Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
Cisco Unified Communications プロキシ 機能に関する情報
Cisco Unified Communications プロキシ機能に関する情報
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

Cisco Unified Communications プロキシ機能に関する情報

Cisco Unified Communications での適応型セキュリティ アプライアンスに関する情報

Cisco Unified Communications での TLS プロキシ アプリケーション

Cisco Unified Communications プロキシ機能のライセンス

Cisco Unified Communications プロキシ機能に関する情報

この章では、Cisco Unified Communications プロキシ機能向けに適応型セキュリティ アプライアンスを設定する方法について説明します。

この章には、次の項があります。

「Cisco Unified Communications での適応型セキュリティ アプライアンスに関する情報」

「Cisco Unified Communications での TLS プロキシ アプリケーション」

「Cisco Unified Communications プロキシ機能のライセンス」

Cisco Unified Communications での適応型セキュリティ アプライアンスに関する情報

この項では、Cisco ASA 5500 シリーズ アプライアンスでの Cisco UC プロキシ機能について説明します。プロキシの目的は、クライアントとサーバ間の接続を終端し、再発信することです。プロキシは、トラフィック検査、プロトコルとの適合性、ポリシー制御など幅広いセキュリティ機能を提供し、内部ネットワークのセキュリティを保証します。プロキシの機能として広く普及しているのが、暗号化された接続を終端して、接続の機密性を維持しながらセキュリティ ポリシーを適用する機能です。Cisco ASA 5500 シリーズ アプライアンスは、統合された通信構成にプロキシの機能を提供する戦略的なプラットフォームです。

Cisco UC Proxy には、次のソリューションが含まれます。

Phone Proxy:シスコ暗号化エンドポイントのセキュアなリモート アクセスと Cisco SoftPhone の VLAN トラバーサル

Phone Proxy 機能は、セキュアなリモート アクセスのために Cisco Secure Real-time Transport Protocol(SRTP)および Transport Layer Security(TLS)暗号化エンドポイントの終端をイネーブルにします。Phone Proxy を使用すると、大規模な VPN リモート アクセス ハードウェア構成を使用することなく、セキュアな電話を大規模に展開できます。エンドユーザのインフラストラクチャは、VPN トンネルまたはハードウェアを使用しない、単なる IP エンドポイントに制限されます。

Cisco 適応型セキュリティ アプライアンスの Phone Proxy は、Cisco Unified Phone Proxy の代わりになる製品です。また、Phone Proxy を、ソフトフォン アプリケーションの音声およびデータ VLAN トラバーサルに対して展開できます。Cisco IP Communicator(CIPC)トラフィック(メディアとシグナリングの両方)は、適応型セキュリティ アプライアンスを通じてプロキシで処理できるため、コールは音声 VLAN とデータ VLAN 間を安全に通過できます。

TLS プロキシと Phone Proxy の違いについては、次の URL で Unified Communications に関するコンテンツ(ホワイト ペーパーの『TLS Proxy vs Phone Proxy』など)を参照してください。

http://www.cisco.com/go/secureuc

TLS プロキシ:Cisco Unified Communications 暗号化シグナリングの復号化と検査

エンドツーエンド暗号化では、ネットワーク セキュリティ アプライアンスがメディアやシグナリング トラフィックに対して「盲目」になることがよくあります。これにより、アクセス コントロールや脅威回避セキュリティの機能が低下する場合があります。このように可視性が失われると、ファイアウォール機能と暗号化された音声間の相互運用性が失われ、企業では両方の主要なセキュリティ要件に対応できない状態が続く可能性があります。

適応型セキュリティ アプライアンスは、シスコ暗号化エンドポイントから Cisco Unified Communications Manager(Cisco UCM)までの暗号化されたシグナリングを代行受信して復号化し、必要な脅威回避とアクセス コントロールを適用します。また、Cisco UCM サーバへのトラフィックを再暗号化して機密性を保証することもできます。

通常、適応型セキュリティ アプライアンスの TLS プロキシ機能は、構内の統合された通信ネットワークに展開されます。このソリューションは、エンドツーエンド暗号化とファイアウォールを利用して Unified Communications Manager サーバを保護する構成に最も適しています。

モビリティ プロキシ:Cisco Unified Mobility Advantage サーバと Cisco Unified Mobile Communicator クライアント間のセキュアな接続

