Cisco Unified Communications システム リリース 8.x SRND
Unified Communications のセキュリティ
Unified Communications のセキュリティ
発行日;2012/12/18 | 英語版ドキュメント(2012/07/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 39MB) | フィードバック

目次

Unified Communications のセキュリティ

この章の新規情報

セキュリティの概要

セキュリティ ポリシー

レイヤ化したセキュリティ

インフラストラクチャの保護

物理的なセキュリティ

IP アドレッシング

IPv6 アドレッシング

アクセス セキュリティ

Voice VLAN と Video VLAN

スイッチ ポート

ポート セキュリティ:MAC CAM フラッディング

ポート セキュリティ:Gratuitous ARP

ポート セキュリティ:ポート アクセスの防止

ポート セキュリティ:不良ネットワーク拡張の防止

DHCP スヌーピング:不正な DHCP サーバ攻撃の防止

DHCP スヌーピング:DHCP スターベーション攻撃の防止

DHCP スヌーピング:バインディング情報

ダイナミック ARP インスペクションの要件

802.1X ポート ベースの認証

電話機のセキュリティ

電話機の PC ポート

PC Voice VLAN へのアクセス

電話機経由の Web アクセス

ビデオ機能

アクセス設定

電話機の認証および暗号化

IP Phone の VPN クライアント

Quality of Service

アクセス コントロール リスト

VLAN アクセス コントロール リスト

ルータのアクセス コントロール リスト

ファイアウォール

ルーテッド ASA

トランスペアレント ASA

ASA Unified Communications Proxy 機能

ASA TLS プロキシ

ASA Phone Proxy

ASA モビリティ プロキシ機能

ASA for Unified Presence

ASA Intercompany Media Engine プロキシ

基本配置

オフパス配置

通話中 PSTN フォールバック

設計上の考慮事項

High Availability(高可用性)

キャパシティ プランニング

データセンター

ゲートウェイ、トランク、およびメディア リソース

ゲートウェイの周囲へのファイアウォールの配置

ファイアウォールと H.323

SAF サービス

Cisco Unified Border Element との UnifiedCM トランク統合

アプリケーション サーバ

シングル サインオン

UnifiedCM およびアプリケーション サーバ上の Cisco Security Agent

Cisco Security Agent

SELinux

サーバに関する一般的なガイドライン

配置例

ロビーに設置された電話機の例

ファイアウォールの配置例(集中型配置)

ネットワーク仮想化の保護

シナリオ 1:単一のデータセンター

シナリオ 2:冗長なデータセンター

まとめ

Unified Communications のセキュリティ

音声コールの完全性と機密を保護するために、Cisco Unified Communications システムのさまざまなコンポーネントを保護する必要があります。

この章では、Unified Communications テクノロジーおよび音声ネットワークに関連したセキュリティ ガイドラインを示します。データ ネットワーク セキュリティの詳細については、次の URL で入手可能な Cisco SAFE Blueprint に関するマニュアルを参照してください。

http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

この章のガイドラインに従うことは、安全な環境を保証するものではなく、ネットワーク上のすべての侵入攻撃を防止するものではありません。適切なセキュリティを達成するには、適切なセキュリティ ポリシーを確立し、そのセキュリティ ポリシーを適用する必要があります。また、ハッカーおよびセキュリティ コミュニティでの最新の動向を常に把握し、信頼性の高いシステム管理プラクティスにより、すべてのシステムを保守およびモニタする必要があります。

この章では、集中型呼処理および分散型呼処理について説明します。WAN を介したクラスタリングは含まれていますが、Survivable Remote Site Telephony(SRST)などのローカル フェールオーバー メカニズムは含まれていません。この章では、ヘッドエンド障害が発生したときに、すべてのリモート サイトが、ヘッドエンドまたはローカル呼処理バックアップへの冗長リンクを使用できることを前提としています。基本的にここでは、ネットワーク アドレス変換(NAT)と IP テレフォニーの間の対話については説明しません。この章では、すべてのネットワーク プライベート アドレスが指定されており、重複する IP アドレスが含まれていないことも前提としています。

この章の新規情報

表 4-1 に、この章に新しく追加されたトピック、またはこのマニュアルの以前のリリースから大幅に改訂されたトピックの一覧を示します。

表 4-1 新規情報、またはこのマニュアルの以前のリリースからの変更情報

新規トピックまたは改訂されたトピック
説明箇所
改訂日

Security Enhanced Linux(SELinux)

「SELinux」

2012 年 2 月 29 日

細部の訂正および変更

この章の各項で説明

2011 年 10 月 31 日

認証証明書

「電話機の認証および暗号化」

2011 年 6 月 2 日

シングル サインオン

「シングル サインオン」

2011 年 6 月 2 日

IPv6 の Adaptive Security Appliance(ASA)サポート

「ファイアウォール」

2011 年 1 月 31 日

アプリケーション インスペクション

「ファイアウォール」

2011 年 1 月 31 日

802.1X 認証

「802.1X ポート ベースの認証」

2010 年 7 月 23 日

Adaptive Security Appliance(ASA)Unified Communications Proxy 機能

「ASA Unified Communications Proxy 機能」

2010 年 4 月 2 日

Cisco Intercompany Media Engine(IME)

「ASA Intercompany Media Engine プロキシ」

2010 年 4 月 2 日

IPv6 アドレッシング

「IPv6 アドレッシング」

2010 年 4 月 2 日

Link Layer Discovery Protocol for Media Endpoint Devices(LLDP-MED)

「アクセス セキュリティ」

2010 年 4 月 2 日

Service Advertisement Framework(SAF)

「SAF サービス」

2010 年 4 月 2 日

Unified CM トランクおよび Cisco Unified Border Element

「Cisco Unified Border Element との Unified CM トランク統合」

2010 年 4 月 2 日

電話機の VPN クライアント

「IP Phone の VPN クライアント」

2010 年 4 月 2 日

セキュリティの概要

この項では、ネットワーク内の音声データを保護するために使用できる、一般的なセキュリティ機能とセキュリティ プラクティスについて説明します。

セキュリティ ポリシー

シスコは、自社内に配置されている各ネットワーク テクノロジーに関連付けられたセキュリティ ポリシーを作成することを推奨します。セキュリティ ポリシーは、ネットワーク内の機密データを特定し、ネットワーク内で転送する際にはデータを適切に保護します。セキュリティ ポリシーを配置すると、ネットワーク上のデータ トラフィックのタイプで要求されているセキュリティ レベルを定義するのに役立ちます。各データ タイプで独自のセキュリティ ポリシーが必要な場合もあれば、必要でない場合もあります。

企業ネットワークにデータ用のセキュリティ ポリシーが存在しない場合、この章で任意のセキュリティ推奨事項を有効にする前に、セキュリティ ポリシーを作成する必要があります。セキュリティ ポリシーがないと、ネットワークで有効なセキュリティ機能が設計どおりに動作しているかどうかを確認することが困難になります。またセキュリティ ポリシーがないと、ネットワーク内で実行されるすべてのアプリケーションやデータ タイプに対してセキュリティを有効にする、体系的な方法がありません。


) この章で説明するセキュリティに関するガイドラインと推奨事項に従うのは重要ですが、実際の企業のセキュリティ ポリシーを制定するには、この章のガイドラインと推奨事項だけでは不十分です。任意のセキュリティ テクノロジーを実装する前に、社内セキュリティ ポリシーを定義する必要があります。


