Cisco IP テレフォニー ソリューション リファレンス ネットワーク デザイン ガイド Cisco CallManager Release 3.3
セキュリティ
セキュリティ
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

セキュリティ

企業セキュリティ ポリシーの確立

物理的なセキュリティの確保

ネットワーク要素の保護

ログイン アクセスの保護

信頼性の高いパスワードと認証方法の適用

固有のポート VLAN ID(PVID)の各 802.1Q トランキング ポートへの割り当て

未使用のルータ サービスをディセーブルに設定

ネットワーク管理機能の保護設定

ロギング サービスを使用したアクセスと設定変更の追跡

保護 IP ネットワークの設計

VLAN とブロードキャスト ドメインの作成と割り当て

レイヤ 2 の音声の保護

パケット フィルタの実装

ダイレクト ブロードキャスト

ソースルート パケット

ICMP リダイレクト

TCP 代行受信

リバース パス フォワーディング(RPF)

VoIP ゲートウェイの保護

その他のサービスの許可

ファイアウォール

アプリケーション レイヤ ゲートウェイ(ALG)

Cisco CallManager の保護

Windows の保護

未使用の Windows サービスをディセーブルに設定

ユーザ アカウントとパスワード

管理の保護

オペレーティング システムのパッチの更新

Cisco CallManager でのウィルス スキャン

Cisco Security Agent ホストベースの侵入検知

IP フォン サービスのオフロード

IP フォンの自動登録をディセーブルに設定

マルチレベル管理

料金詐欺の防止

ソフトウェアの MTP および会議サービス

システムの監査およびログ

Cisco CallManager の SNMP

IP フォンの保護

IP フォンの Gratuitous Address Resolution Protocol からの保護

音声 VLAN の組み込み PC からの分離

ネットワーク設定情報へのアクセスの禁止

不要な PC ポートをディセーブルに設定

IP フォンのファームウェアの有効性を確認

Cisco Unity の保護

セキュリティ

この章では、ネットワーク セキュリティの取り扱いについて、すべてを説明しているわけではありません。あくまでネットワーク管理者、システム管理者、およびシステム エンジニアが、Cisco SAFE セキュリティ モデルに沿った IP テレフォニー ネットワークを構築する際のガイダンスとして利用してください。詳細は、次の Web サイトで入手可能な『Cisco SAFE White Paper』を参照してください。

http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/safe_wp.htm

この章のテーマである、主なセキュリティ ガイドラインおよび推奨事項について、次の項で説明します。

「企業セキュリティ ポリシーの確立」

「物理的なセキュリティの確保」

「ネットワーク要素の保護」

「保護 IP ネットワークの設計」

「Cisco CallManager の保護」

「IP フォンの保護」

「Cisco Unity の保護」

企業セキュリティ ポリシーの確立

セキュリティ ポリシーは、ネットワーク リソースの利用規定と同じくらい簡単なものであったり、または接続に関するすべての要素や関連するポリシーについて詳細に説明した数百ページにも及ぶ文書になることがあります。RFC(Request For Comments)2196 では、セキュリティ ポリシーを次のように適切に定義しています。

セキュリティ ポリシーとは、組織内の技術や情報の資産を使用できる者が守らなければならないルールの正式なステートメントです。

次の情報は、企業のセキュリティ ポリシーを策定する際に役立ちます。

『RFC 2196 Site Security Handbook』は、 http://www.ietf.org/rfc/rfc2196.txt から入手できます。

Illinois 大学のセキュリティ ポリシーのサンプルは、 http://www.aits.uillinois.edu/security/securestandards.html から入手できます。

SysAdmin, Audit, Network, Security(SANS)Institute の Security Policy Project は、 http://www.sans.org/resources/policies/ から入手できます。

ネットワーク セキュリティは進化の過程であることを理解することが重要です。一製品だけでは組織の安全を確保することはできません。正しいネットワーク セキュリティは、複数の製品とサービスから成り立っており、総合的なセキュリティ ポリシーと会社全体のポリシーに沿った方針を組み合せたものです。実際に、専用のセキュリティ ハードウェアをもたないことを理解した上で、適切なセキュリティ ポリシーを実装することは、しっかりとしたポリシーをもたないまま総合的なセキュリティ製品を導入するよりも、社内リソースへの脅威を軽減するのに効果的です。

また、セキュリティに対して段階的にアプローチしていくことも重要です。たとえば、ある 1 つのネットワークまたはセキュリティ技術への危険性が、ソリューション全体への危険性を招くことのないようにします。音声の保護とは、音声やデータ ネットワークだけを保護したり、ファイアウォールだけを設定したり、またはユーザ認証だけを有効にすることではありません。音声を安全に保護するには、音声とデータ ネットワークのすべての要素に対応し、システム的にアプローチを適用する必要があります。セキュリティ ポリシーは、すべての関連技術に対応し、モニタリング、障害への対処、ソーシャル エンジニアリングのための計画と併せて対応しなければなりません。

物理的なセキュリティの確保

大部分のコンピューティング デバイスと同様に、シスコのルータ、スイッチ、サーバ、その他のインフラストラクチャ コンポーネントは、アタッカーが物理的に直接アクセスする侵入や破壊に対する保護は設計されていません。権限のない人物が物理的にアクセスしないよう、適切な処置を講じる必要があります。

