Cisco Unified CallManager セキュリティ ガイド Release 5.0(2)
電話機セキュリティ プロファイルの 設定
電話機セキュリティ プロファイルの設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

電話機セキュリティ プロファイルの設定

電話機セキュリティ プロファイルの概要

SCCP または SIP 電話機セキュリティ プロファイルの検索

SCCP または SIP 電話機セキュリティ プロファイルの設定

SCCP 電話機セキュリティ プロファイルの設定内容

SIP 電話機セキュリティ プロファイルの設定内容

SCCP または SIP 電話機セキュリティ プロファイルの適用

SCCP または SIP 電話機セキュリティ プロファイルの削除

電話機セキュリティ プロファイルを使用している電話機の検索

その他の情報

電話機セキュリティ プロファイルの概要

Cisco Unified CallManager の管理ページでは、デバイス セキュリティ モード、ダイジェスト認証、一部の CAPF 設定など、セキュリティ関連の設定がグループ化されます。そのため、デバイス設定ウィンドウでプロファイルを選択することで、すべての構成済み設定を SIP または SCCP 電話機に適用できます。

電話機セキュリティ プロファイルを設定するときは、次の情報について検討してください。

プロファイルの CAPF 設定は、[電話の設定(Phone Configuration)] ウィンドウで表示される Certificate Authority Proxy Function 設定と組み合せて設定する。

すべての SIP および SCCP 電話機に、セキュリティ プロファイルを適用する必要がある。デバイスがセキュリティをサポートしていない場合は、非セキュア プロファイルを適用する。

Cisco Unified CallManager 5.0 アップグレードの前にデバイス セキュリティ モードを設定した場合は、Cisco Unified CallManager がモードに基づいてプロファイルを作成し、デバイスにプロファイルを適用する。

デバイスが設定済みのプロファイルをサポートしない場合、Cisco Unified CallManager は、そのプロファイルをデバイスに適用することを許可しない。

SCCP または SIP 電話機セキュリティ プロファイルの検索

電話機セキュリティ プロファイルを検索するには、次の手順を実行します。

手順


ステップ 1 Cisco Unified CallManager の管理ページで、 [システム] >[セキュリティプロファイル] >[ SIP電話セキュリティプロファイル] または [SCCP電話セキュリティプロファイル] の順に選択します。

検索と一覧表示ウィンドウが表示されます。

ステップ 2 ドロップダウン リスト ボックスから、表示するセキュリティ プロファイルの検索条件を選択し、 [検索] をクリックします。


) データベースに登録されているすべてのセキュリティ プロファイルを検索するには、検索条件を指定せずに、[検索] をクリックします。


ウィンドウが更新され、検索条件と一致するセキュリティ プロファイルが表示されます。

ステップ 3 表示するセキュリティ プロファイルの [名前(Name)] リンクをクリックします。


ヒント 検索結果内の[名前(Name)] または[説明] を検索するには、[絞り込み] チェックボックスをオンにして、この手順で説明したように検索条件を入力し、[検索] をクリックします。


 

追加情報

詳細については、「関連項目」を参照してください。

SCCP または SIP 電話機セキュリティ プロファイルの設定

セキュリティ プロファイルを追加、更新、またはコピーするには、次の手順を実行します。

手順


ステップ 1 Cisco Unified CallManager の管理ページで、 [システム] >[セキュリティプロファイル] >[SIP電話セキュリティプロファイル] または [SCCP電話セキュリティプロファイル] の順に選択します。

ステップ 2 次の作業のいずれかを実行します。

新しいプロファイルを追加するには、 [新規追加] ボタンをクリックし、ステップ 3 に進みます。

既存のセキュリティ プロファイルをコピーするには、「SCCP または SIP 電話機セキュリティ プロファイルの検索」の説明に従い、適切なプロファイルを見つけて、コピーするセキュリティ プロファイルの横に表示されている [コピー(Copy)] ボタンをクリックし、ステップ 3 に進みます。

既存のプロファイルを更新するには、「SCCP または SIP 電話機セキュリティ プロファイルの検索」の説明に従い、適切なセキュリティ プロファイルを見つけて、ステップ 3 に進みます。

