Cisco Unified Communications Manager セキュリティ ガイド リリース 8.6(1)
セキュリティの概要
セキュリティの概要
発行日;2012/05/10 | 英語版ドキュメント(2011/06/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

セキュリティの概要

用語と略語

システム要件

機能一覧

セキュリティ アイコン

相互作用および制限

相互作用

制限

認証と暗号化

割り込みと暗号化

ワイドバンド コーデックと暗号化

メディア リソースと暗号化

電話機のサポートと暗号化

電話機のサポートおよび暗号化された設定ファイル

セキュリティ アイコンと暗号化

クラスタおよびデバイス セキュリティ モード

ダイジェスト認証と暗号化

パケット キャプチャと暗号化

ベスト プラクティス

デバイスのリセット、サービスの再起動またはリブート

メディア暗号化の設定と割り込み

インストール

TLS と IPSec

証明書

電話機の証明書の種類

サーバの証明書の種類

外部 CA からの証明書のサポート

認証、整合性、および許可の概要

イメージ認証

デバイス認証

ファイル認証

シグナリング認証

ダイジェスト認証

許可

暗号化の概要

シグナリング暗号化

メディア暗号化

設定ファイルの暗号化

NMAP スキャンの実行

設定用チェックリストの概要

参考情報

セキュリティの概要

Cisco Unified Communications Manager システムにセキュリティ機構を実装すると、電話機や Cisco Unified Communications Manager サーバの ID 盗難、データ改ざん、コール シグナリングやメディア ストリームの改ざんを防止することができます。

Cisco IP テレフォニー ネットワークは、認証された通信ストリームの確立および維持、電話機にファイルを転送する前のファイルへのデジタル署名、Cisco Unified IP Phone 間でのメディア ストリームおよびコール シグナリングの暗号化を行います。

この章は、次の内容で構成されています。

「用語と略語」

「システム要件」

「機能一覧」

「セキュリティ アイコン」

「相互作用および制限」

「ベスト プラクティス」

「インストール」

「TLS と IPSec」

「証明書」

「認証、整合性、および許可の概要」

「暗号化の概要」

「NMAP スキャンの実行」

「設定用チェックリストの概要」

「参考情報」

用語と略語

表 1-1 に示す定義は、Cisco IP テレフォニー ネットワークで認証、暗号化、および他のセキュリティ機能を設定する場合に適用されます。

 

表 1-1 用語

用語
定義

Access Control List(ACL; アクセス コントロール リスト)

システムの機能およびリソースにアクセスするためのアクセス権を定義するリスト。メソッド リストを参照。

認証

通信中のエンティティの ID を検証するプロセス。

許可

認証されたユーザ、サービス、またはアプリケーションに、要求されたアクションの実行に必要なアクセス権があるかどうかを指定するプロセス。Cisco Unified Communications Manager では、許可されたユーザに一部のトランク側 SIP 要求を制限するセキュリティ プロセス。

許可ヘッダー

チャレンジに対する SIP ユーザ エージェントの応答。

証明書

証明書の保持者名、公開鍵、およびこの証明書を発行する認証局のデジタル署名が含まれているメッセージ。

Certificate Authority(CA; 認証局)

証明書を発行する信頼されたエンティティ。シスコまたはサードパーティのエンティティなど。

Certificate Authority Proxy Function(CAPF)

サポートされているデバイスが Cisco Unified Communications Manager の管理機能を使用してローカルで有効な証明書を要求できるプロセス。

Certificate Trust List(CTL; 証明書信頼リスト)

CTL クライアントで作成され、Cisco Site Administrator Security Token(セキュリティ トークン)で署名したファイル。電話機が信頼するサーバの証明書リストを含みます。

チャレンジ

ダイジェスト認証において、SIP ユーザ エージェントの ID を認証するための SIP ユーザ エージェントに対する要求。

Cisco Site Administrator Security Token(セキュリティ トークン、etoken)

秘密鍵と、Cisco Certificate Authority の署名する X.509v3 証明書が含まれるポータブル ハードウェア セキュリティ モジュール。ファイルの認証に使用され、CTL ファイルに署名します。

デバイス認証

接続前に、デバイスの ID を検証し、このエンティティが主張内容と一致することを確認するプロセス。

ダイジェスト認証

デバイス認証の形式。(特に)共有パスワードの MD5 ハッシュを使用して、SIP ユーザ エージェントの ID を確認します。

ダイジェスト ユーザ

SIP を実行する電話機または SIP トランクが送信する許可要求に含まれているユーザ名。

デジタル署名

メッセージをハッシュ変換し、その後、署名者が自身の秘密鍵で暗号化して生成される値。メッセージの受信者は署名者の公開鍵でハッシュ変換を行ってこれを復号化します。これによって同じハッシュ関数で別のハッシュ値が生成されます。この 2 つのハッシュを比較してメッセージが一致し、内容が損なわれていないことを確認します。

DSP

Digital Signaling Processor(デジタル シグナル プロセッサ)。

DSP ファーム

H.323 または MGCP 対応ゲートウェイの DSP で提供される IP テレフォニー会議のネットワーク リソース。

暗号化

データを暗号文に変換するプロセス。情報の機密性を保持し、対象とする受信者だけがデータを読み取ることができるようにします。暗号化アルゴリズムと暗号鍵が必要です。

ファイル認証

電話機でダウンロードするデジタル署名されたファイルを検証するプロセス。電話機は署名を検証して、ファイルが作成後に改ざんされていないことを確認します。

H.323

インターネット規格の一種。一連の共通コーデック、コール設定とネゴシエーション手順、および基本的なデータ転送方式を定義します。

ハッシュ

ハッシュ関数を使用してテキスト文字列から生成される、主に 16 進数で表される数字。これによって、データに対して 1 つの小さなデジタル「フィンガープリント」を作成します。

Hypertext Transfer Protocol over Secure Sockets Layer(HTTPS; HTTP over SSL)

(少なくとも)HTTPS サーバの ID を保証する IETF が定義したプロトコル。暗号化を使用して、Tomcat サーバとブラウザ クライアントとの間で交換される情報の機密を確保します。

イメージ認証

電話機にバイナリ イメージをロードする前に、電話機がバイナリ イメージの整合性と発信元を検証するプロセス。

整合性

エンティティ間でデータの改ざんが行われなかったことを確認するプロセス。

IPSec

エンドツーエンド セキュリティ用に、セキュアな H.225、H.245、RAS シグナリング チャネルを提供する転送方式。

Locally Significant Certificate(LSC; ローカルで有効な証明書)

CAPF が発行し、電話機または JTAPI/TAPI/CTI アプリケーションにインストールされているデジタル X.509v3 証明書。

Manufacture Installed Certificate(MIC; 製造元でインストールされる証明書)

Cisco Certificate Authority によって署名され、サポートされている電話機にシスコの製造過程でインストールされた X.509v3 デジタル証明書。LSC が電話機にインストールされる際の CAPF の認証メカニズムとして使用します。

Man-in-the-Middle(中間者)攻撃

Cisco Unified Communications Manager と電話機との間で流れる情報を、攻撃者が監視して改変できるプロセス。

Multipoint Control Unit(MCU; マルチポイント コントロール ユニット)

複数の H.323 エンドポイントと接続して、複数のユーザが IP ベースのビデオ会議に参加できるようになる柔軟なシステム。

MD5

暗号化で使用されるハッシュ関数。

メディア暗号化

暗号化手順によってメディアの機密を保護するプロセス。メディア暗号化では、IETF RFC 3711 で定義された Secure Real Time Protocol(SRTP)を使用します。

メッセージ/データ改ざん

攻撃者が、転送中のメッセージを変更しようとするイベント。コールの途中終了も含まれます。

メソッド リスト

許可プロセス中に、SIP トランクに着信する可能性のある一定のカテゴリのメッセージを制限するツール。トランク側アプリケーションまたはデバイスに対して SIP 非インバイト メソッドを許可するかどうかを定義します。メソッド ACL とも呼ばれます。

混合モード

Cisco Unified Communications Manager のセキュリティ モードで、セキュア/非セキュアのプロファイルを持つデバイスおよび RTP/ SRTP メディアが Cisco Unified Communications Manager に接続できるようにする設定を行います。

ナンス

一意のランダムな数値で、サーバが各ダイジェスト認証要求に対して生成します。MD5 ハッシュを生成するために使用されます。

非セキュア モード

Cisco Unified Communications Manager のセキュリティ モードで、非セキュア プロファイルを持つデバイスおよび RTP メディアが Cisco Unified Communications Manager に接続できるようにする設定を行います。

非セキュア コール

少なくとも 1 台のデバイスが認証も暗号化もされていないコール。

非セキュア デバイス

UDP または TCP 方式のシグナリングと非セキュア メディアを使用するデバイス。

PKI

Public Key Infrastructure(公開鍵インフラストラクチャ)。セキュリティ保護された公開鍵の配布、証明書や認証局など、公開鍵の暗号化に必要な要素のセットで構成されます。

公開鍵/秘密鍵

暗号化に使用される鍵。公開鍵は広く一般に流通するが秘密鍵は該当する所有者が保持します。非対称暗号化では、両方の鍵を使用します。

リプレイ アタック

攻撃者が、電話機またはプロキシ サーバを識別する情報をキャプチャし、実際のデバイスを偽装しながら情報を再送するイベント。たとえば、プロキシ サーバの秘密鍵を偽装します。

RTP

Real-Time Transport Protocol(リアルタイム転送プロトコル)。

System Administrator Security Token(SAST)

CTI/JTAPI/TAPI アプリケーションでは、CTL ダウンロード用の CTL ファイルへの署名に使用するトークン。

Simple Certificate Enrollment Protocol(SCEP)