データ ネットワークなどの戦略的に重要な企業資産は、物理的かつ確実に保護する必要があります。ネットワーク機器へのアクセスが制限されていること、ワイヤリング クローゼットがロックされていること、ワイヤ類がむき出しになっていないことを確認してください。ミッション クリティカルなリソースは、多くの場合、地理的に離れた場所に設置し、空間的な冗長性をもたせる必要があります。また、パワー プラントも必ず保護してください。これは、サービスを妨害するには、電源を遮断することが最も有効な手段であるためです。

ネットワーク要素の保護

物理的なセキュリティを確保したら、次に、通信ネットワークを構成する実際のルータ、スイッチ、および VoIP(Voice over IP)ゲートウェイを保護します。企業ネットワーク全体には、ネットワーク要素、つまり物理的接続と論理的接続の両方が備わっています。これらの要素は、SAFE アーキテクチャに応じて、知識が豊富なアタッカーの標的と見なされます。インフラストラクチャ デバイスの保護に関する推奨事項と設定の詳細は、次の Web サイトで入手可能な『Improving Security on Cisco Routers』を参照してください。

http://www.cisco.com/warp/customer/707/21.html

ネットワーク要素を保護するには、次のタスクを実行してください。

「ログイン アクセスの保護」

「信頼性の高いパスワードと認証方法の適用」

「固有のポート VLAN ID(PVID)の各 802.1Q トランキング ポートへの割り当て」

「未使用のルータ サービスをディセーブルに設定」

「ネットワーク管理機能の保護設定」

「ロギング サービスを使用したアクセスと設定変更の追跡」

ログイン アクセスの保護

設定はコマンドライン インターフェイス(CLI)を使用して、telnet セッションを介して行うことができますが、ルータとスイッチの管理には Secure Shell(SSH)を使用する方法をお勧めします。ネットワーク要素を保護するための第一段階は、ルータとスイッチの仮想端末セッションにアクセスできるサブネットを制限することです。仮想コンソール アクセスをオペレーターやネットワーク管理ホストの IP アドレス範囲に限定すると、パスワードが漏洩しても、不正ユーザによるネットワーク デバイスへのアクセスを制限することができます。

信頼性の高いパスワードと認証方法の適用

パスワードは、ルータとスイッチへの不正アクセスを防止する、もう 1 つの重要な手段です。ユーザ パスワードを処理する最良の方法は、SofToken、SecureID、または DES Gold Cards などのワンタイム パスワード システムと連携させて TACACS+ または RADIUS 認証サーバを使用し、アタッカーが有効なユーザ パスワードを再使用するのを防止することです。しかし、必要な保守期間中に特権アクセス用のパスワードがローカルに設定されているルータが多くあります。

ルータ パスワードの漏洩を確実に防止するには、 service password-encryption コマンドを使用してすべてのパスワードを暗号化します。また、 enable secret コマンドを使用して、設定情報へのアクセスをさらに保護することをお勧めします。セキュリティを最大限に確保するために、パスワードには、数字と句読点の記号と、大文字と小文字を組み合せて使用してください。最後に、ネットワーク デバイスの管理には、IPSec や SSH などの暗号化された形式のアクセスを使用してください。

固有のポート VLAN ID(PVID)の各 802.1Q トランキング ポートへの割り当て

キャンパス ネットワークの設計で見落としやすい点は、802.1Q イーサネット トランクの保護です。トランクとは、複数の仮想 LAN(VLAN)を伝送する 2 つのネットワーク デバイス間のイーサネット接続です。802.1Q VLAN トランク設定に対するセキュリティ上の脅威が、1999 年 9 月の BUGTRAQ アラート(BUGTRAQ 801.1Q Security Alert; 9/99 BUGTRAQ@securityfocus.com email; Subject: VLAN Security)で明らかになりました。このアラートは、ユーザのネイティブ VLAN ID が、802.1Q トランクのポート VLAN ID(PVID)と同じである場合、ユーザは自分の VLAN からフレームを送信し、それらのフレームを他の VLAN に「ホップ」させることができることを指摘しています。この弱点は 802.1Q 仕様の一部であり、Cisco ISL トランキング ポートには適用されません。

この脅威に対する回避方法は、すべての 802.1Q トランク ポートに、キャンパス ネットワーク全体で固有の PVID、すなわちネイティブ VLAN ID を設定することです。

未使用のルータ サービスをディセーブルに設定

Cisco IOS リリース 12.1 以降では、シスコ ルータ上で実行できる不必要なサービスの多くは、デフォルトでディセーブル(オフ)になっています。しかし、ネットワークを常に監査し、これらのサービスがディセーブルになっていることを確認することを勧めします。次のサービスを使用していない場合は、ディセーブルにしてください。

HTTP(ハイパーテキスト転送プロトコル)

Finger

UDP(ユーザ データグラム プロトコル)および TCP(転送制御プロトコル)Small Server

RCP(リモート コピー プロトコル)または RSH(リモート シェル プロトコル)

Telnet

ネットワーク管理機能の保護設定

SNMP(簡易ネットワーク管理プロトコル)は、ネットワーク要素のモニタリングと設定に広く使用されています。SNMP は、コミュニティ ストリングに基づく認証方式を使用します。コミュニティ ストリングは、本来、ネットワーク要素のアクセスに使用するパスワードです。SNMP を使用すると、仮想コンソールから表示または設定可能なほぼすべての情報にアクセスできるため、このアクセス方式をできるだけ完全に制限することが重要です。

