Cisco Unified CallManager セキュリティ ガイド Release 5.0(2)
SIP トランク セキュリティ プロファイ ルの設定
SIP トランク セキュリティ プロファイルの設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

SIP トランク セキュリティ プロファイルの設定

SIP トランク セキュリティ プロファイルの概要

SIP トランク セキュリティ プロファイルの検索

SIP トランク セキュリティ プロファイルの設定

SIP トランク セキュリティ プロファイルの設定内容

SIP トランク セキュリティ プロファイルの適用

SIP トランク セキュリティ プロファイルの削除

その他の情報

SIP トランク セキュリティ プロファイルの概要

Cisco Unified CallManager の管理ページでは、デバイス セキュリティ モード、ダイジェスト認証、着信転送タイプまたは発信転送タイプの設定など、SIP トランク セキュリティ関連の設定がグループ化されます。[SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile
Configuration)]ウィンドウでプロファイルを選択することで、すべての構成済み設定を SIP トランクに適用できます。すべての SIP トランクに、セキュリティ プロファイルを適用する必要があります。SIP トランクがセキュリティをサポートしない場合は、非セキュア プロファイルを適用します。

SIP トランク セキュリティ プロファイルの検索

SIP トランク セキュリティ プロファイルを検索するには、次の手順を実行します。

手順


ステップ 1 Cisco Unified CallManager の管理ページで、 [システム]>[セキュリティプロファイル] > [SIPトランクセキュリティプロファイル] の順に選択します。

[SIPトランクセキュリティプロファイルの検索と一覧表示(Find and List SIP Trunk Security Profiles)]ウィンドウが表示されます。

ステップ 2 ドロップダウン リスト ボックスから、表示するセキュリティ プロファイルの検索条件を選択し、 [検索] をクリックします。


) データベースに登録されているすべての SIP トランク セキュリティ プロファイルを検索するには、検索条件を指定せずに、[検索]をクリックします。


ウィンドウが更新され、検索条件と一致するセキュリティ プロファイルが表示されます。

ステップ 3 表示するセキュリティ プロファイルの [名前(Name)] リンクをクリックします。


ヒント 検索結果内の[名前(Name)]または[説明]を検索するには、[絞り込み]チェックボックスをオンにして、この手順で説明したように検索条件を入力し、[検索]をクリックします。


 

追加情報

詳細については、「関連項目」を参照してください。

SIP トランク セキュリティ プロファイルの設定

SIP トランク セキュリティ プロファイルを追加、更新、またはコピーするには、次の手順を実行します。

手順


ステップ 1 Cisco Unified CallManager の管理ページで、 [システム]>[セキュリティプロファイル]>[SIPトランクセキュリティプロファイル] の順に選択します。

ステップ 2 次の作業のどちらかを実行します。

新しいプロファイルを追加するには、 [新規追加] ボタンをクリックし、ステップ 3 に進みます。

既存のセキュリティ プロファイルをコピーするには、「SIP トランク セキュリティ プロファイルの検索」の説明に従い、適切なプロファイルを見つけて、コピーするセキュリティ プロファイルの横に表示されている [コピー] ボタンをクリックし、ステップ 3 に進みます。

既存のプロファイルを更新するには、「SIP トランク セキュリティ プロファイルの検索」の説明に従い、適切なセキュリティ プロファイルを見つけて、ステップ 3 に進みます。

ステップ 3 表14-1 の説明に従って、適切な設定を入力します。

ステップ 4 [保存] をクリックします。


 

追加の手順

セキュリティ プロファイルを作成した後、「SIP トランク セキュリティ プロファイルの適用」の説明に従い、トランクに適用します。

SIP トランクにダイジェスト認証を設定した場合は、トランクの[SIPレルムの設定(SIP Realm
Configuration)]ウィンドウと、SIP トランクを介して接続されるアプリケーションの[アプリケーションユーザの設定(Application User Configuration)]ウィンドウで、ダイジェスト クレデンシャルを設定する必要があります(まだ設定していない場合)。

アプリケーションレベル許可 SIP トランクを有効にした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウで、そのトランクに許可される方式を設定する必要があります。

