トランクとゲートウェイの SIP セキュリティの概要
このセクションでは、SIP トランクの暗号化、ゲートウェイの暗号化の概要、およびセキュリティプロファイル設定のヒントについて説明します。
SIP トランクの暗号化
SIP トランクは、シグナリングとメディアの両方でセキュアなコールをサポートできます。TLS はシグナリング暗号化を提供し、SRTP はメディア暗号化を提供します。
トランクのシグナリング暗号化を設定するには、SIP トランク セキュリティ プロファイルを設定するときに次のオプションを選択します(
ウィンドウ)。-
[デバイス セキュリティ モード(Device Security Mode)] ドロップダウンリストから、"[暗号化済(Encrypted)]" を選択します。
-
[着信転送タイプ(Incoming Transport Type)] ドロップダウンリストから "[TLS]" を選択します。
-
[発信転送タイプ(Outgoing Transport Type)] ドロップダウンリストから "[TLS]" を選択します。
SIP トランク セキュリティ プロファイルを設定した後、トランクに適用します(
設定ウィンドウ)。トランクに対してメディア暗号化を設定するには、[SRTPを許可(SRTP Allowed)] チェックボックスをオンにします([デバイス(Device)][トランク][SIP トランク(SIP Trunk)] 設定ウィンドウでも同様です)。
Caution |
このチェックボックスをオンにする場合は、キーやその他のセキュリティ関連情報がコールネゴシエーション中に公開されないように、暗号化された TLS プロファイルを使用することを推奨します。非セキュアプロファイルを使用する場合でも SRTP は機能しますが、キーはシグナリングおよびトレースで公開されます。この場合、Unified Communications Manager とトランクの接続先間でネットワークのセキュリティを確保する必要があります。 |
Cisco IOS MGCP ゲートウェイの暗号化
Unified Communications Manager は、MGCP SRTP パッケージを使用するゲートウェイをサポートしています。MGCP SRTP パッケージは、ゲートウェイがセキュア RTP 接続上でパケットを暗号化および復号化するときに使用されます。コールセットアップ中に交換される情報によって、ゲートウェイがコールに SRTP を使用するかどうかが決まります。デバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。少なくとも1つのデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバック(またはその逆)は、安全なデバイスから安全ではないデバイスへの転送、会議、トランスコーディング、保留音などの場合に発生する可能性があります。
システムが 2 台のデバイス間で暗号化 SRTP コールを設定する場合、Unified Communications Manager はセキュアコール用のマスター暗号化キーと salt を生成し、SRTP ストリーム専用のゲートウェイに送信します。Unified Communications Manager は SRTCP ストリーム用のキーと salt を送信しませんが、ゲートウェイはこれらもサポートします。これらのキーは、MGCP シグナリング パスを介してゲートウェイに送信されます。このパスは IPSec を使用して保護する必要があります。Unified Communications Manager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、システムはゲートウェイにセッションキーをクリアテキストで送信します。セッション キーがセキュアな接続を介して送信されるよう、IPSec 接続が存在することを確認します。
Tip |
SRTP 用に設定されている MGCP ゲートウェイが、認証済みデバイス(たとえば、SCCP を実行している認証済み電話機)とのコールに関与している場合、Unified Communications Manager がコールを認証済みとして分類するため、電話機に保護アイコンが表示されます。Unified Communications Manager は、デバイスの SRTP 機能がコールのネゴシエートに成功した場合、コールを暗号化として分類します。MGCP ゲートウェイが、セキュリティ アイコンを表示できる電話に接続されている場合、コールが暗号化されているときは電話に鍵アイコンが表示されます。 |
次に、MGCP E1 PRI ゲートウェイについての説明を示します。
-
SRTP 暗号化の MGCP ゲートウェイを設定する必要があります。コマンド mgcppackage-capabilitysrtp-package を使用してゲートウェイを設定します。
-
MGCP ゲートウェイでは、[高度な IP サービス(Advanced IP Services)] または [高度な企業サービス(Advanced Enterprise Services)] イメージを指定する必要があります。
たとえば、c3745-adventerprisek9-mz.124-6.T.bin など。
-
保護ステータスは、COCP PRI Setup、Alert、および Connect の各メッセージで独自の FacilityIE を使用して、交換用の CP E1 PRI ゲートウェイと交換されます。
-
Unified Communications Manager は、Cisco Unified IP Phone でのみセキュア通知トーンを再生します。ネットワーク内の PBX は、コールのゲートウェイ側にトーンを再生します。
-
Cisco Unified IP Phone と MGCP E1 PRI ゲートウェイの間のメディアが暗号化されていないと、コールはドロップされます。
Note
MGCP ゲートウェイの暗号化の詳細については、使用している Cisco IOS ソフトウェアのバージョンの『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』を参照してください。
H.323 ゲートウェイおよび h.323/h.323/.h トランク暗号化 (h.323)
セキュリティをサポートする H.323 ゲートウェイおよびゲートキーパー、または非ゲートキーパー制御の H.225/H.323/H.245 トランクは、Cisco Unified Communications Operating System で IPSec アソシエーションを設定した場合、Unified Communications Manager に対して認証できます。Unified Communications Manager とこれらのデバイスの間での IPSec アソシエーション作成については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
H.323、H.225、および H.245 デバイスでは暗号キーが生成されます。これらのキーは、IPSec で保護されたシグナリング パスを介して Unified Communications Manager に送信されます。Unified Communications Manager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、セッション キーは暗号化されずに送信されます。セッション キーがセキュアな接続を介して送信されるよう、IPSec 接続が存在することを確認します。