次の基本的な規則により、SNMP セキュリティが向上します。

コミュニティ ストリングとして public および private を使用しないこと。

SNMP アクセスを、一部のホストまたはサブネットだけに限定すること。

ロギング サービスを使用したアクセスと設定変更の追跡

不正な侵入者を追跡する最も重要なツールの 1 つとして、正確なロギングがあります。すべてのシステム通知とエラー メッセージをログに記録すると、多くの場合、ネットワーク デバイスの作動状況で重要な問題を見つけることができます。アクセス リスト違反をログに記録すると、デバイス間のログを比較して、ネットワークが探索されているかどうか、またはデバイスが危険にさらされているかどうかを判別することもできます。正確なログを取得するには、すべてのネットワーク要素で次の手順を実行してください。

認証 NTP サーバなどの正確な集中時刻源を使用するように、すべてのデバイスを設定します。

すべての Cisco IOS および CatOS デバイスで、タイムスタンプ機能を使用可能にします。

ロギング情報を受信する syslog サーバを指定します。

保護 IP ネットワークの設計

IP テレフォニー システムを安全に保護するには、安全なデータ ネットワーク上に構築する必要があります。ネットワークに IP フォンを設置する前に、時間をかけて、信頼できる安全な IP ネットワークを設計してください。別々のブロードキャスト ドメインの使用、IP テレフォニー機器の論理的な関連性の構築、IP テレフォニー管理サーバの分離、セキュリティ関係の確立、および外部のアタッカーと内部ユーザの両方から保護された境界の構築などについて検討してください。安全な IP テレフォニー ネットワークを構築する場合は、次のガイドラインに従ってください。

すべての Cisco CallManager、IP テレフォニー アプリケーション サーバ、および IP フォンを、それぞれ別々の IP ネットワークに配置します。

これらのサブネットが、社内データ ネットワークとは異なるアドレス範囲を使用することが理想的です。可能な場合は、インターネットに転送できない RFC 1918 IP アドレス スペースを使用して、IP テレフォニー ネットワークをさらに分離してください。ネットワーク アドレス変換(NAT)を慎重に使用して音声ネットワークとデータ IP ネットワーク間の変換を行い、コール センター アプリケーション、Cisco IP SoftPhone、または Cisco WebAttendant で必要な場合だけ NAT を設定してください。インターネット ゲートウェイ ルータまたはファイアウォールでは、インターネットと IP テレフォニー間の接続に NAT 変換を許可しないでください。

レイヤ 2 の音声を保護します。

IP テレフォニー ネットワークと企業データ ネットワーク間のゲートウェイ ルータ上で ACL(アクセス コントロール リスト)を使用して、社内ネットワーク内から発信される可能性がある、知名度の高い悪質な攻撃を排除します。

Cisco CallManager クラスタの前にファイアウォールを配置します。

ファイアウォールおよび NAT を介した音声のステートフル インスペクションに ALG(アプリケーション レイヤ ゲートウェイ)を使用します。

VLAN とブロードキャスト ドメインの作成と割り当て

多くの IP セキュリティ ソリューションが実行されるのは、パケットがレイヤ 3(IP)のデバイスを検出する場合だけです。Cisco CallManager クラスタ、IP フォン、VoIP ゲートウェイ、およびネットワーク管理ワークステーションは、常に、データ ネットワークの他の部分からも、これらのデバイス相互からも分離した、独自のサブネット上に置く必要があります。実際に、どのデバイスも、別々のセグメントを使用してネットワークに接続する必要があります。別々のセグメントを各デバイスに対して使用すると(つまり、スイッチ型イーサネット インフラストラクチャ)、どのようなアタッカーや攻撃的アプリケーションが物理的なワイヤを通過しても、他のイーサネット トラフィックを探索したり、取り込んだりすることを防止できます。さらに、推奨される Cisco AVVID 設計モデルは、802.1Q VLAN トランキング テクノロジーを使用して、IP フォンと、IP フォンに接続されているデータ PC に別々のサブネットを使用します。

図 15-1 では、一般的な企業ネットワークにおける主要なコンポーネントを示しています。この例では、すべての IP テレフォニー コンポーネントは、音声 IP ネットワーク(10.x.x.x)内のさまざまなサブネットおよび VLAN 上にあります。PC、電子メール サーバ、DHCP サーバなどのすべてのデータ コンポーネントは、データ IP ネットワーク(171.68.x.x)上にあります。また、このネットワークは、100% スイッチ型イーサネット環境であり、各ユーザと各デバイスは、別々のセグメント上に置かれています。

図 15-1 一般的な企業ネットワーク

 

レイヤ 2 の音声の保護

この章では、レイヤ 2 より下位のセキュリティについては詳しく説明しませんが、DHCP、ARP、およびその他のレイヤ 2 プロトコルを保護するレイヤ 2 テクノロジーについて説明します。レイヤ 2 を保護する技術には、Private VLAN、Port Security、DHCP Snooping、IP Source Guard、Secure ARP Detection、Dynamic ARP Inspection などがあります。


) Private VLAN と Port Security ではトランク ポートがサポートされていません。このため、IP フォンに設定された補助 VLAN のポートでは使用できません。ただし、Cisco CallManager、Cisco Unity、およびその他のサーバに接続されているポートでは有効的に使用できます。