ステップ 3 SCCP 電話機の場合は 表5-1 、SIP 電話機の場合は表5-2 の説明に従い、適切な設定を入力します。

ステップ 4 [保存] をクリックします。


 

追加の手順

セキュリティ プロファイルを作成した後、「SCCP または SIP 電話機セキュリティ プロファイルの適用」の説明に従い、電話機に適用します。

SIP 電話機の電話機セキュリティ プロファイルでダイジェスト認証を設定した場合は、[エンドユーザの設定(End User Configuration)] ウィンドウでダイジェスト クレデンシャルを設定する必要があります。[電話の設定(Phone Configuration)] ウィンドウでダイジェスト ユーザを指定します。ダイジェスト ユーザおよびダイジェスト クレデンシャルの設定の詳細については、「SIP 電話機のダイジェスト認証の設定」を参照してください。

追加情報

詳細については、「関連項目」を参照してください。

SCCP 電話機セキュリティ プロファイルの設定内容

表5-1 で、SCCP 電話機セキュリティ プロファイルの設定について説明します。

 

表5-1 SCCP 電話機セキュリティ プロファイル

設定
説明

[名前]

セキュリティ プロファイルの名前を入力します。

デバイスがプロファイルをサポートする場合、[電話の設定(Phone Configuration)] ウィンドウの[SCCP電話セキュリティプロファイル(SCCP Phone Security Profile)] ドロップダウン リスト ボックスに名前が表示されます。

[説明]

セキュリティ プロファイルの説明を入力します。

[デバイスセキュリティモード(Device Security Mode)]

ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。

Non Secure :電話機にイメージ認証以外のセキュリティ機能はない。TCP 接続で Cisco Unified CallManager が利用できる。

Authenticated :Cisco Unified CallManager は電話機の整合性と認証を提供する。NULL/SHA を使用する TLS 接続を開始する。

Encrypted :Cisco Unified CallManager は電話機の整合性、認証、および暗号化を提供する。シグナリング用に AES128/SHA を使用する TLS 接続を開始し、すべての電話機コールのメディアを SRTP で搬送する。

[認証モード(Authentication Mode)]

Certificate Authority Proxy Function で使用します。このフィールドで、[電話の設定(Phone Configuration)] ウィンドウで設定した証明書の操作中に、電話機が CAPF で認証するために使用する方式を選択できます。

ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。

By Authentication String :ユーザが電話機に CAPF 認証文字列を入力した場合だけ、ローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングします。

By Null String :ユーザが介入することなく、ローカルで有効な証明書をインストール、アップグレード、削除、またはトラブルシューティングします。

このオプションではセキュリティを一切提供しません。したがって、このオプションは安全な閉じた環境の場合にだけ選択することを強く推奨します。

By Existing Certificate (Precedence to LSC) :製造元でインストールされる証明書(MIC)またはローカルで有効な証明書(LSC)が電話機に存在する場合、LSC をインストール、アップグレード、削除、またはトラブルシューティングします。LSC が電話機に存在する場合、MIC が電話機に存在するかどうかに関係なく、認証は LSC を介して行われます。MIC と LSC が電話機に存在する場合、認証は LSC を介して行われます。電話機に LSC が存在せず、MIC が存在する場合、認証は MIC を介して行われます。

このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。

MIC と LSC は電話機で同時に存在できるものの、電話機は常に 1 つの証明書だけを使用して CAPF を認証します。優先されるプライマリ証明書が何らかの理由で侵害された場合、あるいは他の証明書を介して認証する場合には、認証モードを更新する必要があります。

By Existing Certificate (Precedence to MIC) :LSC または MIC が電話機に存在する場合、LSC をインストール、アップグレード、削除、またはトラブルシューティングします。MIC が電話機に存在する場合、LSC が電話機に存在するかどうかに関係なく、認証は MIC を介して行われます。電話機に LSC だけが存在し MIC が存在しない場合、認証は LSC を介して行われます。

このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。

[キーサイズ(Key Size、ビット)]

CAPF で使用します。ドロップダウン リスト ボックスから証明書の鍵サイズを選択します。デフォルト設定値は 1024 です。これ以外のオプションには、512 と 2048 があります。