Cisco Unified Mobility ソリューションには、企業向け通信アプリケーションとサービスを携帯電話に拡張する、モバイル ハンドセット用の使いやすいソフトウェア アプリケーションである Cisco Unified Mobile Communicator(Cisco UMC)と Cisco Unified Mobility Advantage(Cisco UMA)サーバが含まれています。Cisco Unified Mobility ソリューションは通信のエクスペリエンスを効率化し、単一番号リーチおよびモバイル エンドポイントの Unified Communications インフラストラクチャへの統合を実現します。

セキュリティ アプライアンスはプロキシとして機能し、Cisco UMC と Cisco UMA 間の TLS シグナリングを終端し、再発信します。プロキシ セキュリティ機能の一部として、Cisco UMC と Cisco UMA 間のプロトコルである Cisco UMA Mobile Multiplexing Protocol(MMP; モバイル多重化プロトコル)に対する検査がイネーブルになります。

プレゼンス フェデレーション プロキシ:Cisco Unified Presence サーバとシスコまたは Microsoft 社のプレゼンス サーバ間のセキュアな接続

Cisco Unified Presence ソリューションは、ユーザの可用性とステータスに関する情報(ユーザが特定の時間に IP 電話などの通信デバイスを使用しているかどうかなど)を収集します。また、Web コラボレーションやビデオ会議がイネーブルになっているかどうかなど、通信機能に関する情報も収集します。Cisco Unified Presence でキャプチャされたユーザ情報を使用すると、Cisco Unified Personal Communicator や Cisco UCM などのアプリケーションで、ユーザは最も効率のよい協調的な通信方法を確認して同僚との接続を効率化できるので、生産性が向上します。

適応型セキュリティ アプライアンスをセキュア プレゼンス フェデレーション プロキシとして使用すると、企業は Cisco Unified Presence(Cisco UP)サーバをシスコまたは Microsoft 社の他のプレゼンス サーバに安全に接続し、企業間通信をイネーブルにできます。セキュリティ アプライアンスは、サーバ間の TLS 接続を終端し、サーバ間の SIP 通信に対するポリシーを検査および適用できます。

Cisco Intercompany Media Engine Proxy:異なる企業内の Cisco UCM サーバ間での IP 電話トラフィック用のセキュアな接続

統合された通信が多くの企業内で展開されるにつれ、Business-to-Business コールの両側で統合された通信が使用され、その間に Public Switched Network(PSTN)が存在するケースが一般的になりつつあります。すべての外部コールが回線を介して電話のプロバイダーに到達し、そこからすべての外部の宛先に配信されます。

Cisco Intercompany Media Engine は、ビジネス間にダイナミックで、暗号化された VoIP 接続を徐々に作成します。それにより、連携する企業の集合は、それらの間にセキュアな VoIP 相互接続を持つ 1 つの巨大なビジネスと見なすことが最終的にできるようになります。

企業内での Cisco Intercompany Media Engine 配置には、Cisco Intercompany Media Engine サーバ、コール エージェント(Cisco Unified Communications Manager)、および Cisco Intercompany Media Engine Proxy を稼動している適応型セキュリティ アプライアンスからなる 3 つのコンポーネントがあります。

適応型セキュリティ アプライアンスは、企業間のシグナリング接続を暗号化し、不正なコールを防ぐことにより、境界セキュリティを提供します。Cisco Intercompany Media Engine Proxy を稼動している適応型セキュリティ アプライアンスは、インターネット ファイアウォールとして配置することも、Cisco Intercompany Media Engine Proxy として DMZ(通常のインターネット トラフィックのパス外)に配置することもできます。

Cisco Unified Communications での TLS プロキシ アプリケーション

表 43-1 に、適応型セキュリティ アプライアンスで TLS プロキシを使用する Cisco Unified Communications アプリケーションを示します。

 

表 43-1 TLS プロキシ アプリケーションおよびセキュリティ アプライアンス

アプリケーション
TLS クライアント
TLS サーバ
クライアント認証
セキュリティ アプライアンス サーバの役割
セキュリティ アプライアンス クライアントの役割

Phone Proxy および TLS プロキシ

IP 電話

Cisco UCM

あり

自己署名したまたは内部 CA によるプロキシ証明書

適応型セキュリティ アプライアンス CA によって署名されたローカル ダイナミック証明書(Phone Proxy アプリケーションには証明書は不要な場合がある)