レイヤ 2 の保護の詳細は、次の Web サイトで入手可能な『SAFE Blueprint』を参照してください。

http://www.cisco.com/go/safe

パケット フィルタの実装

この数年間、IP フィルタの使用は、安全なネットワークの構築に不可欠の要素になってきています。音声ネットワークへのアクセスを制限するために、IP テレフォニー ネットワークを保護する際にフィルタを使用することをシスコは強くお勧めします。大部分の企業では、これらのフィルタは、IP テレフォニー ネットワークとデータ ネットワークを接続するルータ上に置きます。フィルタは、次のセキュリティ項目に役立ちます。

「ダイレクト ブロードキャスト」

「ソースルート パケット」

「ICMP リダイレクト」

「TCP 代行受信」

「リバース パス フォワーディング(RPF)」

「VoIP ゲートウェイの保護」

「その他のサービスの許可」

ダイレクト ブロードキャスト

Cisco インターフェイスが no ip directed-broadcast コマンドを使用して設定されている場合、ダイレクト ブロードキャストはドロップされます。このコマンドを使用しない場合、ダイレクト ブロードキャストは、このインターフェイスでリンク層ブロードキャストに展開されます。

ソースルート パケット

no ip source-route が設定されている Cisco ルータは、ソース ルーティング オプションが指定された IP パケットを転送しません。このコマンドは、インターネットに接続されているルータ、および企業内の IP テレフォニー ネットワークとデータ ネットワークを接続するゲートウェイ ルータで使用してください。

ICMP リダイレクト

IP テレフォニー ネットワークとデータ ネットワーク間の境界ルータでアクセス リストを使用し、すべての ICMP(インターネット コントロール メッセージ プロトコル)リダイレクトをフィルタリングすることをお勧めします。

TCP 代行受信

サービス妨害(DoS; Denial of Service)攻撃から VoIP ネットワークを保護するには、IP テレフォニー ネットワークとデータ ネットワーク間のゲートウェイ ルータ上でアクセス リストを設定して、音声ネットワーク内の宛先 IP アドレスと一致させてください。次に、 ip tcp intercept list コマンドをイーサネット インターフェイスに適用して、不審な TCP SYN トラフィックを探します。

VoIP ゲートウェイの保護

図 15-2 に示されているように、コール シグナリングを Cisco CallManager からのみ許可することが重要です(トール バイパスを使用する場合は、他の VoIP ゲートウェイから許可)。直接コールのセットアップ試行を他のデバイスからブロックする最も簡単な方法は、ACL(アクセス コントロール リスト)をアップストリーム ルータか VoIP ゲートウェイ自体に使用することです。これにより、着信するシグナリング要求を Cisco CallManager から発信されるコールに限定することができます。

図 15-2 データ ネットワークからの直接コールの防止

 

その他のサービスの許可

多くの企業では、ポリシー、アプリケーション、およびコストの面から、少なくとも、データ ネットワークと IP テレフォニー ネットワーク間で最小限の通信が必要です。シスコでは、現在、各音声製品での UDP と TCP のポート使用に関する資料を更新中です。この新しい資料では、ユーザのネットワークに配置される、より厳密な ACL の許可についてさらに詳しく説明しています。

本書の発行時には、この新しいポート使用に関する資料は完成していませんでした。この情報については、Cisco Systems Engineer(SE)またはアカウント チームにご相談ください。

ファイアウォール

インターネット ファイアウォールは、ネットワーク インフラストラクチャのデフォルト要素です。ここでは、ネットワーク設計、ファイアウォール、および侵入検知アプリケーションを使用して、インターネット セキュリティ ポリシーとアーキテクチャがすでに実装済みであることを前提としています。信頼性の高いセキュリティ ポリシーでは、すべてのパートナー接続に対してファイアウォールを設定する手段がさらに必要であることを指示しています。これらの基本的なファイアウォールを設定し、AVVID ネットワークを構築し、既存の IP ネットワークに接続した後、Cisco CallManager クラスタと、IP テレフォニー ネットワークやデータ ネットワークとの間で、別のファイアウォールを追加する必要があります(図 15-3 を参照)。

図 15-3 Cisco CallManager 周辺のファイアウォール構築

 


) WAN を介したクラスタ化を使用した配置環境など、同じクラスタ内の Cisco CallManager サーバ間にファイアウォールを設定しないようお勧めします。


Cisco CallManager クラスタと、音声とデータの両方のネットワークとの間にファイアウォールを設定すると、Cisco AVVID ネットワーク内の最も重要なコンポーネントである、コール処理エージェントの危険性が大幅に減少します。このファイアウォールは、すべての IP デバイスと Cisco CallManager との間の監視の役目をして、確実に特定のトランザクションだけが許可されます。


H.225 ゲートキーパー制御トランクを使用している場合は、ファイアウォールを通過するコールで、一方向のオーディオとコールのセットアップ障害に問題が発生する可能性があります。このような問題を回避するには、H.225 ゲートキーパー制御トランクの Cisco CallManager Service Parameter を、ポート 1720 を使用してゲートキーパーに登録するように設定します。また、ポート 1720 上のファイアウォール内にある Cisco CallManager が受信する、ファイアウォールの外からの TCP パケットをすべて許可するようにファイアウォールを設定します。


ファイアウォールの詳細は、次の Web サイトで入手可能な Cisco PIX に関する資料を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm

