている Cisco Unified IP Phone 7960G および 7940G に適用されます。TLS/SRTP 向けに設定された Cisco Unified IP Phone 7940G および 7960G にのみ適用されます。
暗号化されたコールを確立するため、Cisco Unified Communications Manager はワイドバンド コーデックを無視して、電話のコーデック リストからサポートされる別のコーデックを選択します。コールに参加する他のデバイスが暗号化向けに設定されていない場合、Cisco Unified Communications Manager はワイドバンド コーデックを使用して、認証済または非セキュア コールを確立することがあります。
Cisco Unified Communications Manager は、メディア リソースが使用されないセキュアな Cisco Unified IP Phone(SCCP または SIP)、セキュアな CTI デバイス/ルート ポイント、セキュアな Cisco MGCP IOS ゲートウェイ、セキュアな SIP トランク、セキュアな H.323 ゲートウェイ、セキュアな会議ブリッジ、およびセキュアな H.323/H.245/H.225 トランクの間での認証済みコールと暗号化コールをサポートしています。次の状況では Cisco Unified Communications Manager はメディア暗号化を提供しません。
詳細は、暗号化とこのバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified Communications Manager の『System Configuration Guide for Cisco Unified Communications Manager』を参照してください。
すべての電話が暗号化された設定ファイルをサポートするわけではありません。暗号化された設定ファイルをサポートするが、署名を検証しない電話もあります。Cisco Unified IP Phone 7905G と 7912G を除き、暗号化された設定ファイルをサポートするすべての電話には、完全に暗号化された設定ファイルを受信するために Cisco Unified Communications Manager リリース 5.0 以降と互換性があるファームウェアが必要です。Cisco Unified IP Phone 7905G と 7912G は既存のセキュリティ メカニズムを使用し、この機能のために新しいファームウェアを必要としません。
セキュリティ アイコンおよび暗号化には次の制約事項が適用されます。
コールの転送やコール保留時などのタスクを実行するときに、暗号化ロック アイコンが電話に表示されない場合があります。MOH など、これらのタスクに関連付けられたメディア ストリームが暗号化されていない場合、ステータスが暗号化から非セキュアに変わります。
Cisco Unified Communications Manager は、H.323 トランクを通過中のコールに対してはシールド アイコンを表示しません。
PSTN に関連するコールでは、セキュリティ アイコンはコールの IP ドメイン部分のみのセキュリティ ステータスを示します。
TLS 転送タイプを使用する場合、SIP トランクが報告するセキュリティ ステータスは暗号化または非認証です。SRTP がネゴシエートされると、セキュリティ ステータスは暗号化になります。SRTP がネゴシエートされていない場合は、非認証のままになります。これにより、Cisco Unified Communications Manager のコール制御は、SIP トランクに関連するコールの全体的なセキュリティ レベルを特定できます。
SIP トランクは、ミートミー会議または C 割り込みなどの発生時に参加者が認証されると、認証済みの状態をトランク経由で報告します。(SIP トランクは引き続き TLS/SRTP を使用します。)
セキュアなモニタリングと録音のため、SIP トランクは SIP 回線によって現在使用されているように SIP トランクのセキュリティ アイコンの状態を送信するときに既存の Call Info ヘッダー メカニズムを使用します。これにより、SIP トランクのピアがコールの全体的なセキュリティ ステータスをモニタできるようになります。
一部の電話モデルでは、ロック アイコンしか表示されず、シールド アイコンが表示されません。
(注) | デバイス セキュリティ モードは、Cisco Unified IP Phone または SIP トランクのセキュリティ機能を設定します。クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。 |
クラスタ セキュリティ モードが非セキュアになると、デバイス セキュリティ モードは電話の設定ファイルで非セキュアになります。このような状況では、デバイス セキュリティ モードに認証済みまたは暗号化済みが指定されていた場合でも、電話と SRST 対応ゲートウェイまたは Cisco Unified Communications Manager との間に非セキュアな接続が作成されます。[SRST Allowed] チェックボックスなど、デバイス セキュリティ モード以外のセキュリティ関連の設定は無視されます。[Cisco Unified Communications Manager Administration] でセキュリティ設定が削除されることはありませんが、セキュリティは実現されません。
電話が SRST 対応ゲートウェイへのセキュアな接続を試行するのは、クラスタ セキュリティ モードが混合モードであり、電話設定ファイルのデバイス セキュリティ モードが認証済みまたは暗号化済みに設定され、[Trunk Configuration] ウィンドウで [SRST Allowed?] チェックボックスがオンであり、かつ電話設定ファイルに有効な SRST 証明書が存在する場合のみです。