デフォルト設定値よりも大きな鍵サイズを選択すると、電話機で鍵生成に必要なエントロピーを生成するためにさらに時間がかかります。鍵生成を低いプライオリティで設定すると、アクションの実行中も電話機の機能を利用できます。電話機モデルによっては、鍵生成の完了に 30 分以上かかることがあります。

SIP 電話機セキュリティ プロファイルの設定内容

表5-2 で、SIP 電話機セキュリティ プロファイルの設定について説明します。

 

表5-2 SIP 電話機セキュリティ プロファイル

設定
説明

[名前]

セキュリティ プロファイルの名前を入力します。

ヒント デバイスに正しいプロファイルを適用できるように、セキュリティ プロファイル名にはデバイス モデルを含めます。

[説明]

セキュリティ プロファイルの説明を入力します。

[ナンス確認時間(Nonce Validity Time)]

ナンス値は、ダイジェスト認証をサポートするランダム値で、ダイジェスト認証パスワードの MD5 ハッシュの計算に使用されます。

ナンス値が有効な時間を秒単位で入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Cisco Unified CallManager は新しい値を生成します。

[デバイスセキュリティモード(Device Security Mode)]

ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。

Non Secure :電話機にイメージ認証以外のセキュリティ機能はない。TCP 接続で Cisco Unified CallManager が利用できる。

Authenticated :Cisco Unified CallManager は電話機の整合性と認証を提供する。NULL/SHA を使用する TLS 接続を開始する。

Encrypted :Cisco Unified CallManager は電話機の整合性、認証、および暗号化を提供する。シグナリング用に AES128/SHA を使用する TLS 接続を開始し、すべての電話機コールのメディアを SRTP で搬送する。

[転送タイプ(Transport Type)]

ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。

TCP :パケットを送信された順に受信するには、Transmission Control Protocol を選択します。このプロトコルは、パケットがドロップされないことを保証しますが、セキュリティは提供しません。

UDP :パケットを高速に受信するには、User Datagram Protocol を選択します。このプロトコルは、パケットをドロップすることがあり、送信された順に受信するとは限りません。セキュリティは提供しません。

TLS :SIP 電話機のシグナリング整合性、デバイス認証、シグナリング暗号化を保証するには、Transport Layer Security プロトコルを選択します。

認証のみをサポートするデバイスの場合、TLS_RSA_WITH_NULL_SHA アルゴリズムが使用されます。

認証と暗号化をサポートするデバイスの場合、TLS_RSA_WITH_AES128_SHA が使用されます。

TCP + UDP :TCP と UDP を組み合せて使用するには、このオプションを選択します。このオプションは、セキュリティを提供しません。

[ダイジェスト認証を有効化(Enable Digest Authentication)]

電話機から Cisco Unified CallManager に要求を送信したときに、Cisco Unified CallManager が電話機の ID でチャレンジを行うようにするには、このチェックボックスをオンにします。Cisco Unified CallManager が ID でチャレンジを行った後、電話機は MD5 チェックサムで応答し、Cisco Unified CallManager の管理ページで設定したクレデンシャルに基づいて Cisco Unified CallManager が情報を検証します。クレデンシャルが一致した場合、電話機のダイジェスト認証は成功します。

このチェックボックスをオンにすると、Cisco Unified CallManager は、電話機からのすべての SIP 要求でチャレンジを行います。

ヒント ダイジェスト認証クレデンシャルは、Cisco Unified CallManager の管理ページの[エンドユーザの設定(End User Configuration)] ウィンドウで指定します。ユーザを設定した後でクレデンシャルを電話機に関連付けるには、[電話の設定(Phone
Configuration)] ウィンドウで[ダイジェストユーザ(Digest User)](エンド ユーザ)を選択します。

ダイジェスト認証は、整合性や信頼性を提供しません。電話機の整合性と信頼性を保証するには、[転送タイプ(Transport Type)] を TLS に設定し、デバイス セキュリティ モードを暗号化に設定します。
ヒント ダイジェスト認証の詳細については、「ダイジェスト認証」および 第 8 章「SIP 電話機のダイジェスト認証の設定」 を参照してください。

[認証モード(Authentication Mode)]

