電話のセキュリティの概要
インストール時、Unified Communications Manager は非セキュアモードで起動します。 Unified Communications Manager のインストール後に電話を起動すると、すべての端末が非セキュア Unified Communications Manager として登録されます。
Unified Communications Manager 4.0(1) 以降のリリースからアップグレード後、電話はアップグレード前に有効にしたデバイスセキュリティモードで起動します。すべてのデバイスは、選択したセキュリティモードを使用して登録されます。
Unified Communications Manager インストールにより、 Unified Communications Manager および TFTP サーバ上に自己署名証明書が作成されます。 自己署名証明書の代わりに、 Unified Communications Manager サードパーティの CA 署名付き証明書を使用することもできます。 認証を設定すると、 Unified Communications Manager はその証明書を使ってサポートされている Cisco Unified IP Phone で認証を行います。 Unified Communications Manager と TFTP サーバ 上に証明書が存在する場合、 Unified Communications Manager が各アップグレード時に証明書を再発行することはありません。 Unified Communications Manager CLI コマンド util ctl update CTLFile を新しい証明書エントリで使用して、ctl ファイルを更新する必要があります。
ヒント |
サポートされていない、または安全ではないシナリオに関する情報については、対話と制限に関連するトピックを参照してください。 |
Unified Communications Manager は、デバイス レベルで認証と暗号化のステータスを管理します。 通話に関連するすべてのデバイスがセキュアとして登録されている場合、通話ステータスはセキュアとして登録されます。 1 つのデバイスが非セキュアとして登録されると、発信者または受信者の電話がセキュアとして登録されている場合でも、通話は非セキュアとして登録されます。
ユーザーが Cisco Extension Mobility を使用している場合、Unified Communications Manager はデバイスの認証と暗号化のステータスを保持します。Unified Communications Manager は共有ラインが設定されている場合も、デバイスの認証と暗号化のステータスを保持します。
ヒント |
暗号化された Cisco IP 電話の共有回線を設定する場合、回線を共有するすべてのデバイスで暗号化を設定します。つまり、暗号化をサポートするセキュリティプロファイルを適用することで、すべてのデバイスのデバイスセキュリティモードを暗号化に設定します。 |
電話セキュリティ強化の概要
このセクションでは、Gratuitous ARP の無効化、ウェブアクセスの無効化、PC 音声 VLAN アクセスの無効化、アクセスの無効化、PC ポートの無効化の設定など、電話のハードニングの動作の概要について説明します。
以下のオプション設定は、Cisco IP 電話への接続を強化するために使用されます。 [電話機の設定(Phone Configuration)] ウィンドウの [プロダクト固有の設定(Product-Specific Configuration Layout)] に、これらの設定が表示されます。
これらの設定は、一連の電話、またはすべての企業全体の電話に適用する場合、[共通の電話プロファイルの設定(Common Phone Profile Configuration)] ウィンドウと [企業の電話機の設定(Enterprise Phone Configuration)] ウィンドウにも表示されます。
電話強化の動作 |
説明 |
|||
---|---|---|---|---|
Gratuitous ARP の無効化 |
デフォルトでは、 Cisco Unified IP Phone は、Gratuitous ARP パケットを受け付けます。 デバイスが使用する Gratuitous ARP パケットは、ネットワーク上のデバイスの存在を通知します。 しかし、攻撃者はこれらのパケットを使用して、有効なネットワーク デバイスになりすますことができます。たとえば、攻撃者はデフォルト ルーターを装ったパケットを送信する可能性があります。 無効にする場合は、[ 電話設定 ] ウィンドウで、Gratuitous ARP を無効にすることができます。
|
|||
ウェブアクセスの無効化 |
