SIP トランク セキュリティ プロファイルの設定
SIP トランク セキュリティ プロファイルの設定

SIP トランク セキュリティ プロファイルの設定

この章では、SIP トランク セキュリティ プロファイルの設定について説明します。

SIP トランク セキュリティ プロファイルの設定について

Cisco Unified Communications Manager の管理ページでは、SIP トランクのセキュリティ関連設定をグループ化し、単一のセキュリティ プロファイルとして複数の SIP トランクに割り当てることができます。 セキュリティに関連する設定には、デバイス セキュリティ モード、ダイジェスト認証、および着信/発信転送タイプの設定があります。 設定した値を SIP トランクに適用するには、[トランクの設定(Trunk Configuration)] ウィンドウでセキュリティ プロファイルを選択します。

Cisco Unified Communications Manager をインストールすると、事前定義された非セキュアの SIP トランク セキュリティ プロファイルが自動登録用に作成されます。 SIP トランクのセキュリティ機能を有効にするには、新しいセキュリティ プロファイルを設定し、SIP トランクに適用します。 トランクがセキュリティをサポートしていない場合は、非セキュア プロファイルを選択します。

SIP トランクがサポートするセキュリティ機能だけが、セキュリティ プロファイル設定ウィンドウに表示されます。

SIP トランク セキュリティ プロファイルの設定のヒント

Cisco Unified Communications Manager の管理ページで SIP トランク セキュリティ プロファイルを設定する場合は、次の点を考慮してください。

  • SIP トランクを設定する場合は、[トランクの設定(Trunk Configuration)] ウィンドウでセキュリティ プロファイルを選択する必要があります。 デバイスがセキュリティをサポートしていない場合は、非セキュア プロファイルを適用します。

  • 現在デバイスに割り当てられているセキュリティ プロファイルを削除することはできません。

  • すでに SIP トランクに割り当てられているセキュリティ プロファイルの設定を変更すると、再構成した設定が、そのプロファイルを割り当てられているすべての SIP トランクに適用されます。

  • デバイスに割り当てられているセキュリティ ファイルの名前を変更できます。 古いプロファイル名および設定を割り当てられている SIP トランクは、新しいプロファイル名および設定を受け入れます。

  • Cisco Unified Communications Manager 5.0 以降へのアップグレード前にデバイス セキュリティ モードを設定した場合、Cisco Unified Communications Manager は、SIP トランクのプロファイルを作成し、そのプロファイルをデバイスに適用します。

SIP トランク セキュリティ プロファイルの検索

SIP トランク セキュリティ プロファイルを検索するには、次の手順を実行します。

手順
    ステップ 1   [システム(System)] > [セキュリティプロファイル(Security Profile)] > [SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] の順に選択します。

    検索/一覧表示ウィンドウが表示されます。 ウィンドウには、アクティブな(前の)クエリーのレコードが表示される場合もあります。

    ステップ 2   データベース内のすべてのレコードを検索するには、ダイアログボックスが空になっていることを確認し、ステップ 3 に進みます。

    レコードをフィルタリングまたは検索するには、次の手順を実行します。

    1. ドロップダウン リスト ボックスから、検索パラメータを選択します。
    2. 2 番めのドロップダウン リスト ボックスから検索パターンを選択します。
    3. 必要に応じて、適切な検索テキストを指定します。
      (注)     

      別の検索条件を追加するには、[+] ボタンをクリックします。 条件を追加した場合は、指定したすべての条件に一致するレコードが検索されます。 条件を削除するには、[-] ボタンをクリックして、最後に追加された条件を削除するか、または [フィルタのクリア(Clear Filter)] ボタンをクリックして、追加されたすべての検索条件を削除します。

    ステップ 3   [検索(Find)] をクリックします。

    一致するすべてのレコードが表示されます。 [ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。

    ステップ 4   表示されたレコード リストから、目的のレコードのリンクをクリックします。
    (注)     

    ソート順を逆にするには、リストのヘッダーにある上矢印または下矢印をクリックします(使用可能な場合)。

    選択した項目がウィンドウに表示されます。


    SIP トランク セキュリティ プロファイルの設定

    SIP トランク セキュリティ プロファイルを追加、更新、またはコピーするには、次の手順を実行します。

    手順
      ステップ 1   Cisco Unified Communications Manager の管理ページで、[システム(System)] > [セキュリティプロファイル(Security Profile)] > [SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] の順に選択します。
      ステップ 2   次のいずれかの手順を実行します。
      1. 新しいプロファイルを追加するには、[検索(Find)] ウィンドウで [新規追加(Add New)] をクリックします

