電話のセキュリティの概要
インストール時は、Unified Communications Manager は非セキュアモードで起動します。Unified Communications Manager のインストール後、電話機を起動すると、デバイスはすべて非セキュアとして Unified Communications Manager に登録されます。
Unified Communications Manager 4.0(1) 以降のリリースからアップグレードした後は、アップグレード前に有効にしたデバイスセキュリティモードで電話機が起動します。デバイスはすべて、選択されたセキュリティモードを使用して登録されます。
Unified Communications Manager をインストールすると、Unified Communications Manager および TFTP サーバに自己署名証明書が作成されます。自己署名証明書ではなく、Unified Communications Manager のサードパーティの CA 署名付き証明書を使用することもできます。認証を設定した後、Unified Communications Manager は、証明書を使用して、サポートされている Cisco Unified IP Phone で認証します。Unified Communications Manager および TFTP サーバに証明書が存在した後、Unified Communications Manager は各 Unified Communications Manager アップグレード中に証明書を再発行しません。CLI コマンド ctl update CTLFile を使用して、ctl ファイルを新しい証明書エントリで更新する必要があります。
ヒント |
サポートされていない、または非セキュアなシナリオについては、連携動作と制限事項に関連するトピックを参照してください。 |
Unified Communications Manager は認証および暗号化のステータスをデバイスレベルで維持します。コールに関係するすべてのデバイスがセキュアとして登録されている場合、コールステータスはセキュアとして登録されます。一方のデバイスが非セキュアとして登録されている場合、発信者または受信者の電話機がセキュアとして登録されていても、コールは非セキュアとして登録されます。
Unified Communications Manager では、ユーザが Cisco Extension Mobility を使用している場合、デバイスの認証と暗号化のステータスは保持されます。また、Unified Communications Manager では、共有回線が設定されている場合、デバイスの認証と暗号化のステータスも保持されます。
ヒント |
暗号化された Cisco IP 電話 に対して共有回線を設定するときには、回線を共有するすべてのデバイスで暗号化を設定します。つまり、暗号化をサポートするセキュリティ プロファイルを適用することで、すべてのデバイスのデバイス セキュリティ モードを暗号化に設定します。 |
電話機のセキュリティ強化の概要
このセクションでは、Gratuitous ARP 無効化、Web アクセス無効化、PC 音声 VLAN アクセス無効化、アクセス無効化設定、PC ポート無効化など、電話機のセキュリティ強化動作の概要を説明します。
Cisco IP 電話への接続のセキュリティを強化するために、次のオプション設定を使用します。これらの設定は、[電話機の設定(Phone Configuration)] ウィンドウの [プロダクト固有の設定(Product Specific Configuration Layout)] に表示 されます。
これらを企業全体の一連の電話機またはすべての電話機に適用するには、[共通電話プロファイルの設定(Common Phone Profile Configuration)] ウィンドウおよび [エンタープライズ電話の設定(Enterprise Phone Configuration)] にもこれらの設定が表示されます。
電話機のセキュリティ強化の動作 |
説明 |
|||
---|---|---|---|---|
Gratuitous ARP の無効化 |
デフォルトでは、 Cisco Unified IP 電話 s は ARP パケットを受け入れます。デバイスが使用する Gratuitous ARP パケットは、ネットワークにデバイスの存在を公表するために使用されます。ただし、攻撃者はこれらのパケットを使用して、有効なネットワークデバイスをスプーフィングすることができます。たとえば、攻撃者は、デフォルトルータであると主張するパケットを送信する可能性があります。これを選択した場合は、[電話の設定 (Phone Configuration )] ウィンドウで、無償 ARP を無効にすることができます。
|
|||
Web アクセスの無効化 |
電話の Web サーバ機能を無効にすると、統計および設定情報を提供する電話内部の Web ページへのアクセスがブロックされます。Cisco Quality Report Tool などの機能は、電話の Web ページにアクセスしないと正しく動作しません。また、Web サーバを無効にすると、CiscoWorks など、Web アクセスに依存するサービスアビリティ アプリケーションにも影響します。 Web サービスが無効になっているかどうかを確認するために、電話機は設定ファイルのパラメータを解析して、サービスが無効になっているか、有効になっているかを示します。Web サービスが無効になっている場合、電話機はモニタリング目的で HTTP ポート80を開かず、電話機の内部 web ページへのアクセスをブロックします。 |