追加情報

詳細については、「関連項目」を参照してください。

SIP トランク セキュリティ プロファイルの設定内容

表14-1 で、SIP トランク セキュリティ プロファイルの設定について説明します。Cisco Unified CallManager の方式許可の詳細については、「対話」を参照してください。

 

表14-1 SIP トランク セキュリティ プロファイルの設定内容

設定
説明

[名前]

セキュリティ プロファイルの名前を入力します。名前は、[トランクの設定(Trunk Configuration)]ウィンドウの[SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)]ドロップダウン リスト ボックスに表示されます。

[説明]

セキュリティ プロファイルの説明を入力します。

[着信転送タイプ(Incoming Transport Type)]

ドロップダウン リスト ボックスから、着信転送モードを選択します。

ヒント Transport Layer Security(TLS)プロトコルによって、Cisco Unified CallManager とトランクとの間の接続が保護されます。TLS オプションを選択する場合は、[発信転送タイプ(Outgoing Transport Type)]ドロップダウン リスト ボックスでも TLS オプションを選択してください。

[発信転送タイプ(Outgoing Transport Type)]

ドロップダウン リスト ボックスから、発信転送モードを選択します。[着信転送タイプ(Incoming Transport Type)]に TLS を選択した場合は、[発信転送タイプ(Outgoing Transport Type)]にも TLS を選択する必要があります。

ヒント SIP トランクのシグナリング整合性、デバイス認証、シグナリング暗号化を保証するには、Transport Layer Security プロトコルを選択します。

[デバイスセキュリティモード(Device Security Mode)]

ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。

Non Secure:イメージ認証以外のセキュリティ機能を適用しない。TCP または UDP 接続で Cisco Unified CallManager が利用できる。

Authenticated:Cisco Unified CallManager はトランクの整合性と認証を提供する。NULL/SHA を使用する TLS 接続を開始する。

Encrypted:Cisco Unified CallManager はトランクの整合性、認証、および暗号化を提供する。シグナリング用に、AES128/SHA を使用する TLS 接続を開始する。

ヒント SIP トランクは、シグナリング暗号化をサポートします(SRTP はサポートしません)。

[ダイジェスト認証を有効化(Enable Digest Authentication)]

Cisco Unified CallManager が、トランクに接続する SIP ユーザ エージェントの ID でチャレンジを行う場合は、このチェックボックスをオンにします。Cisco Unified CallManager が ID でチャレンジを行った後、トランクは MD5 チェックサム、ユーザ名、パスワード、ナンス値、要求された URI で応答し、Cisco Unified CallManager の管理ページで設定したクレデンシャルに基づいて Cisco Unified CallManager が情報を検証します。クレデンシャルが一致した場合、ダイジェスト認証は成功します。

このチェックボックスをオンにすると、Cisco Unified CallManager は、トランクからのすべての SIP 要求でチャレンジを行います。

ダイジェスト認証は、整合性や信頼性を提供しません。トランクの整合性および信頼性を保証するには、TLS プロトコルを設定します。

[ナンス確認時間(Nonce Validity Time、分)]

ナンス値は、ダイジェスト認証をサポートするランダム値で、ダイジェスト認証パスワードの MD5 ハッシュの計算に使用されます。

ナンス値が有効な時間を秒単位で入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Cisco Unified CallManager は新しい値を生成します。

[X.509の件名(X.509 Subject Name)]

このフィールドは、[着信転送タイプ(Incoming Transport Type)]および[発信転送タイプ(Outgoing Transport Type)]に TLS を設定した場合に適用されます。

SIP トランクに接続されている認証済みデバイスに対する X.509 証明書の件名を入力します。Cisco Unified CallManager クラスタがある場合、または TLS ピアに対して SRV ルックアップを使用する場合、単一のトランクが複数のホストに解決されることがあります。その結果、トランクに複数の X.509 の件名が設定されます。複数の X.509 の件名がある場合は、スペース、カンマ、セミコロン、またはコロンのいずれか 1 つを使用して、名前を区切ります。

