Cisco IOS MGCP ゲートウェイの暗号化
Unified Communications Manager は、MGCP SRTP パッケージを使用するゲートウェイをサポートしています。MGCP SRTP パッケージは、ゲートウェイがセキュア RTP 接続上でパケットを暗号化および復号化するときに使用されます。コールセットアップ中に交換される情報によって、ゲートウェイがコールに SRTP を使用するかどうかが決まります。デバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。少なくとも1つのデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバック(またはその逆)は、安全なデバイスから安全ではないデバイスへの転送、会議、トランスコーディング、保留音などの場合に発生する可能性があります。
システムが 2 台のデバイス間で暗号化 SRTP コールを設定する場合、Unified Communications Manager はセキュアコール用のマスター暗号化キーと salt を生成し、SRTP ストリーム専用のゲートウェイに送信します。Unified Communications Manager は SRTCP ストリーム用のキーと salt を送信しませんが、ゲートウェイはこれらもサポートします。これらのキーは、MGCP シグナリング パスを介してゲートウェイに送信されます。このパスは IPSec を使用して保護する必要があります。Unified Communications Manager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、システムはゲートウェイにセッションキーをクリアテキストで送信します。セッション キーがセキュアな接続を介して送信されるよう、IPSec 接続が存在することを確認します。
ヒント |
SRTP 用に設定されている MGCP ゲートウェイが、認証済みデバイス(たとえば、SCCP を実行している認証済み電話機)とのコールに関与している場合、 Unified Communications Managerがコールを認証済みとして分類するため、電話機に保護アイコンが表示されます。 Unified Communications Managerは、デバイスの SRTP 機能がコールのネゴシエートに成功した場合、コールを暗号化として分類します。MGCP ゲートウェイが、セキュリティ アイコンを表示できる電話に接続されている場合、コールが暗号化されているときは電話に鍵アイコンが表示されます。 |
次に、MGCP E1 PRI ゲートウェイについての説明を示します。
-
SRTP 暗号化の MGCP ゲートウェイを設定する必要があります。コマンド mgcppackage-capabilitysrtp-package を使用してゲートウェイを設定します。
-
MGCP ゲートウェイでは、[高度な IP サービス(Advanced IP Services)] または [高度な企業サービス(Advanced Enterprise Services)] イメージを指定する必要があります。
たとえば、c3745-adventerprisek9-mz.124-6.T.bin など。
-
保護ステータスは、COCP PRI Setup、Alert、および Connect の各メッセージで独自の FacilityIE を使用して、交換用の CP E1 PRI ゲートウェイと交換されます。
-
Unified Communications Manager は、Cisco Unified IP 電話 でのみセキュア通知トーンを再生します。ネットワーク内の PBX は、コールのゲートウェイ側にトーンを再生します。
-
Cisco Unified IP 電話 と MGCP E1 PRI ゲートウェイの間のメディアが暗号化されていないと、コールはドロップされます。
(注)
MGCP ゲートウェイの暗号化の詳細については、使用している Cisco IOS ソフトウェアのバージョンの『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』を参照してください。