        (プロファイルを表示してから、[新規追加(Add New)] をクリックします)。

        設定ウィンドウに各フィールドのデフォルト設定が表示されます。

      2. 既存のセキュリティ プロファイルをコピーするには、適切なプロファイルを見つけ、[コピー(Copy)] 列内にあるそのレコードの [コピー(Copy)] アイコンをクリックします

        (プロファイルを表示してから、[コピー(Copy)] をクリックします)。

        設定ウィンドウに設定済みの値が表示されます。

      3. 既存のプロファイルを更新するには、SIP トランク セキュリティ プロファイルの検索の説明に従い、適切なセキュリティ プロファイルを見つけて表示します。

        設定ウィンドウが表示され、現在の設定が示されます。

      ステップ 3   適切な設定値を入力します(表 1を参照)。
      ステップ 4   [保存(Save)] をクリックします。

      次の作業

      セキュリティ プロファイルを作成した後、それをトランクに適用します。

      SIP トランクにダイジェスト認証を設定した場合は、トランクの [SIPレルム(SIP Realm)] ウィンドウと、SIP トランクを介して接続されるアプリケーションの [アプリケーションユーザ(Application User)] ウィンドウで、ダイジェスト信用証明書を設定する必要があります(まだ設定していない場合)。

      SIP トランクを介して接続されるアプリケーションのアプリケーションレベル許可を有効にした場合は、[アプリケーションユーザ(Application User)] ウィンドウで、そのアプリケーションに許可される方式を設定する必要があります(まだ設定していない場合)。

      SIP トランク セキュリティ プロファイルの設定項目

      次の表に、SIP トランク セキュリティ プロファイルの設定項目の説明を示します。

      表 1 SIP トランク セキュリティ プロファイルの設定項目

      設定項目

      説明

      [名前(Name)]

      セキュリティ プロファイルの名前を入力します。 新しいプロファイルを保存すると、[トランクの設定(Trunk Configuration)] ウィンドウの [SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] ドロップダウン リスト ボックスに名前が表示されます。

      [説明(Description)]

      セキュリティ プロファイルの説明を入力します。 説明には、任意の言語で最大 50 文字を指定できますが、二重引用符(")、パーセント記号(%)、アンパサンド(&)、バックスラッシュ(\)、山カッコ(<>)は使用できません。

      [デバイスセキュリティモード(Device Security Mode)]

      ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。

      • [非セキュア(Non Secure)]:イメージ認証以外のセキュリティ機能を適用しません。 TCP または UDP 接続が Cisco Unified Communications Manager に対して開きます。
      • [認証のみ(Authenticated)]Cisco Unified Communications Manager はトランクの整合性と認証を提供します。 NULL/SHA を使用する TLS 接続を開始します。
      • [暗号化済(Encrypted)]Cisco Unified Communications Manager は、トランクの整合性、認証、およびシグナリング暗号化を提供します。 シグナリング用に、AES128/SHA を使用する TLS 接続を開始します。

      [着信転送タイプ(Incoming Transport Type)]

      [デバイスセキュリティモード(Device Security Mode)] が [非セキュア(Non Secure)] である場合、[TCP+UDP] が転送タイプとなります。

      [デバイスセキュリティモード(Device Security Mode)] が [認証のみ(Authenticated)] または [暗号化(Encrypted)] である場合、[TLS] が転送タイプとなります。

      (注)     

      Transport Layer Security(TLS)プロトコルによって、Cisco Unified Communications Manager とトランクとの間の接続が保護されます。

      [発信転送タイプ(Outgoing Transport Type)]

      ドロップダウン リスト ボックスから、発信転送モードを選択します。

      [デバイスセキュリティモード(Device Security Mode)] が [非セキュア(Non Secure)] である場合、[TCP] または [UDP] を選択します。

      [デバイスセキュリティモード(Device Security Mode)] が [認証のみ(Authenticated)] または [暗号化(Encrypted)] である場合、[TLS] が転送タイプとなります。

      (注)     

      TLS は、SIP トランクのシグナリング整合性、デバイス認証、およびシグナリング暗号化を実現します。

      ヒント   

      TCP 接続の再利用をサポートしていない Cisco Unified Communications Manager システムと IOS ゲートウェイの間で SIP トランクを接続する場合は、発信転送タイプとして UDP を使用する必要があります。 詳細については、『Cisco Unified Communications Manager System Guide』の「Session Initiation Protocol(SIP)の概要」を参照してください。

      [ダイジェスト認証を有効化(Enable Digest Authentication)]