この章では、ネットワーク上の Unified Communications データを保護するために使用可能な、シスコ ネットワークの特徴と機能性について詳しく説明します。保護する対象のデータ、そのデータ タイプで必要な保護の程度、およびその保護を提供するのに使用するセキュリティ技法をどのように定義するかは、セキュリティ ポリシーによって異なります。

IP テレフォニーが含まれるセキュリティ ポリシーで困難な問題の 1 つは、通常、データ ネットワークと従来の音声ネットワークの両方に存在するセキュリティ ポリシーの結合です。ネットワークへの音声データ統合のすべての側面が、導入済みのセキュリティ ポリシーまたは社内環境の適切なレベルで保護されていることを確認してください。

適正なセキュリティ ポリシーの基本は、ネットワーク内でデータの重要度を定義することです。重要度に応じてデータをランク付けしたら、データ タイプごとに、セキュリティ レベルを確立する方法を決定できます。それから、ネットワークとアプリケーション機能の両方を使用して、適切なレベルのセキュリティを達成できます。

要約すると、セキュリティ ポリシーを定義するには、次のプロセスに従います。

ネットワーク上のデータを定義する。

データの重要性を定義する。

データの重要性に基づいてセキュリティを適用する。

レイヤ化したセキュリティ

この章では最初に、Cisco Unified Communications ソリューションにおける IP Phone エンドポイントの強化を示し、電話機からアクセス スイッチ、ディストリビューション レイヤ、コア、およびデータセンターへのネットワークについて説明します。(図 4-1 を参照)。シスコは、アクセス ポートからネットワーク自体に至るまで、何層ものセキュリティを構築することを推奨します。このデザイン アプローチにより、ネットワーク アーキテクトはデバイスを配置して、そこに Cisco Unified Communications アプリケーションを物理的にも論理的にも簡単に配置できます。しかし、簡単に配置できるということは、セキュリティがより複雑になることを意味します。接続性があるところであればネットワーク内のどの場所にでも、デバイスを配置できるからです。

図 4-1 セキュリティ レイヤ

 

インフラストラクチャの保護

IP テレフォニー データがネットワークを横断するときのデータの安全性とセキュリティは、データを転送するデバイスと同程度にしかすぎません。導入済みのセキュリティ ポリシーで定義されているセキュリティ レベルによっては、ネットワーク デバイスのセキュリティを向上させる必要がある場合もあれば、IP テレフォニー トラフィックを転送するのにすでに十分に安全な場合もあります。

ネットワーク全体のセキュリティを向上させるためにデータ ネットワークで実行できる、多くのベストプラクティスがあります。たとえば、攻撃者がパスワードをクリア テキスト形式で見ることができないように、Telnet(パスワードをクリア テキスト形式で送信します)を使用して任意のネットワーク デバイスに接続する代わりに、Secure Shell(SSH、Telnet の安全な形式)を使用できます。

ゲートウェイとゲートキーパーは、Cisco IOS フィーチャ セットを使用して設定できます。このフィーチャ セットは、必要な音声機能を提供しますが、Telnet だけをサポートし、Secure Shell(SSH)はサポートしません。アクセス コントロール リスト(ACL)を使用して、Telnet によるルータへの接続を誰に許可するかを制御することを推奨します。Telnet ではユーザ名とパスワードがクリア テキスト形式で送信されるため、ゲートキーパーには安全なネットワーク セグメントにあるホストから接続するとさらに安全です。

これらのデバイスを不正アクセスから保護するには、ファイアウォール、アクセス コントロール リスト、認証サービス、およびその他の Cisco セキュリティ ツールも使用する必要があります。

物理的なセキュリティ

従来の PBX は、通常、安全な環境にロックされますが、IP ネットワークも同じように扱う必要があります。IP テレフォニー トラフィックを伝送する各デバイスは実際には IP PBX の一部です。通常の一般的なセキュリティ プラクティスを使用して、これらのデバイスへのアクセスを制御する必要があります。ユーザまたは攻撃者が、ネットワーク内のデバイスの 1 つに物理的にアクセスできる場合、あらゆる種類の問題が発生します。強力なパスワード セキュリティがあり、ユーザまたは攻撃者がネットワーク デバイスに侵入できない場合でも、それらのユーザや攻撃者がデバイスを切断してすべてのトラフィックを停止することにより、ネットワークの大破壊を引き起こす可能性はあります。

全般的なセキュリティ プラクティスの詳細については、次の Web サイトで入手可能なマニュアルを参照してください。

http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

http://www.cisco.com/en/US/products/svcs/ps2961/ps2952/serv_group_home.html

IP アドレッシング

論理的に分離された IP テレフォニー ネットワークに流入および流出するデータを制御するうえで、IP アドレッシングが重要になる場合があります。ネットワーク内で IP アドレッシングを適切に定義するほど、ネットワーク上のデバイスの制御は簡単になります。

このマニュアルの他の項で説明されているとおり(「キャンパス アクセス レイヤ」を参照)、RFC 1918 に基づいた IP アドレッシングを使用する必要があります。このアドレッシング方式では、ネットワークの IP アドレッシングをやり直すことなく、IP テレフォニー システムをネットワークに配置できます。音声エンドポイントの IP アドレスは適切に定義されていて理解しやすいので、RFC 1918 を使用すると、ネットワーク内の制御をより適切に実行できます。すべての音声エンドポイントが 10.x.x.x. のネットワーク内でアドレッシングされていると、 アクセス コントロール リスト(ACL)、およびこれらのデバイスが受信または送信するデータのトラックは単純になります。

音声配置のために適切に定義された IP アドレッシング プランがあると、IP テレフォニー トラフィックを制御するための ACL の書き込みが簡単になり、ファイアウォールの配置に役立ちます。

RFC 1918 を使用すると、スイッチごとに 1 つの VLAN を簡単に配置でき、Voice VLAN をスパニングツリー プロトコル(STP)ループから保護できます。スイッチごとに 1 つの VLAN を配置するのは、キャンパスの設計におけるベスト プラクティスです。

ルート集約を正しく配置すると、ルーティング テーブルを、音声配置の前と同じ大きさか、それよりわずかに大きい程度に保つのに役立ちます。

IPv6 アドレッシング

IPv6 アドレッシングの導入により、ネットワーク アドレス空間が拡張され、エンドポイントのプライバシーとセキュリティのためのオプションが増えました。IPv4 と IPv6 の両方にセキュリティに関する同様の問題がありますが、IPv6 にはいくつかの利点があります。たとえば、IPv6 の主な利点の 1 つはサブネットのサイズが非常に大きいことであり、自動スキャンおよび偵察攻撃を阻止します。

セキュリティの観点での IPv6 と IPv4 の比較については、次の Web サイトで入手可能な『 IPv6 and IPv4 Threat Comparison and Best-Practice Evaluation 』を参照してください。

http://www.cisco.com/web/about/security/security_services/ciag/documents/v6-v4-threats.pdf