Cisco Unified Communications Manager では、SIP コールが 2 つ以上の独立したコール レッグとして定義されます。2 つの SIP デバイス間での標準の 2 者間通話の場合、2 つのコール レッグが存在します。1 つのレッグは発信元 SIP ユーザ エージェントと Cisco Unified Communications Manager の間(発信元コール レッグ)、もう 1 つのレッグは Cisco Unified Communications Manager と接続先 SIP ユーザ エージェントとの間です(終端コール レッグ)。各コール レッグが個別のダイアログを表します。ダイジェスト認証はポイントツーポイント プロセスであるため、各コール レッグでのダイジェスト認証は他のコール レッグから独立しています。SRTP 機能は、ユーザ エージェント間でネゴシエートされる機能に応じて、コール レッグごとに変更できます。
SRTP 暗号化を実装すると、サードパーティのスニフィング ツールが機能しません。適切な認証で承認された管理者は [Cisco Unified Communications Manager Administration] で設定を変更してパケット キャプチャを開始できます(パケット キャプチャをサポートしているデバイスの場合)。このリリースに対応した『Troubleshooting Guide for Cisco Unified Communications Manager』を参照し、Cisco Unified Communications Manager でのパケット キャプチャの設定に関する情報をご確認ください。
必ず安全なラボ環境でインストール作業および設定作業を実行してから、広範囲のネットワークに展開します。
リモート ロケーションにあるゲートウェイおよびその他のアプリケーション サーバに対して IPSec を使用します。
警告 | これらのインスタンスで IPSec を使用しないと、セッション暗号キーが暗号化されずに転送されます。 |
ここでは、Cisco Unified Serviceability でどのようなときにデバイスのリセット、サーバ/クラスタのリブート、サービスの再起動が必要になるかについて説明します。
Cisco CallManager サービスの再起動については、『Cisco Unified Serviceability Administration Guide』を参照してください。
電話の設定を更新した後に単一のデバイスをリセットするには、電話セキュリティ プロファイルの適用に関連したトピックを参照してください。
この項では、デバイスのリセット、Cisco Unified Serviceability でのサービスの再起動、またはサーバ/クラスタのリブートが必要となる場合について説明します。
作業を進める前にデバイスのリセット、サーバとクラスタのリブートとサービスの再起動に関するガイドラインを参照してください。
暗号化が設定されている Cisco Unified IP Phone 7960G および 7940G に割り込みを設定しようとすると、次のメッセージが表示されます。
Cisco Unified IP Phone のモデル 7960 および 7940 に暗号化を設定する場合、暗号化されたコールに参加している間、それらの暗号化されたデバイスは割り込みリクエストを受け付けることができません。コールが暗号化されていると、割り込みの試行は失敗します。
[Cisco Unified Communications Manager Administration] で以下の作業を行うと、メッセージが表示されます。
CTL クライアントの [Cluster Security Mode] パラメータを更新する。
[Service Parameter] ウィンドウの [Builtin Bridge Enable] パラメータを更新する。
暗号化されたセキュリティ プロファイルが Cisco Unified IP Phone 7960G および 7940G に設定され、[Built In Bridge] 設定で [Default](または [Default] と同等の設定)を選択した場合には、このメッセージは [Phone Configuration] ウィンドウに表示されません。ただし同じ制限が適用されます。
ヒント | 変更を有効にするには、従属する Cisco IP デバイスをリセットする必要があります。 |
Cisco Unified Communications Manager をインストールすると、メディアおよびシグナリングの暗号化機能が自動的にインストールされます。
Cisco Unified Communications Manager によって、Cisco Unified Communications Manager 仮想ディレクトリ用のセキュア ソケット レイヤ(SSL)が自動的にインストールされます。
Cisco Certificate Authority Proxy Function(CAPF)では、[Cisco Unified Communications Manager Administration] の一部として自動的にインストールされます。
転送セキュリティはデータのコーディング、パッキング、および送信を扱います。Cisco Unified Communications Manager は次のセキュアなトランスポート プロトコルを提供しています。
Transport Layer Security(TLS)はセキュア ポートと証明書交換を使用して、2 つのシステム間またはデバイス間でセキュアで信頼できるデータ転送を実現します。TLS は音声ドメインへのアクセスを防ぐために、Cisco Unified Communications Manager 制御システム、デバイス、およびプロセス間の接続を保護および制御します。Cisco Unified Communications Manager は TLS を使用して SCCP を実行する電話へのセキュアな SCCP コール、および SIP を実行する電話またはトランクへの SIP コールを保護します。
IP Security(IPSec)は、Cisco Unified Communications Manager とゲートウェイ間のセキュアで信頼できるデータ転送を実現します。IPSec は、Cisco IOS MGCP および H.323 ゲートウェイにシグナリング認証および暗号化を実装します。