X.509 証明書を発行する認証局との通信に使用されるプロトコル。

セキュア コール

すべてのデバイスが認証され、シグナリングとメディア(ボイス ストリーム)が暗号化されているコール。

シグナリング認証

転送中にシグナリング パケットが改ざんされていないことを検証する TLS プロセス。

シグナリング暗号化

デバイスと Cisco Unified Communications Manager サーバの間で送信されるすべてのシグナリング メッセージの機密保持を行うために、暗号化手法を使用するプロセス。

SIP レルム

Cisco Unified Communications Manager がチャレンジに応答するために使用する文字列(名前)。

SRTP

ネットワークでの音声会話のセキュリティを確保し、リプレイ アタックからの保護を提供するセキュアなリアルタイム転送プロトコル。

SSL

データ通信(インターネットでの電子メールなど)のセキュリティを確保する暗号化プロトコル。後継の TLS と同等の機能を持ちます。

Transport Layer Security(TLS)

データ通信(インターネットでの電子メールなど)のセキュリティを確保する暗号化プロトコル。機能的には SSL と同等です。

信頼リスト

デジタル署名なしの証明書リスト。

信頼ストア

Cisco Unified Communications Manager などのアプリケーションによって明示的に信頼された X.509 証明書のリポジトリ。

X.509

PKI 認証のインポートに使用する ITU-T 暗号化規格で、証明書の形式を含んでいます。

システム要件

認証および暗号化には、次のシステム要件があります。

Cisco Unified Communications Manager は、このマニュアルで示すセキュリティ機能の最小要件として機能します。

クラスタのサーバごとに、異なる管理者パスワードを使用できます。

Cisco CTL クライアントで使用するユーザ名およびパスワード(Cisco Unified Communications Manager サーバへのログインに使用)は、Cisco Unified Communications Manager の管理ページのユーザ名およびパスワード(Cisco Unified Communications Manager の管理ページへのログインに使用するユーザ名およびパスワード)と一致する必要があります。

LSC は、Cisco Unified Communications Manager との TLS 接続の認証用のすべての電話機にインストールされています。Certificate Authority Proxy Function(CAPF)については、「CAPF システムの相互作用および要件」を参照してください。

ボイスメール ポートのセキュリティを設定する前に、今回のリリースの Cisco Unified Communications Manager をサポートする Cisco Unity または Cisco Unity Connection システムのバージョンがインストールされていることを確認します。

機能一覧

Cisco Unified Communications Manager システムは、トランスポート層からアプリケーション層まで、複数層によるコール セキュリティへのアプローチを使用します。

トランスポート層セキュリティには、音声ドメインへのアクセスを制御および防止するためにシグナリングの認証と暗号化を行う TLS および IPSec が含まれます。SRTP は、メディア認証および暗号化をセキュア プライバシーに追加し、音声会話およびその他のメディアに機密性を追加します。

表 1-2 に、サポートされる機能および設定された機能に応じて SCCP コール セッション中に Cisco Unified Communications Manager が実装できる認証および暗号化の機能の概要を示します。

 

表 1-2 SCCP コールのセキュリティ機能

セキュリティ機能
回線側
トランク側

転送/接続/整合性

セキュア TLS ポート

IPSec アソシエーション

デバイス認証

Cisco Unified Communications Manager と CAPF のいずれかまたは両方との TLS 証明書交換

IPSec 証明書交換、または事前共有鍵

シグナリング認証/暗号化

TLS モード:認証または暗号化

IPSec(認証ヘッダー、暗号化(ESP)、または両方)

メディア暗号化

SRTP

SRTP

許可

プレゼンス要求

プレゼンス要求

注: デバイスがサポートする機能はデバイス タイプによって異なります。

表 1-3 に、サポートされる機能および設定された機能に応じて SIP コール セッション中に Cisco Unified Communications Manager が実装できる認証および暗号化の機能の概要を示します。

 

表 1-3 SIP コールのセキュリティ機能

セキュリティ機能
回線側
トランク側

転送/接続/整合性

セキュア TLS ポート

セキュア TLS ポート

デバイス認証

Cisco Unified Communications Manager および CAPF のいずれかまたは両方との TLS 証明書交換

IPSec 証明書交換、または事前共有鍵

ダイジェスト認証

各 SIP デバイスは一意のダイジェスト ユーザ クレデンシャルを使用

SIP トランク ユーザ エージェントは一意のダイジェスト信用証明書を使用

シグナリング認証/暗号化

TLS モード:認証または暗号化(Cisco Unified IP Phone 7940G/7960G を除く)

TLS モード:認証または暗号化モード

メディア暗号化

SRTP

SRTP

許可

プレゼンス要求

プレゼンス要求

メソッド リスト

注: デバイスがサポートする機能はデバイス タイプによって異なります。

セキュリティ アイコン

Cisco Unified Communications Manager は、コールに参加する Cisco Unified Communications Manager サーバとデバイスに設定されているセキュリティ レベルに応じたセキュリティのステータスをコールに提供します。

セキュリティ アイコンをサポートする電話機には、コールのセキュリティ レベルが表示されます。

シグナリング セキュリティ レベルが「認証」のコールに対しては、シールド アイコンが表示されます。シールドは、Cisco IP デバイス間のセキュアな接続を識別します。これは、デバイスのシグナリングが認証または暗号化されていることを意味します。

暗号化メディアのコールに対しては、電話機にロック アイコンが表示されます。これは、デバイスが暗号化シグナリングと暗号化メディアを使用していることを意味します。


) 一部の電話機モデルでは、ロック アイコンしか表示されません。


コールのセキュリティ ステータスは、ポイント間、クラスタ内、クラスタ間、マルチホップ コールで変わる場合があります。SCCP 回線、SIP 回線、および H.323 シグナリングでは、コールのセキュリティ ステータスが変更した場合、参加しているエンドポイントへの通知をサポートしています。コールのパスに SIP トランクが含まれる場合、コール セッションのステータスは非セキュアになります。セキュリティ アイコンに関連付けられている制限については、「セキュリティ アイコンと暗号化」を参照してください。

コールの音声とビデオは、コールのセキュリティ ステータスの基盤になります。音声とビデオの両方が安全である場合に限り、コールは安全であると見なされます。 表 1-4 で、セキュリティ アイコンを表示するかどうかを判断する規則と、表示されるアイコンについて説明します。

 

表 1-4 セキュリティ アイコンの表示規則

コールのメディア タイプとデバイス タイプ
シールド アイコンとロック アイコンの両方を表示する電話機
ロック アイコンのみを表示する電話機

セキュアな音声のみ

ロック

ロック

セキュアな音声(非セキュアなビデオを含む)

シールド

なし

セキュアな音声(セキュアなビデオを含む)

ロック

ロック

認証されたデバイス(非セキュアな音声のみ含む)

シールド

なし

認証されたデバイス(非セキュアな音声とビデオを含む)

シールド

なし

認証されていないデバイス(非セキュアな音声のみ含む)

なし

なし

認証されていないデバイス(非セキュアな音声とビデオを含む)

なし

なし

会議コールおよび割り込みコールでは、セキュリティ アイコンは会議のセキュリティ ステータスを表示します。詳細については、「セキュアな会議のアイコン」を参照してください。

相互作用および制限

この項では、次のトピックについて取り上げます。

「相互作用」

「制限」

セキュアな会議の機能に関する相互作用と制限の詳細については、「セキュアな会議リソースの設定」を参照してください。

相互作用

ここでは、シスコのセキュリティ機能が Cisco Unified Communications Manager アプリケーションと相互に作用する方法について説明します。

プレゼンス

SIP を実行する電話機およびトランクにプレゼンス グループ許可を追加するには、プレゼンス要求を許可ユーザに制限するプレゼンス グループを設定します。


) プレゼンス グループの設定の詳細については、『Cisco Unified Communications Manager 機能およびサービス ガイド』を参照してください。


SIP トランクでプレゼンス要求を許可するには、Cisco Unified Communications Manager で SIP トランクでのプレゼンス要求を受け入れるように設定します。また、必要に応じて、Cisco Unified Communications Manager でリモート デバイスおよびアプリケーションからの着信プレゼンス要求を受け入れて認証できるように設定します。

SIP トランク

SIP 発信転送機能、および Web Transfer やクリック ツー ダイヤルなどの高度な転送関連機能を SIP トランクで使用するには、Cisco Unified Communications Manager で着信 Out-of-Dialog REFER 要求を受け付けるように設定する必要があります。

イベント レポートをサポートし(MWI サポートなど)、1 コールあたりの MTP 割り当て(ボイスメール サーバからなど)を削減するには、Cisco Unified Communications Manager で Unsolicited NOTIFY SIP 要求を受け付けるように設定する必要があります。

Cisco Unified Communications Manager が、SIP トランクの外部コールを外部デバイスまたはパーティに転送できるようにするには(有人転送など)、Cisco Unified Communications Manager で REFER およびインバイトの REPLACE ヘッダー付き SIP 要求を受け付けるように設定します。

エクステンション モビリティ

エクステンション モビリティでは、エンド ユーザごとに異なるクレデンシャルが設定されるため、ユーザがログインまたはログアウトしたときに、SIP ダイジェスト信用証明書が変更されます。

CTI

Cisco Unified Communications Manager Assistant は、CAPF プロファイルを設定(Cisco Unified Communications Manager Assistant ノードごとに 1 つ)している場合に CTI(トランスポート層セキュリティ接続)へのセキュア接続をサポートします。

CTI/JTAPI/TAPI アプリケーションの複数のインスタンスが実行中の場合、CTI TLS をサポートするには、管理者が、アプリケーション インスタンスごとに一意のインスタンス ID(IID)を設定し、CTI Manager と JTAPI/TSP/CTI アプリケーションとの間のシグナリングおよびメディア通信ストリームを保護する必要があります。