CAPF で使用します。このフィールドで、[電話の設定(Phone
Configuration)] ウィンドウで設定した証明書の操作中に、電話機が CAPF で認証するために使用する方式を選択できます。

ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。

By Authentication String :ユーザが電話機に CAPF 認証文字列を入力した場合だけ、ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングします。

By Null String :ユーザが介入することなく、ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングします。

このオプションではセキュリティを一切提供しません。したがって、このオプションは安全な閉じた環境の場合にだけ選択することを強く推奨します。

By Existing Certificate (Precedence to LSC) :製造元でインストールされる証明書(MIC)またはローカルで有効な証明書(LSC)が電話機に存在する場合、LSC をインストール、アップグレード、またはトラブルシューティングします。LSC が電話機に存在する場合、MIC が電話機に存在するかどうかに関係なく、認証は LSC を介して行われます。電話機に LSC が存在せず、MIC が存在する場合、認証は MIC を介して行われます。

このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。

MIC と LSC は電話機で同時に存在できるものの、電話機は常に 1 つの証明書だけを使用して CAPF を認証します。優先されるプライマリ証明書が何らかの理由で侵害された場合、あるいは他の証明書を介して認証する場合には、認証モードを更新する必要があります。

By Existing Certificate (Precedence to MIC) :LSC または MIC が電話機に存在する場合、LSC をインストール、アップグレード、またはトラブルシューティングします。MIC が電話機に存在する場合、LSC が電話機に存在するかどうかに関係なく、認証は MIC を介して行われます。電話機に LSC だけが存在し MIC が存在しない場合、認証は LSC を介して行われます。

このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。

[キーサイズ(Key Size、ビット)]

CAPF で使用します。ドロップダウン リスト ボックスから証明書の鍵サイズを選択します。デフォルト設定値は 1024 です。これ以外のオプションには、512 と 2048 があります。

デフォルト設定値よりも大きな鍵サイズを選択すると、電話機で鍵生成に必要なエントロピーを生成するためにさらに時間がかかります。鍵生成を低いプライオリティで設定すると、アクションの実行中も電話機の機能を利用できます。電話機モデルによっては、鍵生成の完了に 30 分以上かかることがあります。

[SIP電話ポート(SIP Phone Port)]

Cisco Unified SIP IP Phone が、Cisco Unified CallManager からの SIP メッセージの傍受に使用するポート番号を入力します。デフォルト設定は 5060 です。

SCCP または SIP 電話機セキュリティ プロファイルの適用

[電話の設定(Phone Configuration)] ウィンドウで、電話機セキュリティ プロファイルを電話機に適用します。

認証または暗号化用に設定したセキュリティ プロファイルを適用する前に、電話機にローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)が含まれていることを確認します。電話機に証明書が含まれていない場合は、次の手順を実行します。

1. [電話の設定(Phone Configuration)] ウィンドウで、非セキュア プロファイルを適用します。

2. [電話の設定(Phone Configuration)] ウィンドウで、CAPF 設定で設定された証明書をインストールします。この作業の実行の詳細については、「Certificate Authority Proxy Function の使用方法」を参照してください。

3. [電話の設定(Phone Configuration)] ウィンドウで、認証または暗号化用に設定したプロファイルを適用します。

デバイスに電話機セキュリティ プロファイルを適用するには、次の手順を実行します。

手順


ステップ 1 Cisco Unified CallManager アドミニストレーション ガイド 』の説明に従って、電話機を検索します。

ステップ 2 [電話の設定(Phone Configuration)] ウィンドウが表示された後、電話機のプロトコルに応じて、次の設定を見つけます。

[SCCP電話セキュリティプロファイル(SCCP Phone Security Profile)]

[SIP電話セキュリティプロファイル(SIP Phone Security Profile)]

ステップ 3 セキュリティ プロファイルのドロップダウン リスト ボックスから、デバイスに適用するセキュリティ プロファイルを選択します。

ステップ 4 [保存] をクリックします。

ステップ 5 [リセット] をクリックして、電話機をリセットします。


 