セキュア RTP(SRTP)サポートするデバイスにおいて、TLS および IPSec 転送サービスに次のセキュリティ レベルの SRTP を追加できます。SRTP はメディア ストリーム(音声パケット)を認証および暗号化し、Cisco Unified IP Phone の TDM またはアナログ音声ゲートウェイ ポートから発信または終了した音声会話が、音声ドメインへのアクセスを得ている可能性のある盗聴者から保護します。SRTP は、リプレイ アタックに対する保護を追加します。
Cisco Unified Communications Manager 9.0 はデュアル モード スマートフォンの TLS/SRTP サポートを提供しています。TLS は携帯電話については IP Phone と同じセキュアで信頼できるデータ転送モードを設定し、SRTP は音声会話を暗号化します。
証明書は、クライアントとサーバのアイデンティティを保護します。ルート証明書がインストールされた後、証明書はルート信頼ストアに追加され、デバイスとアプリケーション ユーザとの間を含め、ユーザとホストの間の接続を保護します。
管理者はサーバ証明書のフィンガープリントの参照、自己署名証明書の再生性、および信頼証明書の削除を Cisco Unified Communications Operating System GUI で実行できます。
管理者は、自己署名証明書の再生成と参照を CLI(コマンド ライン インターフェイス)でも実行できます。
CallManager 信頼ストアの更新と証明書の管理の詳細については、この Cisco Unified Communications Manager リリースに対応した『Administration Guide for Cisco Unified Communications Manager』を参照してください。
(注) | Cisco Unified Communications Manager でサポートされている証明書の形式は PEM(.pem)および DER(.der)だけです。 |
製造元でインストールされる証明書(MIC):Cisco Manufacturing はこの証明書をサポートされている電話に自動的にインストールします。製造元でインストールされる証明書は LSC インストールの Cisco Certificate Authority Proxy Function(CAPF)を認証します。製造元でインストールされる証明書を上書きしたり、削除することはできません。
ローカルで有効な証明書(LSC):このタイプの証明書は Cisco Certificate Authority Proxy Function(CAPF)に関連する必要な作業の実行後に、電話にインストールされます。デバイス セキュリティ モードを認証または暗号化に設定した後で、LSC は Cisco Unified Communications Manager と電話の間の接続を保護します。
CAPF 信頼ストアに残された MIC ルート証明書は、証明書のアップグレードに使用されます。CallManager 信頼ストアの更新および証明書の管理についての詳細は、このリリースに対応した『Administration Guide for Cisco Unified Communications Manager』を参照してください。
Cisco Unified Communications Manager サーバでは次の自己署名(所有)証明書タイプが使用されます。
HTTPS 証明書(Tomcat):自己署名ルート証明書は、HTTPS サーバの Cisco Unified Communications Manager インストール時に生成されます。Cisco Unity Connection は、SMTP および IMAP サービスにこの証明書を使用します。
CallManager 証明書:自己署名ルート証明書は Cisco Unified Communications Manager サーバに Cisco Unified Communications Manager をインストールするときに、自動的にインストールされます。
CAPF 証明書:Cisco CTL クライアント設定を完了すると、Cisco Unified Communications Manager のインストール時に生成されるこのルート証明書が、ご使用のサーバまたはクラスタ内のすべてのサーバにコピーされます。
IPSec 証明書(ipsec_cert):自己署名ルート証明書は、Cisco Unified Communications Manager のインストール時に、MGCP および H.323 ゲートウェイとの IPSec 接続用に生成されます。
SRST 対応ゲートウェイの証明書:[Cisco Unified Communications Manager Administration] でのセキュアな SRST リファレンスの設定時に、Cisco Unified Communications Manager は SRST 対応ゲートウェイの証明書をゲートウェイから取得し Cisco Unified Communications Manager データベースに保存します。デバイスをリセットすると、証明書は電話の設定ファイルに追加されます。証明書はデータベースに格納されているため、証明書の管理ツールでこの証明書を管理することはできません。
TVS 証明書:信頼検証サービス(TVS)をサポートする自己署名証明書です。
Phone-SAST-trust 証明書:このカテゴリでは、システムが Cisco Unified IP Phone の VPN 証明書をインポートできます。これらの証明書は Midlet 信頼ストアに保存されます。
電話証明書信頼ストア(Phone-trust):Cisco Unified Communications Manager はこの証明書タイプを使用して電話での HTTPS アクセスをサポートします。Cisco Unified Communications Operating System GUI を使用して証明書を Phone-trust ストアにアップロードできます。Cisco Unified IP Phone からの安全な Web アクセス(HTTPS)をサポートするため、Phone-CTL-trust にある証明書は CTL ファイルのメカニズムによって電話にダウンロードされます。Phone-trust 証明書はサーバに残り、電話は TVS を介してこの証明書を要求できます。