電話のウェブサーバ機能を無効にすると、統計と設定情報を提供する電話の内部ウェブページへのアクセスがブロックされます。 CiscoQuality Report Tool などの機能は、電話のウェブページにアクセスしないと正しく機能しません。 ウェブ サーバを無効にすると、Web アクセスに依存する CiscoWorks などの Serviceability アプリケーションにも影響します。 ウェブ サービスが無効かどうかを判断するために、電話はサービスが無効か有効かを示す構成ファイルのパラメータを解析します。 ウェブ サービスが無効になっている場合、電話機はモニタリングの目的で HTTP ポート 80 を開かず、電話機の内部ウェブページへのアクセスをブロックします。 |
|||
PC 音声 VLAN アクセスの無効化 |
デフォルトでは、Cisco IP Phone はスイッチポート(アップストリームスイッチに向かうポート)で受信したすべてのパケットを PC ポートに転送します。 [電話の設定] ウィンドウで [PC 音声 VLAN アクセス] 設定を無効にした場合、音声 VLAN 機能を使用する PC ポートから受信したパケットはドロップされます。 Cisco IP Phone はこの機能を異なる方法で使用します。
|
|||
アクセス無効に設定する |
Cisco IP Phone の [アプリケーション] ボタンを押すと、既定では電話設定情報を含む様々な情報にアクセスすることができます。 [電話の設定] ウィンドウの [設定アクセス] パラメータを無効にすると、通常、電話機の [アプリケーション] ボタンを押したときに表示されるすべてのオプションへのアクセスが禁止されます。たとえば、[コントラスト]、[呼び出し音のタイプ]、[ネットワーク設定]、[モデル情報]、[ステータス] 設定などです。 Unified Communications Manager の管理 で設定が無効になっている場合、上記の設定は電話では表示されません。 この設定を無効にすると、電話ユーザは [音量] ボタンに関連する設定を保存できません。例えば、ユーザはボリュームを保存できません。 この設定を無効にすると、電話の現在の [コントラスト]、[呼び出し音のタイプ]、[ネットワーク設定]、[モデル情報]、[ステータス]、[音量] の各設定が自動的に保存されます。 これらの電話設定を変更するには、 Unified Communications Manager 管理で [アクセス設定] 設定を有効にする必要があります。 |
|||
PC ポートの無効化 |
Unified Communications Manager は、PC ポートを持つすべての Cisco IP Phone の PC ポートをデフォルトで有効にします。 [電話の設定] ウィンドウで [PC ポート] 設定を無効にすることができます。 ロビーや会議室の電話では PC ポートを無効にすると便利です。
|
電話セキュリティ強化のセットアップ
電話強化は、接続を強化するために電話に適用できるオプションの設定で構成されています。 設定は、次の 3 つの構成ウィンドウのいずれかを使用して適用できます。
-
電話設定 - [ 電話設定 ] ウィンドウを使用して、個々の電話に設定を適用します。
-
共通の電話プロファイル - [共通の電話プロファイル ] ウィンドウを使用して、このプロファイルを使用するすべての電話に設定を適用します。
-
企業の電話: すべての企業の電話に設定を適用するには、[ 企業の電話 ] ウィンドウを使用します
(注) |
これらの各ウィンドウで矛盾する設定が表示された場合、電話が正しい設定を判断するために使用する優先順位は次のとおりです。1) 電話の設定、2) 共通の電話プロファイル、3) 企業の電話 |
電話セキュリティ強化をセットアップするには、次の手順を実行します。
手順
ステップ 1 |
Cisco Unified Communications Manager Administrationから を選択します。 |
ステップ 2 |
電話を検索する基準を指定し、[ 検索 ] をクリックすると、すべての電話の一覧が表示されます。 |
ステップ 3 |
デバイス名をクリックします。 |
ステップ 4 |
以下の製品固有のパラメータを特定します。 |
ステップ 5 |
無効にしたい各パラメータのドロップダウンリストから [ 無効 ] を選択します。 スピーカーフォンまたはスピーカーフォンとヘッドセットを無効にするには、対応するチェックボックスをチェックします。 |
ステップ 6 |
[保存(Save)] をクリックします。 |
ステップ 7 |
[リセット(Reset)] をクリックします。 |
信頼できるデバイス
Unified Communications Manager により、Cisco IP 電話の電話モデルごとにセキュリティアイコンを有効にできます。 [セキュリティ] アイコンは、通話が安全かどうか、および接続されたデバイスが信頼できるかどうかを示します。
信頼されたデバイスは、信頼された接続のための Cisco セキュリティ基準に合格した Cisco デバイスまたはサードパーティ デバイスを表します。 これには、シグナリング/メディア暗号化、プラットフォーム強化、保証が含まれますが、これらに限定されるものではありません。 デバイスが信頼されている場合、サポートされているデバイスで [セキュリティ] アイコンが表示され、セキュアなトーンが鳴ります。 また、デバイスは、セキュアなコールに関連する他の機能またはインジケータを提供する場合があります。