また、次の Web サイトから Cisco IOS Firewall に関する資料も参照してください。

http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/

アプリケーション レイヤ ゲートウェイ(ALG)

ALG は、特定のアプリケーションのステートフル インスペクションを実行し、アプリケーションのファイアウォール トラバーサルとネットワーク アドレス変換(NAT)を容易にします。ALG は、インスペクション エンジンまたはフィックスアップ(fixup)と呼ばれることもあります。ALG には、アプリケーションに応じたタイプが備わっています。たとえば、音声の場合は、SIP、SCCP、MGCP、および H.323 の ALG があります。これらの ALG により、音声パケットがファイアウォールと NAT を正常にトラバースできます。

Cisco CallManager の保護

Cisco CallManager は、Microsoft Windows 2000 Server オペレーティング システムを使用するサーバ上で稼働します。必要なすべての OS 強化は、インストール中に行われます。インストール後に実行されるすべてのサービスが、そのシステムの動作に必要です。

次の項では、これらのサービスの一部について詳しく説明します。

「Windows の保護」

「未使用の Windows サービスをディセーブルに設定」

「ユーザ アカウントとパスワード」

「管理の保護」

「オペレーティング システムのパッチの更新」

「Cisco CallManager でのウィルス スキャン」

「Cisco Security Agent ホストベースの侵入検知」

「IP フォン サービスのオフロード」

「IP フォンの自動登録をディセーブルに設定」

「マルチレベル管理」

「料金詐欺の防止」

「ソフトウェアの MTP および会議サービス」

「システムの監査およびログ」

「Cisco CallManager の SNMP」

Windows の保護

Cisco CallManager に付属の Microsoft Windows オペレーティング システムに対しては、さまざまな保護が実行されてきました。レジストリ、NTFS ファイル システム、IIS サービスなど、オペレーティング システムの多方面にわたってロックされており、これ以上のセキュリティ設定は不要でサポートされていません。導入した他のサービスが、システムのセキュリティに影響を与える可能性があります。Cisco CallManager サーバにインストール可能なソフトウェアのみ設定してください。Cisco CallManager サーバに承認されていないアプリケーションをインストールすると、システムのパフォーマンスやセキュリティに影響を与えることがあります。また、システムに問題が発生した場合にシスコからトラブルシューティングのためのサービス サポートを受ける際、問題を切り分けるためにこれらのアプリケーションをアンインストールしなければならないことがあります。

未使用の Windows サービスをディセーブルに設定

インストール時に大部分のサービスとセキュリティを実行するように設定されます。これらの設定は変更しないでください。ただし、いくつかのサービスをディセーブル(オフ)に設定すると、Cisco CallManager のセキュリティが向上します。多くのコンピュータ攻撃は、IIS サービスに対して行われます。シスコではすべての管理をパブリッシャ サーバで行うことを推奨しているため、Cisco CallManager クラスタ内のすべてのサブスクライバ上で IIS をディセーブルに設定できます。この場合、IP フォンはサブスクライバに登録されます。これらのサーバ上で IIS をディセーブルにすると、システムで最も生産性の高いサーバへの悪質な攻撃を目的としたアクセスを大幅に減らすことができます。IIS はソフトウェアのアップグレードに必要なため、管理者はアップグレード時に IIS を再度イネーブルに設定する必要があります。IIS の起動を手動に設定すると、IIS はアップグレード時に必要に応じてイネーブルに設定できます。IIS 以外にも、DHCP と TFTP をすべてのサーバ上でディセーブルに設定できます。ただし、DHCP と TFTP が特に必要なパブリッシャなどではディセーブルに設定できません。

ユーザ アカウントとパスワード

Cisco CallManager の管理者アカウントは、Microsoft Security Account Manager(SAM)データベースに保管されている Windows NT アカウントです。これは、Windows と同じ認証メカニズムを使用します。Cisco CallManager Administration に指定される、CTI や Multilevel Administration Access(MLA)のユーザ名とパスワードなどはすべて、Domain Controller(DC)Directory に保管されます。パスワードは 6 文字以上で、予測不可能な文字と数字を組み合せて指定してください。

管理の保護

シスコでは、インターネットと IIS 以外に、Microsoft Terminal Services または Virtual Network Computing(VNC)を使用したリモート管理をサポートしています。VNC は、リモートからデスクトップにグラフィカルにアクセスできる、クライアント/サーバのソフトウェア パッケージです。VNC を使用すると、自分のコンピュータがインターネットに接続されている限り、どこからでもそのコンピュータにアクセスできます。VNC は、ほとんどのプラットフォームで使用できるフリーソフトです。Cambridge 大学の Engineering Department では、Secure Shell(SSH)を使用して VNC を安全に実行するための設定上のガイドラインを次の Web サイトに公開しています。

http://www.uk.research.att.com/vnc/sshvnc.html

オペレーティング システムのパッチの更新

現在、ウィルス、ワーム、サービス妨害などのコンピュータに対する攻撃は日常的に行われています。頻繁に、Smurf、Code Red、Nimbda、SQL Slammer、Blaster、Nachi、Sobig などのウィルスの蔓延について聞いたり、実際に経験したりしています。アンチウィルスや侵入検知システムを使用すると、このような悪質な攻撃からコンピュータを守ることができます。しかし、このような攻撃を減らす最も良い方法は、オペレーティング システムを常に最新に保つことです。

