Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
Cisco Unified Communications プロキシ 機能に関する情報
Cisco Unified Communications プロキシ機能に関する情報
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

Cisco Unified Communications プロキシ機能に関する情報

Cisco Unified Communications での適応型セキュリティ アプライアンスに関する情報

Cisco Unified Communications での TLS プロキシ アプリケーション

Cisco Unified Communications プロキシ機能のライセンス

Cisco Unified Communications プロキシ機能に関する情報

この章では、Cisco Unified Communications プロキシ機能向けに適応型セキュリティ アプライアンスを設定する方法について説明します。

この章には、次の項があります。

「Cisco Unified Communications での適応型セキュリティ アプライアンスに関する情報」

「Cisco Unified Communications での TLS プロキシ アプリケーション」

「Cisco Unified Communications プロキシ機能のライセンス」

Cisco Unified Communications での適応型セキュリティ アプライアンスに関する情報

この項では、Cisco ASA 5500 シリーズ アプライアンスでの Cisco UC プロキシ機能について説明します。プロキシの目的は、クライアントとサーバ間の接続を終端し、再発信することです。プロキシは、トラフィック検査、プロトコルとの適合性、ポリシー制御など幅広いセキュリティ機能を提供し、内部ネットワークのセキュリティを保証します。プロキシの機能として広く普及しているのが、暗号化された接続を終端して、接続の機密性を維持しながらセキュリティ ポリシーを適用する機能です。Cisco ASA 5500 シリーズ アプライアンスは、統合された通信構成にプロキシの機能を提供する戦略的なプラットフォームです。

Cisco UC Proxy には、次のソリューションが含まれます。

Phone Proxy:シスコ暗号化エンドポイントのセキュアなリモート アクセスと Cisco SoftPhone の Virtual LAN(VLAN; バーチャル LAN)トラバーサル

Phone Proxy 機能は、セキュアなリモート アクセスのために Cisco Secure Real-time Transport Protocol(SRTP)および Transport Layer Security(TLS)暗号化エンドポイントの終端をイネーブルにします。Phone Proxy を使用すると、大規模な Virtual Private Network(VPN; バーチャル プライベート ネットワーク)リモート アクセス ハードウェア構成を使用することなく、セキュアな電話を大規模に展開できます。エンドユーザのインフラストラクチャは、VPN トンネルまたはハードウェアを使用しない、単なる IP エンドポイントに制限されます。

Cisco 適応型セキュリティ アプライアンスの Phone Proxy は、Cisco Unified Phone Proxy の代わりになる製品です。また、Phone Proxy を、ソフトフォン アプリケーションの音声およびデータ VLAN トラバーサルに対して展開できます。Cisco IP Communicator(CIPC)トラフィック(メディアとシグナリングの両方)は、適応型セキュリティ アプライアンスを通じてプロキシで処理できるため、コールは音声 VLAN とデータ VLAN 間を安全に通過できます。

TLS プロキシと Phone Proxy の違いについては、次の URL で Unified Communications に関する内容を参照してください。『TLS Proxy vs Phone Proxy』 ホワイト ペーパーもあります。

http://www.cisco.com/go/secureuc

TLS プロキシ:Cisco Unified Communications 暗号化シグナリングの復号化と検査

エンドツーエンド暗号化では、ネットワーク セキュリティ アプライアンスがメディアやシグナリング トラフィックに対して「盲目」になることがよくあります。これにより、アクセス コントロールや脅威回避セキュリティの機能が低下する場合があります。このように可視性が失われると、ファイアウォール機能と暗号化された音声間の相互運用性が失われ、企業では両方の主要なセキュリティ要件に対応できない状態が続く可能性があります。

適応型セキュリティ アプライアンスは、シスコ暗号化エンドポイントから Cisco Unified Communications Manager(Cisco UCM)までの暗号化されたシグナリングを代行受信して復号化し、必要な脅威回避とアクセス コントロールを適用します。また、Cisco UCM サーバへのトラフィックを再暗号化して機密性を保証することもできます。

通常、適応型セキュリティ アプライアンスの TLS プロキシ機能は、構内の統合された通信ネットワークに展開されます。このソリューションは、エンドツーエンド暗号化とファイアウォールを利用して Unified Communications Manager サーバを保護する構成に最も適しています。

モビリティ プロキシ:Cisco Unified Mobility Advantage サーバと Cisco Unified Mobile Communicator クライアント間のセキュアな接続