デバイス セキュリティ モードが認証済みまたは暗号化済みになっている場合、Cisco Unity-CM TSP は Cisco Unified Communications Manager TLS ポートを介して Cisco Unified Communications Manager に接続します。セキュリティ モードが非セキュアになっている場合は、Cisco Unity TSP は、Cisco Unified Communications Manager ポートを介して Cisco Unified Communications Manager に接続します。

認証と暗号化

認証および暗号化機能をインストールして設定する前に、次の制限を考慮してください。

混合モードに設定すると、自動登録機能は動作しません。

デバイス認証がないとシグナリング暗号化またはメディア暗号化を実装できません。デバイス認証をインストールするには、Cisco CTL Provider サービスを有効にし、Cisco CTL クライアントをインストールして設定してください。

混合モードに設定している場合、Cisco Unified Communications Manager は Network Address Translation(NAT; ネットワーク アドレス変換)をサポートしません。

ファイアウォールで UDP を有効にすると、メディア ストリームによるファイアウォールの通過が許可されます。UDP を有効にすると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。


ヒント ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。


シグナリング暗号化では NAT トラバーサルをサポートしません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。

割り込みと暗号化

割り込みと暗号化には、次の制限が適用されます。

帯域幅要件のため、Cisco Unified IP Phone 7940G および 7960G は、アクティブな暗号化済みコールへの暗号化済みデバイスからの割り込みをサポートしません。割り込みを試みると失敗します。割り込みが失敗したことを示すトーンが発信者の電話機で再生されます。

リリース 8.2 またはそれ以前を実行している暗号化が設定されている Cisco Unified IP Phone は、認証済みまたは非セキュアの参加者としてのみ、アクティブなコールに割り込むことができます。

発信者がセキュアな SCCP コールに割り込むと、システムは割り込み先のデバイスで内部のトーン再生メカニズムを使用し、ステータスはセキュアなままとなります。

発信者がセキュアな SIP コールに割り込むと、システムは保留音を再生し、Cisco Unified Communications Manager は再生中にこのコールを非セキュアと分類します。


) リリース 8.3 以降を実行している非セキュアまたは認証済みの Cisco Unified IP Phone は、暗号化済みコールに割り込むことができます。セキュリティ アイコンによって会議のセキュリティ ステータスが示されます。詳細については、「セキュアな会議のアイコン」を参照してください。


ワイドバンド コーデックと暗号化

次の情報は、暗号化が設定されていて、ワイドバンドのコーデック リージョンに関連付けられた Cisco Unified IP Phone 7960G または 7940G に適用されます。これは、TLS/SRTP 用に設定された Cisco Unified IP Phone 7960G または 7940G にのみ適用されます。

暗号化されたコールを確立するため、Cisco Unified Communications Manager はワイドバンド コーデックを無視して、サポートされる別のコーデックを電話機が提示するコーデック リストから選択します。コールのもう一方のデバイスで暗号化が設定されていない場合、Cisco Unified Communications Manager はワイドバンド コーデックを使用して認証済みおよび非セキュア コールを確立できます。

メディア リソースと暗号化

Cisco Unified Communications Manager はメディア リソースを使用しないセキュア Cisco Unified IP Phone(SCCP または SIP)、セキュア CTI デバイス/ルート ポイント、セキュア Cisco MGCP IOS ゲートウェイ、セキュア SIP トランク、セキュア H.323 ゲートウェイ、セキュア会議ブリッジ、およびセキュア H.323/H.245/H.225 トランク間で、認証および暗号化されたコールをサポートします。Cisco Unified Communications Manager では、次の場合にメディア暗号化を使用できません。

トランスコーダに関連するコール

メディア ターミネーション ポイントに関連するコール

保留音に関連するコール(セキュア会議ブリッジのコールを除く)

電話機のサポートと暗号化

一部の Cisco Unified IP Phone(Cisco Unified IP Phone 7912G など)は、暗号化コールをサポートしません。暗号化はサポートしても、証明書の署名の検証はサポートしない電話機もあります。暗号化とこのバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone の詳細については、Cisco Unified IP Phone のアドミニストレーション ガイドを参照してください。

SCCP を実行する Cisco Unified IP Phone 7906G、7911G、7931G、7940G、7941G、7941G-GE、7942G、7945G、7960G、7961G、7961G-GE、7962G、7965G、7970G、7971G、7971G-GE、および 7975G は、暗号化をサポートします。SIP を実行する Cisco Unified IP Phone 7906G、7911G、7941G、7941G-GE、7942G、7961G、7961G-GE、7962G、7965G、7970G、7971G、7971G-GE、および 7975G は、暗号化をサポートします。


警告 セキュリティ機能を最大限に活用するには、Cisco Unified IP Phone をリリース 8.3 にアップグレードすることをお勧めします。リリース 8.3 は、今回のリリースの Cisco Unified Communications Manager で暗号化機能をサポートします。それよりも前のリリースを実行している暗号化済みの電話機では、これらの新機能が完全にはサポートされません。これらの電話機では、セキュアな会議コールおよび割り込みコールに対し、認証済みか非セキュアな参加者としてだけ参加できます。

Cisco Unified IP Phone で Cisco Unified Communications Manager の以前のリリースとともにリリース 8.3 を実行している場合、会議コールまたは割り込みコール中に会議のセキュリティ ステータスではなく接続のセキュリティ ステータスが表示されます。また、会議リストなどのセキュアな会議機能はサポートされません。


電話機のサポートおよび暗号化された設定ファイル

暗号化された設定ファイルをサポートしない電話機もあります。また、暗号化された設定ファイルはサポートするが、署名の検証をサポートしない電話機もあります。Cisco Unified IP Phone 7905G および 7912G を除き、暗号化された設定ファイルをサポートする電話機にはすべて、完全に暗号化された設定ファイルを受信するために、Cisco Unified Communications Manager リリース 5.0 以降と互換性のあるファームウェアが必要です。Cisco Unified IP Phone 7905G および 7912G は、既存のセキュリティ メカニズムを使用します。このメカニズムはこの機能のために新しいファームウェアを必要としません。暗号化された設定ファイルの電話機でのサポートについては、「サポートされる電話機のモデル」を参照してください。

セキュリティ アイコンと暗号化

セキュリティ アイコンと暗号化には、次の制限が適用されます。

コールの転送またはコールの保留などのタスクを実行するときに、暗号化ロック アイコンが電話機に表示されないことがあります。MOH など、こうしたタスクに関連付けられたメディア ストリームが暗号化されていない場合、ステータスは暗号化済みから非セキュアに変化します。

Cisco Unified Communications Manager は、H.323 トランクおよび SIP トランクで転送されるコールに対してはシールド アイコンを表示しません。

PSTN に関連するコールの場合、セキュリティ アイコンで表示されるセキュリティ ステータスはコールの IP ドメイン部分についてのみです。

転送タイプに TLS が使用されている場合、SIP トランクからレポートされるセキュリティ ステータスは、暗号化済みまたは非認証になります。SRTP がネゴシエートされると、セキュリティ ステータスは暗号化済みになります。ネゴシエートされない場合は非認証のままです。これによって、Cisco Unified Communications Manager のコール制御は、SIP トランクに関連するコールの全体的なセキュリティ レベルを特定できます。

SIP トランクは、ミートミー会議や C 割り込みなどのイベント中に参加者が認証された場合、認証済みステータスをトランク経由でレポートします(SIP トランクは引き続き TLS または SRTP を使用します)。

セキュアなモニタリングおよび録音のため、SIP トランクは、SIP トランク経由でセキュリティ アイコン ステータスを送信するときに、SIP 回線で現在使用されているように、既存の Call Info ヘッダー メカニズムを使用します。その結果、コールの全体的なセキュリティ ステータスを SIP トランク ピアから監視できます。

暗号化済み電話機からの SIP トランク経由のコールが、そのクラスタ内の暗号化済み電話機に転送された場合、コールは暗号化されず、それらの暗号化済み電話機が同じセキュア クラスタ内に存在してもロック アイコンは表示されません。

一部の電話機モデルでは、ロック アイコンしか表示されず、シールド アイコンが表示されません。

セキュアな会議でのセキュリティ アイコンの表示の詳細については、「セキュアな会議のアイコン」を参照してください。

クラスタおよびデバイス セキュリティ モード


) デバイス セキュリティ モードは、Cisco Unified IP Phone または SIP トランクのセキュリティ機能を設定します。クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。


クラスタ セキュリティ モードが非セキュアと示される場合、デバイス セキュリティ モードは電話機の設定ファイルで非セキュアになっています。この場合、電話機は、デバイス セキュリティ モードが認証済みまたは暗号化済みになっていても、SRST 対応のゲートウェイおよび Cisco Unified Communications Manager と非セキュア接続を確立します。デバイス セキュリティ モード以外のセキュリティ関連設定([SRSTを許可(SRST Allowed)] チェックボックスなど)も無視されます。セキュリティ設定は Cisco Unified Communications Manager の管理ページで削除されませんが、セキュリティは提供されません。

電話機が SRST 対応ゲートウェイへのセキュア接続を試行するのは、クラスタ セキュリティ モードがセキュアで、電話機設定ファイル内のデバイス セキュリティ モードが認証済みまたは暗号化済みに設定されており、[トランクの設定(Trunk Configuration)] ウィンドウで [SRSTを許可(SRST Allowed?)] チェックボックスがオンになっていて、電話機の設定ファイル内に有効な SRST 証明書が存在する場合だけです。

ダイジェスト認証と暗号化

Cisco Unified Communications Manager は、複数の異なるコール レッグを持つコールとして、SIP コールを定義します。通常、2 つの SIP デバイスで 2 者が通話するとき、2 つの異なるコール レッグが存在します。1 つは、発信 SIP ユーザ エージェントと Cisco Unified Communications Manager の間(発信コール レッグ)で、もう 1 つは Cisco Unified Communications Manager と宛先 SIP ユーザ エージェントの間(着信コール レッグ)です。各コール レッグは、別のダイアログを表します。ダイジェスト認証は、ポイントツーポイント プロセスなので、各コール レッグの認証は別のコール レッグから独立しています。SRTP 機能は、ユーザ エージェント間でネゴシエーションされる機能に応じて、コール レッグごとに変更できます。