モビリティ プロキシ

Cisco UMC

Cisco UMA

なし

Cisco UMA 秘密キーまたは証明書偽装の使用

任意のスタティックな設定済み証明書

プレゼンス フェデレーション プロキシ

Cisco UP または MS LCS/OCS

Cisco UP または MS LCS/OCS

あり

自己署名したまたは内部 CA によるプロキシ証明書

Cisco UP 秘密キーまたは証明書偽装の使用

適応型セキュリティ アプライアンスは、さまざまな音声アプリケーションに対して TLS プロキシをサポートします。Phone Proxy の場合、適応型セキュリティ アプライアンスで実行中の TLS プロキシには、次の主要な機能があります。

適応型セキュリティ アプライアンスは、Cisco UCM クラスタがノンセキュア モードであっても、インターネットを介して Phone Proxy に接続しているリモートの IP 電話を、強制的にセキュア モードにする。

TLS プロキシは適応型セキュリティ アプライアンスに実装されて、IP 電話からの TLS シグナリングを代行受信する。

TLS プロキシはパケットを復号化し、NAT リライトおよびプロトコルへの適合性を行う検査エンジンにパケットを送信する。また、オプションでパケットを暗号化し、それらのパケットを Cisco UCM に送信するか、IP 電話が Cisco UCM でノンセキュア モードになるよう設定されている場合はクリア テキストでパケットを送信することもできます。

適応型セキュリティ アプライアンスは、必要に応じてメディア ターミネータとして機能し、SRTP および Real-time Transport Protocol(RTP)メディア ストリーム間で変換を行う。

TLS プロキシは、TLS クライアント、プロキシ(適応型セキュリティ アプライアンス)、および TLS サーバ間で信頼できる関係を確立することで動作する透過的なプロキシである。

Cisco Unified Mobility ソリューションでは、TLS クライアントは Cisco UMA クライアントになり、TLS サーバは Cisco UMA サーバになります。適応型セキュリティ アプライアンスは、Cisco UMA クライアントと Cisco UMA サーバの間にあります。(TLS プロキシとして実装された)Cisco Unified Mobility のモビリティ プロキシでは、クライアントとのハンドシェイク中にサーバ プロキシに対してインポートされた PKCS-12 証明書を使用できます。ハンドシェイク中、Cisco UMA クライアントは証明書(クライアント証明書ではない)を提示する必要はありません。

Cisco Unified Presence ソリューションでは、適応型セキュリティ アプライアンスは、Cisco UP サーバと外部サーバ間の TLS プロキシとして機能します。これにより、適応型セキュリティ アプライアンスは、TLS 接続を開始したサーバの代わりに TLS メッセージをプロキシ処理し、プロキシ処理した TLS メッセージをクライアントにルーティングします。適応型セキュリティ アプライアンスは、サーバとクライアントの証明書トラストポイントを保存し、これらの証明書を TLS セッションの確立時に提示します。

Cisco Unified Communications プロキシ機能のライセンス

適応型セキュリティ アプライアンスでサポートされる Cisco Unified Communications プロキシ機能には、次の Unified Communications Proxy ライセンスが必要です。

Phone Proxy

暗号化音声検査の TLS プロキシ

プレゼンス フェデレーション プロキシ

Intercompany Media Engine Proxy


) バージョン 8.2(2) 以降では、Mobility Advantage Proxy に Unified Communications Proxy ライセンスは必要ありません。


次の表に、Phone Proxy、暗号化音声検査の TLS プロキシ、およびプレゼンス フェデレーション プロキシの Unified Communications Proxy ライセンスの詳細をプラットフォーム別に示します。

 

モデル
ライセンス要件

ASA 5505

基本ライセンスと Security Plus ライセンス:2 セッション1

オプション ライセンス:24 セッション。

ASA 5510

基本ライセンスと Security Plus ライセンス:2 セッション1

オプション ライセンス:24、50、または 100 セッション。

ASA 5520

基本ライセンス:2 セッション1

オプション ライセンス:24、50、100、250、500、750、または 1000 セッション。

ASA 5540

基本ライセンス:2 セッション1

オプション ライセンス:24、50、100、250、500、750、1000、または 2000 セッション。

ASA 5550

基本ライセンス:2 セッション1

オプション ライセンス:24、50、100、250、500、750、1000、2000、または 3000 セッション。

ASA 5580

基本ライセンス:2 セッション1

オプション ライセンス:24、50、100、250、500、750、1000、2000、3000、5000、または 10,000 セッション。2

1.Phone Proxy、Presence Federation Proxy、および Encrypted Voice Inspection アプリケーションでは、それらの接続に TLS プロキシ セッションが使用されます。各 TLS プロキシ セッションは、UC ライセンスの制限に対してカウントされます。これらのアプリケーションは、すべて UC Proxy として包括的にライセンスされるので、混在させたり、組み合せたりできます。アプリケーションによっては、1 つの接続に複数のセッションを使用する場合があります。たとえば、プライマリとバックアップの Cisco Unified Communications Manager で電話機を設定する場合、2 つの TLS プロキシ接続が存在し、そのため 2 つの UC Proxy セッションが使用されます。