|||
PC 音声 VLAN へのアクセスの無効化 |
デフォルトでは、Cisco IP 電話 はスイッチ ポート(上流に位置するスイッチに面したポート)で受信したすべてのパケットを PC ポートに転送します。[Phone Configuration] ウィンドウの [PC Voice VLAN Access] 設定を無効にすると、PC ポートから受信した音声 VLAN 機能を使用するパケットはドロップされます。さまざまな Cisco IP 電話 がそれぞれ異なる方法でこの機能を使用しています。
|
|||
アクセスの無効化の設定 |
デフォルトでは、Cisco IP 電話 の [Applications] ボタンを押すと、電話の設定情報を含むさまざまな情報にアクセスできます。[Phone Configuration] ウィンドウで [Setting Access] パラメータ設定を無効にすると、通常は電話の [Applications] ボタンを押すと表示されるすべてのオプション([Contrast]、[Ring Type]、[Network Configuration]、[Model Information]、[Status] などの設定)へのアクセスが拒否されます。 Unified Communications Manager Administration 内の設定を無効にすると、以前の設定は電話に表示されません。この設定を無効にすると、電話ユーザは [音量 (Volume)] ボタンに関連付けられている設定を保存できません。たとえば、ユーザはボリュームを保存できません。 この設定を無効にすると、現在のコントラスト、呼出音タイプ、ネットワーク設定、モデル情報、ステータス、および電話機に存在するボリューム設定が自動的に保存されます。これらの電話機設定を変更するには、Unified Communications Manager Administration で [設定へのアクセス(Setting Access)] 設定を有効にします。 |
|||
PC ポートのディセーブル化 |
デフォルトでは、Unified Communications Manager は PC ポートを備えているすべての Cisco IP 電話 で PC ポートを有効にします。これを選択した場合は、[電話の設定 (Phone Configuration)] ウィンドウで [PC ポート (PC Port)] 設定を無効にすることができます。PC ポートを無効にすると、ロビーまたは会議室の電話機で役立ちます。
|
電話のセキュリティ強化の設定
電話のセキュリティ強化は、接続のセキュリティを強化するために電話機に適用できるオプションの設定で構成されています。次の 3 つの設定ウィンドウのいずれかを使用して設定を適用できます。
-
電話の設定 - [電話の設定(Phone Configuration)] ウィンドウを使用して、個々の電話に設定を適用します。
-
共通の電話プロファイル - [共通の電話プロファイル(Common Phone Profile)] ウィンドウを使用して、このプロファイルを使用するすべての電話機に設定を適用します。
-
企業電話 - [企業電話(Enterprise Phone)] ウィンドウを使用して、企業全体のすべての電話機に設定を適用します。
(注) |
これらの各ウィンドウに競合する設定が表示される場合、電話が正しい設定を判断するために使用する優先順位は次のとおりです。1) 電話の設定、2) 共通の電話プロファイル、3) 企業電話。 |
電話のセキュリティ強化を設定するには、次の手順を実行します。
手順
ステップ 1 |
Cisco Unified Communications Manager Administrationから、 を選択します。 |
ステップ 2 |
電話機の検索条件を指定して [検索(Find)] をクリックし、すべての電話機を表示します。 |
ステップ 3 |
デバイス名をクリックします。 |
ステップ 4 |
次の製品固有のパラメータを見つけます。 |
ステップ 5 |
無効にする各パラメータのドロップダウンリストから、[無効 (Disabled )] を選択します。スピーカフォンまたはスピーカフォンとヘッドセットを無効にするには、対応するチェックボックスをオンにします。 |
ステップ 6 |
[保存(Save)] をクリックします。 |
ステップ 7 |
[リセット(Reset)] をクリックします。 |
信頼できるデバイス
Unified Communications Manager では Cisco IP 電話 の電話モデルによってセキュリティ アイコンを有効にできます。セキュリティ アイコンは、コールがセキュアであるかどうか、接続されたデバイスが信頼できるかどうかを示します。