パケット キャプチャと暗号化

SRTP 暗号化が実装されている場合、サードパーティのスニファは動作しません。適切な認証で許可された管理者は、Cisco Unified Communications Manager の管理ページで設定を変更してパケット キャプチャを開始できます(パケット キャプチャをサポートするデバイスの場合)。Cisco Unified Communications Manager でのパケット キャプチャの設定については、今回のリリースをサポートする『 Troubleshooting Guide for Cisco Unified Communications Manager 』を参照してください。

ベスト プラクティス

シスコでは、次のベスト プラクティスを強く推奨します。

必ず安全なテスト環境でインストールおよび設定タスクを実行してから、広範囲のネットワークに展開します。

リモートのロケーションのゲートウェイその他のアプリケーション サーバには IPSec を使用します。


警告 これらのインスタンスで IPSec を使用しない場合、セッション暗号鍵が暗号化されずに転送されます。


通話料金の不正を防止するため、『 Cisco Unified Communications Manager システム ガイド 』に説明されている電話会議の機能拡張を設定します。同様に、コールの外部転送を制限する設定作業を実行することができます。この作業の実行方法については、『 Cisco Unified Communications Manager 機能およびサービス ガイド 』を参照してください。

この項では、次のトピックについて取り上げます。

「デバイスのリセット、サービスの再起動またはリブート」

「メディア暗号化の設定と割り込み」

デバイスのリセット、サービスの再起動またはリブート

ここでは、デバイスのリセット、Cisco Unified サービスアビリティでのサービスの再起動、あるいはサーバまたはクラスタのリブートが必要になる場合について説明します。

次のガイドラインを考慮します。

Cisco Unified Communications Manager の管理ページで別のセキュリティ プロファイルを適用した後、1 台のデバイスをリセットします。

電話機のセキュリティ強化作業を実行した場合は、デバイスをリセットします。

クラスタ セキュリティ モードを混合モードから非セキュア モード(またはその逆)に変更した後は、デバイスをリセットします。

Cisco CTL クライアントの設定後、または CTL ファイルの更新後は、すべてのデバイスを再起動します。

CAPF エンタープライズ パラメータを更新した後は、デバイスをリセットします。

TLS 接続用のポートを更新した後は、Cisco CTL Provider サービスを再起動します。

クラスタ セキュリティ モードを混合モードから非セキュア モード(またはその逆)に変更した後は、Cisco CallManager サービスを再起動します。

Cisco Certificate Authority Proxy Function サービスに関連する CAPF サービス パラメータを更新した後は、このサービスを再起動します。

Cisco CTL クライアントの設定後、または CTL ファイルの更新後は、Cisco Unified サービスアビリティで Cisco CallManager サービスおよび Cisco TFTP サービスをすべて再起動します。この作業は、これらのサービスを実行するクラスタ内のすべてのサーバで実行します。

CTL Provider サービスを開始または停止した後は、Cisco CallManager サービスおよび Cisco TFTP サービスをすべて再起動します。

セキュア SRST 参照先の設定後は、従属デバイスをリセットします。

Smart Card サービスを「開始」および「自動」に設定した場合は、Cisco CTL クライアントをインストールした PC をリブートします。

アプリケーション ユーザ CAPF プロファイルに関連付けられているセキュリティ関連のサービス パラメータを設定した後は、Cisco IP Manager Assistant サービス、Cisco Web Dialer Web サービス、および Cisco Extended Functions サービスを再起動します。

Cisco CallManager サービスの再起動については、『 Cisco Unified Serviceability Administration Guide 』を参照してください。

電話機設定の更新後に単一のデバイスをリセットするには、「電話機セキュリティ プロファイルの適用」を参照してください。

クラスタ内のデバイスをすべてリセットするには、次の手順を実行します。

手順


ステップ 1 Cisco Unified Communications Manager の管理ページで [システム(System)] > [Cisco Unified CM] の順に選択します。

検索と一覧表示ウィンドウが表示されます。

ステップ 2 [検索(Find)] をクリックします。

設定済みの Cisco Unified Communications Manager サーバのリストが表示されます。

ステップ 3 デバイスをリセットする Cisco Unified Communications Manager を選択します。

ステップ 4 [リセット(Reset)] をクリックします。

ステップ 5 クラスタ内のサーバごとに、ステップ 2ステップ 4 を実行します。


 

メディア暗号化の設定と割り込み

「割り込みと暗号化」に加えて、次の情報も参照してください。

暗号化が設定されている Cisco Unified IP Phone 7960G および 7940G に対して割り込みを設定しようとすると、次のメッセージが表示されます。

If you configure encryption for Cisco Unified IP Phone models 7960 and 7940, those encrypted devices cannot accept a barge request when they are participating in an encrypted call.When the call is encrypted, the barge attempt fails.

メッセージが表示されるのは、Cisco Unified Communications Manager の管理ページで次の作業を実行したときです。

[エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウで、Cluster Security Mode パラメータを更新する。

[サービスパラメータ設定(Service Parameter Configuration)] ウィンドウで、Builtin Bridge Enable パラメータを更新する。

Cisco Unified IP Phone 7960G および 7940G に暗号化されたセキュリティ プロファイルを設定し、[ビルトインブリッジ(Built In Bridge)] 設定で [オン(On)] を選択した場合(デフォルト設定は [デフォルト(Default)])、このメッセージは [電話の設定(Phone Configuration)] ウィンドウに表示されません。同じ制限が適用されます。


ヒント 変更内容を有効にするには、従属する Cisco IP デバイスをリセットする必要があります。

インストール

認証のサポートを可能にするには、プラグインの Cisco CTL クライアントを Cisco Unified Communications Manager の管理ページからインストールします。Cisco CTL クライアントをインストールするためには、少なくとも 2 つのセキュリティ トークンを入手する必要があります。

Cisco Unified Communications Manager のインストール時に、メディアおよびシグナリング暗号化機能が自動的にインストールされます。

Cisco Unified Communications Manager は、Cisco Unified Communications Manager 仮想ディレクトリに SSL(Secure Sockets Layer)を自動的にインストールします。

Cisco Certificate Authority Proxy Function(CAPF)は、Cisco Unified Communications Manager の管理機能の一部として自動的にインストールされます。

TLS と IPSec

転送セキュリティは、データの符号化、パッキング、および送信を扱います。Cisco Unified Communications Manager は、次のセキュア転送プロトコルを提供します。

Transport Layer Security(TLS):セキュアなポートおよび証明書交換を使用して、2 つのシステムまたはデバイス間で、信頼性の高いセキュアなデータ転送を実現します。TLS は、Cisco Unified Communications Manager で制御されたシステム、デバイス、およびプロセス間の接続を保護および制御し、音声ドメインへのアクセスを防止します。Cisco Unified Communications Manager は、TLS を使用して、SCCP を実行する電話機への SCCP コール、および SIP を実行する電話機またはトランクへの SIP コールを保護します。

IP Security(IPSec):Cisco Unified Communications Manager とゲートウェイの間で、信頼性の高いセキュアなデータ転送を実現します。IPSec は、Cisco IOS MGCP ゲートウェイおよび H.323 ゲートウェイに対してシグナリング認証および暗号化を実装します。

Secure RTP(SRTP; セキュア RTP)をサポートするデバイスの次のレベルのセキュリティとして、TLS および IPSec 転送サービスに SRTP を追加できます。SRTP は、メディア ストリーム(音声パケット)を認証および暗号化し、Cisco Unified IP Phone および TDM またはアナログ音声ゲートウェイ ポートで開始または終了する音声会話を、音声ドメインへのアクセス権を取得した盗聴者から保護します。さらに、SRTP はリプレイ アタックからの保護も提供します。

証明書

証明書は、クライアントとサーバの ID を保護します。ルート証明書がインストールされた後、証明書はルート信頼ストアに追加され、ユーザとホスト間(デバイスおよびアプリケーション ユーザを含む)の接続のセキュリティを確保します。

管理者は Cisco Unified Communications オペレーティング システムの GUI で、サーバ証明書のフィンガープリントの表示、自己署名証明書の再生成、および信頼証明書の削除ができます。

また、管理者は、コマンドライン インターフェイス(CLI)で自己署名証明書の再生成および表示ができます。

CallManager 信頼ストアの更新と証明書の管理の詳細については、今回のリリースの Cisco Unified Communications Manager をサポートする『 Cisco Unified Communications Operating System Administration Guide 』を参照してください。


) Cisco Unified Communications Manager は、PEM(.pem)形式および DER(.der)形式の証明書のみサポートします。


この項では、次のトピックについて取り上げます。

「電話機の証明書の種類」

「サーバの証明書の種類」

「外部 CA からの証明書のサポート」

電話機の証明書の種類

シスコでは次の種類の証明書を電話機で使用します。

Manufacture-Installed Certificate(MIC; 製造元でインストールされる証明書):この証明書は、サポートされている電話機にシスコの製造過程で自動的にインストールされます。製造元でインストールされる証明書は、LSC のインストールにおける Cisco Certificate Authority Proxy Function(CAPF)に対する認証を行います。MIC は上書きすることも削除することもできません。

Locally Significant Certificate(LSC; ローカルで有効な証明書):この種類の証明書は、Cisco Certificate Authority Proxy Function(CAPF)に関連する必要な作業を実行した後で、サポートされている電話機にインストールされます。設定の作業については、「設定用チェックリストの概要」を参照してください。認証または暗号化を使用するようにデバイス セキュリティ モードを設定した後に、LSC により、Cisco Unified Communications Manager と電話機間の接続のセキュリティが確保されます。


