Cisco IOS XE セキュリティ コンフィギュレーショ ン ガイド:データ プレーンのセキュリティ保護
Cisco ファイアウォール SIP 拡張機能:ALG
Cisco ファイアウォール SIP 拡張機能:ALG
発行日;2012/01/30 | 英語版ドキュメント(2011/04/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Cisco ファイアウォール SIP 拡張機能:ALG

機能情報の確認

目次

Cisco ファイアウォール SIP 拡張機能:ALG の前提条件

Cisco ファイアウォール SIP 拡張機能:ALG の制約事項

Cisco ファイアウォール SIP 拡張機能:ALG の概要

ファイアウォールと SIP の概要

SIP 用ファイアウォールの機能の説明

SIP 検査

Cisco ファイアウォール SIP 拡張機能:ALG の設定方法

Cisco ASR シリーズ ルータでの SIP 検査のイネーブル化

トラブルシューティングのヒント

Cisco ファイアウォール SIP 拡張機能:ALG の設定例

Cisco ASR 1000 シリーズ ルータでのファイアウォールと SIP の設定:例

その他の関連資料

関連マニュアル

MIB

RFC

シスコのテクニカル サポート

Cisco ファイアウォール SIP 拡張機能:ALG に関する機能情報

Cisco ファイアウォール SIP 拡張機能:ALG

Cisco ファイアウォールの強化された Session Initiation Protocol(SIP)検査には、基本的な SIP 検査機能(SIP パケット インスペクションとピンホール開口部)に加え、プロトコル準拠機能とアプリケーション セキュリティ機能があります。これらの強化によって、SIP トラフィックおよび機能に適用するポリシーとセキュリティ チェックに基づいて旧リリースよりも細かく制御し、不要なメッセージやユーザを除外できます。

Cisco IOS XE ソフトウェアで追加の SIP 機能を開発することで、Cisco Call Manager(CCM)、Cisco Call Manager Express(CCME)、および Cisco IP-IP Gateway ベースの音声/ビデオ システムのサポートが改善されます。また、Application Layer Gateway(ALG; アプリケーション層ゲートウェイ)SIP の強化は、RFC 3261 とその拡張もサポートしています。

機能情報の確認

最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「Cisco ファイアウォール SIP 拡張機能:ALG に関する機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

Cisco ファイアウォール SIP 拡張機能:ALG の前提条件

Cisco IOS XE Release 2.4 以降の Cisco IOS XE ソフトウェア リリースをシステムで実行している必要があります。

Cisco ファイアウォール SIP 拡張機能:ALG の制約事項

DNS 名前解決

SIP メソッドでは、IP アドレスを直接指定する代わりに Domain Name System(DNS; ドメイン ネーム システム)名を使用できますが、この機能は現在 DNS 名をサポートしていません。

Cisco ASR 1000 シリーズ ルータ

この機能は、Cisco ASR 1000 シリーズ ルータ上の AIC をサポートせずに実装されました。このリリースがサポートするコマンドは、 class-map type inspect class type inspect match protocol 、および policy-map type inspect のみです。

Cisco ファイアウォール SIP 拡張機能:ALG の概要

「ファイアウォールと SIP の概要」

「SIP 用ファイアウォールの機能の説明」

「SIP 検査」

ファイアウォールと SIP の概要

Cisco IOS XE ファイアウォール

Cisco IOS XE ファイアウォールは、特定のアプリケーションで必要なアプリケーション ポートに基づいて開き、アプリケーション セッションの終了時に開いたポートを閉じるダイナミックな ACL エントリを導入することで、スタティックな Access Control List(ACL; アクセス コントロール リスト)の概念を拡張しています。Cisco IOS XE ファイアウォールではこの機能を達成するために、アプリケーション データを検査し、アプリケーション プロトコルへの準拠を確認し、関連するポート情報を抽出してダイナミックな ACL エントリを作成し、セッションの終了時にはそのポートを閉じています。Cisco IOS XE ファイアウォールは、サポートが必要な場合はいつでも新しいアプリケーション検査を簡単に実行できるように設計されています。

Session Initiation Protocol

SIP は、1 人または複数の参加者とのセッションを作成、変更、および終了するためのアプリケーション層コントロール(シグナリング)プロトコルです。SIP セッションには、インターネット電話の通話、マルチメディアの配布、マルチメディア会議などがあります。SIP は HTTP のような要求/応答トランザクション モデルに基づいています。各トランザクションは、サーバで特定のメソッドまたは関数を呼び出す 1 つの要求と 1 つ以上の応答で構成されます。