Cisco Unified Communications Manager は次のタイプの証明書を CallManager 信頼ストアにインポートします。
Cisco Unity サーバまたは Cisco Unity Connection 証明書:Cisco Unity および Cisco Unity Connection はこの自己署名ルート証明書を使用して Cisco Unity SCCP および Cisco Unity Connection SCCP のデバイス証明書に署名します。Cisco Unity では、Cisco Unity Telephony Integration Manager(UTIM)がこの証明書を管理します。Cisco Unity Connection では、Cisco Unity Connection Administration がこの証明書を管理します。
Cisco Unity および Cisco Unity Connection SCCP デバイス証明書:Cisco Unity および Cisco Unity Connection SCCP デバイスはこの署名付き証明書を使用して Cisco Unified Communications Manager との TLS 接続を確立します。
証明書の名前はボイス メール サーバ名に基づく証明書のサブジェクト名のハッシュを表しています。すべてのデバイス(またはポート)が、ルート証明書をルートとする証明書を発行します。
SIP プロキシ サーバの証明書:CallManager 信頼ストアに SIP ユーザ エージェントの証明書が含まれ、SIP ユーザ エージェントの信頼ストアに Cisco Unified Communications Manager 証明書が含まれる場合、SIP トランク経由で接続する SIP ユーザ エージェントは Cisco Unified Communications Manager に対して認証されます。
Cisco Unified Communications Manager は PKCS#10 証明書署名要求(CSR)のメカニズムを利用してサード パーティ認証局(CA)との統合をサポートします。これは Cisco Unified Communications Operating System 証明書マネージャ GUI でアクセス可能です。現在サードパーティ CA を使用しているお客様は、Cisco CallManager、CAPF、IPSec、および Tomcat 証明書を発行するために CSR のメカニズムを使用する必要があります。
システムを混合モードで実行すると、キー サイズが 4096 以上の CA 証明書を受け入れないエンドポイントもあります。CA 証明書を混合モードで使用するには、次のいずれかのオプションを選択してください。
(注) | このリリースの Cisco Unified Communications Manager は SCEP インターフェイスをサポートしません。 |
サードパーティの CA 署名付き証明書をプラットフォームにアップロードした後、CTL クライアントを実行して CTL ファイルを更新する必要があります。CTL クライアントの実行後、更新のために適切なサービスを再起動します。たとえば、Cisco Unified Communications Manager 証明書を更新するときは Cisco CallManager および Cisco TFTP サービスを再起動し、CAPF 証明書を更新するときは CAPF を再起動します。
(注) | Cisco CallManager 証明書または CAPF 証明書をアップロードした後に、ITL ファイルを更新するために自動的に電話がリセットされる場合があります。 |
プラットフォームでの証明書署名要求(CSR)の生成については、この Cisco Unified Communications Manager リリースに対応した『Administration Guide for Cisco Unified Communications Manager』を参照してください。
TFTP によるファイル操作(整合性)
電話と Cisco Unified Communications Manager との間で行われる呼処理シグナリングの変更(認証)
で定義している中間者攻撃(認証) 表 1
電話およびサーバの ID 盗難(認証)
リプレイ アタック(ダイジェスト認証)
許可では、認証されたユーザ、サービス、またはアプリケーションが実行できるアクションを指定します。1 つのセッションで複数の認証方式と許可方式を実装できます。
このプロセスは、電話へのロード前にバイナリ イメージ(ファームウェア ロード)が改ざんされることを防止します。イメージが改ざんされると、電話の認証プロセスが失敗し、イメージは拒否されます。イメージ認証は、Cisco Unified Communications Manager インストール時に自動的にインストールされた署名付きバイナリ ファイルを使用して実行されます。同様に、Web からダウンロードしたファームウェア アップデートでも、署名付きバイナリ イメージが提供されます。
このプロセスは、通信デバイスのアイデンティティを検証し、エンティティが正当なものであることを確認します。
デバイス認証は、Cisco Unified Communications Manager サーバと、サポート対象の Cisco Unified IP Phone、SIP トランク、または JTAPI/TAPI/CTI アプリケーション(サポートされている場合)との間で発生します。これらのエンティティ間での認証済み接続は、それぞれのエンティティが相手側エンティティの証明書を受け入れた場合にのみ発生します。相互認証が、相互証明書交換のこのプロセスを表しています。
デバイス認証は、Cisco CTL ファイルの作成(Cisco Unified Communications Manager サーバ ノードとアプリケーションの認証時)、および Certificate Authority Proxy Function(電話と JTAPI/TAPI/CTI アプリケーションの認証時)に依存します。