IPSec アソシエーションの設定に加えて、Unified Communications Manager Administration のデバイス設定ウィンドウにある [SRTP 許可(SRTP Allowed)] チェックボックスにマークを付ける必要があります。これは H.323 ゲートウェイ、H.225 トランク(ゲートキーパー制御)、クラスタ間トランク(ゲートキーパー制御)、およびクラスタ間トランク(非ゲートキーパー制御)の設定ウィンドウなどに存在します。このチェックボックスをオンにしない場合、Unified Communications Manager は RTP を使用してデバイスと通信します。このチェックボックスをオンにする場合、Unified Communications Manager は SRTP がデバイスに対して設定されているかどうかに応じて、セキュア コールと非セキュア コールを許可します。
Caution |
Unified Communications Manager Administration で [SRTP を許可(SRTP Allowed)] チェックボックスをオンにする場合は、セキュリティ関連情報が暗号化されずに送信されることを防ぐために、IPSec を設定することを強く推奨します。 Unified Communications Manager は、IPSec 接続が正しく設定されたかどうかを確認しません。接続を正しく設定しないと、セキュリティ関連の情報がクリアテキストで送信されることがあります。 |
セキュア メディア パスまたはセキュア シグナリング パスを確立でき、デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。セキュア メディア パスまたはセキュア シグナリング パスを確立できないか、1 つ以上のデバイスが SRTP をサポートしない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバック(またはその逆)は、安全なデバイスから安全ではないデバイスへの転送、会議、トランスコーディング、保留音などの場合に発生する可能性があります。
Tip |
コールがパススルー対応 MTP を使用し、リージョンフィルタ処理の後でデバイスの音声機能が一致し、どのデバイスについても [MTP が必要かどうか(MTP Required)] チェックボックスがオンになっていない場合、Unified Communications Manager はそのコールをセキュアとして分類します。[MTP Required] チェックボックスがオンの場合、Unified Communications Manager はコールの音声パススルーを無効にし、コールを非セキュアとして分類します。MTP がコールに関係しない場合、Unified Communications Manager はデバイスの SRTP 機能に応じてそのコールを暗号化済みに分類することがあります。 Unified Communications Manager は、そのデバイスの [SRTP Allowed] チェックボックスがオンで、そのデバイスの SRTP 機能がコールに対して正常にネゴシエートされれば、コールを暗号化済みに分類します。前述の条件を満たさない場合、Unified Communications Manager はコールを非セキュアとして分類します。デバイスが、セキュリティ アイコンを表示できる電話に接続されている場合、コールが暗号化されているときは電話機に鍵アイコンが表示されます。 Unified Communications Manager は、トランクまたはゲートウェイ経由の発信 FastStart コールを非セキュアとして分類します。Unified Communications Manager Administration で [SRTP を許可する(SRTP Allowed)] チェックボックスをオンにした場合、Unified Communications Manager により [アウトバウンド FastStart を有効にする(Enable Outbound FastStart)] チェックボックスがオフになります。 |
Unified Communications Manager の一部の種類のゲートウェイおよびトランクでは、共有秘密キー(Diffie-Hellman キー)やその他の H.235 データを 2 つの H.235 エンドポイント間で透過的にパススルーさせることができます。このため、これら 2 つのエンドポイントではセキュア メディア チャネルを確立できます。
[H. 235 data] の通過を有効にするには、次のトランクおよびゲートウェイの構成時の設定で [ h. 235 パススルーを許可する] チェックボックスをオンにします。
-
「-225 Trunk」
-
ICT ゲートキーパー制御
-
ICT 非ゲートキーパー制御
-
H.323 ゲートウェイ
トランクとゲートウェイの設定の詳細については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
SIP トランク セキュリティ プロファイルの設定について
Unified Communications Manager Administration では、単一のセキュリティ プロファイルを複数の SIP トランクに割り当てることができるよう、SIP トランクのセキュリティ関連の設定項目をグループ化しています。セキュリティ関連の設定項目には、デバイス セキュリティ モード、ダイジェスト認証、着信/発信転送タイプの設定があります。[トランクの設定(Trunk Configuration)] ウィンドウでセキュリティプロファイルを選択する際に、構成済みの設定を SIP トランクに適用します。
Unified Communications Manager をインストールすると、自動登録用の定義済み非セキュア SIP トランク セキュリティ プロファイルが提供されます。SIP トランクのセキュリティ機能を有効にするには、新しいセキュリティ プロファイルを設定し、それを SIP トランクに適用します。トランクがセキュリティをサポートしない場合は、非セキュア プロファイルを選択してください。
セキュリティ プロファイルの設定ウィンドウには、SIP トランクがサポートするセキュリティ機能だけが表示されます。
SIP トランク セキュリティ プロファイルの設定のヒント
[Unified Communications Manager Administration] で SIP トランク セキュリティ プロファイルを設定する際には以下の情報を考慮してください。
-
SIP トランクを設定する場合は、[トランクの設定 (Trunk Configuration)] ウィンドウでセキュリティプロファイルを選択する必要があります。デバイスがセキュリティをサポートしていない場合は、非セキュア プロファイルを選択します。
-
現在デバイスに割り当てられているセキュリティ プロファイルは削除できません。
-
すでに SIP トランクに割り当てられているセキュリティプロファイルの設定を変更すると、そのプロファイルが割り当てられているすべての SIP トランクに再設定された設定が適用されます。
-
デバイスに割り当てられているセキュリティ ファイルの名前を変更できます。古いプロファイル名と設定が割り当てられている SIP トランクは、新しいプロファイル名と設定を前提としています。
-
Unified Communications Manager 5.0 以降のアップグレード前にデバイス セキュリティ モードを設定していた場合、Unified Communications Manager は SIP トランクのプロファイルを作成し、そのプロファイルをデバイスに適用します。