Unified Communications Manager は、システムに追加するときに、デバイスが信頼できるかどうかを判断します。 セキュリティアイコンは情報提供のみを目的として表示され、管理者が直接設定することはできません。
Unified Communications Manager は、 Unified Communications Manager Administration にアイコンとメッセージを表示して、ゲートウェイが信頼できるかどうかを示します。
このセクションでは、Cisco IP 電話および Unified Communications Manager Administration の両方での、信頼できる端末のセキュリティアイコンの動作について説明します。
Cisco Unified Communications Manager Administration
Unified Communications Manager 管理 の次のウィンドウは、デバイスが信頼できるかどうかを示します:
[ゲートウェイの設定(Gateway Configuration)]
各ゲートウェイタイプに対して、[ゲートウェイ設定] ウィンドウ (端末は信頼されています または 端末は信頼されていませんと対応するアイコンが表示されます。
) には、次のいずれかが表示されます。デバイスが信頼済みであるかどうかは、デバイス タイプに基づいて判別されます。 デバイスが信頼済みであるかどうかは設定できません。
電話機設定
各電話デバイスタイプに対して、[電話機設定(Phone Configuration)] ウィンドウ([デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] のいずれかが表示されます。
)には、対応するアイコンと共に、デバイスが信頼済みであるかどうかは、デバイス タイプに基づいて判別されます。 デバイスが信頼済みであるかどうかは設定できません。
呼び出されたデバイスの信頼性の判断基準
ユーザが発信するデバイスのタイプは、電話に表示されるセキュリティ アイコンに影響します。 システムは次の 3 つの基準を考慮して、通話がセキュアかどうかを判断します。
-
通話中のすべてのデバイスは信頼されていますか?
-
シグナリングはセキュアですか(認証および暗号化されていますか)?
-
メディアはセキュアですか?
サポートされている Cisco Unified IP 電話 がロックセキュリティアイコンを表示するようにするには、3 つの条件すべてを満たす必要があることに注意してください。 信頼されていないデバイスを含む通話の場合、シグナリングとメディアセキュリティに関係なく、通話の全体的なステータスは不安全なままになり、電話はロックアイコンを表示しません。 たとえば、電話会議に信頼されていないデバイスが含まれる場合、システムはそのコール レッグおよび電話会議自体がセキュアではないと見なします。
電話機モデルのサポート
Unified Communications Manager のセキュリティをサポートする電話モデルには、Secure Cisco phonesとSecure Preferred Vendor phonesの 2 つのカテゴリがあります。 Secure Cisco phonesには、製造元でインストールされた証明書 (MIC) がプリインストールされており、Certificate Authority Proxy Function (CAPF) を使用したローカルで有効な証明書 (LSC) の自動生成と交換をサポートしています。 Secure Cisco phonesは、追加の証明書管理なしで MIC を使用して Cisco Unified CM に登録できます。 セキュリティを強化するために、CAPF を使用して LSC を作成し、電話機にインストールできます。 詳細については、電話セキュリティのセットアップと設定に関するトピックを参照してください。
安全な優先ベンダーの電話には MIC が事前にインストールされておらず、LSC を生成するための CAPF をサポートしていません。 セキュアな優先ベンダーの電話を Cisco Unified CM に接続するには、証明書がデバイスで提供されるか、デバイスによって生成される必要があります。 電話のサプライヤーは、電話の証明書を取得または生成する方法の詳細を提供する必要があります。 証明書を取得したら、OS管理の証明書管理インターフェースを使用して、Cisco Unified CM に証明書をアップロードする必要があります。 詳細については、優先ベンダーの SIP 電話セキュリティのセットアップに関するトピックを参照してください。
お使いの電話でサポートされているセキュリティ機能の一覧については、この Unified Communications Manager リリースに対応する電話管理およびユーザ用ドキュメント、またはお使いのファームウェアに対応するファームウェアのドキュメントを参照してください。
Cisco Unified Reporting を使って、対応している電話の一覧を表示することもできます。 Cisco Unified Reporting の使用方法の詳細については、『 Cisco Unified Reporting アドミニストレーションガイド』を参照してください。
