- FEATURE MAP
- Cisco Unified CME 機能のロードマップ
- Cisco Unified CME の概要
- はじめる前に
- Cisco Unified CME ソフトウェアのインストールとアップグレード
- ネットワーク パラメータの定義
- System-Level パラメータの設定
- 基本的なコール発信のための電話機の設定
- Extension Assigner を使用した電話機の設定の作成
- 電話機のコンフィギュレーション ファイルの生成
- 電話機のリセットと再起動
- ダイヤル プランの設定
- ローカリゼーション サポートの設定
- トランスコーディング リソースの設定
- ビデオ トランスコーディングの設定
- 電話ハッカーの侵入阻止の設定
- GUI のイネーブル化
- ボイスメール統合
- セキュリティの設定
- 自動回線選択の設定
- 割り込みとプライバシーの設定
- コール ブロッキングの設定
- コール パークの設定
- コール制約規制
- コール転送とコール自動転送の設定
- コール カバレッジ機能の設定
- 発信者 ID ブロックの設定
- 会議の設定
- 音声およびビデオ ハードウェア会議の設定
- ビデオ会議の設定
- ディレクトリ サービスの設定
- サイレントの設定
- Enhanced 911 サービスの設定
- エクステンション モビリティの設定
- 機能アクセス コードの設定
- 強制承認コード(FAC)の設定
- ファクス リレーの設定
- ヘッドセット自動応答の設定
- インターコム回線の設定
- ループバック コール ルーティングの設定
- MLPP の設定
- 保留音の設定
- ページングの設定
- プレゼンス サービスの設定
- 呼び出し音の設定
- シングル ナンバー リーチ(SNR)の設定
- ソフトキーのカスタマイズ
- スピード ダイヤルの設定
- ビデオ サポートの設定
- SCCP IP Phone の SSL VPN クライアントの設定
- Cisco Unified IP Phone オプションの変更
- テンプレートの作成
- Cisco Unified CCX との相互運用性の設定
- CTI CSTA プロトコル スイートの設定
- SRST フォールバック モードの設定
- VRF サポートの設定
- XML API の設定
- 索引
Cisco Unified Communications Manager Express システム アドミニストレータ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月8日
章のタイトル: 電話ハッカーの侵入阻止の設定
電話ハッカーの侵入阻止の設定
このモジュールでは、Cisco Unified Communications Manager Express(Cisco Unified CME)の電話ハッカーの侵入阻止機能について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「電話ハッカーの侵入阻止の機能情報」を参照してください。
プラットフォームのサポートおよび Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
内容
電話ハッカーの侵入阻止設定の前提条件
電話ハッカーの侵入阻止について
Cisco Unified CME 8.1 では、電話ハッカーの侵入阻止機能が拡張され、無許可のユーザによる潜在的な電話の不正利用から Cisco Unified CME システムが保護されます。Cisco Unified CME における電話ハッカーの侵入阻止のための機能拡張は次のとおりです。
•
アナログおよびデジタル FXO ポートでの 2 段階ダイヤル サービスのブロック
IP アドレス信頼認証
IP アドレス信頼認証プロセスは、無許可のコールをブロックし、無許可のユーザによる潜在的な電話の不正利用から Cisco Unified CME システムを保護するために役立ちます。Cisco Unified CME では、デフォルトで IP アドレス信頼認証がイネーブルになっています。IP アドレス信頼認証がイネーブルになっている場合、Cisco Unified CME は着信 VoIP コールのリモート IP アドレスがシステム IP アドレス信頼リストから正常に検証されたときのみ着信 VoIP(SIP/H.323)コールを受け入れます。IP アドレス信頼認証に失敗した場合、着信 VoIP コールはアプリケーションによってユーザ定義の原因コード付きで切断され、新しいアプリケーション内部エラー コード 31 メッセージ(TOLL_FRAUD_CALL_BLOCK)が記録されます。詳細については、「着信 VoIP コール用の IP アドレス信頼認証の設定」を参照してください。
Cisco Unified CME は着信 VOIP コールのリモート IP アドレスを検証するために IP アドレス信頼リストを維持します。Cisco Unified CME は VoIP ダイヤルピアの IPv4 セッション ターゲットを保存して、信頼できる IP アドレスを IP アドレス信頼リストに自動的に追加します。IPv4 セッション ターゲットは、動作中の VoIP ダイヤルピアのステータスが「アップ」であるときのみ、信頼できる IP アドレスとして識別されます。信頼できる IP アドレスのリストに定義可能な IPv4 アドレスの数は最大 10050 個です。信頼できる IP アドレスのリスト内で IP アドレスの重複は許可されません。着信 VOIP コールの信頼できる IP アドレスは手動で 100 個まで追加できます。信頼できる IP アドレスの手動による追加の詳細については、 「着信 VoIP コール用の有効な IP アドレスの追加」を参照してください。
コール詳細レコード(CDR)履歴レコードは、IP アドレス信頼認証に失敗した結果、コールがブロックされたときに生成されます。新しい音声の内部エラー コード(IEC)が CDR 履歴レコードに保存されます。音声 IEC エラー メッセージは、voice iec syslog オプションがイネーブルの場合に syslog に記録されます。次に、IEC 電話ハッカーの侵入コールを拒否したときの syslog 表示を示します。
Cisco Unified CME に「ゲートウェイ」が定義され、「session-target ras」が設定された VoIP ダイヤルピアの動作ステータスがアップとなっている場合は、IP アドレス信頼リスト認証を一時停止する必要があります。その場合、着信 VOIP コール ルーティングはゲートキーパーによって制御されます。 表 48 に、各種のトリガー条件における管理状態と動作状態を示します。
|
|
|
|
|---|---|---|