信頼できるデバイスとは、シスコ製デバイスか、シスコの信頼される接続のセキュリティ基準に合格したサードパーティ製デバイスを表します。これには、シグナリングおよびメディア暗号化、プラットフォーム ハードニング、保証などがあります。デバイスが信頼できる場合、セキュリティ アイコンが表示され、サポートされるデバイスでセキュア トーンが再生されます。さらに、デバイスはセキュア コールに関係する他の機能やインジケータも備えていることがあります。
デバイスをシステムに追加すると、Unified Communications Manager はデバイスが信頼できるかどうかを判断します。セキュリティ アイコンは情報目的でだけ表示され、管理者は直接設定できません。
Unified Communications Manager はアイコンおよびメッセージを Unified Communications Manager Administration に表示することでゲートウェイが信頼できるかを示します。
このセクションでは、Cisco IP 電話 および Unified Communications Manager Administration の両方での信頼できるデバイスのセキュリティ アイコンの動作について説明します。
Cisco Unified Communications Manager の管理
[Unified Communications Manager Administration] の次のウィンドウには、デバイスが信頼されているかどうかが表示されます。
[Gateway Configuration]
ゲートウェイ タイプごとに、[Gateway Configuration] ウィンドウ( または [Device Is Not Trusted] と対応するアイコンが表示されます。
)には、[Device Is Trusted]システムはデバイス タイプに基づいて、デバイスが信頼できるかどうかを判断します。ユーザはデバイスが信頼できるかどうかを設定できません。
[Phone Configuration]
電話デバイス タイプごとに、[Phone Configuration] ウィンドウ( または [Device Is Not Trusted] と対応するアイコンが表示されます。
)に [Device Is Trusted]システムはデバイス タイプに基づいて、デバイスが信頼できるかどうかを判断します。ユーザはデバイスが信頼できるかどうかを設定できません。
デバイスが信頼決定基準と呼ばれる
ユーザがコールするデバイスのタイプは、電話に表示されるセキュリティ アイコンに影響します。システムは次の 3 つの基準に基づいて、コールがセキュアであるかどうかを判定します。
-
コールのすべてのデバイスが信頼できるか。
-
シグナリングはセキュア(認証されていて暗号化されている)か。
-
メディアはセキュアか。
サポート対象の Cisco Unified IP Phone にロック セキュリティ アイコンが表示される前に、これら 3 つの基準がすべて満たされている必要があることに注意してください。信頼できないデバイスを含むコールでは、シグナリングおよびメディアのセキュリティに関係なく、コール全体のステータスはセキュアでないままで、電話機にロック アイコンが表示されません。たとえば、会議で信頼できないデバイスを含めた場合、システムは、そのコール レッグと会議自体をセキュアでないものと見なします。
電話機モデルのサポート
Unified Communications Manager でセキュリティをサポートする電話モデルは、セキュアなシスコの電話とセキュアな推奨ベンダーの電話という 2 つのカテゴリに分類されます。セキュアなシスコの電話機には、製造元でインストールされる証明書 (MIC) が事前にインストールされており、認証局プロキシ機能 (CAPF) を使用してローカルで有効な証明書 (LSC) の自動生成と交換をサポートしています。セキュアなシスコの電話機は、追加の証明書の管理なしで MIC を使用して Cisco ユニファイド CM に登録できます。セキュリティを強化するために、CAPF を使用して電話機に LSC を作成してインストールすることができます。詳細については、電話セキュリティのセットアップと設定に関連するトピックを参照してください。
セキュアな推奨ベンダーの電話機には、MIC が事前にインストールされておらず、LSCs を生成するための CAPF がサポートされていません。セキュアな推奨ベンダーの電話機が Cisco ユニファイド CM に接続するためには、デバイスに証明書を提供するか、デバイスによって生成される必要があります。電話機のサプライヤは、電話機の証明書を取得または生成する方法の詳細を提供する必要があります。証明書を取得したら、OS 管理証明書管理インターフェイスを使用して Cisco ユニファイド CM に証明書をアップロードする必要があります。詳細については、推奨ベンダーの SIP 電話のセキュリティ設定に関連するトピックを参照してください。
お使いの電話でサポートされるセキュリティ機能のリストについては、この Unified Communications Manager リリースに対応した電話管理およびユーザ マニュアル、またはファームウェア ロードに対応したファームウェアのマニュアルを参照してください。
また、シスコのユニファイドレポートを使用して、特定の機能をサポートしている電話機を一覧表示することもできます。Cisco Unified Reporting の詳細については、『Cisco Unified Reporting Administration Guide』を参照してください。