このフィールドには、4096 文字まで入力できます。

ヒント 件名は、送信元接続の TLS 証明書に対応します。件名が、件名とポートで一意であることを確認してください。同じ件名と着信ポートの組み合せを、異なる SIP トランクに割り当てることはできません。

例:ポート 5061 の SIP TLS trunk1 の[X.509の件名(X.509 Subject Name)]は、my_cm1, my_cm2 です。ポート 5071 の SIP TLS trunk1 の[X.509の件名(X.509 Subject Name)]は、my_cm2, my_cm3 です。この場合、ポート 5061 の SIP TLS trunk3 の[X.509の件名(X.509 Subject Name)]は my_ccm4 にできますが、my_cm1 にはできません。

[着信ポート(Incoming Port)]

着信ポートを選択します。1024 ~ 65535 の一意のポート番号を入力します。着信 TCP および UDP の SIP メッセージのデフォルト ポート値は、5060 です。

入力した値は、プロファイルを使用するすべての SIP トランクに適用されます。必要に応じて、同じ着信ポート番号をすべての SIP トランクに設定できます。

[アプリケーションレベル認証を有効化(Enable Application Level Authorization)]

このチェックボックスをオンにする場合は、[ダイジェスト認証を有効化(Enable Digest Authentication)]チェックボックスをオンにし、トランクのダイジェスト認証を設定する必要があります。トランクのダイジェスト認証設定の詳細については、「SIP トランクのダイジェスト認証の設定」を参照してください。

このチェックボックスをオンにすると、トランクレベルの許可が発生してから、アプリケーションレベルの許可が発生します。アプリケーションレベルの許可は、アプリケーションから SIP ユーザ エージェントで送信された SIP メッセージに対して発生します。アプリケーションレベルの許可は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウ([ユーザ管理]>[アプリケーションユーザ])でオンにした許可チェックボックスに基づきます。

ヒント アプリケーションの ID を信頼しない場合、またはアプリケーションが特定のトランクで信頼されていない場合は、アプリケーションレベルの許可の使用を検討してください。アプリケーション要求は、予期しないトランクから着信することがあります。

[プレゼンス登録の許可(Accept Presence Subscription)]

Cisco Unified CallManager が SIP トランク経由で着信するプレゼンス サブスクリプション要求を受け付けるようにする場合は、このチェックボックスをオンにします。

[アプリケーションレベル認証を有効化(Enable Application Level Authorization)]チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この機能について許可するアプリケーション ユーザの[プレゼンス登録の許可(Accept Presence Subscription)]チェックボックスをオンにします。

アプリケーションレベルの許可が有効で、アプリケーション ユーザの[プレゼンス登録の許可(Accept Presence Subscription)]チェックボックスがオンで、トランクのチェックボックスがオフの場合、トランクに接続されている SIP ユーザ エージェントに 403 エラー メッセージが送信されます。

[アウトオブダイアログREFERの許可(Accept Out-of-Dialog REFER)]

Cisco Unified CallManager が SIP トランク経由で着信する非インバイトのアウトオブダイアログ REFER 要求を受け付けるようにする場合は、このチェックボックスをオンにします。

[アプリケーションレベル認証を有効化(Enable Application Level
Authorization)]チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この方式について許可するアプリケーション ユーザの[アウトオブダイアログREFERの許可(Accept Out-of-Dialog REFER)]チェックボックスをオンにします。

[未承諾NOTIFYの許可(Accept Unsolicited Notification)]

Cisco Unified CallManager が SIP トランク経由で着信する非インバイトの未承諾 NOTIFY メッセージを受け付けるようにする場合は、このチェックボックスをオンにします。

[アプリケーションレベル認証を有効化(Enable Application Level
Authorization)]チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この方式について許可するアプリケーション ユーザの[未承諾NOTIFYの許可(Accept Unsolicited Notification)]チェックボックスをオンにします。

[REPLACE ヘッダの許可(Accept Replaces Header)]

Cisco Unified CallManager が既存の SIP ダイアログを置き換える新しい SIP ダイアログを受け付けるようにする場合は、このチェックボックスをオンにします。