IP アドレッシングの方式として IPv6 を検討する際は、次のキャンパスおよび支社の設計ガイドに記載されているベスト プラクティスに従ってください。

『Deploying IPv6 in Campus Networks』

http://www.cisco.com/en/US/docs/solutions/Enterprise/Campus/CampIPv6.html

『Deploying IPv6 in Branch Networks』

http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/BrchIPv6.html

アクセス セキュリティ

この項では、ネットワーク内の音声データを保護するために使用できる、アクセス レベルのセキュリティ機能について説明します。

Voice VLAN と Video VLAN

電話機に IP アドレスが与えられる前に、電話機は、電話機とスイッチの間で実行される Cisco Discovery Protocol(CDP)ネゴシエーションを使用して、配置先として適切な VLAN を判別します。このネゴシエーションにより、電話機は「Voice VLAN」内のスイッチに対して 802.1q タグ付きのパケットを送信でき、音声データと、電話機の背後にある PC から送られる他のすべてのデータはレイヤ 2 で分離されます。Voice VLAN は電話機が動作するための要件ではありませんが、ネットワーク上の他のデータからの追加の分離を提供します。

Voice VLAN は、スイッチから電話機に自動的に割り当てることができます。これにより、レイヤ 2 およびレイヤ 3 で、音声データと、ネットワーク上の他のすべてのデータが分離されます。分離した VLAN には Dynamic Host Configuration Protocol(DHCP)サーバで別個の IP スコープを与えることができるので、Voice VLAN を使用すると、異なる IP アドレッシング スキームを実行できます。

アプリケーションは、電話機からの CDP メッセージを使用して、緊急コール中に電話機のロケーションを判別するのを支援します。電話機が接続されているアクセス ポートで CDP が有効でない場合、電話機のロケーションを判別するのは特に困難です。

通常は電話機に送られる CDP メッセージから情報が収集され、その情報が一部のネットワークを検出するために使用される可能性があります。Unified CM で音声またはビデオ用に使用可能なすべてのデバイスが、音声 VLAN の検出に CDP を使用できるわけではありません。

Sony 社製および Tandberg 社製の SCCP エンドポイントは、Cisco Discovery Protocol(CDP)または 802.1Q VLAN ID タギングをサポートしません。サードパーティ製デバイスが含まれる場合にデバイス検出を可能にするには、リンク層検出プロトコル(LLDP)を使用します。LLDP for Media Endpoint Devices(LLDP-MED)は、音声エンドポイントのサポートを向上させる LLDP の拡張です。LLDP-MED では、LLDP-MED 対応エンドポイントを検出したときに、スイッチ ポートが LLDP から LLDP-MED へどのように移行するかが定義されています。IP Phone および LAN スイッチでの LLDP と LLDP-MED 両方のサポートは、ファームウェアおよびデバイス モデルに依存します。特定の電話機またはスイッチ モデルで LLDP-MED がサポートされているかどうかを判別するには、次の Web サイトで入手可能な特定の製品リリース ノートまたはお知らせを確認してください。

http://www.cisco.com/en/US/products/hw/phones/ps379/prod_release_notes_list.html

http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/prod_bulletins_list.html


) LLDP-MED 対応の IP Phone が、LLDP をサポートしない以前の Cisco IOS リリースを実行している Cisco Catalyst スイッチに接続されると、スイッチは、余計なデバイスがスイッチ ポートに接続されていることを示す場合があります。これは、Cisco Catalyst スイッチがポート セキュリティを使用して接続デバイス数をカウントしている場合に発生します。LLDP パケットの発生により、ポート カウントが増え、スイッチがポートを無効にする場合があります。LLDP-MED リンク層プロトコルをサポートするファームウェアを持つ Cisco IP Phone を配置する前に、Cisco Catalyst スイッチが LLDP をサポートしていることを確認するか、ポート カウントを最低でも 3 に増やしてください。


Cisco Unified Video Advantage は PC で実行するクライアント アプリケーションですが、IP Phone にも関連付けられています。PC はデータ VLAN に存在し、電話機は音声 VLAN に存在しているのが普通です。IP Phone への関連付けのために、Cisco Unified Video Advantage は、TCP/IP で動作する Cisco Audio Session Tunnel(CAST)プロトコルを使用します。したがって、Cisco Unified Video Advantage は、ビデオ VLAN とデータ VLAN の間で IP パケットをルーティングするように設定された、レイヤ 3 ルータをすべて経由して通信する必要があります。これらの VLAN 間で設定されているアクセス コントロール リストまたはファイアウォールがある場合は、CAST プロトコルの動作を許可するように修正する必要があります。CAST は両方向で TCP ポート 4224 を使用しています。Cisco Unified Video Advantage は IP Phone とは通信しますが、Unified CM とは通信しません。ただし、ソフトウェア アップデートをダウンロードするために Cisco Unified Video Advantage が定期的に TFTP サーバ(1 つ以上の Unified CM サーバに共存可能)に確認する場合を除きます。したがって、データ VLAN と TFTP サーバの間で TFTP プロトコルを許可する必要もあります。

H.323 クライアント、Multipoint Control Unit(MCU; マルチポイント コントロール ユニット)、およびゲートウェイは、H.323 プロトコルを使用して Unified CM と通信します。Unified CM H.323 トランク(H.225 やインタークラスタ トランクのほかに、RAS アグリゲーター トランク タイプなど)は、ウェルノウン TCP ポート 1720 ではなくランダムなポート範囲を使用します。したがって、これらのデバイスと Unified CM サーバの間で広範囲の TCP ポートを許可する必要があります。ポートの使用方法の詳細については、次の Web サイトで入手可能な『 Cisco Unified Communications Manager TCP and UDP Port Usage 』ガイドの最新バージョンを参照してください。

http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html

MCU とゲートウェイはインフラストラクチャ デバイスと見なされ、通常は Unified CM サーバに隣接してデータセンター内に存在します。一方、H.323 クライアントは通常はデータ VLAN に存在します。

SCCP モードで実行するように設定されている Unified Videoconferencing 3500 シリーズ MCU は、設定のダウンロードのために TFTP サーバと通信し、シグナリングのために Unified CM サーバと通信し、RTP メディア トラフィックのために他のエンドポイントと通信します。したがって、MCU と TFTP サーバの間で TFTP を許可し、MCU と Unified CM サーバの間で TCP ポート 2000 を許可し、MCU と音声 VLAN、データ VLAN、ゲートウェイ VLAN の間で RTP メディア用の UDP ポートを許可する必要があります。

スイッチ ポート

Cisco スイッチ インフラストラクチャには、データ ネットワークを保護するために使用できる多くのセキュリティ機能があります。この項では、ネットワーク内の IP テレフォニー データを保護するため、Cisco Access Switch で使用できるいくつかの機能について説明します (図 4-2 を参照)。この項では、現在のすべての Cisco スイッチで使用可能なすべてのセキュリティ機能について説明するのではなく、シスコが製造する多くのスイッチで使用されている一般的なセキュリティ機能をリストします。ネットワーク内に配置された特定のシスコ デバイスで使用可能なセキュリティ機能の追加情報については、次の Web サイトで入手可能な適切な製品マニュアルを参照してください。

http://www.cisco.com

図 4-2 電話機が接続される代表的なアクセス レイヤ設計

 