電話機のセキュリティ設定の表示
セキュリティをサポートする電話機の特定のセキュリティ関連の設定を構成して表示することができます。たとえば、電話機にローカルで有効な証明書または製造元でインストールされた証明書がインストールされているかどうかを確認できます。セキュアメニューと アイコンの詳細については、ご使用の電話モデルに対応するCisco IP 電話 の管理ガイド および Cisco IP 電話 ユーザ ガイドを参照してください。
Unified Communications Manager がコールを認証済みまたは暗号化済みと分類すると、コール状態を示すアイコンが電話に表示されます。Unified Communications Manager がどの時点でコールを認証済みまたは暗号化済みとして分類するかも決定します。
電話機のセキュリティの設定
次の手順では、サポートされている電話のセキュリティを設定するタスクについて説明します。
手順
ステップ 1 |
Cisco CTL クライアントが設定されていない場合は、utils ctl CLI コマンドを実行し、Unified Communications Manager のセキュリティモードが混合モードであることを確認します。 |
||
ステップ 2 |
電話機にローカルで有効な証明書 (LSC) または製造元でインストールされた証明書 (MIC) が含まれていない場合は、Certificate Authority Proxy Function (CAPF) を使用して LSC をインストールします。 |
||
ステップ 3 |
電話セキュリティ プロファイルを設定します。 |
||
ステップ 4 |
電話に電話セキュリティ プロファイルを適用します。 |
||
ステップ 5 |
ダイジェストクレデンシャルを設定した後、[電話の設定 (Phone Configuration)] ウィンドウからダイジェストユーザを選択します。 |
||
ステップ 6 |
Cisco Unified IP Phone 7962 または 7942(SIP のみ)で、[エンドユーザ設定(End User Configuration)]ウィンドウで設定したダイジェスト認証のユーザ名とパスワード(ダイジェストログイン情報)を入力します。
|
||
ステップ 7 |
電話機がこの機能をサポートしている場合は、電話機の設定ファイルを暗号化します。 |
||
ステップ 8 |
電話機を強化するには、電話機の設定を無効にします。 |
推奨ベンダーの SIP 電話セキュリティのセットアップ
推奨ベンダーのセキュアな電話とは、サードパーティ ベンダーによって製造されているが、COP ファイルを使用して Cisco Unified データベースにインストールされている電話です。推奨ベンダーの SIP 電話のセキュリティは、Unified Communications Manager が提供しています。セキュリティをサポートするためには、COP ファイル内の推奨ベンダーの SIP 電話のセキュリティ暗号化またはセキュリティ認証を有効にする必要があります。これらの電話タイプは、[新しい電話の追加 (Add a New Phone)] ウィンドウのドロップダウンリストに表示されます。すべての推奨ベンダーの電話はダイジェスト認証をサポートしていますが、すべての推奨ベンダーの電話が TLS セキュリティをサポートするわけではありません。セキュリティ機能は、電話機のモデルに基づいています。電話セキュリティプロファイルに "[Device Security Mode]" フィールドが含まれる場合、電話は TLS をサポートしています。
推奨ベンダーの電話機が TLS セキュリティをサポートしている場合は、デバイスごとの証明書と共有証明書の2つのモードが考えられます。電話機のサプライヤは、電話機に適用されるモード、および電話機の証明書の生成または取得の手順を指定する必要があります。
推奨ベンダーの SIP 電話セキュリティプロファイルのデバイスごとの証明書の設定
デバイスごとの証明書を使用して推奨ベンダーの SIP 電話セキュリティプロファイルを設定するには、次の手順を実行します。
手順
ステップ 1 |
OS 管理証明書管理インターフェイスを使用して、各電話機の証明書をアップロードします。 |
ステップ 2 |
[Cisco Unified Administration] で、 の順に選択します。 |
ステップ 3 |
この電話のデバイスタイプに対して新しい電話セキュリティプロファイルを設定し、[デバイスセキュリティモード(Device Security Mode)] ドロップダウンリストで [暗号化(Encrypted)] または [認証済み(Authenticated)] を選択します。 |
ステップ 4 |
CCMAdmin インターフェイスで新しい SIP 電話を設定するには、 の順に選択します。 |
ステップ 5 |
[Phone Type] を選択します。 |
ステップ 6 |
必須フィールドに入力します。 |
ステップ 7 |
[デバイスのセキュリティプロファイル(Device Security Profile)] ドロップダウンリストで、作成したプロファイルを選択します。 |
推奨ベンダーの SIP 電話セキュリティプロファイルの共有証明書のセットアップ