「ゲートウェイ」が定義され、セッション ターゲットとして「ras」が設定された VoIP ダイヤルピアの動作状態が「アップ」 |
||
ip address trusted authenticate がイネーブルで、「ゲートウェイ」が定義されていないか、セッション ターゲットとして「ras」が設定された VoIP ダイヤルピアの動作状態が「アップ」でない |
(注) 潜在的な電話ハッカーの侵入の脅威を防止するには、Out-Of-Dialog REFER(OOD-R)をイネーブルにする前に SIP 認証をイネーブルにすることを推奨します。
着信 ISDN コールに対するダイヤル イン
Cisco Unified CME 8.1 以降のバージョンでは、着信 ISDN コールに対する電話ハッカーの侵入阻止のために、direct-inward-dial isdn 機能がイネーブルにされています。選択した一般電話サービス(POTS)ダイヤルピアで direct-inward-dial オプションがディセーブルにされていても、着信 ISDN 一括ダイヤル コールの着信番号が、発信ダイヤルピア イベントの照合に使用されます。発信ダイヤルピアが発信コールのセットアップ用に選択されていない場合、着信 ISDN コールは原因コード「unassigned-number (1)」で切断されます。着信 ISDN コールに対するダイヤル インの詳細については、「着信 ISDN コールに対するダイヤル インの設定」を参照してください。
一致するダイヤルピアのない ISDN コールの切断
Cisco Unified CME 8.1 以降のバージョンでは、一致する着信音声ダイヤルピアが選択されていない場合に、無許可の ISDN コールが切断されます。Cisco Unified CME および音声ゲートウェイは、2 段階ダイヤル サービスを含むデフォルトの POTS ダイヤルピア動作を回避して着信 ISDN コールを処理するように着信ダイヤルピアが選択されていない場合には、dial-peer no-match disconnect-cause コマンドを使用して着信 ISDN コールを切断します。
アナログおよびデジタル FXO ポートでの 2 段階ダイヤル サービスのブロック
Cisco Unified CME 8.1 以降のバージョンでは、アナログまたはデジタル FXO ポートがオフフックになり、Private Line Automatic Ringdown(PLAR)接続が音声ポートからセットアップされない場合に開始される、2 段階ダイヤル サービスがブロックされます。したがって、発信ダイヤルピアは着信アナログまたはデジタル FXO コール用に選択されず、ダイヤルされた番号は FXO コールから収集されません。Cisco Unified CME および音声ゲートウェイは、FXO コールを原因コード「unassigned-number (1)」で切断します。Cisco Unified CME はデフォルトで FXO 音声ポートから no secondary dialtone コマンドを使用して、アナログまたはデジタル FXO ポートで 2 段階ダイヤル サービスをブロックします。アナログおよびデジタル FXO ポートでの 2 段階ダイヤル サービスのブロックの詳細については、「アナログおよびデジタル FXO ポートでのセカンダリ ダイヤル トーンのブロック」を参照してください。
電話ハッカーの侵入阻止の設定方法
• 「着信 VoIP コール用の IP アドレス信頼認証の設定」
• 「着信 VoIP コール用の有効な IP アドレスの追加」
• 「アナログおよびデジタル FXO ポートでのセカンダリ ダイヤル トーンのブロック」
• 「電話ハッカーの侵入阻止のトラブルシューティングのヒント」
着信 VoIP コール用の IP アドレス信頼認証の設定
前提条件
制約事項
• IP アドレス信頼認証は、着信 SIP コールが SIP 電話機から発信された場合はスキップされます。
• IP アドレス信頼認証は、着信コールが IPv6 コールの場合はスキップされます。
• 着信 VoIP コールでは、IP アドレス信頼認証が「アップ」動作状態の場合に IP 信頼認証を呼び出す必要があります。
手順の概要
4. ip address trusted authenticate
手順の詳細
例
Router #show ip address trusted list
IP Address Trusted Authentication
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 Session Targets:
Peer Tag Oper State Session Target
-------- ---------- --------------
着信 VoIP コール用の有効な IP アドレスの追加
前提条件
手順の概要
手順の詳細
例
次の例は、信頼できる IP アドレスとして設定された 4 個の IP アドレスを示しています。
Router#show ip address trusted list
IP Address Trusted Authentication
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 Session Targets:
Peer Tag Oper State Session Target
着信 ISDN コールに対するダイヤル インの設定
制約事項
• direct-inward-dial isdn は、着信 ISDN オーバーラップ ダイヤル コール用としてサポートされません。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
着信 ISDN 番号に対するダイヤル イン(DID)をイネーブルにします。着信 ISDN(一括ダイヤル)コールは、番号が DID トランクから受信されたように処理されます。着信者番号は、発信ダイヤルピアの選択に使用されます。ダイヤル トーンは発信者側に聞こえません。 |
|
|
|
例
allow-connections h323 to h323
supplementary-service media-renegotiate
registrar server expires max 120 min 120
アナログおよびデジタル FXO ポートでのセカンダリ ダイヤル トーンのブロック
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
例
Router# show run | sec voice-port 2/0/0
Foreign Exchange Office 2/0/0 Slot is 2, Sub-unit is 0, Port is 0
電話ハッカーの侵入阻止のトラブルシューティングのヒント