追加の手順

SIP 電話機にダイジェスト認証を設定した場合は、[エンドユーザの設定(End User Configuration)] ウィンドウで、ダイジェスト クレデンシャルを設定する必要があります。次に、[電話の設定(Phone Configuration)]ウィンドウで、[ダイジェストユーザ(Digest User)] 設定を定義する必要があります。ダイジェスト ユーザおよびダイジェスト クレデンシャルの設定の詳細については、「SIP 電話機のダイジェスト認証の設定」を参照してください。

追加情報

詳細については、「関連項目」を参照してください。

SCCP または SIP 電話機セキュリティ プロファイルの削除

ここでは、Cisco Unified CallManager データベースから電話機セキュリティ プロファイルを削除する方法について説明します。

始める前に

Cisco Unified CallManager の管理ページからセキュリティ プロファイルを削除する前に、別のプロファイルをデバイスに適用するか、当該プロファイルを使用するすべてのデバイスを削除してください。当該プロファイルを使用しているデバイスを検索するには、セキュリティプロファイルの設定ウィンドウの[関連リンク] ドロップダウン リスト ボックスから [依存関係レコード] を選択して、 [移動] をクリックします。

システムで Dependency Records 機能が有効になっていない場合は、レコードの依存性の概要ウィンドウに、Dependency Records を有効にすると実行できるアクションを示すメッセージが表示されます。また、Dependency Records 機能を使用すると、CPU 使用率が高くなるという情報も表示されます。依存関係レコードの詳細については、『 Cisco Unified CallManager システム ガイド 』を参照してください。

手順


ステップ 1 「SCCP または SIP 電話機セキュリティ プロファイルの検索」の手順に従って、セキュリティ プロファイルを検索します。

ステップ 2 複数のセキュリティ プロファイルを削除するには、検索と一覧表示ウィンドウで、適切なチェックボックスの横に表示されているチェックボックスをオンにして、 [選択項目の削除] アイコンまたは [選択項目の削除] ボタンをクリックします。

ステップ 3 単一のセキュリティ プロファイルを削除するには、次の作業のどちらかを実行します。

検索と一覧表示ウィンドウで、適切なセキュリティ プロファイルの横に表示されているチェックボックスをオンにして、 [選択項目の削除] アイコンまたは [選択項目の削除] ボタンをクリックします。

検索と一覧表示ウィンドウで、セキュリティ プロファイルの[名前(Name)] リンクをクリックします。指定したセキュリティプロファイルの設定ウィンドウが表示されたら、 [削除] アイコンまたは [削除] ボタンをクリックします。

ステップ 4 削除操作の確認を要求するプロンプトが表示されたら、 OK をクリックして削除するか、 [キャンセル] をクリックして削除操作を取り消します。


 

追加情報

詳細については、「関連項目」を参照してください。

電話機セキュリティ プロファイルを使用している電話機の検索

電話機セキュリティ プロファイルを使用している電話機を検索するには、次の手順を実行します。


ステップ 1 Cisco Unified CallManager の管理ページで [デバイス] >[電話] の順に選択します。

ステップ 2 [検索対象: 電話 、検索条件] ドロップダウン リスト ボックスから、 [セキュリティプロファイル] を選択します。

ステップ 3 必要に応じて、[検索対象: 電話 、検索条件] ドロップダウン リスト ボックスの横に表示されているドロップダウン リスト ボックスのオプションを選択してセキュリティ プロファイルの追加の検索条件を指定し、特定の検索条件を入力します。

ステップ 4 検索条件を指定した後、 [検索] をクリックします。検索結果が表示されます。


 

追加情報

詳細については、「関連項目」を参照してください。

その他の情報

関連項目

「電話機セキュリティ プロファイルの概要」

「SCCP または SIP 電話機セキュリティ プロファイルの検索」

「SCCP または SIP 電話機セキュリティ プロファイルの設定」

「SCCP 電話機セキュリティ プロファイルの設定内容」

「SIP 電話機セキュリティ プロファイルの設定内容」

「SCCP または SIP 電話機セキュリティ プロファイルの適用」

「SCCP または SIP 電話機セキュリティ プロファイルの削除」

「電話機セキュリティ プロファイルを使用している電話機の検索」

「電話機のセキュリティ強化」

シスコの関連マニュアル

Cisco Unified IP Phone アドミニストレーション ガイド for Cisco Unified CallManager