Cisco CallManager セキュリティ ガイド Release 4.1(2)
電話機のセキュリティ設定
電話機のセキュリティ設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

電話機のセキュリティ設定

電話機のセキュリティ設定の概要

電話機におけるローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティング

デバイス セキュリティ モードの設定

サポートされる電話機モデルに対するセキュリティ デバイス システム デフォルトの設定

単一デバイスに対するデバイス セキュリティ モードの設定

Cisco Bulk Administration Tool を使用したデバイス セキュリティ モードの設定

Device Security Mode 設定

認証、暗号化、LSC ステータスによる電話機の検索

電話機のセキュリティ強化

電話機のセキュリティ強化作業の実行

電話機のセキュリティ設定

この章は、次の内容で構成されています。

「電話機のセキュリティ設定の概要」

「電話機におけるローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティング」

「デバイス セキュリティ モードの設定」

「サポートされる電話機モデルに対するセキュリティ デバイス システム デフォルトの設定」

「単一デバイスに対するデバイス セキュリティ モードの設定」

「Cisco Bulk Administration Tool を使用したデバイス セキュリティ モードの設定」

「Device Security Mode 設定」

「認証、暗号化、LSC ステータスによる電話機の検索」

「電話機のセキュリティ強化」

「Gratuitous ARP 設定の無効化」

「Web Access 設定の無効化」

「PC Voice VLAN Access 設定の無効化」

「Setting Access 設定の無効化」

「PC Port 設定の無効化」

「電話機のセキュリティ強化作業の実行」

電話機のセキュリティ設定の概要

ここでは、サポートされる電話機にセキュリティを設定するために実行する次の作業概要について説明します。

サポートされる電話機で Locally Significant Certificate (LSC; ローカルで有効な証明書)をインストールまたはアップグレードし、証明書を削除またはトラブルシューティングする。

サポートされる電話機に、Device Security Mode を使用して認証または暗号化を設定する。

Cisco CallManager Administration で電話機の設定を無効にして電話機のセキュリティを強化する。

関連項目

「電話機におけるローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティング」

「デバイス セキュリティ モードの設定」

「Device Security Mode 設定」

「認証、暗号化、LSC ステータスによる電話機の検索」

「電話機のセキュリティ強化」

「電話機のセキュリティ強化作業の実行」

電話機におけるローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティング

ローカルで有効な証明書を電話機でインストール、アップグレード、削除、またはトラブルシューティングするには、Cisco CallManager Administration の Phone Configuration ウィンドウで CAPF 設定値を構成する必要があります。CAPF 設定値を構成する方法については、「Certificate Authority Proxy Function の使用方法」を参照してください。

関連項目

「CAPF の設定用チェックリスト」

「CAPF システムの対話および要件」

「デバイス セキュリティ モードの設定」

「認証、暗号化、LSC ステータスによる電話機の検索」

「電話機のセキュリティ強化」

「電話機のセキュリティ強化作業の実行」

「トラブルシューティング」

デバイス セキュリティ モードの設定

デバイスに認証または暗号化を設定するには、次の作業のいずれか 1 つを実行します。

サポートされる電話機モデルに、デフォルトのデバイス セキュリティ モードを設定する。

Cisco CallManager Administration の Phone Configuration ウィンドウで、単一デバイスにデバイス セキュリティ モードを設定する。

Cisco Bulk Administration Tool を使用して、サポートされる電話機モデルにデバイス セキュリティ モードを設定する。


ヒント デバイス セキュリティ モードを設定するには、ローカルで有効な証明書または製造元でインストールされる証明書が電話機に必要です。


デバイス セキュリティ モードの設定内容については、「Device Security Mode 設定」を参照してください。

関連項目

「システム要件」

「対話および制限」

「Cisco CTL Provider サービスのアクティブ化」

「CiscoCTL クライアントの設定」

「CTL ファイルの更新」

「デバイス セキュリティ モードの設定」

「Certificate Authority Proxy Function の使用方法」

「トラブルシューティング」

サポートされる電話機モデルに対するセキュリティ デバイス システム デフォルトの設定


) この手順では、変更内容を有効にするためにデバイスをリセットして Cisco CallManager サービスを再起動する必要があります。


Cisco CallManager Administration で、すべての電話機タイプのセキュリティ デバイス システム デフォルトは Non-Secure と表示されます。セキュリティ デバイス システム デフォルトを Authenticated または Encrypted に設定するには、次の手順を実行します。

手順


ステップ 1 Cisco CallManager Administration で System > Enterprise Parameters の順に選択します。

ステップ 2 Security Parameters セクションで Device Security Mode を探します。

ステップ 3 ドロップダウン リスト ボックスから、 Authenticated または Encrypted を選択します。詳細については、 表 5-1 を参照してください。

ステップ 4 Enterprise Parameters ウィンドウ最上部の Update をクリックします。

ステップ 5 クラスタ内のすべてのデバイスをリセットします。「デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート」を参照してください。

ステップ 6 変更内容を有効にするため、Cisco CallManager サービスを再起動します。


 