着信 VOIP コールが IP アドレス信頼認証によって拒否される場合は、特定の内部エラー コード(IEC)1.1.228.3.31.0 がコール履歴レコードに保存されます。IEC サポートを使用すると、失敗したコールまたは拒否されたコールをモニタできます。拒否されたコールをモニタするには、次の手順を実行します。
ステップ 1 show voice iec description コマンドを使用して、IEC コードのテキスト説明を見つけます。
Router# show voice iec description 1.1.228.3.31.0
Category: 228 (User is denied access to this service)
Subsystem: 3 (Application Framework Core)
Error: 31 (Toll fraud call rejected)
ステップ 2 Enable iec statistics コマンドを使用して、IEC 統計情報を表示します。次の例は、電話ハッカーの侵入コール拒否エラー コードのために、2 コールが拒否されたことを示しています。
Router(config)#voice statistics type iec
Router#show voice statistics iec since-reboot
SUBSYSTEM Application Framework Core [subsystem code 3]
[errcode 31] Toll fraud call rejected 2
ステップ 3 enable IEC syslog コマンドを使用して、IEC エラー付きでコールが解放されたときに記録された syslog メッセージを確認します。
Router (config)#voice iec syslog
Feb 11 01:42:57.371: %VOICE_IEC-3-GW: Application Framework Core:
Internal Error (Toll fraud call rejected): IEC=1.1.228.3.31.0 on
callID 288 GUID=DB3F10AC619711DCA7618593A790099E
ステップ 4 show call history voice last コマンドを使用して、着信 VOIP コールの送信元アドレスを確認します。
Router# show call history voice last 1
InternalErrorCode=1.1.228.3.31.0
RemoteMediaIPAddress=1.5.14.13
ステップ 5 IEC は Radius Accounting Stop レコードの VSA に保存されます。外部 RADIUS サーバを使用して、拒否されたコールをモニタできます。
Feb 11 01:44:06.527: RADIUS: Cisco AVpair [1] 36 "internal-error-code=1.1.228.3.31.0"
ステップ 6 IEC の詳細を cCallHistoryIec MIB オブジェクトから取得します。IEC の詳細については、 ttp://www.cisco.com/en/US/docs/ios/voice/monitor/configuration/guide/vt_voip_err_cds_ps6350_TSD_Products_Configuration_Guide_Chapter.html を参照してください。
getmany 1.5.14.10 cCallHistoryIec
cCallHistoryIec.6.1 = 1.1.228.3.31.0
>getmany 172.19.156.132 cCallHistory
cCallHistorySetupTime.6 = 815385
cCallHistoryPeerAddress.6 = 1300
cCallHistoryPeerSubAddress.6 =
cCallHistoryPeerIfIndex.6 = 76
cCallHistoryLogicalIfIndex.6 = 0
cCallHistoryDisconnectCause.6 = 15
cCallHistoryDisconnectText.6 = call rejected (21)
cCallHistoryDisconnectTime.6 = 815387
cCallHistoryCallOrigin.6 = answer(2)
cCallHistoryChargedUnits.6 = 0
cCallHistoryInfoType.6 = speech(2)
cCallHistoryTransmitPackets.6 = 0
cCallHistoryTransmitBytes.6 = 0
cCallHistoryReceivePackets.6 = 0
cCallHistoryReceiveBytes.6 = 0
cCallHistoryReleaseSrc.6 = internalCallControlApp(7)
cCallHistoryIec.6.1 = 1.1.228.3.31.0
その他の関連資料
ここでは、Virtual Route Forwarding に関する関連資料について説明します。
関連資料
|
|
|
|---|---|
• • |
|
標準
|
|
|
|---|---|
この機能によってサポートされる新しい標準または変更された標準はありません。またこの機能による既存標準のサポートに変更はありません。 |
MIB
|
|
|
|---|---|
新しい MIB または変更された MIB はサポートされていません。また、既存の MIB に対するサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
新しい RFC または変更された RFC はサポートされていません。また、既存の RFC に対するサポートに変更はありません。 |
シスコのテクニカル サポート
電話ハッカーの侵入阻止の機能情報
表 49 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームを確認できます。Cisco Feature Navigator にアクセスするには、 http://www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
(注) 表 49 に、特定の Cisco IOS ソフトウェア リリース トレインの中で特定の機能のサポートが導入された Cisco IOS ソフトウェア リリースだけを示します。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。
|
|
|
|
|---|---|---|
フィードバック