Cisco Unified Mobility ソリューションには、企業向け通信アプリケーションとサービスを携帯電話に拡張する、モバイル ハンドセット用の使いやすいソフトウェア アプリケーションである Cisco Unified Mobile Communicator(Cisco UMC)と Cisco Unified Mobility Advantage(Cisco UMA)サーバが含まれています。Cisco Unified Mobility ソリューションは通信のエクスペリエンスを効率化し、単一番号リーチおよびモバイル エンドポイントの Unified Communications インフラストラクチャへの統合を実現します。

セキュリティ アプライアンスはプロキシとして機能し、Cisco UMC と Cisco UMA 間の TLS シグナリングを終端し、再発信します。プロキシ セキュリティ機能の一部として、Cisco UMC と Cisco UMA 間のプロトコルである Cisco UMA Mobile Multiplexing Protocol(MMP; モバイル多重化プロトコル)に対する検査がイネーブルになります。

プレゼンス フェデレーション プロキシ:Cisco Unified Presence サーバとシスコまたは Microsoft のプレゼンス サーバ間のセキュアな接続

Cisco Unified Presence ソリューションは、ユーザの可用性とステータスに関する情報(ユーザが特定の時間に IP 電話などの通信デバイスを使用しているかどうかなど)を収集します。また、Web コラボレーションやビデオ会議がイネーブルになっているかどうかなど、通信機能に関する情報も収集します。Cisco Unified Presence でキャプチャされたユーザ情報を使用すると、Cisco Unified Personal Communicator や Cisco UCM などのアプリケーションで、ユーザは最も効率のよい協調的な通信方法を確認して同僚との接続を効率化できるので、生産性が向上します。

適応型セキュリティ アプライアンスをセキュア プレゼンス フェデレーション プロキシとして使用すると、企業は Cisco Unified Presence(Cisco UP)サーバをシスコまたは Microsoft の他のプレゼンス サーバに安全に接続し、企業間通信をイネーブルにできます。セキュリティ アプライアンスは、サーバ間の TLS 接続を終端し、サーバ間の Session Initiation Protocol(SIP; セッション開始プロトコル)通信に対するポリシーを検査および適用できます。

Cisco Unified Communications での TLS プロキシ アプリケーション

表 45-1 に、適応型セキュリティ アプライアンスで TLS プロキシを使用する Cisco Unified Communications アプリケーションを示します。

 

表 45-1 TLS プロキシ アプリケーションおよびセキュリティ アプライアンス

アプリケーション
TLS クライアント
TLS サーバ
クライアント認証
セキュリティ アプライアンス サーバの役割
セキュリティ アプライアンス クライアントの役割

Phone Proxy および TLS プロキシ

IP 電話

Cisco UCM

あり

自己署名したまたは内部 CA によるプロキシ証明書

適応型セキュリティ アプライアンス CA によって署名されたローカル ダイナミック証明書(Phone Proxy アプリケーションには証明書は不要な場合がある)

モビリティ プロキシ

Cisco UMC

Cisco UMA

なし

Cisco UMA 秘密キーまたは証明書偽装の使用

任意のスタティックな設定済み証明書

プレゼンス フェデレーション プロキシ

Cisco UP または MS LCS/OCS

Cisco UP または MS LCS/OCS

あり

自己署名したまたは内部 CA によるプロキシ証明書

Cisco UP 秘密キーまたは証明書偽装の使用

適応型セキュリティ アプライアンスは、さまざまな音声アプリケーションに対して TLS プロキシをサポートします。Phone Proxy の場合、適応型セキュリティ アプライアンスで実行中の TLS プロキシには、次の主要な機能があります。

適応型セキュリティ アプライアンスは、Cisco UCM クラスタがノンセキュア モードであっても、インターネットを介して Phone Proxy に接続しているリモートの IP 電話を、強制的にセキュア モードにする。

TLS プロキシは適応型セキュリティ アプライアンスに実装されて、IP 電話からの TLS シグナリングを代行受信する。

TLS プロキシはパケットを復号化し、NAT リライトおよびプロトコルへの適合性を行う検査エンジンにパケットを送信する。また、オプションでパケットを暗号化し、それらのパケットを Cisco UCM に送信するか、IP 電話が Cisco UCM でノンセキュア モードになるよう設定されている場合はクリア テキストでパケットを送信することもできます。