ヒント | SIP トランク経由で接続される SIP ユーザは、CallManager 信頼ストアに SIP ユーザ エージェント証明書が含まれ、SIP ユーザ エージェントの信頼ストアに Cisco Unified Communications Manager 証明書が含まれる場合に、Cisco Unified Communications Manager で認証されます。CallManager 信頼ストアの更新の詳細については、この Cisco Unified Communications Manager リリースに対応した『Administration Guide for Cisco Unified Communications Manager』を参照してください。 |
このプロセスは、設定ファイル、リング リスト ファイル、ロケール ファイル、および CTL ファイルなど、電話によってダウンロードされる、デジタル署名されたファイルを検証します。ファイルが作成後に改ざんされていないことを確認するため、電話によって署名が検証されます。サポートされるデバイスの一覧については、「電話モデルのサポート」を参照してください。
クラスタを混合モードに設定すると、リング リスト ファイル、ローカライズ ファイル、default.cnf.xml、リング リスト WAV ファイルなどのスタティック ファイルは TFTP サーバによって、.sgn フォーマットで署名されます。TFTP サーバは、ファイルのデータに発生した変更を検証するたびに、<device name>.cnf.xml フォーマットでファイルに署名します。
キャッシュが無効の場合、TFTP サーバは署名付きファイルをディスクに書き込みます。保存されたファイルが変更されたことが TFTP サーバによって確認された場合、TFTP サーバによってファイルが再度署名されます。ディスクの新しいファイルによって保存済みファイルが上書きされ、保存済みファイルは削除されます。電話が新しいファイルをダウンロードできるようになる前に、関連するデバイスを管理者が [Cisco Unified Communications Manager Administration] で再起動する必要があります。
電話では、ファイルが TFTP サーバから受信されると、署名の検証によってファイルの整合性が確認されます。電話で認証済み接続を確立するには、次の条件への適合を確認します。
シグナリング整合性とも呼ばれるこのプロセスは、TLS プロトコルを使用して、伝送中にシグナリング パケットが改ざんされていないことを検証します。
SIP トランクと電話のこのプロセスによって、Cisco Unified Communications Manager が Cisco Unified Communications Manager に接続されるデバイスのアイデンティティに対するチャレンジを実行できます。チャレンジが実施されると、デバイスはユーザ名とパスワードに類似したダイジェスト クレデンシャルを検証用に Cisco Unified Communications Manager に提出します。提出されたクレデンシャルが、データベース内でそのデバイスに対して設定されているクレデンシャルと一致した場合、ダイジェスト認証は成功となり、Cisco Unified Communications Manager によって SIP 要求が処理されます。
(注) | クラスタ セキュリティ モードはダイジェスト認証に影響しないことに注意してください。 |
(注) | あるデバイスのダイジェスト認証を有効にすると、登録する一意のダイジェスト ユーザ ID とパスワードが要求されます。 |
電話ユーザやアプリケーション ユーザには、Cisco Unified Communications Manager データベースで SIP ダイジェスト クレデンシャルを設定します。
アプリケーションには、[Application User Configuration] ウィンドウでダイジェスト クレデンシャルを指定します。
SIP を実行している電話には、[End User] ウィンドウでダイジェスト認証用のクレデンシャルを指定します。ユーザを設定した後にクレデンシャルを電話と関連付けるには、[Phone Configuration] ウィンドウで [Digest User](エンドユーザ)を選択します。電話をリセットした後、クレデンシャルは TFTP サーバからその電話に提供される電話設定ファイル内に存在します。TFTP ダウンロードでダイジェスト クレデンシャルがクリアテキストで送信されないようにするには、暗号化された電話設定ファイルの設定に関連するトピックを参照してください。
SIP トランクで受信したチャレンジの場合、レルム ユーザ名(デバイスまたはアプリケーション ユーザ)およびダイジェスト クレデンシャルを指定する SIP レルムを設定します。
外部電話や SIP 実行中のトランクに対するダイジェスト認証を有効化してダイジェスト クレデンシャルを設定する場合、Cisco Unified Communications Manager によってユーザ名、パスワード、レルムのハッシュを含むクレデンシャルのチェックサムが計算されます。システムでは、MD5 ハッシュの計算に、乱数であるナンス値が使用されます。値は Cisco Unified Communications Manager によって暗号化され、ユーザ名とチェックサムがデータベースに保存されます。
チャレンジを開始するために、Cisco Unified Communications Manager では SIP 401(Unauthorized)メッセージが使用されます。このメッセージのヘッダーにはナンスとレルムが含まれています。ナンス有効期間は、電話またはトランクの SIP デバイス セキュリティ プロファイルで設定します。ナンス有効期間には、ナンス値が有効な時間を分単位で指定します。この時間が経過すると、その外部デバイスは Cisco Unified Communications Manager によって拒否され、新しい番号が生成されます。