      ダイジェスト認証を有効にするには、このチェックボックスをオンにします。 このチェックボックスをオンにすると、Cisco Unified Communications Manager は、トランクからのすべての SIP 要求でチャレンジを行います。

      ダイジェスト認証は、デバイス認証、整合性、および信頼性を提供しません。 これらの機能を使用するには、セキュリティ モード [認証のみ(Authenticated)] または [暗号化(Encrypted)] を選択します。

      ヒント   

      TCP 転送または UDP 転送を使用しているトランク上の SIP トランク ユーザを認証するには、ダイジェスト認証を使用してください。

      [ナンス確認時間(Nonce Validity Time)]

      ナンス値が有効な時間を秒単位で入力します。 デフォルト値は 600(10 分)です。 この期限が切れると、Cisco Unified Communications Manager は新しい値を生成します。

      (注)     

      ナンス値は、ダイジェスト認証をサポートするランダム値で、ダイジェスト認証パスワードの MD5 ハッシュの計算に使用されます。

      [X.509のサブジェクト名(X.509 Subject Name)]

      このフィールドは、[着信転送タイプ(Incoming Transport Type)] および [発信転送タイプ(Outgoing Transport Type)] に TLS を設定した場合に適用されます。

      デバイス認証のために、SIP トランク デバイスの X.509 証明書のサブジェクト名を入力します。 Cisco Unified Communications Manager クラスタがある場合、または TLS ピアに対して SRV ルックアップを使用する場合、単一のトランクが複数のホストに解決されることがあります。その結果、トランクに複数の X.509 のサブジェクト名が設定されます。 複数の X.509 のサブジェクト名がある場合は、スペース、カンマ、セミコロン、コロンのいずれか 1 つを使用して、名前を区切ります。

      このフィールドには、4096 文字まで入力できます。

      ヒント   

      サブジェクト名は、送信元接続の TLS 証明書に対応します。 サブジェクト名が、サブジェクト名とポートで一意であることを確認してください。 同じサブジェクト名と着信ポートの組み合わせを、異なる SIP トランクに割り当てることはできません。例:ポート 5061 の SIP TLS trunk1 の [X.509のサブジェクト名(X.509 Subject Names)] は、my_cm1, my_cm2 です。 ポート 5071 の SIP TLS trunk2 の [X.509のサブジェクト名(X.509 Subject Names)] は、my_cm2, my_cm3 です。 この場合、ポート 5061 の SIP TLS trunk3 の [X.509のサブジェクト名(X.509 Subject Names)] は my_ccm4 にできますが、my_cm1 にはできません。

      [着信ポート(Incoming Port)]

      着信ポートを選択します。 0 ~ 65535 の一意のポート番号を入力します。 着信 TCP および UDP の SIP メッセージのデフォルト ポート値は、5060 です。 着信 TLS メッセージの保護されたデフォルト SIP ポートは、5061 です。 入力した値は、このプロファイルを使用するすべての SIP トランクに適用されます。

      ヒント   

      TLS を使用するすべての SIP トランクが、同じ着信ポートを共有できます。[TCP + UDP] を使用するすべての SIP トランクが、同じ着信ポートを共有できます。 同じポートで、TLS の SIP 転送トランクと、TLS 以外の SIP 転送トランク タイプを混合することはできません。

      [アプリケーションレベル認証を有効化(Enable Application Level Authorization)]

      アプリケーションレベルの許可は、SIP トランクを介して接続されるアプリケーションに適用されます。

      このチェックボックスをオンにする場合は、[ダイジェスト認証を有効化(Enable Digest Authentication)] チェックボックスもオンにし、トランクのダイジェスト認証を設定する必要があります。 Cisco Unified Communications Manager は、許可されているアプリケーション方式を確認する前に、SIP アプリケーション ユーザを認証します。

      アプリケーション レベルの許可が有効な場合は、まずトランクレベルの許可が発生してから、アプリケーション レベルの許可が発生します。つまり、Cisco Unified Communications Manager は、[アプリケーションユーザの設定(Application User Configuration)] ウィンドウで SIP アプリケーション ユーザに許可されている方式よりも先に、(このセキュリティ プロファイルで)トランクに許可されている方式を確認します。

      ヒント   

      アプリケーションの ID を信頼しない場合、またはアプリケーションが特定のトランクで信頼されていない場合は、アプリケーションレベルの許可の使用を検討してください。アプリケーション要求は、予期しないトランクから着信することがあります。

      [アプリケーションユーザの設定(Application User Configuration)] ウィンドウでアプリケーション レベルの許可を設定する方法の詳細については、『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。