シスコでは、あらゆるセキュリティ警告サービスを監視しています。新しいセキュリティの脆弱性がクリティカルまたは重大度 1 と見なされると、すべて修正およびテストが行われ、24 時間以内に http://www.cisco.com に公開されます。Cisco CallManager に影響を与える可能性のある、特定された脆弱性はすべて、毎月、オペレーティング システムのパッチに組み込まれます。

次のアプリケーションは、シスコが提供する同一のオペレーティング システムを使用しています。

Cisco CallManager

Cisco Conference Connection

Cisco Emergency Responder

Cisco IPCC Express

Cisco IP IVR

Cisco Internet Service Node(ISN)

Cisco Personal Assistant

シスコが公開し、発表するオペレーティング システムのパッチは、上記のすべてのアプリケーションで有効です。これらのアプリケーションには、 http://www.cisco.com で公開されるパッチのみ適用してください。

一部の Web サイトでは、Cisco Unity や Cisco IPCC Enterprise(または、ここに記載のないその他のシスコ製品)のユーザに対して Microsoft 社の Web サイトからパッチを直接ダウンロードするよう指示されていることがあります。パッチは Microsoft 社から直接ダウンロードしないでください。その代わりに、次の Web サイトから目的のパッチを入手してください。

http://www.cisco.com/kobayashi/sw-center/sw-voice.shtml


) Microsoft 社では、Windows 95/98 や Office 製品用のパッチなど、Cisco CallManager に適用する必要のないパッチを多く公開しています。これらのパッチは、オペレーティング システムのビルドには組み込まれません。


セキュリティ パッチに関するシスコのポリシーの詳細は、次の Web サイトで入手可能な『Cisco CallManager Security Patch Process』を参照してください。

http://www.cisco.com/application/pdf/en/us/guest/products/ps556/c1167/ccmigration_09186a0080157c73.pdf

また、シスコでは、新しい適用可能な OS の更新についてお客様に電子メールで通知しています。このメールには、ビルドに組み込まれている内容、適用する対象、Cisco CallManager に適用しなければならない理由などが記載されています。この情報を利用するには、次の Web サイトをご覧ください。

http://www.cisco.com/warp/public/779/largeent/software_patch.html

Cisco Emergency Responder と Cisco Conference Connection は、Cisco CallManager と同じオペレーティング システムのビルドを使用します。このため、Cisco CallManager の OS に対するパッチと更新は、これらの 2 つのアプリケーションにも適用可能です。

Cisco CallManager でのウィルス スキャン

Cisco CallManager を含むすべての Windows 2000 サーバに、アンチウィルス ソフトウェアによる保護が必要です。現在、シスコでは、Cisco CallManager にアンチウィルス ソフトウェアを同梱したり組み込んだりしていません。シスコでは、AVVID Partner Program を通して、Symantec AntiVirus 7.6 または 8.0、および McAfee NetShield 4.5 の使用をサポートしています。稼働中の Cisco CallManager のバージョンに対応したウィルス スキャン ソフトウェアを設定してください。ウィルス スキャン ソフトウェアのインストールおよび設定の詳細は、次の Web サイトで入手可能な資料を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/voice/c_callmg/sec_vir/index.htm

Cisco Security Agent ホストベースの侵入検知

高度な Cisco Security Agent 製品は、サーバとデスクトップのコンピューティング システムに対する脅威を防止します。Cisco Security Agent は、悪質な攻撃が行われる前にそれを特定し防止する、従来のホストとデスクトップにおけるセキュリティ対策を超えた機能です。これにより、企業ネットワークとアプリケーションを脅威にさらす可能性をもつ、既知または未知(0 日)のセキュリティ リスクを取り除くことができます。Cisco Security Agent は、複数のエンドポイントのセキュリティ機能を統合し、拡張します。このエージェント パッケージには、ホスト侵入検知、分散型ファイアウォール、悪質なモバイル コードの保護、オペレーティング システムの完全性の保証、および監査ログの強化などの機能があります。

知名度の高い Code Red や SQL Slammer ワームなどのネットワーク セキュリティへの攻撃が示すように、従来のホストとデスクトップのセキュリティ テクノロジーでは、新種の進化する攻撃に対する方法に限界があります。ユーザは、ネットワークやクリティカル アプリケーションに影響を与えるセキュリティへの攻撃を防止する、強力なエンドポイント セキュリティを必要としています。Cisco Security Agent は署名の一致に依存するのではなく、動作を分析するため、このソリューションは強力な保護機能を提供し、稼働コストを軽減します。

Cisco CallManager リリース 3.3(3) の場合、Cisco Security Agent バージョンは Cisco CallManager に追加料金なしで同梱されます。このバージョンは、完全管理エージェントのセキュリティ機能すべてを備えており、他のエージェント機能を必要としません。主要な機能をもたないバージョンの場合、Management Console(CiscoWorks VPN/Security Management Solution(VMS)リリース 4.0 には同梱されています)をわずかな料金で購入すると、完全管理バージョンにアップグレードすることができます。完全管理エージェントの Management Console は、ポリシーの分散と管理を統合し、レポート機能を提供し、異なるシステムで起こる Ping Sweep やポート スキャンなどを比較します。Cisco Security Agent の詳細は、次の Web サイトにある資料を参照してください。

http://www.cisco.com/en/US/partner/products/sw/secursw/ps5057/index.html

Cisco Security Agent は、サービス妨害、ワーム、ウィルス、その他の不正な攻撃に対する強力なセキュリティ機能を備えていますが、完全なセキュリティ ソリューションというわけではありません。効果的に Cisco CallManager を保護するには、さらにアンチウィルス ソフトウェアを使用し、オペレーティング システムにパッチを適用し常に最新の状態に保ってください。