ポート セキュリティ:MAC CAM フラッディング

スイッチ ネットワークに対する典型的な攻撃は、MAC 連想メモリ(CAM)フラッディング攻撃です。このタイプの攻撃では、スイッチに対して大量の MAC アドレスによるフラッディングが実行され、スイッチは、エンド ステーションまたはデバイスが接続されているポートを判別できなくなります。デバイスが接続されているポートを判別できない場合、スイッチは、そのデバイスが宛先になっているトラフィックを VLAN 全体にブロードキャストします。これにより、攻撃者は、VLAN 内のすべてのユーザに到達するすべてのトラフィックを見ることができます。

macof などのハッカー ツールを使用した悪意のある MAC フラッディング攻撃を許可しないようにするには、それらのポートの接続性要件に基づいて、個々のポートへのアクセスを許可されている MAC アドレスの数を制限します。悪意のあるエンド ユーザ ステーションは、macof を使用して、ランダムに生成された送信元 MAC アドレスからランダムに生成された宛先 MAC アドレスへの MAC フラッディングを発信できます。送信元と宛先の両方がスイッチ ポートに直接接続されている場合もあれば、送信元と宛先が IP Phone を経由して接続する場合もあります。macof ツールは非常にアグレッシブなツールで、通常は、Cisco Catalyst スイッチの連想メモリ(CAM)テーブルを 10 秒未満でいっぱいにできます。CAM テーブルがいっぱいなので、後続のパケットは取得されないまま残され、フラッディングが発生します。これは、攻撃先の VLAN の共有イーサネット ハブ上のパケットと同じほど破壊的で危険です。

MAC フラッディング攻撃を抑制するには、ポート セキュリティまたはダイナミック ポート セキュリティのいずれかを使用できます。許可メカニズムとしてポート セキュリティを使用する必要がないカスタマーの場合、特定のポートに接続する機能に対応する数の MAC アドレスを持つダイナミック ポート セキュリティを使用できます。たとえば、1 台のワークステーションが接続されているポートの場合、取得する MAC アドレスの数を 1 に制限できます。1 台の Cisco Unified IP Phone と、その背後に 1 台のワークステーションが接続されているポートの場合、電話機の PC ポートに 1 台のワークステーションを接続するには、取得する MAC アドレスの数を 2 に設定できます(1 つは IP Phone 用、1 つは電話機の背後にあるワークステーション用)。以前であれば、トランク モードでポートを設定する旧来の方法により、この場合の設定は 3 つの MAC アドレスになります。電話機ポートの設定でマルチ VLAN アクセス モードを使用する場合、この場合の設定は 2 つの MAC アドレスになります。1 つは電話機用、1 つは電話機に接続された PC 用です。PC ポートに接続するワークステーションがない場合、そのポートの MAC アドレスの数は 1 に設定する必要があります。これらの設定は、スイッチ上のマルチ VLAN アクセス ポート用です。トランク モードに設定されているポート(電話機と PC が接続されているアクセス ポートでは推奨されていない配置)では、設定が異なる場合があります。

ポート セキュリティ:Gratuitous ARP

ネットワーク上の他のデータ デバイスと同様、電話機が従来のデータ攻撃を受けることがあります。電話機には、企業ネットワークで発生する可能性がある、いくつかの一般的なデータ攻撃を防止する機能があります。そのような機能の 1 つは、Gratuitous Address Resolution Protocol(Gratuitous ARP または GARP)です。この機能は、電話機に対する man-in-the-middle(MITM; 中間者)攻撃を防止します。MITM 攻撃では、攻撃者は、エンド ステーションをだまして自らがルータであると信じ込ませ、ルータには自らがエンド ステーションであると信じ込ませます。この方式では、ルータとエンド ステーションの間のすべてのトラフィックが攻撃者を経由するようになり、攻撃者は、すべてのトラフィックをロギングしたり、データの会話に新しいトラフィックを注入したりできるようになります。

IP Phone に設定されている Gratuitous ARP 機能は、電話機から発信されてネットワークに至るシグナリングおよび RTP 音声ストリームに対する従来の MITM 攻撃から、電話機を保護します。攻撃者がネットワークの音声セグメントにアクセスできた場合に、攻撃者が電話機からのシグナリングや RTP 音声ストリームを取り込むことから電話機を保護するのに役立ちます。この機能で保護されるのは電話機だけです。インフラストラクチャの残りの部分は、Gratuitous ARP 攻撃から保護されません。スイッチ ポートには電話機とネットワーク デバイスの両方を保護する機能があるので、Cisco インフラストラクチャを実行している場合、この機能はそれほど重要ではありません。これらのスイッチ ポートの機能の説明については、「スイッチ ポート」を参照してください。


) Gratuitous ARP 機能は、IPv6 アドレッシングを使用して設定されたデバイスには適用されません。IPv6 では ARP ではなく Neighbor Discovery(ND; ネイバー探索)が使用されます。


別の電話機から発信されたかネットワークを経由して到達するダウンストリーム シグナリングおよび RTP 音声ストリームは、電話機のこの機能では保護されません。保護されるのは、この機能が有効になっている電話機からのデータのみです (図 4-3 を参照)。

デフォルト ゲートウェイがホットスタンバイ ルータ プロトコル(HSRP)を実行している場合や、HSRP 設定でデフォルト ゲートウェイの仮想 MAC アドレスの代わりに物理 MAC アドレスが使用されている場合、およびプライマリ ルータが新しい MAC アドレスを持つセカンダリ ルータにフェールオーバーした場合、電話機はデフォルト ゲートウェイの古い MAC アドレスを継続使用します。このシナリオでは、最大 40 分間の障害が発生することがあります。発生する可能性があるこの問題を避けるため、HSRP 環境では常に仮想 MAC アドレスを使用してください。

図 4-3 Gratuitous ARP は導入先の電話機は保護するが他のトラフィックは保護しない

 

図 4-3 が示しているとおり、Gratuitous ARP 機能を持つ電話機からのトラフィックは保護されますが、エンドポイントに、データ フローを保護する機能がない可能性があるので、攻撃者が別のエンドポイントからのトラフィックを見ることができる場合があります。

ポート セキュリティ:ポート アクセスの防止

MAC アドレスによりポートで指定されているデバイスからのアクセスを除く、すべてのポート アクセスを防止します。これは、デバイスレベルのセキュリティ許可の 1 つの形式です。この要件は、デバイス MAC アドレスの単一のクレデンシャルを使用してネットワークへのアクセスを許可するときに使用します。ポート セキュリティ(非動的形式)を使用する場合、ネットワーク管理者は、すべてのポートに MAC アドレスを静的に関連付ける必要があります。これに対して、ダイナミック ポート セキュリティを使用する場合、ネットワーク管理者は、スイッチで取得する MAC アドレスの数を指定するだけです。その後、ポートに最初に接続するデバイスが適切なデバイスであるとの前提に基づき、一定期間、それらのデバイスにのみポートへのアクセスを許可します。

この期間は、固定タイマーまたは非活動タイマー(非持続アクセス)のいずれかで決定するか、永続的に割り当てることができます。後者の場合、スイッチのリロードまたはリブートが発生しても、取得された MAC アドレスはポートで保持されます。

デバイス モビリティに対し、スタティック ポート セキュリティまたは持続性のあるダイナミック ポート セキュリティによるプロビジョニングは行われません。最重要の要件ではありませんが、MAC フラッディング攻撃は、特定の MAC アドレスへのアクセスを制限することを目的としているポート セキュリティにより暗黙的に防止されます。

セキュリティ面を考慮すると、ポート アクセスを認証および許可するためのより強力なメカニズムがあります。MAC アドレス許可ではなく、ユーザ ID およびパスワード クレデンシャルに基づいたメカニズムです。MAC アドレスだけでは、ほとんどのオペレーティング システムで簡単にスプーフィングまたは偽造されます。