ヒント | ダイジェスト認証では、整合性や機密性は提供されません。デバイスの整合性と機密性を確保するには、TLS をサポートするデバイスであれば、デバイスに TLS プロトコルを設定します。暗号化をサポートするデバイスであれば、デバイス セキュリティ モードを暗号化に設定します。暗号化された電話設定ファイルをサポートするデバイスであれば、ファイルに暗号化を設定します。 |
電話のダイジェスト認証を有効化すると、キープアライブ メッセージを除き、SIP を実行中の電話に対するすべての要求に対して Cisco Unified Communications Manager はチャレンジを実施します。Cisco Unified Communications Manager は回線側電話からのチャレンジに応答しません。
応答を受信すると、Cisco Unified Communications Manager はデータベースに保存されたユーザ名のチェックサムを、応答ヘッダー内のクレデンシャルに対して検証します。
SIP を実行中の電話は Cisco Unified Communications Manager レルムに存在します。このレルムはインストール時に [Cisco Unified Communications Manager Administration] で定義されます。電話へのチャレンジについて SIP レルムを設定するには、サービス パラメータ [SIP Station Realm] を使用します。各ダイジェスト ユーザには、レルムごとに 1 セットのダイジェスト クレデンシャルを設定できます。
ヒント | エンドユーザのダイジェスト認証を有効にするが、ダイジェスト クレデンシャルを設定しない場合、電話の登録が失敗します。クラスタ モードが非セキュアであり、かつダイジェスト認証が有効化されダイジェスト クレデンシャルが設定されている場合、ダイジェスト クレデンシャルが電話に送信され、Cisco Unified Communications Manager は依然としてチャレンジを開始します。 |
トランクのダイジェスト認証を有効化すると、Cisco Unified Communications Manager は、SIP トランクを介して接続された SIP デバイスとアプリケーションからの SIP トランク要求に対してチャレンジを実施します。システムでは、チャレンジ メッセージ内で [Cluster ID] エンタープライズ パラメータが使用されます。SIP トランクを介して接続する SIP ユーザ エージェントは、[Cisco Unified Communications Manager Administration] でデバイスまたはアプリケーションに設定された一意のダイジェスト クレデンシャルを使用して応答します。
Cisco Unified Communications Manager が SIP トランク要求を開始した場合、SIP トランクを介して接続された SIP ユーザ エージェントは Cisco Unified Communications Manager のアイデンティティにチャレンジを行えます。これらの着信チャレンジに対しては、要求されたクレデンシャルをユーザに提供するように SIP レルムを設定します。Cisco Unified Communications Manager が SIP 401(Unauthorized)または SIP 407(Proxy Authentication Required)メッセージを受信した場合、Cisco Unified Communications Manager はトランクを介して接続するレルムの暗号化パスワードおよびチャレンジ メッセージに指定されているユーザ名の暗号化されたパスワードをルックアップします。Cisco Unified Communications Manager によってパスワードが復号され、ダイジェストが計算され、応答メッセージ内に表現されます。
ヒント | レルムは、xyz.com のように SIP トランクを介して接続される領域を表し、要求の送信元を判別するのに役立ちます。 |
SIP レルムを設定するには、SIP トランクのダイジェスト認証の関連項目を参照してください。Cisco Unified Communications Manager にチャレンジを行うことができる SIP トランク ユーザ エージェントごとに、Cisco Unified Communications Manager で SIP レルム、ユーザ名、パスワードを設定する必要があります。各ユーザ エージェントには、レルムごとに 1 セットのダイジェスト クレデンシャルを設定できます。
Cisco Unified Communications Manager では、許可プロセスを使用して、SIP が実行されている電話、SIP トランク、および SIP トランクの SIP アプリケーション要求からのメッセージについて、特定のカテゴリを制限します。
SIP INVITE メッセージと in-dialog メッセージ、および SIP が実行されている電話の場合、Cisco Unified Communications Manager では、コーリング サーチ スペースおよびパーティションによって許可を与えます。
電話機からの SIP SUBSCRIBE 要求の場合、Cisco Unified Communications Manager では、プレゼンス グループへのユーザ アクセスに許可を与えます。
SIP トランクの場合、Cisco Unified Communications Manager では、プレゼンス サブスクリプションおよび特定の非 INVITE SIP メッセージ(Out-of-Dialog REFER、Unsolicited NOTIFY、Replaces ヘッダー付き SIP 要求など)の許可を与えます。[SIP Trunk Security Profile Configuration] ウィンドウで、許可する SIP 要求をオンにする際に、許可を指定します。