IP フォン サービスのオフロード

IP フォンのサービスである XML アプリケーションの多くは、インターネットにアクセスし、さまざまな最新データを取得します。このインターネットへのアクセスはセキュリティ面で危険性があるので、IP フォンのサービス アプリケーションはすべて Cisco CallManager クラスタ内のパブリッシャまたはサブスクライバから削除し、企業ファイアウォールの外、またはできれば中立地帯(DMZ)のいずれかにある専用サーバに組み込んでください。

IP フォンの自動登録をディセーブルに設定

自動登録は、以前取り外された IP フォンの起動、Cisco CallManager への自動登録、電話番号の取得、ネットワークでのアクティブ化を可能にする Cisco CallManager の機能です。この機能は、プラグイン アプレット TAPS(Tool for Auto-Registered Phone Service)を使用して多数の IP フォンを設置する際に特に便利です。しかし、これは料金詐欺、悪質な誘導攻撃、サービス妨害攻撃などを引き起こすこともあります。すべての Cisco CallManager サーバで自動登録をディセーブルにすることをお勧めします。自動登録は、多数の IP フォンを設置する際に一時的に使用し、それ以外ではディセーブルにしてください。

マルチレベル管理

Multilevel Administration Access(MLA)は、Cisco CallManager をロール ベースで管理する Cisco
CallManager の機能です。MLA を使用すると、管理グループを作成し、管理ユーザをこれらのグループに割り当てることができます。これらのグループに権限を設定して、Cisco CallManager Administration の各ページへのアクセスをそれぞれ拒否したり、読み取り/書き込みアクセスまたは読み取り専用アクセスを許可することができます。たとえば、ネットワーク管理者はすべての管理ページに読み取り/書き込みアクセスができるのに対して、技術者は IP フォン設置のために管理ページにだけ読み取り/書き込みアクセスができ、オペレーターは IP フォン、ゲートウェイ、これらのデバイスの現在状況を確認するボイス メール ページにだけ読み取り専用アクセスができます。

料金詐欺の防止

料金詐欺は、通信業界では深刻な問題です。通信テクノロジーの不正な使用は企業にとって多額の費用がかかり、通信管理者はこの不正に対して必要な措置をとらなければなりません。

料金詐欺を防止するには、ダイヤル プランをCisco CallManager のコール検索スペース(calling search space) とパーティション(partition) に適切に設定してください。これらを設定すると、発信側のデバイスがダイヤルできるダイヤル パターンを指定できます。たとえば、ある IP フォンに 9.xxxxxxx というパターンのパーティションを含むコール検索スペースが指定されているものとします。このパターンとパーティションだけがその IP フォンのコール検索スペースに関連付けられている場合、その IP フォンはこのパターンの番号にしかダイヤルすることができません。

料金詐欺を防止する基本的な方法は、次のとおりです。

ダイヤル プランを使用して料金詐欺を軽減し解消すること

コールを内線番号 9xxx に転送すること

IP フォンの自動登録をディセーブルにすること

不在転送、ボイス メール、Personal Assistant コール検索スペース

料金詐欺に頻繁に使用されるエリア コードのブロック

ダイヤル プランの設計の詳細は、「ダイヤル プラン」を参照してください。また、『Cisco CallManager Fundamentals』を参照してください。この資料は、 www.fatbrain.com または
www.amazon.com から入手できます。

ソフトウェアの MTP および会議サービス

Cisco CallManager サーバに、ソフトウェア ベースのMTP(メディア終端点)サービスおよび会議サービスをインストールしないことをお勧めします。これらのアプリケーションは、RTP(Real-Time Transport Protocol)および UDP(User Datagram Protocol)VoIP ストリームを終了させ、それらを混合して別のコール レッグまたは電話会議を作成します。UDP は保護しにくいプロトコルであり、Cisco CallManager サーバ上で UDP を終端させるとサーバが不必要に攻撃にさらされてしまう危険性があります。このリスクを緩和するには、ハードウェア ベースの MTP と会議を使用するか、別個の Windows 2000 サーバに会議ソフトウェアをインストールしてください。

システムの監査およびログ

監査を実行すると、Windows 2000 の多くの特権タスクの使用状況を追跡できます。監査が使用可能になっている場合、定期的に Event Viewer を確認すると、システムが危険にさらされているかどうかを判別できます。 表 15-1 では、推奨される監査方式を示しています。

 

表 15-1 推奨される監査方式

説明
アクセスのログ記録
障害のログ記録

アカウント ログイン イベントの監査

あり

あり

アカウント管理の監査

あり

あり

ディレクトリ サービス アクセスの監査

あり

あり

ログイン イベントの監査

あり

あり

オブジェクト イベントの監査

なし

あり

ポリシー変更の監査

あり

あり

特権使用の監査

あり

あり

プロセス追跡の監査

なし

あり

システム イベントの監査

あり

あり

Cisco CallManager の SNMP

「ネットワーク要素の保護」 で説明しているように、SNMP コミュニティ ストリングはネットワーク要素へのアクセスに使用するパスワードです。SNMP を使用すると、仮想コンソールから表示または設定可能なほぼすべての情報にアクセスできるため、このアクセス方式をできるだけ完全に制限することが重要です。