ポート セキュリティ:不良ネットワーク拡張の防止

ポート セキュリティは、攻撃者がスイッチの CAM テーブルに対してフラッディングを実行したり、すべての受信トラフィックをすべてのポートに送信するハブに VLAN を転送したりするのを防止します。また、エンドポイントにハブまたはスイッチを追加することにより、認可されていないネットワークの拡張を防止します。ポート セキュリティは 1 つのポートでの MAC アドレスの数を制限するので、ポート セキュリティを、IT で作成されたネットワークへのユーザ拡張を抑制するためのメカニズムとして使用することもできます。たとえば、ユーザ方向のポート、または単一の MAC アドレス用にポート セキュリティが定義された電話機のデータ ポートに、ユーザがワイヤレス アクセス ポイント(AP)を接続した場合、ワイヤレス AP 自体がその MAC アドレスを占有し、背後にあるデバイスはネットワークにアクセスできません。(図 4-4 を参照)。一般的に、MAC フラッディングを停止するのに適切な設定は、不良アクセスを抑制するためにも適切です。

図 4-4 MAC アドレス数の制限による不良ネットワーク拡張の防止

 

MAC アドレスの数が正しく定義されていないと、ネットワークへのアクセスが拒否されたり、エラーによりポートが無効化されてすべてのデバイスがネットワークから削除されたりする場合があります。

DHCP スヌーピング:不正な DHCP サーバ攻撃の防止

Dynamic Host Configuration Protocol(DHCP)スヌーピングは、承認されていない DHCP または不正な DHCP サーバがネットワーク上で IP アドレスを分配するのを防止します。具体的には、ポートが応答することが許可されている場合を除き、DHCP 要求へのすべての応答をブロックします。ほとんどの電話機配置では DHCP を使用して複数の電話機に IP アドレスを提供しているので、スイッチで DHCP スヌーピング機能を使用して、DHCP メッセージングを保護する必要があります。不正な DHCP サーバは、クライアントからのブロードキャスト メッセージに応答して不正な IP アドレスを分配したり、IP アドレスを要求しているクライアントを混乱させたりすることを試行できます。

DHCP スヌーピングを有効にすると、デフォルトでは、VLAN のすべてのポートが、信頼されていないポートとして扱われます。信頼されていないポートとは、予約済みの DHCP 応答を行うことが許可されていない、ユーザ方向のポートのことです。信頼されていない DHCP スヌーピング ポートが DHCP サーバ応答を行うと、ブロックされて応答されません。このように、不正な DHCP サーバが応答することが防止されます。ただし、正当に接続された DHCP サーバまたは正当なサーバへのアップリンクは、信頼する必要があります。

図 4-5 は、DHCP サーバに IP アドレスを要求するネットワーク接続デバイスの通常の操作を示しています。

図 4-5 DHCP 要求の通常の操作

 

ただし、攻撃者は、単一の IP アドレスではなく、VLAN 内で使用可能なすべての IP アドレスを要求できます (図 4-6 を参照)。これは、ネットワークへのアクセスを試みている正当なデバイスのための IP アドレスが存在しないことを意味します。IP アドレスがないと、電話機は Unified CM に接続できません。

図 4-6 攻撃者は VLAN で使用可能なすべての IP アドレスを取得できる

 

DHCP スヌーピング:DHCP スターベーション攻撃の防止

Gobbler などのツールを使用した DHCP アドレス スコープ スターベーション攻撃は、DHCP Denial of Service(DoS; サービス拒否)攻撃を仕掛けるために使用されます。Gobbler ツールは、ランダムに生成される異なる送信元 MAC アドレスから DHCP 要求を実行するので、ポート セキュリティを使用して MAC アドレスの数を制限することにより、Gobbler ツールが DHCP アドレス空間をスタービングするのを防止できます (図 4-7 を参照)。ただし、高度な DHCP スターベーション ツールでは、1 つの送信元 MAC アドレスから DHCP 要求を実行でき、DHCP ペイロード情報も多様です。DHCP スヌーピングを有効にすると、信頼されていないポートで、送信元 MAC アドレスと DHCP ペイロード情報が比較され、それらが一致しない場合は要求が失敗します。

図 4-7 DHCP スヌーピングを使用した DHCP スターベーション攻撃の防止

 

DHCP スヌーピングにより、任意の単一デバイスが特定のスコープのすべての IP アドレスをキャプチャすることを防止できますが、この機能が正しく設定されていないと、認定ユーザの IP アドレスが拒否される場合があります。

DHCP スヌーピング:バインディング情報

DHCP スヌーピングには、DHCP サーバから正常に IP アドレスを取得する、信頼されていないポートの DHCP バインディング情報を記録するという機能もあります。バインディング情報は、Cisco Catalyst スイッチ上のテーブルに記録されます。DHCP バインディング テーブルには、各バインディング エントリの IP アドレス、MAC アドレス、リース長、ポート、および VLAN 情報が格納されます。DHCP スヌーピングから取得されたバインディング情報は、DHCP サーバで設定された DHCP バインディング期間(つまり、DHCP リース時間)の間、有効です。DHCP バインディング情報は、ARP 応答を、DHCP でバインディングされているアドレスに限定する目的で、ダイナミック ARP インスペクション(DAI)の動的エントリを作成するときに使用されます。DHCP バインディング情報は、IP パケットの送信元を、DHCP でバインディングされたアドレスに限定するために、IP ソース ガードでも使用されます。

DHCP スヌーピングのために各タイプのスイッチに格納できるバインディング テーブル エントリには、最大制限があります (この制限を判別するには、使用するスイッチの製品マニュアルを参照してください)。スイッチのバインディング テーブル内のエントリ数が気になる場合は、バインディング テーブルのエントリがより早くタイムアウトになるように、DHCP 範囲のリース時間を短縮できます。リースが期限切れになるまで、これらのエントリは DHCP バインディング テーブルに残されます。言い換えると、エンド ステーションがそのアドレスを持っていると DHCP サーバが判断する限り、これらのエントリは DHCP スヌーピング バインディング テーブルに残されます。ワークステーションまたは電話機を切断しても、これらのエントリはポートから除去されません。

Cisco Unified IP Phone がポートに接続されており、それを別のポートに移動した場合、DHCP バインディング テーブルには、同じ MAC アドレスと IP アドレスを持つがポートが異なっている 2 つのエントリが含まれることがあります。この動作は、通常の動作と見なされます。

ダイナミック ARP インスペクションの要件

ダイナミック アドレス解決プロトコル(ARP)インスペクション(DAI)は、ルータのスイッチに接続されたデバイスに対する Gratuitous ARP 攻撃を防止するために、スイッチで使用される機能です。ダイナミック ARP はすでに説明した電話機の Gratuitous ARP 機能と似ていますが、LAN 上のすべてのデバイスを保護するので、単なる電話機の機能ではありません。

基本的な機能である Address Resolution Protocol(ARP)を使用すると、ステーションで MAC アドレスを ARP キャッシュ内の IP アドレスにバインドできるようになり、これにより 2 つのステーションが LAN セグメント上で通信可能になります。ステーションは、ARP 要求を 1 つの MAC ブロードキャストとして送出します。要求に含まれる IP アドレスを所有するステーションは、要求元のステーションに、ARP 応答を(IP アドレスと MAC アドレスと共に)送ります。要求元のステーションは、その応答を、ライフタイムの制限がある ARP キャッシュにキャッシュします。ARP キャッシュのデフォルトのライフタイムは、Microsoft Windows では 2 分間、Linux では 30 秒間、Cisco IP Phone では 40 分です。