SIP トランクのアプリケーションの許可を有効にするには、[SIP Trunk Security Profile] ウィンドウで [Enable Application Level Authorization] チェックボックスと [Enable Digest Authentication] チェックボックスをオンにしてから、[Application User Configuration] ウィンドウで許可する SIP 要求のチェックボックスをオンにします。
SIP トランクの許可とアプリケーション レベルの許可(認証)の両方を有効化した場合、最初に SIP トランクの許可が実行され、次に SIP アプリケーション ユーザの許可が実行されます。トランクの場合、Cisco Unified Communications Manager では、トランクのアクセス コントロール リスト(ACL)情報をダウンロードしてキャッシュします。ACL 情報は、着信 SIP 要求に適用されます。ACL で SIP 要求が許可されていない場合、コールは 403 Forbidden メッセージで失敗します。
ACL で SIP 要求が許可されている場合、Cisco Unified Communications Manager では、[SIP Trunk Security Profile] でダイジェスト認証が有効になっているかどうかを確認します。ダイジェスト認証が無効でアプリケーションレベルの認証も無効の場合、Cisco Unified Communications Manager では要求を処理します。ダイジェスト認証が有効な場合、Cisco Unified Communications Manager では、着信要求に認証ヘッダーが存在することを確認してから、ダイジェスト認証を使用して発信元アプリケーションを識別します。ヘッダーが存在しない場合、Cisco Unified Communications Manager では 401 メッセージでデバイスに対するチャレンジを行います。
アプリケーションレベルの ACL を適用する前に、Cisco Unified Communications Manager では、ダイジェスト認証で SIP トランク ユーザ エージェントを認証します。このため、アプリケーションレベルの許可(認証)を実行するには、事前に [SIP Trunk Security Profile] でダイジェスト認証を有効にする必要があります。
ヒント | 暗号化機能は、Cisco Unified Communications Manager をサーバにインストールするときに自動的にインストールされます。 |
ここでは、Cisco Unified Communications Manager のサポートする暗号化のタイプについて説明します。
シグナリング暗号化により、デバイスと Cisco Unified Communications Manager サーバ間で送信されるすべての SIP と SCCP シグナリング メッセージが暗号化されるようにできます。
シグナリング暗号化によって、相手に関連する情報、相手が入力した DTMF 番号、コール ステータス、メディア暗号キーなどの情報が、意図しないアクセスや不正なアクセスから保護されます。
クラスタを混合モードに設定している場合、Cisco Unified Communications Manager によるネットワーク アドレス変換(NAT)はサポートされません。NAT はシグナリング暗号化では動作しません。
ファイアウォールで UDP ALG を有効にし、メディア ストリームによるファイアウォール トラバーサルを許可できます。UDP ALG を有効にすると、ファイアウォールの信頼できる側のメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。
ヒント | ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。 |
シグナリング暗号化では、NAT トラバーサルがサポートされません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。
Secure Real-Time Protocol(SRTP)を使用するメディア暗号化により、サポートされるデバイス間で対象の受信者だけがメディア ストリームを解釈できるようになります。メディア暗号化には、デバイスのメディアのマスター キー ペアの作成、デバイスへのキー配布、キーが転送される間のキー配布の保護などが含まれます。Cisco Unified Communications Manager では、SIP トランクに加えて、主に IOS ゲートウェイと、ゲートキーパー制御および非ゲートキーパー制御トランクの Cisco Unified Communications Manager H.323 トランク向けに SRTP がサポートされています。
デバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。1 つ以上のデバイスが SRTP をサポートしていない場合は、システムは RTP 接続を使用します。SRTP から RTP へのフォールバックは、セキュアなデバイスからセキュアではないデバイスへの転送、トランスコーディング、保留音などの場合に発生する可能性があります。
セキュリティ対応デバイスのほとんどにおいて、認証とシグナリング暗号化は、メディアを暗号化するための最小要件です。つまり、デバイスがシグナリング暗号化と認証をサポートしていない場合、メディア暗号化は行われません。Cisco IOS ゲートウェイおよびトランクでは、認証なしのメディア暗号化がサポートされています。SRTP 機能(メディア暗号化)を有効にする場合、Cisco IOS ゲートウェイおよびトランクに IPSec を設定する必要があります。
次の例は、SCCP および MGCP コールのメディア暗号化を示します。
デバイス A とデバイス B は、メディアの暗号化と認証をサポートしており、Cisco Unified Communications Manager に登録されています。
デバイス A がデバイス B に対してコールを発信すると、Cisco Unified Communications Manager はキー マネージャ機能に対しメディア セッション マスター値のセットを 2 つ要求します。