次の基本的な規則により、SNMP セキュリティが向上します。

コミュニティ ストリングとして public および private を使用しないでください。

SNMP アクセスを、一部のホストまたはサブネットだけに限定してください。

IP フォンの保護

IP フォンを悪質な攻撃から保護するには、次の方法を使用してください。

「IP フォンの Gratuitous Address Resolution Protocol からの保護」

「音声 VLAN の組み込み PC からの分離」

「ネットワーク設定情報へのアクセスの禁止」

「不要な PC ポートをディセーブルに設定」

「IP フォンのファームウェアの有効性を確認」

また、Cisco CallManager リリース 3.3(3) の場合、すべての IP フォンのファームウェア イメージは証明にデジタル署名を使用します。

IP フォンの Gratuitous Address Resolution Protocol からの保護

デフォルトでは、IP フォンは Gratuitous Address Resolution Protocol(GARP)のパケットに対応しています。一部のデバイスは GARP を使用して、その存在をネットワークに伝えます。しかし、アタッカーもこの GARP を使用して、有効なネットワーク デバイスになりすますことができます。たとえば、アタッカーは GARP メッセージを送信してデフォルト ルータになる要求をします。Cisco CallManager リリース 3.3(3) では、管理者は Phone Configuration ページから、GARP パケットの許可をディセーブルにすることができます。


) IP フォンは、DHCP のロード プロセスで確認する必要があるデバイスの IP アドレスを取得します。その後、IP フォンはアドレス解決プロトコル(ARP)を使用して、通信する必要があるデバイスの MAC アドレスを判別します。


GARP の許可をディセーブルにすると、特に攻撃ツールである Ettercap を遮断することができます。

音声 VLAN の組み込み PC からの分離

IP フォンは、デフォルトでは、アップストリーム スイッチ方向のスイッチ ポートで受信したすべてのパケットを PC ポートに転送します。これには、その IP フォン宛の 802.1Q タグが付いたパケットも含まれます。Cisco CallManager リリース 3.3(3) では、管理者は音声 VLAN のタグが付いたパケットの PC ポートへの転送をディセーブルにすることができます。同様に、音声 VLAN のタグが付いた PC ポートから受信したパケットもドロップされます。このオプションを使用すると、PC ポートに接続されているデバイスが、音声 VLAN にアクセスしなくても必要に応じて 802.1Q を使用することができます(802.1Q が使用可能な場合)。このオプションは、Phone Configuration ページで設定することができます。PC ポートから音声 VLAN へのアクセスをディセーブルにすると、特に攻撃ツールである VOMIT を遮断することができます。

ネットワーク設定情報へのアクセスの禁止

デフォルトでは、IP フォンの Settings(設定)ボタンを押すと、IP フォンの設定内容にアクセスすることができます。Cisco CallManager リリース 3.3(3) では、管理者は Settings ボタンをディセーブルにし、設定情報へのアクセスを禁止することができます。このオプションは、Phone Configuration ページで設定することができます。

不要な PC ポートをディセーブルに設定

デフォルトでは、PC ポートは PC ポートをもつすべての IP フォンで使用可能になっています。Cisco CallManager リリース 3.3(3) では、管理者は PC ポートをディセーブルにすることができます。このオプションは、ロビーや会議室にある IP フォンに便利です。このオプションは、Phone Configuration ページで設定することができます。

IP フォンのファームウェアの有効性を確認

IP フォンには、受信したイメージがシスコ作成のイメージであるかどうかを検証する機能があります。この機能を使用すると、トロイの木馬イメージが IP フォンにインストールされ、他の保護メカニズムを破壊することを防止することができます。イメージはデジタル署名され、Digital Signature Envelope に入れられます。IP フォンが新しいイメージをダウンロードすると、新しいイメージの署名と既存のイメージの署名を比較します。署名が一致しない場合、その新しいイメージは拒否されます。Cisco CallManager リリース 3.3(3) の場合、すべてのイメージは、デフォルトでは設定可能なオプションなしで署名が付きます。


) 一度 IP フォンに署名付きのイメージがロードされると、削除したり取り消すことはできません。


このような機能をサポートしている IP フォンのファームウェア イメージは、Cisco CallManager リリース 3.3(2) でも機能します。ただし、設定可能なオプションは機能せず、デフォルトの動作は Cisco CallManager リリース 3.3(2) のファームウェアとまったく同じになります。つまり、IP フォンにより GARP パケットが許可され、音声 VLAN のタグが付いたパケットが PC ポートに転送され、許可されてしまいます。また、PC ポートと Settings ボタンが両方とも使用可能になります。

Cisco Unity の保護

Cisco CallManager と同様、Cisco Unity は Windows 2000 Server オペレーティング システムで稼働します。Unity の Windows の保護は、セキュリティ パッチとホットフィックスの適用や Cisco Security Agent とアンチウィルス ソフトウェアのインストールなど、この章で説明した Cisco CallManager のセキュリティ方法と同様です。Cisco Unity 固有のセキュリティ ガイドラインや推奨事項については、次の Web サイトで入手可能な『Cisco Unity Design Guide』を参照してください。

http://www.cisco.com/en/US/products/sw/voicesw/ps2237/products_implementation_design_guide_
book09186a00801187ba.html