      [プレゼンスのSUBSCRIBEの許可(Accept Presence Subscription)]

      Cisco Unified Communications Manager が SIP トランク経由で着信するプレゼンス サブスクリプション要求を受け付けるようにする場合は、このチェックボックスをオンにします。

      [アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)] ウィンドウに移動し、この機能について許可するアプリケーション ユーザの [プレゼンスのSUBSCRIBEの許可(Accept Presence Subscription)] チェックボックスをオンにします。

      アプリケーションレベルの許可が有効で、アプリケーション ユーザの [プレゼンスのSUBSCRIBEの許可(Accept Presence Subscription)] チェックボックスがオンで、トランクのチェックボックスがオフの場合、トランクに接続されている SIP ユーザ エージェントに 403 エラー メッセージが送信されます。

      [Out-of-Dialog REFERの許可(Accept Out-of-Dialog Refer)]

      Cisco Unified Communications Manager が SIP トランク経由で着信する非インバイトの Out-of-Dialog REFER 要求を受け付けるようにする場合は、このチェックボックスをオンにします。

      [アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)] ウィンドウに移動し、この方式について許可するアプリケーション ユーザの [Out-of-Dialog REFERの許可(Accept Out-of-Dialog Refer)] チェックボックスをオンにします。

      [Unsolicited NOTIFYの許可(Accept Unsolicited Notification)]

      Cisco Unified Communications Manager が SIP トランク経由で着信する非インバイトの Unsolicited NOTIFY メッセージを受け付けるようにする場合は、このチェックボックスをオンにします。

      [アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)] ウィンドウに移動し、この方式について許可するアプリケーション ユーザの [Unsolicited NOTIFYの許可(Accept Unsolicited Notification)] チェックボックスをオンにします。

      [Replacesヘッダーの許可(Accept Replaces Header)]

      Cisco Unified Communications Manager が既存の SIP ダイアログを置き換える新しい SIP ダイアログを受け付けるようにする場合は、このチェックボックスをオンにします。

      [アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)] ウィンドウに移動し、この方式について許可するアプリケーション ユーザの [Replacesヘッダーの許可(Accept Header Replacement)] チェックボックスをオンにします。

      [セキュリティステータスの送信(Transmit Security Status)]

      Cisco Unified Communications Manager が、関連付けられた SIP トランクから SIP ピアにコールのセキュリティ アイコン ステータスを送信するようにする場合は、このチェックボックスをオンにします。

      デフォルトでは、このチェックボックスはオフになっています。

      [SIP V.150アウトバウンドSDPオファーのフィルタリング(SIP V.150 Outbound SDP Offer Filtering)]

      ドロップダウン リスト ボックスから、次のいずれかのフィルタ オプションを選択します。

      • [デフォルトのフィルタを使用(Use Default Filter)]:SIP トランクは、SIP V.150 Outbound SDP Offer Filtering サービス パラメータで示されるデフォルトのフィルタを使用します。 サービス パラメータを見つけるには、Cisco Unified Communications Manager の管理ページで、[システム(System)] > [サービスパラメータ(Service Parameters)] > [クラスタ全体のパラメータ(デバイス-SIP)(Clusterwide Parameters (Device-SIP))] の順に移動します。
      • [フィルタなし(No Filtering)]:SIP トランクは、アウトバウンド オファーで V.150 SDP 回線のフィルタリングを行いません。
      • [MER V.150 を削除(Remove Pre-MER V.150)]:SIP トランクは、アウトバウンド オファーで V.150 MER SDP 回線を削除します。 トランクが MER V.150 よりも前の Cisco Unified Communications Manager に接続する際のあいまいさを低減するには、このオプションを選択します。
      • [MER V.150より前を削除(Remove Pre-MER V.150)]:SIP トランクは、アウトバウンド オファーで MER に準拠しない V.150 回線があれば削除します。 MER よりも前の回線でオファーを処理できない MER 準拠のデバイスのネットワークに、ご使用のクラスタが含まれているときのあいまいさを低減するには、このオプションを選択します。

      SIP トランク セキュリティ プロファイルの適用

      [トランクの設定(Trunk Configuration)] ウィンドウで、SIP トランク セキュリティ プロファイルをトランクに適用します。 デバイスにセキュリティ プロファイルを適用するには、次の手順を実行します。