セッションの作成に使用される SIP の招待は、互換性のあるメディア タイプのセットに参加者が同意できるセッション記述を伝送しています。SIP は、プロキシ サーバと呼ばれる要素を利用して、ユーザの所在地への要求のルーティング、サービスのためのユーザ認証および認可、プロバイダーのコールルーティング ポリシーの実装、およびユーザへの機能提供を行っています。また、SIP には、プロキシ サーバから使用できるように、ユーザの所在地をアップロードできる登録機能があります。SIP は複数のトランスポート プロトコルを基礎として実行されます。

SIP 用ファイアウォールの機能の説明

SIP 用ファイアウォールのサポート機能を使用すると、SIP シグナリング要求は、ゲートウェイ間の直接伝送によって、または複数のプロキシを介して、宛先ゲートウェイまたは電話に送信できます。最初の要求後に、Record-Route ヘッダー フィールドを使用しない場合、後続の要求は、Contact ヘッダー フィールドに指定されている宛先ゲートウェイ アドレスに直接伝送できます。そのため、ファイアウォールは、周囲のすべてのプロキシとゲートウェイをを認識し、次の機能を使用できます。

SIP シグナリング応答は、SIP シグナリング要求と同じパスを伝送できます。

後続のシグナリング要求は、エンドポイント(宛先ゲートウェイ)に直接伝送できます。

メディア エンドポイントは、相互にデータを交換できます。

SIP UDP および TCP のサポート

RFC 3261 は最新の SIP の RFC であり、RFC 2543 の置き換えです。この機能は、シグナリングに SIP User Datagram Protocol(UDP; ユーザ データグラム プロトコル)と TCP 形式をサポートします。

SIP 検査

ここでは、Cisco ファイアウォール - SIP ALG 拡張機能でサポートされる展開シナリオについて説明します。

SIP 電話と CCM 間の Cisco IOS XE ファイアウォール

Cisco IOS XE ファイアウォールは CCM または CCME と SIP 電話の間にあります。SIP 電話はファイアウォールを介して CCM または CCME に登録され、SIP 電話とのすべての SIP コールはファイアウォールを通過します。

SIP ゲートウェイ間の Cisco IOS XE ファイアウォール

Cisco IOS XE ファイアウォールは 2 つの SIP ゲートウェイ(CCM、CCME、または SIP プロキシ)間にあります。電話は SIP ゲートウェイに直接登録されます。ファイアウォールから SIP セッションまたはトラフィックを認識するのは、異なる SIP ゲートウェイに登録された電話間で SIP コールが存在する場合のみです。シナリオによっては、IP-IP ゲートウェイをファイアウォールと同じデバイスに設定することもできます。このシナリオでは、SIP ゲートウェイ間のすべてのコールは IP-IP ゲートウェイで終端します。

ローカル CCME およびリモート CCME/CCCM を使用する Cisco IOS XE ファイアウォール

Cisco IOS XE ファイアウォールは 2 つの SIP ゲートウェイ(CCM、CCME、または SIP プロキシ)間にあります。ゲートウェイの 1 つは、ファイアウォールと同じデバイスで設定されます。このゲートウェイに登録されているすべての電話は、ファイアウォールによってローカルで検査されます。また、2 つのゲートウェイ間に SIP コールがある場合、ファイアウォールによってその SIP セッションも検査されます。このシナリオでは、ファイアウォールの一方では SIP 電話がローカルで検査され、もう一方では SIP ゲートウェイが検査されます。

ローカル CCME を使用する Cisco IOS XE ファイアウォール

Cisco IOS XE ファイアウォールと CCME は同じデバイスで設定されます。CCME に登録されているすべての電話は、ファイアウォールによってローカルで検査されます。また、登録されている任意の電話間で行われる SIP コールも、Cisco IOS XE ファイアウォールによって検査されます。

Cisco ファイアウォール SIP 拡張機能:ALG の設定方法

Cisco ファイアウォール SIP 拡張機能:ALG を設定するには、次の作業を実行します。

「Cisco ASR シリーズ ルータでの SIP 検査のイネーブル化」

Cisco ASR シリーズ ルータでの SIP 検査のイネーブル化

SIP パケット インスペクションをイネーブルにするには、この項の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. class-map type inspect match-any class-map-name

4. match protocol protocol-name

5. match protocol protocol-name

6. exit

7. policy-map type inspect policy-map-name

8. class type inspect class-map-name

9. inspect

10. service-policy policy-map-name

11. class class-default

12. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class-map type inspect match-any class-map-name