ヒント 製造元でインストールされる証明書(MIC)は、LSC のインストールの場合にのみ使用することをお勧めします。シスコでは、Cisco Unified Communications Manager との TLS 接続の認証用に LSC をサポートしています。MIC ルート証明書は侵害される可能性があるため、TLS 認証用またはその他の目的のために MIC を使用するように電話機を設定するお客様は、ご自身の責任で行ってください。MIC が侵害されてもシスコは責任を負いかねます。

Cisco Unified Communications Manager との TLS 接続で LSC を使用するには Cisco Unified IP Phone 7906G、7911G、7931G(SCCP のみ)、7941G、7941G-GE、7942G、7945G、7961G、7961G-GE、7962G、7965G、7970G、7971G、7971G-GE、および 7975G をアップグレードし、CallManager 信頼ストアから MIC ルート証明書を削除して今後の互換性の問題を回避することをお勧めします。Cisco Unified Communications Manager への TLS 接続に MIC を使用する一部の電話機モデルは、登録できない場合があることに注意してください。

管理者は、CallManager 信頼ストアから次の MIC ルート証明書を削除する必要があります。
CAP-RTP-001
CAP-RTP-002
Cisco_Manufacturing_CA
Cisco_Root_CA_2048

CAPF 信頼ストアに格納されている MIC ルート証明書は、証明書のアップグレードに使用されます。CallManager 信頼ストアの更新と証明書の管理の詳細については、今回のリリースをサポートする『Cisco Unified Communications Operating System Administration Guide』を参照してください。

サーバの証明書の種類

Cisco Unified Communications Manager サーバでは、次の種類の自己署名証明書を使用します。

HTTPS 証明書(Tomcat):この自己署名ルート証明書は、Cisco Unified Communications Manager をインストールするときに、HTTPS サーバに対して生成されます。Cisco Unity Connection は、この証明書を SMTP サービスおよび IMAP サービスに使用します。

CallManager 証明書:この自己署名ルート証明書は、Cisco Unified Communications Manager サーバに Cisco Unified Communications Manager をインストールすると自動的にインストールされます。

CAPF 証明書:このルート証明書は、Cisco Unified Communications Manager のインストール中に生成され、Cisco CTL クライアントの設定が完了した後で、ユーザのサーバまたはクラスタ内のすべてのサーバにコピーされます。

IPSec 証明書(ipsec_cert):この自己署名ルート証明書は、Cisco Unified Communications Manager のインストール中に、MGCP および H.323 ゲートウェイとの IPSec 接続に対して生成されます。

SRST 対応ゲートウェイ証明書:Cisco Unified Communications Manager の管理ページのセキュア SRST 参照先を設定するときに、Cisco Unified Communications Manager は、ゲートウェイから SRST 対応ゲートウェイ証明書を取得し、Cisco Unified Communications Manager データベースに格納します。デバイスをリセットすると、証明書は電話機設定ファイルに追加されます。証明書はデータベースに格納されるため、この証明書を証明書管理ツールで管理することはできません。

TVS 証明書:これらは Trust Verification Service(TVS; 信頼検証サービス)をサポートする自己署名証明書です。

電話と VPN 間の信頼性証明書:このカテゴリを使用すると、Cisco Unified IP Phone の VPN 証明書をインポートできます。これらの証明書は MIDlet 信頼ストアに格納されます。

Phone Certificates 信頼ストア(Phone-trust):Cisco Unified Communications Manager は、電話機で HTTPS アクセスをサポートするためにこの証明書の種類を使用します。証明書は、Cisco Unified Communications オペレーティング システムの GUI を使用して、電話機の信頼ストアにアップロードできます。その後この証明書は、CTL ファイル メカニズムによって電話機にダウンロードされ、Cisco Unified IP Phone からのセキュアな Web アクセス(HTTPS)をサポートします。

Cisco Unified Communications Manager は、次の種類の証明書を CallManager 信頼ストアにインポートします。

Cisco Unity サーバまたは Cisco Unity Connection 証明書:Cisco Unity および Cisco Unity Connection は、この自己署名ルート証明書を使用して、Cisco Unity SCCP および Cisco Unity Connection SCCP デバイス証明書に署名します。Cisco Unity の場合、Cisco Unity Telephony Integration Manager(UTIM)がこの証明書を管理します。Cisco Unity Connection の場合は、Cisco Unity Connection の管理機能がこの証明書を管理します。

Cisco Unity および Cisco Unity Connection SCCP デバイス証明書:Cisco Unity および Cisco Unity Connection SCCP デバイスはこの署名証明書を使用して、Cisco Unified Communications Manager との TLS 接続を確立します。

証明書名は、ボイスメール サーバ名に基づく証明書の件名のハッシュを表しています。すべてのデバイス(またはポート)が、ルート証明書をルートとする証明書を発行します。

SIP Proxy サーバ証明書:CallManager 信頼ストアに SIP ユーザ エージェント証明書が含まれ、SIP ユーザ エージェントの信頼ストアに Cisco Unified Communications Manager 証明書が含まれている場合、SIP トランク経由で接続する SIP ユーザ エージェントは、Cisco Unified Communications Manager に対して認証されます。

存在する追加の信頼ストアを次に示します。

Tomcat および Web アプリケーションの共通信頼ストア:Tomcat の信頼性証明書は、社内ディレクトリ(Active Directory または Netscape Directory)から Tomcat 信頼ストアにアップロードされます。信頼する証明書のアップロード後は、Cisco Tomcat サービスおよび Cisco DirSync サービスを再起動する必要があります。

外部 CA からの証明書のサポート

Cisco Unified Communications Manager は、PKCS#10 Certificate Signing Request(CSR; 証明書署名要求)メカニズムを使用して、サードパーティの認証局(CA)との統合をサポートします。このメカニズムには、Cisco Unified Communications オペレーティング システムの [証明書の管理(Certificate Management)] の GUI でアクセスできます。現在サードパーティの CA を使用しているお客様は、この CSR メカニズムを使用して、Cisco Unified Communications Manager、CAPF、IPSec、および Tomcat の証明書を発行する必要があります。


) 今回のリリースの Cisco Unified Communications Manager は、SCEP インターフェイス サポートを提供しません。


サードパーティの CA 署名付き証明書をプラットフォームにアップロードした後、CTL クライアントを実行して、CTL ファイルを更新してください。CTL クライアントを実行した後、該当するサービスを再起動して更新します。たとえば、Cisco Unified Communications Manager 証明書を更新する場合は Cisco CallManager サービスと Cisco TFTP サービスを再起動し、CAPF 証明書を更新する場合は CAPF を再起動します。更新の手順については、「Cisco CTL クライアントの設定」を参照してください。


) Cisco Unified Communications Manager 証明書または CAPF 証明書をアップロードした後に、ITL ファイルをアップデートするために自動的にリセットされた電話機を監視できます。「デフォルトのセキュリティ」を参照してください。


プラットフォームでの証明書署名要求(CSR)の生成の詳細については、今回のリリースの Cisco Unified Communications Manager をサポートする『 Cisco Unified Communications Operating System Administration Guide 』を参照してください。

認証、整合性、および許可の概要

整合性および認証によって、次の脅威から保護します。

TFTP ファイルの操作(整合性)

電話機と Cisco Unified Communications Manager との間で行われるコール処理シグナリングの変更(認証)

表 1-1 で定義した Man-in-the-Middle(中間者)攻撃(認証)

電話機およびサーバの ID 盗難(認証)

リプレイ アタック(ダイジェスト認証)

許可は、認証されたユーザ、サービス、またはアプリケーションが実行できるアクションを指定します。単一セッションで複数の認証および許可の方式を実装できます。

認証、整合性、および許可の詳細については、次の項を参照してください。

「イメージ認証」

「デバイス認証」

「ファイル認証」

「シグナリング認証」

「ダイジェスト認証」

「許可」

イメージ認証

このプロセスは、バイナリ イメージ(ファームウェア ロード)が電話機でロードされる前に改ざんされるのを防ぎます。イメージが改ざんされると、電話機は認証プロセスで失敗し、イメージを拒否します。イメージ認証は、Cisco Unified Communications Manager のインストール時に自動的にインストールされる署名付きバイナリ ファイルを使用して行われます。同様に、Web からダウンロードするファームウェア アップデートでも署名付きバイナリ イメージが提供されます。

デバイス認証

このプロセスでは、通信デバイスの ID を検証し、このエンティティが主張内容と一致することを確認します。サポートされるデバイスのリストについては、「サポートされる電話機のモデル」を参照してください。

デバイス認証は、Cisco Unified Communications Manager サーバとサポートされる Cisco Unified IP Phone、SIP トランク、または JTAPI/TAPI/CTI アプリケーション(サポートされる場合)の間で発生します。認証された接続は、各エンティティが他のエンティティの証明書を受け付けたときにのみ、これらのエンティティの間で発生します。この相互証明書交換プロセスが、相互認証と呼ばれるプロセスです。

デバイス認証は、「Cisco CTL クライアントの設定」で説明する Cisco CTL ファイルの作成(Cisco Unified Communications Manager サーバ ノードおよびアプリケーションの認証の場合)、および 「Certificate Authority Proxy Function の使用方法」で説明する Certificate Authority Proxy Function(電話機および JTAPI/TAPI/CTI アプリケーションの認証の場合)に依存します。


ヒント CallManager 信頼ストアに SIP ユーザ エージェント証明書が含まれ、SIP ユーザ エージェントの信頼ストアに Cisco Unified Communications Manager 証明書が含まれている場合、SIP トランク経由で接続する SIP ユーザ エージェントは、Cisco Unified Communications Manager に対して認証されます。CallManager 信頼ストアの更新の詳細については、今回のリリースの Cisco Unified Communications Manager をサポートする『Cisco Unified Communications Operating System Administration Guide』を参照してください。