電話セキュリティ設定の表示
セキュリティをサポートする電話で特定のセキュリティ関連の設定を構成および表示できます。たとえば、電話機にローカルで有効な証明書があるかどうか、または製造元でインストールされた証明書がインストールされているかどうかを確認できます。 セキュリティメニューとアイコンの詳細については、『 Cisco IP Phone 管理者ガイド および Cisco IP Phone ユーザガイド 』を参照してください。
Unified Communications Manager が通話を認証済みまたは暗号化済みに分類すると、アイコンが電話機に表示され、通話状態を示します。 また、 Unified Communications Manager が通話を認証済みまたは暗号化済みに分類するタイミングも決定します。
電話セキュリティのセットアップ
次の手順では、サポートされている電話のセキュリティを設定するタスクについて説明します。
手順
ステップ 1 |
まだ行っていない場合は、utils ctl CLI コマンドを実行し、Unified Communications Manager のセキュリティモードが [混在モード(Mixed Mode)] になっていることを確認します。 |
||
ステップ 2 |
電話にローカルで有効な証明書 (LSC) または製造元でインストールされた証明書 (MIC) が含まれていない場合、Certificate Authority Proxy Function (CAPF) を使用して LSC をインストールします。 |
||
ステップ 3 |
電話セキュリティ プロファイルを設定します。 |
||
ステップ 4 |
電話セキュリティ プロファイルを電話に適用します。 |
||
ステップ 5 |
ダイジェスト クレデンシャルを設定した後、[電話の設定] ウィンドウから [ダイジェスト ユーザ] を選択します。 |
||
ステップ 6 |
Cisco Unified IP 電話 7962 または 7942(SIP のみ)で、[エンドユーザーの設定(End User Configuration)] ウィンドウで設定したダイジェスト認証のユーザー名とパスワード(ダイジェスト認証の資格情報)を入力します。
|
||
ステップ 7 |
電話がこの機能をサポートしている場合、電話設定ファイルを暗号化してください。 |
||
ステップ 8 |
電話のセキュリティを強化するには、電話設定を無効にしてください。 |
希望ベンダーの SIP 電話セキュリティのセットアップ
安全な優先ベンダーの電話は、サードパーティ ベンダーによって製造された電話タイプですが、COP ファイルを介して Cisco Unified データベースにインストールされます。 Unified Communications Manager は、優先ベンダーの SIP 電話にセキュリティを提供します。 セキュリティをサポートするには、COP ファイルで優先ベンダーの SIP 電話に対してセキュリティ暗号化またはセキュリティ認証を有効にする必要があります。 これらの電話タイプは、[新しい電話の追加] ウィンドウのドロップダウン リストに表示されます。 すべての優先ベンダーの電話はダイジェスト認証をサポートしていますが、すべての優先ベンダーの電話が TLS セキュリティをサポートしているわけではありません。 セキュリティ機能は電話モデルに基づきます。 電話セキュリティプロファイルに [ "端末セキュリティモード" ] フィールドが含まれている場合、TLS セキュリティがサポートされます。
希望のベンダーの電話が TLS セキュリティをサポートしている場合、デバイスごとの証明書と共有証明書の 2 つのモードが可能です。 電話機のサプライヤーは、どのモードが電話機に適用できるか、および電話機の証明書を生成または取得するための手順を指定する必要があります。
優先ベンダー SIP 電話セキュリティ プロファイル デバイスごとの証明書のセットアップ
デバイスごとの証明書で優先ベンダーの SIP 電話セキュリティ プロファイルを設定するには、次の手順を実行します。
手順
ステップ 1 |
OS 管理の証明書管理インターフェイスを使用して、各電話の証明書をアップロードします。 |
ステップ 2 |
Cisco Unified CM Administration で、 の順に選択します。 |
ステップ 3 |
この電話のデバイスタイプに新しい電話セキュリティプロファイルを設定し、[ デバイスセキュリティモード ] ドロップダウンリストで 暗号化 または 認証を選択します。 |
ステップ 4 |
CCMAdmin インターフェイスで新しい SIP 電話を設定するには、[ ] を選択します。 |
ステップ 5 |
[電話タイプ] を選択します。 |
ステップ 6 |
必須フィールドに入力します。 |
ステップ 7 |
[ デバイスセキュリティプロファイル ] ドロップダウンリストから、作成したプロファイルを選択します。 |
優先ベンダーの SIP 電話セキュリティプロファイルの共有証明書のセットアップ