[アプリケーションレベル認証を有効化(Enable Application Level
Authorization)]チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この方式について許可するアプリケーション ユーザの[REPLACE ヘッダの許可(Accept Replaces Header)]チェックボックスをオンにします。

SIP トランク セキュリティ プロファイルの適用

[トランクの設定(Trunk Configuration)]ウィンドウで、SIP トランク セキュリティ プロファイルをトランクに適用します。デバイスにセキュリティ プロファイルを適用するには、次の手順を実行します。

手順


ステップ 1 Cisco Unified CallManager アドミニストレーション ガイド 』の説明に従って、トランクを検索します。

ステップ 2 [トランクの設定(Trunk Configuration)]ウィンドウが表示されたら、 [SIPトランクセキュリティプロファイル(SIP Trunk Security Profile)] 設定を見つけます。

ステップ 3 セキュリティ プロファイルのドロップダウン リスト ボックスから、デバイスに適用するセキュリティ プロファイルを選択します。

ステップ 4 [保存] をクリックします。

ステップ 5 [リセット] をクリックして、電話機をリセットします。


 

追加の手順

SIP トランクにダイジェスト認証を設定した場合は、トランクの[SIPレルムの設定(SIP Realm
Configuration)]ウィンドウと、SIP トランクを介して接続されるアプリケーションの[アプリケーションユーザの設定(Application User Configuration)]ウィンドウで、ダイジェスト クレデンシャルを設定する必要があります(まだ設定していない場合)。「SIP レルムの設定」を参照してください。

追加情報

詳細については、「関連項目」を参照してください。

SIP トランク セキュリティ プロファイルの削除

ここでは、Cisco Unified CallManager データベースから SIP トランク セキュリティ プロファイルを削除する方法について説明します。

始める前に

Cisco Unified CallManager の管理ページからセキュリティ プロファイルを削除する前に、別のプロファイルをデバイスに適用するか、当該プロファイルを使用するすべてのデバイスを削除してください。当該プロファイルを使用しているデバイスを検索するには、[SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)]ウィンドウの[関連リンク]ドロップダウン リスト ボックスから [依存関係レコード] を選択して、 [移動] をクリックします。

システムで Dependency Records 機能が有効になっていない場合は、レコードの依存性の概要ウィンドウに、Dependency Records を有効にすると実行できるアクションを示すメッセージが表示されます。また、Dependency Records 機能を使用すると、CPU 使用率が高くなるという情報も表示されます。依存関係レコードの詳細については、『 Cisco Unified CallManager システム ガイド 』を参照してください。

手順


ステップ 1 「SIP トランク セキュリティ プロファイルの検索」の手順に従って、セキュリティ プロファイルを検索します。

ステップ 2 複数のセキュリティ プロファイルを削除するには、[SIPトランクセキュリティプロファイルの検索と一覧表示(Find and List SIP Trunk Security Profiles)]ウィンドウで、適切なチェックボックスの横に表示されているチェックボックスをオンにして、 [選択項目の削除] アイコンまたは [選択項目の削除] ボタンをクリックします。

ステップ 3 単一のセキュリティ プロファイルを削除するには、次の作業のどちらかを実行します。

[SIPトランクセキュリティプロファイルの検索と一覧表示(Find and List SIP Trunk Security Profiles)]ウィンドウで、適切なセキュリティ プロファイルの横に表示されているチェックボックスをオンにして、 [選択項目の削除] アイコンまたは [選択項目の削除] ボタンをクリックします。

[SIPトランクセキュリティプロファイルの検索と一覧表示(Find and List SIP Trunk Security Profiles)]ウィンドウで、セキュリティ プロファイルの [名前(Name)] リンクをクリックします。指定した[SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)]ウィンドウが表示されたら、 [削除] アイコンまたは [削除] ボタンをクリックします。

ステップ 4 削除操作の確認を要求するプロンプトが表示されたら、 OK をクリックして削除するか、 [キャンセル] をクリックして削除操作を取り消します。


 

追加情報

詳細については、「関連項目」を参照してください。