適応型セキュリティ アプライアンスは、必要に応じてメディア ターミネータとして機能し、SRTP および Real-time Transport Protocol(RTP)メディア ストリーム間で変換を行う。

TLS プロキシは、TLS クライアント、プロキシ(適応型セキュリティ アプライアンス)、および TLS サーバ間で信頼できる関係を確立することで動作する透過的なプロキシである。

Cisco Unified Mobility ソリューションでは、TLS クライアントは Cisco UMA クライアントになり、TLS サーバは Cisco UMA サーバになります。適応型セキュリティ アプライアンスは、Cisco UMA クライアントと Cisco UMA サーバの間にあります。(TLS プロキシとして実装された)Cisco Unified Mobility のモビリティ プロキシでは、クライアントとのハンドシェイク中にサーバ プロキシに対してインポートされた PKCS-12 証明書を使用できます。ハンドシェイク中、Cisco UMA クライアントは証明書(クライアント証明書ではない)を提示する必要はありません。

Cisco Unified Presence ソリューションでは、適応型セキュリティ アプライアンスは、Cisco UP サーバと外部サーバ間の TLS プロキシとして機能します。これにより、適応型セキュリティ アプライアンスは、TLS 接続を開始したサーバの代わりに TLS メッセージをプロキシ処理し、プロキシ処理した TLS メッセージをクライアントにルーティングします。適応型セキュリティ アプライアンスは、サーバとクライアントの証明書トラストポイントを保存し、これらの証明書を TLS セッションの確立時に提示します。

Cisco Unified Communications プロキシ機能のライセンス

適応型セキュリティ アプライアンスでサポートされる Cisco Unified Communications プロキシ機能には、次の Unified Communications Proxy ライセンスが必要です。

Phone Proxy

暗号化音声検査の TLS プロキシ

モビリティ プロキシ

プレゼンス フェデレーション プロキシ

Unified Communications プロキシ機能は、TLS セッションによってライセンスされます。Phone Proxy または TLS プロキシでは、各 IP 電話が、Cisco UCM サーバに対する 1 つの接続を持つ場合と、2 つ(プライマリ Cisco UCM およびバックアップ Cisco UCM に対して 1 つずつ)の接続を持つ場合があります。後者の場合、2 つの TLS セッションがセットアップされるため、Phone Proxy では 2 つの Unified Communications Proxy セッションを使用します。モビリティ プロキシとプレゼンス フェデレーション プロキシでは、各エンドポイントは 1 つの Unified Communications Proxy セッションを使用します。

表 45-2 に、Unified Communications Proxy ライセンス詳細をプラットフォームごとに示します。

 

表 45-2 セキュリティ アプライアンスのライセンス要件

セキュリティ アプライアンス プラットフォーム
最大 UC Proxy ライセンス
UC Proxy ライセンスの段階

ASA 5505

24

24

ASA 5510

100

24, 50, 100

ASA 5520

1,000

24, 50, 100, 250, 500, 750, 1000

ASA 5540

2,000

24, 50, 100, 250, 500, 750, 1000, 2000

ASA 5550

3,000

24, 50, 100, 250, 500, 750, 1000, 2000, 3000

Unified Communications Proxy ライセンスは、 activation-key コマンドを使用して、他のライセンス機能(SSL VPN など)と同様に適用します。適応型セキュリティ アプライアンスでライセンスを確認するには、 show version コマンドまたは show activation-key コマンドを次のように使用します。

hostname# show activation-key
Serial Number: P3000000179
Running Activation Key: 0xa700d24c 0x98caab35 0x88038550 0xaf383078 0x02382080
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 150
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 10
GTP/GPRS : Enabled
VPN Peers : 750
WebVPN Peers : 750
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Enabled
UC Proxy Sessions : 1000
This platform has an ASA 5520 VPN Plus license.
 
The flash activation key is the SAME as the running key.
hostname#
 

ライセンスの追加情報については、次のリンクを参照してください。Cisco.com の登録ユーザの場合、Unified Communications Proxy ライセンスを入手するには、次の Web サイトにアクセスしてください。

http://www.cisco.com/go/license

Cisco.com の登録ユーザでない場合は、次の Web サイトにアクセスしてください。

https://tools.cisco.com/SWIFT/Licensing/RegistrationServlet

姓名、電子メール アドレス、および show version コマンド出力で表示される適応型セキュリティ アプライアンスのシリアル番号を入力してください。