両方のデバイスが 2 つのセットを受け取ります。 1 つはデバイス A からデバイス B へのメディア ストリーム用のセット、もう 1 つはデバイス B からデバイス A へのメディア ストリーム用のセットです。
デバイス A はマスター値の最初のセットを使用して、デバイス A からデバイス B へのメディア ストリームの暗号化と認証のためのキーを導出します。
デバイス A はマスター値の 2 番目のセットを使用して、デバイス B からデバイス A へのメディア ストリームの認証と復号のためのキーを導出します。
デバイス B はこれとは反対の操作手順でこれらのセットを使用します。
デバイスは、キーを受信した後に必要なキー導出を実行し、SRTP パケット処理が行われます。
(注) | SIP を実行している電話と H.323 トランクまたはゲートウェイは、独自の暗号パラメータを生成し、Cisco Unified Communications Manager に送信します。 |
Cisco Unified Communications Manager は、ダイジェスト クレデンシャルや管理者パスワードといった機密データを、TFTP サーバからの設定ファイル ダウンロードの形で電話にプッシュします。
Cisco Unified Communications Manager において、データベース内では可逆暗号化を使用してこれらのクレデンシャルが保護されています。ダウンロード プロセス中のデータを保護するため、このオプションをサポートするすべての Cisco Unified IP Phone において、暗号化された設定ファイルを設定することを推奨します。このオプションが有効にされると、デバイス設定ファイルだけがダウンロード用に暗号化されます。
(注) | 状況によっては、機密データの電話へのダウンロードにクリア テキストを選択することもできます。たとえば、電話のトラブルシュートや自動登録などの場合が考えられます。 |
Cisco Unified Communications Manager は、暗号化キーを符号化してデータベースに保存します。TFTP サーバでは、対称暗号化キーを使用して設定ファイルの暗号化と復号が行われます。
電話に PKI 機能がある場合、Cisco Unified Communications Manager では電話の公開キーを使用して電話の設定ファイルを暗号化できます。
電話に PKI 機能がない場合、Cisco Unified Communications Manager と電話に一意の対称キーを設定する必要があります。
暗号化設定ファイルの設定は、[Cisco Unified Communications Manager Administration] の [Phone Security Profile] ウィンドウで有効化し、その後 [Phone Configuration] ウィンドウで電話に適用します。
すべての Windows または Linux プラットフォームで脆弱性スキャンを実行するには、Network Mapper(NMAP)スキャン プログラムを実行できます。NMAP はネットワーク調査やセキュリティ監査を行う、無料のオープン ソースのユーティリティです。
(注) | NMAP DP スキャンは、完了までに最大 18 時間かかります。 |
nmap -n -vv -sU -p <port_range> <ccm_ip_address>
-n:DNS 解決なし。検出されたアクティブ IP アドレスに対して逆引き DNS 解決を行わないよう NMAP に指示します。NMAP 組み込みパラレル スタブ リゾルバを使用しても DNS の処理は遅くなる可能性があるため、このオプションを使用するとスキャン時間を削減できます。
-v:冗長性レベルを上げます。これにより、NMAP が出力する進行中のスキャンに関する情報が増えます。開いているポートは検出次第表示され、NMAP がスキャンに数分以上かかると推定した場合には完了までにかかる時間が表示されます。冗長度をさらに上げるには、このオプションを 2 回以上使用します。
-p:スキャンするポートを指定し、デフォルトをオーバーライドします。個々のポート番号と、ハイフンを使用したポート番号の範囲を使用できることにご注意ください(例:1-1023)。
ccm_ip_address:Cisco Unified Communications Manager の IP アドレス。
次の手順は、認証および暗号化を実装するために必要なすべての手順を示します。指定されたセキュリティ機能のために行う必要がある作業を含む章の参考資料については、関連項目を参照してください。
関連する Cisco IP Telephony アプリケーションと製品の詳細については、次のドキュメントを参照してください。
『System Configuration Guide for Cisco Unified Communications Manager』
『Administration Guide for Cisco Unified Communications Manager』
『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』
『Cisco Unified Communications Manager Integration Guide for Cisco Unity』
『Cisco Unified Communications Manager Integration Guide for Cisco Unity Connection』
『Cisco Unified Survivable Remote Site Telephony (SRST) administration documentation that supports the SRST-enabled gateway』
『Administration Guide for Cisco Unified Communications Manager』
『Cisco Unified Communications Manager Bulk Administration Guide』
『Troubleshooting Guide for Cisco Unified Communications Manager』
ご使用の電話モデルに対応したファームウェア リリース ノート