ファイル認証

このプロセスでは、電話機でダウンロードするデジタル署名されたファイルを検証します。たとえば、設定、呼出音一覧、ロケール、CTL ファイルなどがあります。電話機は署名を検証して、ファイルが作成後に改ざんされていないことを確認します。サポートされるデバイスのリストについては、「サポートされる電話機のモデル」を参照してください。

クラスタを非セキュア モードに設定した場合、TFTP サーバはどのファイルにも署名しません。クラスタを混合モードに設定した場合、TFTP サーバは呼出音一覧、ローカライズ、デフォルトの .cnf.xml、呼出音一覧 wav ファイルなど、.sgn 形式のスタティック ファイルに署名します。TFTP サーバは、ファイルのデータが変更されたことを確認するたびに、<device name>.cnf.xml 形式のファイルに署名します。

キャッシングが無効になっている場合、TFTP サーバは署名付きファイルをディスクに書き込みます。TFTP サーバは、保存されたファイルが変更されたことを確認すると、再度そのファイルに署名します。ディスク上に新しいファイルを置くと、保存されていたファイルは上書きされて削除されます。電話機で新しいファイルをダウンロードするには、事前に、Cisco Unified Communications Manager の管理ページで、影響を受けるデバイスを再起動しておく必要があります。

電話機は、TFTP サーバからファイルを受信すると、ファイルの署名を確認して、ファイルの整合性を検証します。電話機で認証された接続を確立するには、次の基準を満たしてください。

証明書が電話機に存在する必要がある。

CTL ファイルが電話機にあり、そのファイルに Cisco Unified Communications Manager エントリおよび証明書が存在する必要がある。

デバイスに認証または暗号化を設定した。


) ファイル認証は Certificate Trust List(CTL; 証明書信頼リスト)ファイルの作成に依存します。これについては、「Cisco CTL クライアントの設定」で説明します。


シグナリング認証

このプロセスはシグナリング整合性とも呼ばれ、TLS プロトコルを使用して、転送中のシグナリング パケットが改ざんされていないことを検証します。

シグナリング認証は Certificate Trust List(CTL; 証明書信頼リスト)ファイルの作成に依存します。これについては、「Cisco CTL クライアントの設定」で説明します。

ダイジェスト認証

この SIP トランクおよび電話機用のプロセスによって、Cisco Unified Communications Manager は、Cisco Unified Communications Manager に接続しているデバイスの ID でチャレンジができます。チャレンジが行われるときは、デバイスは自身のダイジェスト信用証明書(ユーザ名やパスワードのようなもの)を Cisco Unified Communications Manager に提示して検証を受けます。提示された信用証明書がそのデバイス用としてデータベースに設定済みの信用証明書と一致した場合、ダイジェスト認証は成功し、Cisco Unified Communications Manager は SIP 要求を処理します。


) クラスタのセキュリティ モードはダイジェスト認証に影響しないので、注意してください。



) デバイスでダイジェスト認証を有効にする場合、デバイスを登録するには一意のダイジェスト ユーザ ID およびパスワードが必要になります。


ユーザは Cisco Unified Communications Manager データベースに電話機ユーザまたはアプリケーションユーザの SIP ダイジェスト信用証明書を設定します。

アプリケーションの場合は、[アプリケーションユーザの設定(Application User Configuration)] ウィンドウでダイジェスト信用証明書を指定します。

SIP を実行する電話機の場合は、[エンドユーザの設定(End User Configuration)] ウィンドウで、ダイジェスト認証信用証明書を指定します。ユーザを設定した後でクレデンシャルを電話機に関連付けるには、[電話の設定(Phone Configuration)] ウィンドウで [ダイジェストユーザ(Digest User)](エンド ユーザ)を選択します。電話機をリセットした後、クレデンシャルは、TFTP サーバが電話機に提供する電話機設定ファイルに存在するようになります。ダイジェスト信用証明書が TFTP ダウンロードで暗号化されずに送信されることがないようにする方法については、 「暗号化された電話機設定ファイルの設定」 を参照してください。

ユーザは、チャレンジを SIP トランク上で受信するための SIP レルムを設定します。SIP レルムは、レルム、ユーザ名(デバイスまたはアプリケーション ユーザ)およびダイジェスト信用証明書を指定します。

SIP を実行する外部の電話機またはトランクのダイジェスト認証を有効にし、ダイジェスト信用証明書を設定した場合、Cisco Unified Communications Manager は、ユーザ名、パスワード、およびレルムのハッシュを含む信用証明書チェックサムを計算します。システムはナンス値(ランダムな数値)を使用して、MD5 ハッシュを計算します。Cisco Unified Communications Manager は値を暗号化し、ユーザ名とチェックサムをデータベースに格納します。

チャレンジを開始する場合、Cisco Unified Communications Manager は、ヘッダーにナンスとレルムを含む SIP 401(Unauthorized)メッセージを使用します。ユーザは、SIP デバイスのセキュリティ プロファイルで電話機またはトランクのナンス確認時間を設定します。ナンス確認時間は、ナンス値が有効な時間数(分単位)を指定するものです。この時間を超えると、Cisco Unified Communications Manager は外部デバイスを拒否して新しい番号を生成します。


) Cisco Unified Communications Manager は、回線側電話機またはデバイスから発信され、SIP トランク経由で到達した SIP コールのユーザ エージェント サーバ(UAS)、SIP トランクに向けて発信された SIP コールのユーザ エージェント クライアント(UAC)、または、回線対回線接続またはトランク対トランク接続のバックツーバック ユーザ エージェント(B2BUA)として機能します。ほとんどの環境では、Cisco Unified Communications Manager は主に、SCCP および SIP エンドポイントを接続する B2BUA として機能します(SIP ユーザ エージェントは、SIP メッセージを発信したデバイスまたはアプリケーションを表します)。



ヒント ダイジェスト認証は、整合性や信頼性を提供しません。デバイスの整合性および信頼性を保証するには、デバイスに TLS プロトコルを設定します(デバイスが TLS をサポートする場合)。デバイスが暗号化をサポートしている場合は、デバイス セキュリティ モードを暗号化に設定します。デバイスが暗号化された電話機設定ファイルをサポートする場合は、ファイルの暗号化を設定します。

電話機のダイジェスト認証

電話機に対してダイジェスト認証が有効になっている場合、Cisco Unified Communications Manager は、SIP を実行する電話機に対し、キープアライブ メッセージ以外のすべての要求でチャレンジを行います。Cisco Unified Communications Manager は回線側の電話機からのチャレンジには応答しません。

応答を受信した後、Cisco Unified Communications Manager は、データベースに格納されているユーザ名のチェックサムと、応答ヘッダーのクレデンシャルと比較して検証します。

SIP を実行する電話機は Cisco Unified Communications Manager のレルムに存在し、これは Cisco Unified Communications Manager の管理機能のインストール時に定義されます。電話機のチャレンジ用の SIP レルム は、サービス パラメータ SIP Station Realm で設定します。各ダイジェスト ユーザは、レルムごとにダイジェスト信用証明書のセットを 1 つ持つことができます。詳細については、 「SIP 電話機のダイジェスト認証の設定」 を参照してください。


ヒント エンド ユーザのダイジェスト認証を有効にしたが、ダイジェスト信用証明書は設定しなかった場合、電話機は登録できません。クラスタ モードが非セキュアで、ダイジェスト認証を有効にし、ダイジェスト信用証明書を設定した場合、ダイジェスト信用証明書は電話機に送信されますが、Cisco Unified Communications Manager でもチャレンジが開始されます。

トランクのダイジェスト認証

トランクに対してダイジェスト認証が有効になっている場合、Cisco Unified Communications Manager は、SIP トランク経由で接続する SIP デバイスおよびアプリケーションからの SIP トランク要求でチャレンジを行います。システムはチャレンジ メッセージで Cluster ID エンタープライズ パラメータを使用します。SIP トランクを通じて接続する SIP ユーザ エージェントは、Cisco Unified Communications Manager の管理ページで設定したデバイスまたはアプリケーション用の一意のダイジェスト信用証明書で応答します。

Cisco Unified Communications Manager が SIP トランク要求を開始すると、SIP トランクを介して接続する SIP ユーザ エージェントは Cisco Unified Communications Manager の ID をチャレンジできます。これらの着信するチャレンジに対して、管理者は SIP レルムを設定して要求されたクレデンシャルをユーザに提供します。Cisco Unified Communications Manager が SIP 401(Unauthorized)メッセージまたは SIP 407(Proxy Authentication Required)メッセージを受信すると、Cisco Unified Communications Manager は、トランク経由で接続するレルムおよびチャレンジ メッセージで指定されているユーザ名の暗号化されたパスワードをルックアップします。Cisco Unified Communications Manager は、パスワードを復号化し、ダイジェストを計算し、これを応答メッセージで表します。


ヒント レルムは SIP トランク経由で接続するドメイン(xyz.com など)を表し、要求の発信元の識別に役立ちます。

SIP レルムの設定方法の詳細については、「SIP トランクのダイジェスト認証の設定」を参照してください。SIP レルムとユーザ名およびパスワードは、Cisco Unified Communications Manager に対してチャレンジができる SIP トランク ユーザ エージェントごとに Cisco Unified Communications Manager で設定する必要があります。各ユーザは、レルムごとにダイジェスト信用証明書のセットを 1 つ持つことができます。

許可

Cisco Unified Communications Manager は、許可プロセスを使用して、SIP を実行する電話機、SIP トランク、および SIP トランクの SIP アプリケーション要求からのメッセージについて、一定のカテゴリを制限します。

SIP インバイト メッセージと in-dialog メッセージ、および SIP を実行する電話機の場合、Cisco Unified Communications Manager はコーリング サーチ スペースおよびパーティションを通じて許可を与えます。

電話機からの SIP SUBSCRIBE 要求の場合、Cisco Unified Communications Manager は、プレゼンス グループへのユーザ アクセスに許可を与えます。