また ARP は、Gratuitous ARP と呼ばれる機能を提供します。Gratuitous ARP(GARP)は、要求がなくても送信される ARP 応答です。通常の使用法では、MAC ブロードキャストとして送信されます。GARP メッセージを受信する、LAN セグメント上のすべてのステーションは、この非請求 ARP 応答をキャッシュに入れます。この非請求 ARP 応答により、送信者が、GARP メッセージに含まれる IP アドレスのオーナーであることが認定されます。Gratuitous ARP には、障害時に別のステーションのアドレスを引き継ぐ必要があるステーションを正当に使用します。

ただし、Gratuitous ARP は、別のステーションの身分を不正にかたること目的とした悪質なプログラムにより悪用される可能性もあります。悪質なステーションが、相互に通信しているその他の 2 つのステーションのトラフィックを自らにリダイレクトすると、GARP メッセージを送信したハッカーが中間者になります。ettercap などのハッカー プログラムは、このことを精密に行うため、GARP メッセージをブロードキャストするのではなく、「プライベートな」GARP メッセージを特定の MAC アドレスに発行します。これにより、攻撃の犠牲者は、自分のアドレスに対する GARP パケットを見ることができません。Ettercap は、プライベートな GARP メッセージを 30 秒ごとに繰り返し送信することにより、ARP ポイズニングを有効な状態に保持します。

ダイナミック ARP インスペクション(DAI)は、信頼されていない(またはユーザ報告の)ポートからのすべての ARP 要求および応答(Gratuitous または非 Gratuitous)を検査して、それらが ARP オーナーからのものであることを確認するために使用します。ARP オーナーとは、ARP 応答に含まれている IP アドレスに一致する、DHCP バインディングが置かれているポートのことです。DAI 信頼済みポートからの ARP パケットは検査されず、それぞれの VLAN にブリッジされます。

DAI の使用

ダイナミック ARP インスペクション(DAI)では、ARP 応答または Gratuitous ARP メッセージを正当化するために、DHCP バインディングが存在している必要があります。ホストで、アドレスを取得するための DHCP が使用されていない場合、そのホストを信頼するか、ホストの IP アドレスと MAC アドレスを対応付けるために ARP インスペクション用のアクセス コントロール リスト(ACL)を作成する必要があります (図 4-8 を参照)。DHCP スヌーピングと同様、DAI は VLAN ごとに有効化されます。すべてのポートは、デフォルトで、信頼できないポートとして定義されます。DAI で DHCP スヌーピングからのバインディング情報を活用するには、DAI を有効化する前に、VLAN で DHCP スヌーピングを有効化する必要があります。DAI を有効化する前に DHCP スヌーピングを有効化しないと、VLAN 内のいずれのデバイスも、ARP を使用して、デフォルト ゲートウェイを含む VLAN 内の他のデバイスに接続できません。その結果、VLAN 内のすべてにデバイスに対するサービスを、自ら拒否することになります。

図 4-8 DHCP スヌーピングおよび DAI を使用した ARP 攻撃の防止

 

DAI のユーザにとって DHCP スヌーピング バインディング テーブルは重要なので、バインディング テーブルのバックアップを取ることは重要です。DHCP スヌーピング バインディング テーブルは、ブートフラッシュ、ファイル転送プロトコル(FTP)、リモート コピー プロトコル(RCP)、スロット 0、およびトリビアル ファイル転送プロトコル(TFTP)にバックアップできます。DHCP スヌーピング バインディング テーブルをバックアップしないと、スイッチのリブート中に、Cisco Unified IP Phone でデフォルト ゲートウェイとのコンタクトが失われる場合があります。例として、DHCP スヌーピング バインディング テーブルをバックアップせず、インラインパワーの代わりに電源アダプタを使用して Cisco Unified IP Phone を使用している場合を想定します。この場合、リブートの後にスイッチがバックアップされると、電話機用の DHCP スヌーピング バインディング テーブル エントリが存在しないので、電話機はデフォルト ゲートウェイと通信できません。これを回避するには、DHCP スヌーピング バインディング テーブルのバックアップを取り、電話機からトラフィックが流れはじめる前に古い情報をロードする必要があります。

この機能が正しく設定されていないと、認定ユーザへのネットワーク アクセスが拒否される場合があります。DHCP スヌーピング バインディング テーブルにデバイスのエントリがない場合、そのデバイスでは、ARP を使用してデフォルト ゲートウェイに接続できず、そのためトラフィックを送信できません。固定 IP アドレスを使用する場合、これらのアドレスを DHCP スヌーピング バインディング テーブルに手動で入力する必要があります。リンクがダウンのときに、DHCP を再度使用して IP アドレスを取得することをしないデバイスがある場合(一部の UNIX または Linux マシンはこのように動作します)、DHCP スヌーピング バインディング テーブルをバックアップする必要があります。

802.1X ポート ベースの認証

802.1X 認証機能は、Cisco Unified IP Phone のデバイス クレデンシャルの、ネットワークへのアクセス権を与える前に行う識別と検証に使用できます。802.1X は、エンド デバイスと RADIUS サーバの間の相互作用を行う MAC 層プロトコルです。このプロトコルは、Extensible Authentication Protocol(EAP)over LAN(EAPOL)をカプセル化し、エンド デバイスとスイッチの間での認証メッセージの転送を行います。802.1X 認証プロセスでは、Cisco Unified IP Phone は、802.1X サプリカントとして機能し、ネットワークにアクセスするための要求を開始します。オーセンティケータとして機能する Cisco Catalyst Switch は、その要求を認証サーバに渡し、その電話にネットワークへのアクセスを許可するかまたはその電話からのアクセスを制限するかのいずれかを行います。

802.1X は、Cisco Unified IP Phone に接続されているデータ デバイスの認証にも使用できます。Cisco Unified IP Phone では EAPOL パススルー メカニズムが使用され、これによって、ローカルに接続された PC が 802.1X オーセンティケータに EAPOL メッセージを渡すことが可能になります。音声 VLAN 上の 1 つのデバイスとデータ VLAN 上の複数の認証されたデバイスに許可を与えるには、Cisco Catalyst Switch のポートをマルチ認証モードで設定する必要があります。


) 接続されているデータ デバイスを認証するよりも前に IP 電話を認証することを推奨します。


マルチ認証モードでは、アクセスが承認されたときに認証サーバから返された属性に基づいて、認証されたデバイスをデータ VLAN か音声 VLAN のいずれかに割り当てます。802.1X ポートは、データ ドメインと音声ドメインに分けられます。

マルチ認証モードでは、802.1x ポート上でゲスト VLAN を有効にできます。スイッチは、認証サーバがその EAPOL ID フレームへの応答を受信しなかった場合、およびクライアントが EAPOL パケットを送信しなかった場合に、エンド クライアントをゲスト VLAN に割り当てます。これにより、Cisco IP Phone に接続されていて 802.1X をサポートしていないデータ デバイスをネットワークに接続することが可能になります。

スイッチ ポートがマルチ ホスト モードになっている場合は、IP 電話用に音声 VLAN を設定しなければなりません。Cisco Attribute-Value(AV; 属性-値)ペア属性を device-traffic-class=voice という値で送信するように RADIUS サーバを設定する必要があります。この値がないと、スイッチは、IP 電話をデータ デバイスとして扱います。