 

Router(config)# class-map type inspect match-any sip_class1

検査タイプ クラス マップを作成し、クラス マップ コンフィギュレーション モードを開始します。

ステップ 4

match protocol protocol-name

 

Router(config-cmap)# match protocol sip

指定されたプロトコルを基づいて、クラス マップの一致基準を設定します。

ステップ 5

match protocol protocol-name

 

Router(config-cmap)# match protocol tftp

指定されたプロトコルを基づいて、クラス マップの一致基準を設定します。

ステップ 6

exit

 

Router(config-cmap)# exit

クラス マップ コンフィギュレーション モードを終了します。

ステップ 7

policy-map type inspect policy-map-name

 

Router(config)# policy-map type inspect sip_policy

検査タイプ ポリシー マップを作成し、ポリシー マップ コンフィギュレーション モードを開始します。

ステップ 8

class type inspect class-map-name

 

Router(config-pmap)# class type inspect sip_class1

アクションを実行するクラスを指定し、ポリシー マップ クラス コンフィギュレーション モードを開始します。

ステップ 9

inspect

 

Router(config-pmap-c)# inspect

ステートフル パケット インスペクションをイネーブルにします。

ステップ 10

service-policy policy-map-name

 

Router(config-pmap-c)# service-policy policy_2

インターフェイスまたは仮想回線のサービス ポリシーにポリシー マップを関連付けます。

ステップ 11

class class-default

 

Router(config-pmap-c)# class class-default

これらのポリシー マップ設定が事前に定義したデフォルト クラスに適用されることを指定します。設定済みクラス マップの一致基準のいずれともトラフィックが一致しない場合、事前に定義されたデフォルト クラスに誘導されます。

ステップ 12

exit

 

Router(config-pmap-c)# exit

ポリシー マップ クラス コンフィギュレーション モードを終了します。

トラブルシューティングのヒント

SIP 対応のファイアウォール設定の問題を解決するには、次のコマンドを使用できます。

clear zone-pair

debug cce

debug ip inspect

debug policy-map type inspect

show policy-map type inspect zone-pair

show zone-pair security

Cisco ファイアウォール SIP 拡張機能:ALG の設定例

ここでは、次の例について説明します。

「Cisco ASR 1000 シリーズ ルータでのファイアウォールと SIP の設定:例」

Cisco ASR 1000 シリーズ ルータでのファイアウォールと SIP の設定:例

次に、SIP 検査をイネーブルにするように Cisco ASR 1000 シリーズ ルータを設定する例を示します。

class-map type inspect match-any c_appl
match protocol sip
match protocol tftp
 
policy-map type inspect p1
class type inspect c_appl
inspect
class class-default
 
zone security z_in
zone security z_out
 
interface fastethernet0/3/6
zone-member security z_in
interface fastethernet0/3/7
zone-member security z_out
 
zone-pair security in2out source z_in destination z_out
service-policy type inspect p1

その他の関連資料

関連マニュアル

内容
参照先

Cisco IOS XE ファイアウォール コマンド

『Cisco IOS Security Command Reference』

追加の SIP 情報

『Guide to Cisco Systems VoIP Infrastructure Solution for SIP』

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 3261

『SIP: Session Initiation Protocol』

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

Cisco ファイアウォール SIP 拡張機能:ALG に関する機能情報

表 1 に、この機能のリリース履歴を示します。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 Cisco ファイアウォール SIP 拡張機能:ALG に関する機能情報

機能名
リリース
機能情報

Cisco ファイアウォール - SIP ALG 拡張機能

Cisco IOS XE Release 2.4

この機能によって、Cisco ASR 1000 シリーズ ルータ上の Cisco IOS XE ソフトウェアに設定されたファイアウォール機能内の音声セキュリティを強化できます。

Cisco ASR 1000 シリーズ ルータでは、次のコマンドはレイヤ 7 (アプリケーション固有) 構文をサポートせずに実装されました。
class type inspect、 class-map type inspect match protocol、policy-map type inspect

T.38 Fax Relay のための Firewall-SIP ALG Enhancement

Cisco IOS XE Release 2.4.1

この機能によって、Cisco ASR 1000 シリーズ ルータ上の Cisco IOS XE ソフトウェアに設定されたファイアウォール機能を強化できます。

また、SIP ALG は T.38 Fax Relay over IP をサポートするため、Cisco ASR 1000 シリーズ ルータを通過できます。