SIP トランクの場合、Cisco Unified Communications Manager はプレゼンス サブスクリプションおよび非インバイト SIP メッセージ(Out-of-Dialog REFER、Unsolicited NOTIFY、Replaces ヘッダー付き SIP 要求など)の許可を与えます。[SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)] ウィンドウで、許可する SIP 要求のチェックボックスをオンにして、許可を指定します。

SIP トランクのアプリケーションの許可を有効にするには、[SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)] ウィンドウで [アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスと [ダイジェスト認証を有効化(Enable Digest Authentication)] チェックボックスをオンにしてから、[アプリケーションユーザの設定(Application User Configuration)] ウィンドウで許可する SIP 要求のチェックボックスをオンにします。

SIP トランクの許可とアプリケーション レベルの許可の両方を有効にすると、最初に SIP トランクの許可が発生し、次に SIP アプリケーション ユーザの許可が発生します。トランクの場合、Cisco Unified Communications Manager はトランクのアクセス コントロール リスト(ACL)情報をダウンロードしてキャッシュします。ACL 情報は、着信 SIP 要求に適用されます。ACL が SIP 要求を許可しない場合、コールは 403 Forbidden メッセージで失敗します。

ACL が SIP 要求を許可する場合、Cisco Unified Communications Manager は、[SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)] でダイジェスト認証が有効かどうかを確認します。ダイジェスト認証が有効でなく、アプリケーションレベルの許可が有効でない場合、Cisco Unified Communications Manager は要求を処理します。ダイジェスト認証が有効な場合、Cisco Unified Communications Manager は着信要求に認証ヘッダーが存在することを確認してから、ダイジェスト認証を使用して、発信元アプリケーションを識別します。ヘッダーが存在しない場合、Cisco Unified Communications Manager は 401 メッセージでデバイスに対するチャレンジを行います。

アプリケーションレベルの ACL を適用する前に、Cisco Unified Communications Manager は、ダイジェスト認証で SIP トランク ユーザ エージェントを認証します。そのため、アプリケーションレベルの許可を発生させるには、事前に [SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)] でダイジェスト認証を有効にする必要があります。

暗号化の概要


ヒント 暗号化の機能は、Cisco Unified Communications Manager をサーバにインストールすると自動的にインストールされます。

ここでは、Cisco Unified Communications Manager がサポートする暗号化の種類について説明します。

「シグナリング暗号化」

「メディア暗号化」

「設定ファイルの暗号化」

シグナリング暗号化

シグナリング暗号化により、デバイスと Cisco Unified Communications Manager サーバとの間で送信されるすべての SIP および SCCP シグナリング メッセージが確実に暗号化されます。

シグナリング暗号化は、各側に関連する情報、各側で入力された DTMF 番号、コール ステータス、メディア暗号鍵などについて、予期しないアクセスや不正アクセスから保護します。

クラスタを混合モードに設定した場合、Cisco Unified Communications Manager による Network Address Translation(NAT; ネットワーク アドレス変換)はサポートされません。NAT はシグナリング暗号化では動作しません。

ファイアウォールで UDP ALG を有効にすると、メディア ストリームによるファイアウォールの通過が許可されます。UDP ALG を有効にすると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。


ヒント ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。

シグナリング暗号化では NAT トラバーサルをサポートしません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。

SIP トランクは、シグナリング暗号化をサポートしますが、メディア暗号化はサポートしません。

メディア暗号化

メディア暗号化は Secure Real-Time Protocol(SRTP)を使用し、対象とする受信者だけが、サポートされるデバイス間のメディア ストリームを解釈できるようになります。メディア暗号化には、デバイス用のメディア マスター鍵ペアの作成、デバイスへの鍵配送、鍵転送中の配送の保護が含まれます。Cisco Unified Communications Manager は主に、IOS ゲートウェイ用、およびゲートキーパー制御トランクと非ゲートキーパー制御トランクの Cisco Unified Communications Manager H.323 トランク用に、また SIP トランクにおいて、SRTP をサポートします。


) Cisco Unified Communications Managerは、デバイスおよびプロトコルに応じてメディア暗号鍵を異なる方法で処理します。SCCP を実行する電話機はすべて、Cisco Unified Communications Manager からメディア暗号鍵を取得します。この場合、メディア暗号鍵は、TLS で暗号化されたシグナリング チャネルによって電話機に安全にダウンロードされます。SIP を実行する電話機は、自身のメディア暗号鍵を生成して保存します。Cisco Unified Communications Manager システムで導出されたメディア暗号鍵は、暗号化されたシグナリング パス経由で、H.323 および MGCP では IPSec で保護されたリンクを通じて、SCCP および SIP では暗号化された TLS リンクを通じてゲートウェイに安全に送出されます。


デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。少なくとも 1 つのデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバックは、セキュア デバイスから非セキュア デバイスへの転送、トランスコーディング、保留音などで発生する場合があります。

セキュリティがサポートされているほとんどのデバイスで、認証およびシグナリング暗号化は、メディア暗号化の最小要件となります。つまり、デバイスがシグナリング暗号化および認証をサポートしていない場合、メディア暗号化を行うことができません。Cisco IOS ゲートウェイおよびトランクは、認証なしのメディア暗号化をサポートします。SRTP 機能(メディア暗号化)を有効にする場合は、Cisco IOS ゲートウェイおよびトランクに対して IPSec を設定する必要があります。


警告 Cisco IOS MGCP ゲートウェイ、H.323 ゲートウェイ、および H.323/H.245/H.225 トランクでは、セキュリティ関連情報が暗号化されて送信されるかどうかは、IPSec 設定に依存します。したがって、ゲートウェイおよびトランクに SRTP またはシグナリング暗号化を設定する前に、IPSec を設定することを強く推奨します。Cisco Unified Communications Manager は、IPSec が正しく設定されているかどうかを確認しません。IPSec を正しく設定しないと、セキュリティ関連情報が公開される可能性があります。

SIP トランクは、TLS を使用して、セキュリティ関連情報が暗号化されずに送信されることを防ぎます。


次の例で、SCCP および MGCP コールのメディア暗号化を示します。

1. メディア暗号化および認証をサポートするデバイス A とデバイス B があり、Cisco Unified Communications Manager に登録されています。

2. デバイス A がデバイス B に対してコールを行うと、Cisco Unified Communications Manager はキー マネージャ機能からメディア セッション マスター値のセットを 2 つ要求します。

3. 両方のデバイスで 2 つのセットを受信します。1 つはデバイス A からデバイス B へのメディア ストリーム用、もう 1 つはデバイス B からデバイス A へのメディア ストリーム用です。

4. デバイス A は最初のマスター値セットを使用して、デバイス A からデバイス B へのメディア ストリームを暗号化して認証する鍵を取得します。

5. デバイス A は 2 番目のマスター値セットを使用して、デバイス B からデバイス A へのメディア ストリームを認証して復号化する鍵を取得します。

6. これとは反対の操作手順で、デバイス B がこれらのセットを使用します。

7. 両方のデバイスは、鍵を受信した後に必要な鍵導出を実行し、SRTP パケット処理が行われます。


) SIP を実行する電話機および H.323 トランク/ゲートウェイは、独自の暗号パラメータを生成し、Cisco Unified Communications Manager に送信します。


会議コールのメディア暗号化の詳細については、「セキュアな会議リソースの設定」を参照してください。

設定ファイルの暗号化

Cisco Unified Communications Manager は、TFTP サーバからの設定ファイルのダウンロードで、機密データ(ダイジェスト信用証明書や管理者パスワードなど)を電話機に送出します。

Cisco Unified Communications Manager は、可逆暗号化を使用して、データベース内でこれらのクレデンシャルを保護します。ダウンロード プロセス中にこのデータを保護するため、このオプションをサポートするすべての Cisco Unified IP Phone(「サポートされる電話機のモデル」を参照)で、暗号化された設定ファイルを設定することをお勧めします。このオプションが有効になっていると、デバイス設定ファイルだけがダウンロード用に暗号化されます。


) 状況によっては(たとえば、電話機のトラブルシューティングを行う場合や、自動登録中など)、暗号化されていない状態で機密データを電話機にダウンロードすることを選択することもできます。


Cisco Unified Communications Manager は、暗号鍵を符号化し、データベースに格納します。TFTP サーバは、対称暗号鍵を使用して、設定ファイルを暗号化および復号化します。

電話機に PKI 機能が備わっている場合、Cisco Unified Communications Managerは、電話機の公開鍵を使用して、電話機設定ファイルを暗号化できます。

電話機に PKI 機能が備わっていない場合は、Cisco Unified Communications Manager および電話機で一意の対称キーを設定する必要があります。

Cisco Unified Communications Manager の管理ページの [電話セキュリティプロファイルの設定(Phone Security Profile Configuration)] ウィンドウで、暗号化された設定ファイルの設定を有効にします。その後、[電話の設定(Phone Configuration)] ウィンドウで、この設定を電話機に適用します。

詳細については、「電話機設定ファイルの暗号化について」を参照してください。

NMAP スキャンの実行

Network Mapper(NMAP)スキャン プログラムは、脆弱性スキャンを実行するすべての Windows または Linux プラットフォームで実行できます。NMAP は、ネットワーク調査やセキュリティ監査に使用できる、無償かつオープン ソースのユーティリティです。


) NMAP DP スキャンが完了するまで、最大で 18 時間かかることがあります。


構文

nmap -n -vv -sU -p <port_range> <ccm_ip_address>

オプションおよびパラメータ:

-n:DNS 解決を行いません。NMAP が検出したアクティブな IP アドレスに対してリバース DNS 解決を行わないように指定します。NMAP で組み込みの並列なスタブ リゾルバを使用しても DNS の処理が遅くなる場合があるため、このオプションを使用するとスキャン時間を大幅に削減できます。