:Mobility Advantage Proxy は、ライセンスを必要とせず、その TLS プロキシ セッションは UC ライセンス制限に対してカウントされません。

使用可能な UC セッションの最大数も TLS プロキシ セッション制限に依存します。
- 「K8」で終わるライセンス製品番号の場合(250 ユーザ未満のライセンスなど)、TLS プロキシ セッションは 1000 までに制限されます。
- 「K9」で終わるライセンス製品番号の場合(250 ユーザ以上のライセンスなど)、TLS プロキシ制限は、使用する設定とプラットフォーム モデルに依存します。TLS プロキシの制限を設定するには、tls-proxy maximum-sessions コマンドを使用します。モデルの制限を表示するには、tls-proxy maximum-sessions ? コマンドを入力します。

:K8 および K9 は、ライセンスのエクスポートが制限されているかどうかを示します。K8 は制限なし、K9 は制限ありです。

接続に SRTP 暗号化セッションを使用することもできます。
- K8 ライセンスでは、SRTP セッション数は 250 までに制限されます。
- K9 ライセンスに制限はありません。

:SRTP の制限に対してカウントされるのは、メディアの暗号化または復号化が必要なコールだけです。コールにパススルーが設定されている場合は、両方のコール レッグが SRTP であっても、制限に対するカウントは行われません。

2.10,000 セッション ライセンスの場合、組み合せたセッション数は合計 10,000 までですが、Phone Proxy セッションの最大数は 5000 です。

表 43-2 に、TLS セッションのデフォルト数と最大数の詳細をプラットフォーム別に示します。

 

表 43-2 セキュリティ アプライアンス上での TLS セッションのデフォルト数と最大数

セキュリティ アプライアンス プラットフォーム
TLS セッションのデフォルト数
TLS セッションの最大数

ASA 5505

10

80

ASA 5510

100

200

ASA 5520

300

1200

ASA 5540

1000

4500

ASA 5550

2000

4500

ASA 5580

4000

13,000

次の表に、Intercompany Media Engine Proxy の Unified Communications Proxy ライセンスの詳細をプラットフォーム別に示します。

 

モデル
ライセンス要件

すべてのモデル

Intercompany Media Engine ライセンス

Intercompany Media Engine(IME)ライセンスをイネーブルにすると、TLS プロキシ セッションをプラットフォームの制限数まで使用できます。Unified Communications(UC)ライセンスもインストールすると、UC で使用できるセッションは IME セッションでも使用可能になります。たとえば、プラットフォームの制限が 1000 TLS プロキシ セッションの場合、750 セッションの UC ライセンスを購入すると、最初の 250 IME セッションまでは、UC に使用可能なセッション数に影響を与えません。IME に 250 を超えるセッションが必要になると、プラットフォームの制限の残りの 750 セッションが UC と IME によって先着順に使用されます。

使用可能な IME セッションの最大数は、TLS プロキシ セッション制限に依存します。

「K8」で終わるライセンス製品番号の場合、TLS プロキシ セッションは 1000 までに制限されます。

「K9」で終わるライセンス製品番号の場合、TLS プロキシ制限は、使用する設定とプラットフォーム モデルに依存します。TLS プロキシの制限を設定するには、 tls-proxy maximum-sessions コマンドを使用します。モデルの制限を表示するには、 tls-proxy maximum-sessions ? コマンドを入力します。

(注) K8 と K9 は、エクスポートについてそのライセンスが制限されるかどうかを示します。K8 は制限されず、K9 は制限されます。

接続には、SRTP 暗号化セッションを使用する場合もあります。

K8 ライセンスの場合、SRTP セッションは 250 までに制限されます。

K9 ライセンスの場合、制限はありません。

(注) メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。

ライセンスの詳細については、「機能のライセンスの管理」を参照してください。