関連項目

「システム要件」

「対話および制限」

「デバイス セキュリティ モードの設定」

「Certificate Authority Proxy Function の使用方法」

単一デバイスに対するデバイス セキュリティ モードの設定

単一デバイスにデバイス セキュリティ モードを設定するには、次の手順を実行します。この手順では、デバイスはデータベースに追加済みで、証明書が存在しない場合は証明書が電話機にインストール済みであることを前提としています。

Cisco CallManager Administration の Phone Configuration ウィンドウで Device Security Mode を設定すると、デバイス設定 .xml ファイルが再構成されます。デバイス セキュリティ モードを初めて設定した後、あるいはデバイス セキュリティ モードを変更した場合は、デバイスをリセットする必要があります。リセットすると、電話機は新しい設定ファイルを要求します。

手順


ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。

ステップ 2 電話機の検索対象を指定して Find をクリックするか、電話機すべてのリストを表示するために Find をクリックします。

データベースに電話機を追加していない場合、電話機はリストに表示されません。電話機の追加については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。

ステップ 3 デバイス名をクリックして、デバイスの Phone Configuration ウィンドウを開きます。

ステップ 4 Device Security Mode ドロップダウン リスト ボックスを見つけます。

電話機タイプがセキュリティをサポートしていない場合、このオプションは表示されません。その電話機タイプには認証も暗号化も設定することができません。

ステップ 5 Device Security Mode ドロップダウン リスト ボックスから、設定するオプションを選択します。オプションの説明については、 表 5-1 を参照してください。

Device Security Mode ドロップダウン リスト ボックスは、電話機が認証または暗号化をサポートしている場合にだけ表示されます。たとえば、電話機が暗号化をサポートしていない場合、暗号化オプションはドロップダウン リスト ボックスに表示されません。

ステップ 6 Update をクリックします。

ステップ 7 Reset Phone をクリックします。


注意 電話機をリセットすると、システムはゲートウェイを介して行われているすべてのコールを終了します。


 

関連項目

「システム要件」

「対話および制限」

「デバイス セキュリティ モードの設定」

「Certificate Authority Proxy Function の使用方法」

Cisco Bulk Administration Tool を使用したデバイス セキュリティ モードの設定

Cisco CallManager 4.1(2) をサポートする Cisco Bulk Administration Tool を使用して、暗号化または認証をサポートする特定の電話機モデルにデバイス セキュリティ モードを設定することができます。この作業の実行方法の詳細については、このバージョンの Cisco CallManager をサポートする『 Bulk Administration Tool ユーザ ガイド 』を参照してください。

関連項目

「システム要件」

「対話および制限」

「デバイス セキュリティ モードの設定」

「Certificate Authority Proxy Function の使用方法」

Bulk Administration Tool ユーザ ガイド

Device Security Mode 設定

Device Security Mode には、 表 5-1 に示すオプションがあります。

 

表 5-1 Device Security Mode

オプション
説明

Use System Default

電話機はエンタープライズ パラメータ、Device Security Mode で指定した値を使用する。

Non-secure

電話機にイメージ認証以外のセキュリティ機能はない。TCP 接続で Cisco CallManager が利用できる。

Authenticated

Cisco CallManager は電話機の整合性と認証を提供する。NULL/SHA を使用する TLS 接続を開始する。

Encrypted

Cisco CallManager は電話機の整合性、認証、および暗号化を提供する。AES128/SHA を使用する TLS 接続を開始する。

関連項目

「システム要件」

「対話および制限」

「デバイス セキュリティ モードの設定」

「Certificate Authority Proxy Function の使用方法」

Bulk Administration Tool ユーザ ガイド

認証、暗号化、LSC ステータスによる電話機の検索

セキュリティ機能に関連付けられている電話機を検索するため、Cisco CallManager Administration の Phone Find/List ウィンドウで次の基準のどちらかを選択できます。

Device Security Mode :このオプションを選択すると、認証または暗号化をサポートする電話機のリストが表示されます。このオプションを選択する場合、デバイスが Authenticated か Encrypted かを指定することもできます。Find ボタンをクリックすると、電話機モデル、Device Security Mode、Device Name、Description、Directory Number、Owner User ID などが表示されます(設定されている場合)。

LSC Status :このオプションを選択すると、ローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティングに CAPF を使用する電話機のリストが表示されます。このオプションを選択する場合、CAPF によって現在実行されている Certification Operation を指定することもできます。たとえば、Operation Pending、Success、Upgrade Failed、Delete Failed、Troubleshoot Failed などがあります。Find ボタンをクリックすると、電話機モデル、LSC Status、Device Name、Description、Directory Number、および Owner User ID が表示されます(設定されている場合)。

電話機を検索してリスト表示する方法については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。


ヒント Cisco CallManager Administration の Phone Find/List ウィンドウでは、デバイスの削除およびリセットも実行できます。


関連項目

Cisco CallManager アドミニストレーション ガイド

「Certificate Authority Proxy Function の使用方法」

電話機のセキュリティ強化

電話機のセキュリティを強化するには、Cisco CallManager Administration の Phone Configuration ウィンドウで作業を実行する必要があります。この項では、次のトピックについて取り上げます。