共有証明書を使用して推奨ベンダーの SIP 電話セキュリティプロファイルを設定するには、次の手順を実行します。
手順
ステップ 1 |
電話機のベンダーの指示を使用して、サブジェクト代替名 (SAN) 文字列を使用して証明書を生成します。SAN のタイプは DNS である必要があります。この手順で指定した SAN をメモしておきます。たとえば、X509v3 extensions の場合は次のようになります。
|
||
ステップ 2 |
OS 管理証明書管理インターフェイスを使用して、共有証明書をアップロードします。 |
||
ステップ 3 |
[Cisco Unified Administration] で、 の順に選択します。 |
||
ステップ 4 |
[名前 (name )] フィールドにサブジェクト代替名 (san) の名前を入力します。これは、優先ベンダーから提供された証明書の名前です。または、san がない場合は、証明書名を入力します。
|
||
ステップ 5 |
[デバイスセキュリティモード(Device Security Mode)] ドロップダウンリストで、[暗号化(Encrypted)] または [認証済み(Authenticated)] を選択します。 |
||
ステップ 6 |
[転送タイプ(Transport type)] ドロップダウンリストで、[TLS] を選択します。 |
||
ステップ 7 |
CCMAdmin インターフェイスで新しい SIP 電話を設定するには、 の順に選択します。 |
||
ステップ 8 |
[Phone Type] を選択します。 |
||
ステップ 9 |
各必須フィールドに入力します |
||
ステップ 10 |
[デバイスのセキュリティプロファイル(Device Security Profile)] ドロップダウンリストで、作成したプロファイルを選択します。 |
クラスタ間での電話の移行
手順
ステップ 1 |
クラスタ 2 で、Cisco Unified OS の管理から、 を選択します。 |
||
ステップ 2 |
[検索(Find)] をクリックします。 |
||
ステップ 3 |
証明書の一覧で、ITLRecovery 証明書をクリックし、[.PEM ファイルのダウンロード(Download .PEM File)] または [.DER ファイルのダウンロード(Download .DER File)] のいずれかをクリックすることにより、いずれかのファイル形式の証明書をコンピュータにダウンロードします。 |
||
ステップ 4 |
証明書の一覧で、CallManager 証明書をクリックし、[.PEM ファイルのダウンロード(Download .PEM File)] または [.DER ファイルのダウンロード(Download .DER File)] のいずれかをクリックすることにより、いずれかのファイル形式の証明書をコンピュータにダウンロードします。 |
||
ステップ 5 |
クラスタ 1 で、Cisco Unified OS の管理から、 を選択します。 |
||
ステップ 6 |
[証明書チェーンのアップロード(Upload Certificate Chain)] をクリックすることにより、ダウンロードした証明書をアップロードします。 |
||
ステップ 7 |
[証明書の目的(Certificate Purpose)] ドロップダウン リストで、[電話と SAST 間の信頼(Phone-SAST-trust)] を選択します。 |
||
ステップ 8 |
[ファイルのアップロード(Upload File)] フィールドで、[ファイルの選択(Choose File)] をクリックし、手順 3 でダウンロードした ITLRecovery ファイルを参照し、[ファイルのアップロード(Upload File)] をクリックします。 show itl を実行します。
|
||
ステップ 9 |
クラスターの電話にローカルで有効な証明書(LSC)がある場合、クラスタ 1 からの CAPF 証明書をクラスタ 2 の CAPF 信頼ストアにアップロードしなければなりません。 |
||
ステップ 10 |
(任意) この手順は、クラスタが混合モードの場合にのみ適用可能です。CLI で utils ctl update CTLFile コマンドを実行することにより、CTL ファイルをクラスタ 1 で再生成します。
|
||
ステップ 11 |
クラスタ間で電話を移行します。 |
電話セキュリティの連携動作と制限事項
ここでは、電話機のセキュリティに関する対話と制限について説明します。
機能 |
連携動作および制限事項 |
||
---|---|---|---|
証明書の暗号化 |
Unified Communications Manager リリース 11.5(1) SU1 から、CAPF サービスで発行されるすべての LSC 証明書は SHA-256 アルゴリズムで署名されます。したがって、Cisco Unified IP Phone 7900 シリーズ、8900 シリーズ、および 9900 シリーズは、SHA-256 で署名された LSC 証明書および外部 SHA2 アイデンティティ証明書(Tomcat、CallManager、CAPF、TVS など)をサポートします。署名の検証が必要な、その他の暗号化の操作では、SHA-1 のみがサポートされます。
|