RADIUS サーバからのダイナミック VLAN 割り当ては、データ デバイスにしかサポートされません。

ポート上でデータ デバイスまたは音声デバイスが検出されると、その MAC アドレスは認証が成功するまではブロックされます。認証に失敗した場合、その MAC アドレスのブロックは 5 分間継続します。

音声 VLAN が設定されており、すでに Cisco IP Phone が接続されているアクセス ポート上で 802.1x 認証を有効にすると、電話が最大 30 秒間スイッチとの接続を失います。

ほとんどの Cisco IP Phone では、EAP-Transport Layer Security(EAP-TLS)を使用した X.509 証明書による認証方式、または EAP-Flexible Authentication with Secure Tunneling(EAP-FAST)の認証方式をサポートしています。いずれの方式もサポートしていない一部の古いモデルでは、Cisco Catalyst スイッチが接続しているデバイスの MAC アドレスを認証方式として確認できるようにする MAC 認証バイパス(MAB)を使用して認証できます。

802.1X 機能設定のサポートを確認するには、Cisco Unified IP Phone および Cisco Catalyst スイッチの製品マニュアルを参照してください( http://www.cisco.com )。


) Cisco Secure Access Control System(ACS)4.2 は、EAP-FAST を有効にするために証明書のみの認証をサポートしています。EAP-TLS を有効にするには、ACS 5.x 以降のバージョンを使用します。


設定情報については、次の URL で入手可能な『 IP Telephony for 802.1x Design Guide 』を参照してください。

http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/TrustSec_1.99/IP_Tele/IP_Telephony_DIG.html

電話機のセキュリティ

Cisco Unified IP Phone には、IP テレフォニー ネットワーク上のセキュリティを強化するための組み込み型の機能があります。これらの機能を電話機単位で有効または無効にして、IP テレフォニー配置のセキュリティを強化できます。セキュリティ ポリシーは、電話機の配置に応じて、これらの機能を有効にする必要があるかどうか、および有効にする必要がある場所を判別するのに役立ちます (図 4-9 を参照)。

図 4-9 電話機レベルでのセキュリティ

 

次のセキュリティに関する留意点は IP 電話機に適用されます。

「電話機の PC ポート」

「PC Voice VLAN へのアクセス」

「電話機経由の Web アクセス」

「ビデオ機能」

「アクセス設定」

「電話機の認証および暗号化」

「IP Phone の VPN クライアント」

電話機のセキュリティ機能の設定を試みる前に、次のリンクで入手可能なマニュアルを参照して、特定の電話機モデルでそれらの機能が使用可能であることを確認してください。

http://www.cisco.com/en/US/products/sw/voicesw/index.html

電話機の PC ポート

電話機は、一般的に PC が接続される電話機背面のポートのオン/オフを切り替えることができます。この機能は、そのタイプの制御が必要な場合に、ネットワークにアクセスするためのコントロール ポイントとして使用できます。

セキュリティ ポリシーおよび電話機の配置状況によっては、特定の電話機の背面にある PC ポートを無効にする必要があります。このポートを無効にすると、電話機の背面にデバイスを接続したり、電話機自体を介してネットワークにアクセスしたりできなくなります。ロビーのような一般的なエリアに設置した電話機の場合、通常はポートを無効にします。ロビーでは物理的なセキュリティが非常に弱いため、ほとんどの企業では、制御されていないポートから不特定のユーザがネットワークにアクセスするのを許可しません。セキュリティ ポリシーで、電話機の PC ポートを経由してデバイスがネットワークにアクセスするのを許可しない場合は、通常の作業エリアに設置した電話機でも、ポートを無効にすることがあります。配置された電話機のモデルによっては、Cisco Unified Communications Manager(Unified CM)は、電話機の背面の PC ポートを無効にできます。この機能の有効化を試みる前に、次のリンクで入手可能なマニュアルを参照して、特定の Cisco Unified IP Phone モデルでこの機能がサポートされていることを確認してください。

http://www.cisco.com/en/US/products/hw/phones/ps379/tsd_products_support_series_home.html

PC Voice VLAN へのアクセス

スイッチから電話機までに 2 つの VLAN が存在するので、電話機は、望まないアクセスから Voice VLAN を保護する必要があります。電話機では、電話機の背面から Voice VLAN に入り込む、望まないアクセスを防止できます。PC Voice VLAN Access 機能は、電話機の背面にある PC ポートから Voice VLAN への任意のアクセスを防止します。この機能を無効にすると、電話機の PC ポートに接続されたデバイスが、電話機の背面の PC ポートに到達する Voice VLAN を宛先とした 802.1q タグ付き情報を送信することにより、VLAN を「ジャンプ」して Voice VLAN にアクセスすることは許可されません。設定している電話機に応じて、この機能は 2 つの方法のいずれかで動作します。高機能の電話機では、電話機の背面の PC ポートに着信する Voice VLAN を宛先とした、すべてのトラフィックをブロックします。図 4-10 に示す例の場合、PC が、電話機の PC ポートに対して Voice VLAN トラフィック(このケースでは 200 の 802.1q タグ付き)の送信を試行すると、そのトラフィックはブロックされます。この機能が動作する他の方法は、電話機の PC ポートに着信する、802.1q タグ付きのすべてのトラフィック(Voice VLAN トラフィックに限らない)をブロックする方法です。

現在、アクセス ポートからの 802.1q タギングは、通常は使用しません。この機能が、電話機のポートに接続された PC の要件に含まれている場合、802.1q タグ付きパケットが電話機を通過するのを許可する電話機を使用する必要があります。

電話機の PC Voice VLAN Access 機能の設定を試みる前に、次のリンクで入手可能なマニュアルを参照して、特定の電話機モデルでそれらの機能が使用可能であることを確認してください。

http://www.cisco.com/en/US/products/hw/phones/ps379/tsd_products_support_series_home.html

図 4-10 電話機の PC ポートから Voice VLAN へのトラフィックのブロック

 

電話機経由の Web アクセス

各 Cisco Unified IP Phone には、デバッグを実行したり管理目的で電話機のリモート ステータスを確認したりするのに役立つ、Web サーバが組み込まれています。Web サーバは、電話機が、Cisco Unified Communications Manager(Unified CM)から電話機にプッシュされたアプリケーションを受信するのを可能にします。この Web サーバへのアクセスは、Unified CM 設定の Web Access 機能を使用して、電話機で有効または無効にできます。この設定は、グローバルで行うことも、電話機ごとに有効または無効にすることもできます。

Web サーバがグローバルで無効だが、デバッグの参考として必要な場合、Unified CM の管理者は、電話機のこの機能を有効にする必要があります。この Web ページにアクセスする機能は、ネットワークの ACL で制御できます。ネットワーク オペレータは、この機能を使用して、必要なときに Web ページにアクセスできます。