「Gratuitous ARP 設定の無効化」

「Web Access 設定の無効化」

「PC Voice VLAN Access 設定の無効化」

「Setting Access 設定の無効化」

「PC Port 設定の無効化」

Gratuitous ARP 設定の無効化

デフォルトで Cisco IP Phone は Gratuitous ARP (GARP)パケットを受け入れます。デバイスによって使用される GARP は、ネットワーク上にデバイスがあることを宣言します。しかし、攻撃者はこうしたパケットを使用して有効なネットワーク デバイスのスプーフィングを行うことができます。たとえば、攻撃者はデフォルト ルータを宣言する GARP を送信できます。必要に応じて、Cisco CallManager Administration の Phone Configuration ウィンドウで Gratuitous ARP を無効にすることができます。


) GARP を無効化しても、電話機はデフォルト ルータを識別することができます。


Web Access 設定の無効化

電話機の Web サーバ機能を無効にすると、統計および設定情報を提供する電話機の内部 Web ページにアクセスできなくなります。電話機の Web ページにアクセスできないと、Cisco Quality Report Tool などの機能が正しく動作しません。また Web サーバを無効にすると、CiscoWorks など、Web アクセスに依存するサービサビリティ アプリケーションにも影響があります。

Web サービスが無効かどうかを判別するため、電話機はサービスの無効/有効を示す設定ファイル内のパラメータを解析します。Web サービスが無効であれば、電話機はモニタリング用に HTTP ポート 80 を開かず、電話機の内部 Web ページに対するアクセスをブロックします。

PC Voice VLAN Access 設定の無効化

デフォルトで Cisco IP Phone はスイッチ ポート(上流のスイッチを向くポート)で受信したすべてのパケットを PC ポートに転送します。Cisco CallManager Administration の Phone Configuration ウィンドウで PC Voice VLAN Access 設定を無効にすると、ボイス VLAN 機能を使用する PC ポートから受信したパケットは廃棄されます。さまざまな Cisco IP Phone モデルがそれぞれの方法でこの機能を使用しています。

Cisco IP Phone 7940/7960 モデルは、PC ポートで送受信される、ボイス VLAN のタグが付いたパケットをすべて廃棄する。

Cisco IP Phone 7970 モデルは、PC ポートで送受信され、802.1Q タグが含まれる ボイス VLAN 上のパケットをすべて廃棄する。

Cisco IP Phone 7912 モデルはこの機能を実行できない。

Setting Access 設定の無効化

デフォルトでは、Cisco IP Phone の Settings ボタンを押すと、電話機の設定情報を含むさまざまな情報にアクセスできます。Cisco CallManager Administration の Phone Configuration ウィンドウで Setting Access 設定を無効にすると、電話機で Settings ボタンを押したときに通常は表示されるすべてのオプションにアクセスできなくなります。オプションには、Contrast、Ring Type、Network Configuration、Model Information、および Status 設定があります。

これらの設定は、Cisco CallManager Administration の設定を無効にすると、電話機に表示されません。設定を無効にした場合、電話機ユーザは Volume ボタンに関連付けられた設定を保存できません。たとえば、ユーザは音量を保存できなくなります。

この設定を無効にすると、電話機の現在の Contrast、Ring Type、Network Configuration、Model Information、Status、および Volume 設定が自動的に保存されます。これらの電話機設定を変更するには、Cisco CallManager Administration で Setting Access 設定を有効にする必要があります。

PC Port 設定の無効化

デフォルトで Cisco CallManager は、PC ポートのあるすべての Cisco IP Phone 上で PC ポートを有効にします。必要に応じて、Cisco CallManager Administration の Phone Configuration ウィンドウで PC Port 設定を無効にすることができます。PC ポートを無効にすると、ロビーや会議室の電話機で役立ちます。

関連項目

「対話および制限」

「電話機のセキュリティ強化作業の実行」

Cisco IP Phone Administration Guide for Cisco CallManager

電話機のセキュリティ強化作業の実


注意 次の手順を実行すると、電話機の機能が無効になります。

次の手順を実行してください。

手順


ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。

ステップ 2 電話機の検索対象を指定して Find をクリックするか、電話機すべてのリストを表示するために Find をクリックします。

ステップ 3 デバイス名をクリックして、デバイスの Phone Configuration ウィンドウを開きます。

ステップ 4 次の製品固有のパラメータを探します。

PC Port

Settings Access

Gratuitous ARP

PC Voice VLAN Access

Web Access


ヒント これらの設定に関する情報を確認するには、Phone Configuration ウィンドウでパラメータの横に表示されている i ボタンをクリックします。

ステップ 5 無効にする各パラメータのドロップダウン リスト ボックスから、 Disabled を選択します。

ステップ 6 Update をクリックします。


 

関連項目

「対話および制限」

「Gratuitous ARP 設定の無効化」

「Web Access 設定の無効化」

「PC Voice VLAN Access 設定の無効化」

「Setting Access 設定の無効化」

「PC Port 設定の無効化」