-v:冗長性レベルを上げます。冗長性レベルを上げると、NMAP で出力される進行中のスキャン情報が多くなります。開いているポートは検出され次第表示され、NMAP がスキャンに数分以上かかると予測した場合には推定完了時間が表示されます。このオプションを 2 回以上使用すると、冗長性がさらに上がります。

-sU:UDP ポートのスキャンを指定します。

-p:スキャンするポートを指定します(デフォルト値が上書きされます)。個々のポート番号の指定も、ハイフンを使用したポート番号の範囲の指定(例:1-1023)もできます。

ccm_ip_address:Cisco Unified Communications Manager の IP アドレス。

設定用チェックリストの概要

表 1-5 に、認証および暗号化を実装するために必要なすべての作業を示します。また、各章には指定されたセキュリティ機能のために実行が必要な作業のチェックリストが含まれる場合もあります。

新規インストールで認証と暗号化を実装する手順については、 表 1-5 を参照してください。

ノードをセキュア クラスタに追加する手順については、『 Installing Cisco Unified Communications Manager Release 6.1(1) 』を参照してください。このマニュアルには、ノードを追加する方法、および新しいノードにセキュリティを設定する方法が記載されています。

 

表 1-5 認証および暗号化の設定用チェックリスト

設定手順
関連手順および関連項目

ステップ 1

Cisco Unified サービスアビリティで Cisco CTL Provider サービスをアクティブにします。

クラスタ内の各 Cisco Unified Communications Manager サーバで Cisco CTL Provider サービスを必ずアクティブにします。

ヒント Cisco Unified Communications Manager のアップグレード前にこのサービスをアクティブにした場合は、サービスを再度アクティブにする必要はありません。アップグレード後にサービスは自動的にアクティブになります。

「Cisco CTL Provider サービスのアクティブ化」

ステップ 2

Cisco Unified サービスアビリティで Cisco Certificate Authority Proxy サービスをアクティブにし、ローカルで有効な証明書のインストール、アップグレード、トラブルシューティング、または削除を行います。

最初のノードでのみ Cisco Certificate Authority Proxy サービスをアクティブにします。

ワンポイント アドバイス Cisco CTL クライアントをインストールして設定する前にこの作業を実行すれば、CAPF を使用するために CTL ファイルを更新する必要がなくなります。

「Certificate Authority Proxy Function サービスのアクティブ化」

ステップ 3

デフォルトのポート設定を使用しない場合は、TLS 接続用のポートを設定します。

ヒント これらの設定を Cisco Unified Communications Manager のアップグレード前に設定した場合、設定はアップグレード時に自動的に移行されます。

「TLS 接続用ポートの設定」

ステップ 4

Cisco CTL クライアント用に設定するサーバについて、少なくとも 2 つのセキュリティ トークンとパスワード、ホスト名または IP アドレス、およびポート番号を入手します。

「Cisco CTL クライアントの設定」

ステップ 5

Cisco CTL クライアントをインストールします。

ヒント 今回のリリースの Cisco Unified Communications Manager にアップグレードした後で Cisco CTL ファイルを更新するには、今回のリリースの Cisco Unified Communications Manager の管理機能で利用可能なプラグインをインストールする必要があります。

「システム要件」

「インストール」

「Cisco CTL クライアントのインストール」

「Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行」

ステップ 6

Cisco CTL クライアントを設定します。

ヒント Cisco Unified Communications Manager のアップグレード前に Cisco CTL ファイルを作成した場合、Cisco CTL ファイルはアップグレード時に自動的に移行されます。今回のリリースの Cisco Unified Communications Manager にアップグレードした後で Cisco CTL ファイルを更新するには、Cisco CTL クライアントの最新バージョンをインストールして設定する必要があります。

「Cisco CTL クライアントの設定」

「Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行」

ステップ 7

電話機のセキュリティ プロファイルを設定します。プロファイルを設定するときは、次の作業を実行します。

デバイスのセキュリティ モードを設定します。

ヒント デバイス セキュリティ モードは、Cisco Unified Communications Manager のアップグレード時に自動的に移行されます。以前のリリースの認証だけをサポートしていたデバイスに暗号化を設定する場合は、[電話の設定(Phone Configuration)] ウィンドウで暗号化のセキュリティ プロファイルを選択する必要があります。

CAPF 設定を定義します(SCCP および SIP を実行する一部の電話機の場合)。

追加の CAPF 設定が [電話の設定(Phone Configuration)] ウィンドウに表示されます。

SIP を実行する電話機でダイジェスト認証を使用する場合は、[ダイジェスト認証を有効化(Enable Digest Authentication)] チェックボックスをオンにします。

暗号化された設定ファイルを有効にするには(SCCP および SIP を実行する一部の電話機の場合)、[TFTP暗号化(TFTP Encrypted Config)] チェックボックスをオンにします。

設定ファイルのダウンロードでダイジェスト信用証明書を除外するには、[設定ファイル内のダイジェスト信用証明書を除外(Exclude Digest Credentials in Configuration File)] チェックボックスをオンにします。

「電話機セキュリティ プロファイルの設定」

「電話機セキュリティ プロファイルの設定のヒント」

「暗号化された電話機設定ファイルの設定」

「暗号化された設定ファイルの設定のヒント」

ステップ 8

電話機に電話機セキュリティ プロファイルを適用します。

「電話機セキュリティ プロファイルの適用」

ステップ 9

電話機に証明書を発行するように CAPF を設定します。

ヒント 今回のリリースの Cisco Unified Communications Manager へのアップグレード前に証明書の操作を実行して CAPF をサブスクライバ サーバで実行した場合、CAPF データをパブリッシャ データベース サーバにコピーしてから、クラスタを今回のリリースの Cisco Unified Communications Manager にアップグレードする必要があります。

注意 Cisco Unified Communications Manager サブスクライバ サーバの CAPF データは Cisco Unified Communications Manager データベースに移行されません。したがって、データをデータベースにコピーしないと、データは失われます。データが失われても、CAPF ユーティリティを使用して発行したローカルで有効な証明書は電話機に残ります。しかし、この証明書はもう有効でないため、今回のリリースの CAPF ユーティリティは証明書を再発行する必要があります。

「システム要件」

「CAPF の設定用チェックリスト」

ステップ 10

サポートされている Cisco Unified IP Phone にローカルで有効な証明書がインストールされたことを確認します。

「システム要件」

「電話機での認証文字列の入力」

ステップ 11

SIP を実行する電話機のダイジェスト認証を設定します。

「SIP 電話機のダイジェスト認証の設定」

ステップ 12

電話機のセキュリティ強化作業を実行します。

ヒント 電話機のセキュリティ強化設定を Cisco Unified Communications Manager のアップグレード前に設定した場合、デバイス設定はアップグレード時に自動的に移行されます。

「電話機のセキュリティ強化」

ステップ 13

セキュリティ用の会議ブリッジを設定します。

「セキュアな会議リソースの設定」

ステップ 14

セキュリティ用のボイスメール ポートを設定します。

「ボイスメール ポートのセキュリティ設定」

今回のリリースの Cisco Unified Communications Manager に該当する Cisco Unity または Cisco Unity Connection のインテグレーション ガイド

ステップ 15

SRST 参照先のセキュリティを設定します。

ヒント 前のリリースの Cisco Unified Communications Manager でセキュア SRST 参照先を設定した場合は、Cisco Unified Communications Manager のアップグレード時にその設定が自動的に移行されます。

「セキュア SRST(Survivable Remote Site Telephony)参照先の設定」

ステップ 16

IPSec を設定します。

「ゲートウェイおよびトランクの暗号化の設定」

「ネットワーク インフラストラクチャで IPSec を設定する場合の注意事項」

『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』

『Cisco Unified Communications Operating System Administration Guide

ステップ 17

SIP トランク セキュリティ プロファイルを設定します。

ダイジェスト認証を使用する場合は、プロファイルの [ダイジェスト認証を有効化(Enable Digest Authentication)] チェックボックスをオンにします。

トランクレベルの許可の場合、許可する SIP 要求の許可チェックボックスをオンにします。

トランクレベルの許可の後、アプリケーションレベルの許可を発生させる場合は、[アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにします。

ダイジェスト認証をオンにしない場合、アプリケーションレベルの許可はオンにできません。

「SIP トランク セキュリティ プロファイルの設定」

「ダイジェスト認証のエンタープライズ パラメータの設定」

ステップ 18

SIP トランク セキュリティ プロファイルをトランクに適用します。

「SIP トランク セキュリティ プロファイルの適用」

ステップ 19

トランクのダイジェスト認証を設定します。

「SIP トランクのダイジェスト認証の設定」

ステップ 20

SIP トランク セキュリティ プロファイルで [アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)] ウィンドウの許可チェックボックスをオンにして、許可する SIP 要求を設定します。

「SIP トランク セキュリティ プロファイルの設定」

「許可」

ステップ 21

すべての電話機をリセットします。

「デバイスのリセット、サービスの再起動またはリブート」

ステップ 22

すべてのサーバをリブートします。

「デバイスのリセット、サービスの再起動またはリブート」

参考情報

シスコの関連マニュアル

Cisco IP テレフォニー関連のアプリケーションと製品の詳細は、次の資料を参照してください。

『Cisco Unified IP Phone Administration Guide for Cisco Unified Communications Manager』

『Cisco Unified Communications Operating System Administration Guide

『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』

『Cisco Unified Communications Manager Integration Guide for Cisco Unity』

『Cisco Unified Communications Manager Integration Guide for Cisco Unity Connection』

SRST 対応ゲートウェイをサポートする Cisco Unified Survivable Remote Site Telephony(SRST)の管理マニュアル

『Disaster Recovery System Administration Guide

『Cisco Unified Communications Manager Bulk Administration ガイド

『Troubleshooting Guide for Cisco Unified Communications Manager』

ご使用の電話機モデルをサポートしているファームウェア リリース ノート