      手順
        ステップ 1   『Cisco Unified Communications Manager アドミニストレーション ガイド』の説明に従って、トランクを検索します。
        ステップ 2   [トランクの設定(Trunk Configuration)] ウィンドウが表示されたら、[SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] 設定を見つけます。
        ステップ 3   セキュリティ プロファイルのドロップダウン リスト ボックスから、デバイスに適用するセキュリティ プロファイルを選択します。
        ステップ 4   [保存(Save)] をクリックします。
        ステップ 5   [設定の適用(Apply Config)] をクリックして、トランクをリセットします。

        次の作業

        SIP トランクにダイジェスト認証を有効にするプロファイルを適用した場合は、トランクの [SIPレルム(SPI Realm)] ウィンドウでダイジェスト信用証明書を設定する必要があります。

        アプリケーションレベルの許可を有効にするプロファイルを適用した場合は、[アプリケーションユーザ(Application User)] ウィンドウで、ダイジェスト信用証明書と可能な許可方式を設定する必要があります(まだ設定していない場合)。

        関連タスク

        SIP トランク セキュリティ プロファイルと SIP トランクの同期

        SIP トランクを設定変更が行われた SIP トランク セキュリティ プロファイルと同期させるには、次の手順を実行します。この手順では、できる限り簡潔な方法で主な設定項目を適用します (たとえば、影響を受けるデバイスの一部では、リセットまたは再起動を実行する必要がない場合があります)。

        手順
          ステップ 1   [システム(System)] > [セキュリティプロファイル(Security Profile)] > [SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] の順に選択します。

          [SIPトランクセキュリティプロファイルの検索/一覧表示(Find and List SIP Trunk Security Profiles)] ウィンドウが表示されます。

          ステップ 2   使用する検索条件を選択します。
          ステップ 3   [検索(Find)] をクリックします。

          ウィンドウに検索条件と一致する SIP トランク セキュリティ プロファイルのリストが表示されます。

          ステップ 4   該当する SIP トランクと同期させる SIP トランク セキュリティ プロファイルをクリックします。 [SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)] ウィンドウが表示されます。
          ステップ 5   他の設定変更を行います。
          ステップ 6   [保存(Save)] をクリックします。
          ステップ 7   [設定の適用(Apply Config)] をクリックします。

          [設定の適用情報(Apply Configuration Information)] ダイアログが表示されます。

          ステップ 8   [OK] をクリックします。

          SIP トランク セキュリティ プロファイルの削除

          ここでは、Cisco Unified Communications Manager データベースから SIP トランク セキュリティ プロファイルを削除する方法について説明します。

          はじめる前に

          Cisco Unified Communications Manager の管理ページでセキュリティ プロファイルを削除する前に、別のプロファイルをデバイスに適用するか、該当プロファイルを使用するすべてのデバイスを削除してください。 該当プロファイルを使用しているデバイスを検索するには、[SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)] ウィンドウの [関連リンク(Related Links)] ドロップダウン リスト ボックスから [依存関係レコード(Dependency Records)] を選択して、[移動(Go)] をクリックします。

          システムで依存関係レコード機能が有効になっていない場合は、レコードの [依存関係レコード要約(Dependency Records Summary)] ウィンドウに、依存関係レコードを有効にすると実行できるアクションを示すメッセージが表示されます。また、依存関係レコード機能を使用すると、CPU 使用率が高くなるという情報も表示されます。 BFCP の詳細については、『Cisco Unified Communications Manager System Guide』を参照してください。

          手順
            ステップ 1   削除する SIP トランク セキュリティ プロファイルを検索します。
            ステップ 2   次のいずれかの手順を実行します。
            1. 複数のセキュリティ プロファイルを削除するには、検索/一覧表示ウィンドウで、次のいずれかを実行します。
              • 削除するセキュリティ プロファイルの横に表示されているチェックボックスをオンにして、[選択項目の削除(Delete Selected)] をクリックします。

              • [すべて選択(Select All)] をクリックして [選択項目の削除(Delete Selected)] をクリックすると、この選択対象として設定可能なすべてのレコードを削除できます。

            2. 1 つのセキュリティ プロファイルを削除するには、検索/一覧表示ウィンドウで、次のいずれかを実行します。
              • 削除するセキュリティ プロファイルの横に表示されているチェックボックスをオンにして、[選択項目の削除(Delete Selected)] をクリックします。

              • セキュリティ プロファイルの [名前(Name)] リンクをクリックします。 指定したセキュリティ プロファイルの設定ウィンドウが表示されたら、[選択項目の削除(Delete Selected)] をクリックします。

            ステップ 3   削除操作の確認を要求するプロンプトが表示されたら、[OK] をクリックして削除するか、[キャンセル(Cancel)] をクリックして削除操作を取り消します。