共有証明書で指定ベンダーの SIP 電話セキュリティプロファイルを設定するには、次の手順を実行します。
手順
ステップ 1 |
電話ベンダーからの指示を使用して、サブジェクト代替名 (SAN) 文字列で証明書を生成します。 SAN は DNS タイプである必要があります。 この手順で指定した SAN をメモします。 例えば、X509v3 の拡張の場合:
|
||
ステップ 2 |
OS 管理の証明書管理インターフェイスを使用して共有証明書をアップロードします。 |
||
ステップ 3 |
Cisco Unified CM Administration で、 の順に選択します。 |
||
ステップ 4 |
[名前(Name)] フィールドに、優先ベンダーから提供された証明書に記載されているサブジェクト代替名(SAN)を入力します。SANがない場合は、証明書名を入力します。
|
||
ステップ 5 |
[デバイスのセキュリティモード(Device Security Mode)] ドロップダウンメニューから、[暗号化(Encrypted)] または [認証済み(Authenticated)] を選択します。 |
||
ステップ 6 |
[トランスポートタイプ] ドロップダウンリストから、 TLS を選択します。 |
||
ステップ 7 |
CCMAdmin インターフェイスで新しい SIP 電話を設定するには、[ ] を選択します。 |
||
ステップ 8 |
[電話タイプ] を選択します。 |
||
ステップ 9 |
必須フィールドに入力します |
||
ステップ 10 |
[ 端末セキュリティプロファイル ] ドロップダウンリストから、先ほど作成したプロファイルを選択します。 |
あるクラスターから別のクラスターに電話を移行する
手順
ステップ 1 |
Cisco Unified OS Administration のクラスタ 2 から、 を選択します。 |
||
ステップ 2 |
[検索(Find)] をクリックします。 |
||
ステップ 3 |
証明書のリストから、ITLRecovery 証明書をクリックし、[.PEM ファイルのダウンロード(Download .PEM File)] または [.DER ファイルのダウンロード(Download .DER File)] のいずれかをクリックして、いずれかのファイル形式の証明書をコンピュータにダウンロードします。 |
||
ステップ 4 |
証明書のリストから、CallManager 証明書をクリックし、[.PEM ファイルのダウンロード(Download .PEM File)] または [.DER ファイルのダウンロード(Download .DER File)] のいずれかをクリックして、いずれかのファイル形式の証明書をコンピュータにダウンロードします。 |
||
ステップ 5 |
Cisco Unified OS Administration のクラスタ 1 から、 を選択します。 |
||
ステップ 6 |
証明書チェーンのアップロード をクリックして、ダウンロードした証明書をアップロードします。 |
||
ステップ 7 |
[証明書の目的(Certificate Purpose)] ドロップダウンリストで、[Phone-SAST-trust] を選択します。 |
||
ステップ 8 |
[ファイルのアップロード(Upload File)] フィールドについて、[ファイルを選択(Choose File)] をクリックし、ステップ 3 でダウンロードした ITLRecovery ファイルを参照し、[ファイルをアップロード(Upload File)] をクリックします。 show itl を実行します。
|
||
ステップ 9 |
クラスタ 1 の電話にローカルで有効な証明書 (LSC) がある場合、クラスタ 1 からの CAPF 証明書はクラスタ 2 の CAPF 信頼ストアにアップロードされる必要があります。 |
||
ステップ 10 |
(任意) この手順は、クラスターが混合モードの場合にのみ適用できます。 CLI で utils ctl update CTLFile コマンドを実行し、クラスター 1 で CTL ファイルを再生成します。
|
||
ステップ 11 |
1 つのクラスタから別のクラスタに電話を移行します。 |
電話のセキュリティ インタラクションと制限事項
このセクションでは、電話セキュリティのインタラクションと制限事項について説明します。
機能 |
連携動作と制限事項 |
||
---|---|---|---|
証明書の暗号化 |
Unified Communications Manager 11.5 (1) SU1 リリース以降、CAPF サービスが発行するすべての LSC 証明書は SHA-256 アルゴリズムで署名されています。 そのため、 Cisco Unified IP 電話 7900 シリーズ、8900 シリーズ、9900 シリーズは SHA-256 署名済み LSC 証明書と外部 SHA2 アイデンティティ証明書 (Tomcat、CallManager、CAPF、TVS など) をサポートしています。 署名の検証が必要な、その他の暗号化の操作では、SHA-1 のみがサポートされます。
|