Web アクセス機能を無効にすると、電話機は、Unified CM からプッシュされるアプリケーションを受信できません。

ビデオ機能

Cisco Unified Video Advantage が正しく動作するには、PC ポートとビデオ機能の両方を有効にする必要があります。その他の設定は無効にしてもかまいません。Device Security Mode は、Cisco Unified Video Advantage の使用中でも指定どおりに動作しますが、Cisco Unified Video Advantage 自体は Cisco Audio Session Tunnel(CAST)プロトコルまたはその RTP メディア トラフィックの認証または暗号化をサポートしません。IP Phone が Authenticated モードのときは、この電話機と Unified CM の間の Skinny Client Control Protocol(SCCP)シグナリングは認証されますが、電話機と Cisco Unified Video Advantage の間の CAST シグナリングは認証されません。同様に、電話機が Encrypted モードのときは、電話機間のオーディオ ストリームは暗号化されますが、Cisco Unified Video Advantage クライアント間のビデオ ストリームは暗号化されません。暗号化されたコール中であることを電話機上のアイコンが示しているように見える場合でも、ビデオ チャネルが暗号化されないことをユーザに通知しておく必要があります。

アクセス設定

各 Cisco Unified IP Phone にはネットワーク設定ページがあり、そのページには、電話機が動作するのに必要な多くのネットワーク要素や詳細情報がリストされます。攻撃者はこの情報を使用して、電話機の Web ページに表示される情報の一部と共に、ネットワーク上で調査を開始できます。たとえば、攻撃者は設定ページを参照して、デフォルト ゲートウェイ、TFTP サーバ、および Unified CM の IP アドレスを判別できます。これらの断片的な情報が、音声ネットワークにアクセスしたり、音声ネットワーク内のデバイスを攻撃したりするのに使用される場合があります。

このアクセスを電話機ごとに無効にすることにより、エンド ユーザまたは攻撃者が、Unified CM IP アドレスや TFTP サーバ情報などの追加情報を取得するのを防止できます。電話機設定ページへのアクセスを無効にすると、エンド ユーザは、スピーカー ボリューム、連絡先、呼び出しタイプなど、通常は制御可能な多くの電話機設定を変更できなくなります。電話機インターフェイスについてエンド ユーザに課される制限により、このセキュリティ機能を使用することが現実的ではない場合があります。

電話機設定ページの詳細については、次の Web サイトで入手可能な『 Cisco Unified Communications Manager Administration Guide 』の最新バージョンを参照してください。

http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html

電話機の認証および暗号化

Unified CM では、音声システム内の電話機に対して複数のレベルのセキュリティを実現するように設定できます。ただし、電話機でこれらの機能がサポートされている必要があります。これには、X.509 証明書を使用したデバイス認証およびメディアとシグナリングの暗号化が含まれます。導入済みのセキュリティ ポリシー、電話機の配置、および電話機サポートに応じて、社内の必要に合せてセキュリティを設定できます。

特定のセキュリティ機能に対する Cisco Unified IP Phone モデルのサポート状況の詳細については、次の Web サイトで入手可能なマニュアルを参照してください。

http://www.cisco.com/en/US/products/hw/phones/ps379/tsd_products_support_series_home.html

電話機および Unified CM クラスタでセキュリティを有効にするには、次の Web サイトで入手可能な『 Cisco Unified Communications Manager Security Guide 』を参照してください。

http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html

Unified CM で公開キー インフラストラクチャ(PKI)セキュリティ機能が正しく設定されている場合、サポートされているすべての電話機で、次の機能を使用できます。

完全性:この機能が有効な場合は、電話機に対する TFTP ファイル操作を許可しませんが、トランスポート層セキュリティ(TLS)シグナリングを許可します。

認証:電話機のイメージは、Unified CM から電話機に対して認証され、デバイス(電話機)は Unified CM に対して認証されます。電話機と Unified CM の間のすべてのシグナリング メッセージは、認可されているデバイスから送信されるときに検証されます。

暗号化:サポートされているデバイスで、盗聴を防止するためシグナリングとメディアを暗号化できます。

Secure Real-time Transport Protocol(SRTP):Cisco IOS ゲートウェイでサポートされています。電話機間通信でもサポートされています。Cisco Unity もボイスメールのための SRTP をサポートしています。

Unified CM は、2 つの Cisco Unified IP Phone の間のコールの、認証、完全性、および暗号化をサポートしていますが、すべてのデバイスまたは電話機についてサポートしているわけではありません。ご使用のデバイスがこれらの機能をサポートしているかどうかを判別するには、次の Web サイトで入手可能なマニュアルを参照してください。

http://www.cisco.com/en/US/products/hw/phones/ps379/tsd_products_support_series_home.html

Unified CM では ID を保護し、暗号化を有効にするために証明書を使用します。証明書には、Manufacturing Installed Certificate(MIC; 製造元でインストールされる証明書)または Locally Significant Certificate(LSC; ローカルで有効な証明書)のどちらかを使用できます。MIC はすでにプレインストールされていて、LSC は Unified CM の Cisco Certificate Authority Proxy Function(CAPF)によりインストールされます。Unified CM は、自己署名証明書を作成しますが、PKCS #10 Certificate Signing Request(CSR; 証明書署名要求)を使用した第三者 Certificate Authority(CA; 認証局)による証明書の署名もサポートされます。第三者 CA を使用する場合、CA により CAPF に署名できますが、電話機の LSC は、その後も CAPF により生成されます。MIC を使用する場合、Cisco CA 証明書および Cisco Manufacturing CA 証明書はルート証明書として機能します。自己署名 LSC が使用される場合、CAPF 証明書はルート証明書です。外部 CA が使用される場合、CAPF は下位 CA として機能し、外部 CA はルート CA になります。

クラスタを混合モードで設定すると、自動登録は動作しません。混合モードは、デバイス認証に必要なモードです。クラスタにデバイス認証が存在しない場合、つまり、Cisco Certificate Trust List(CTL)クライアントがインストールおよび設定されていない場合、シグナリングまたはメディア暗号化の実装はできません。IP テレフォニー トラフィックがファイアウォールおよびネットワーク アドレス変換(NAT)を通過するのを可能にするアプリケーション層プロトコル検査および Application Layer Gateway(ALG; アプリケーション層ゲートウェイ)も、シグナリングが暗号化されていると動作しません。暗号化されたメディアでは、一部のゲートウェイ、電話機、または会議はサポートされません。

メディアの暗号化によって、コールのレコーディングとモニタリングはより困難で高価になります。VoIP の問題のトラブルシューティングも難しくなります。

IP Phone の VPN クライアント

VPN クライアントが組み込まれた Cisco Unified IP Phone には、ネットワーク外の電話機を企業内の Unified Communications ソリューションに接続するためのセキュアなオプションがあります。この機能では、外部 VPN ルータは必要なく、レイヤ 3 のセキュア通信トンネルと、配置されたロケーションにある電話機と企業ネットワーク間の非信頼ネットワーク経由のトラフィックの増大が提供されます。

Cisco Unified IP Phone 内の VPN クライアントは、Cisco SSL VPN テクノロジーを使用しており、Cisco ASA 5500 シリーズ VPN ヘッドエンドと Cisco IOS SSL VPN ソフトウェア機能を備えた Cisco サービス統合型ルータの両方に接続できます。音声トラフィックは UDP で搬送され、Datagram Transport Layer Security(DTLS)プロトコルによって保護されます。統合された VPN トンネルは、音声および IP Phone Service だけに適用されます。PC ポートに接続された PC はこのトンネルを使用できず、PC からのトラフィック用に独自の VPN トンネルを確立する必要があります。

VPN クライアントが組み込まれた電話機の場合、最初に、VPN コンセントレータ アドレス、VPN コンセントレータ クレデンシャル、ユーザまたは電話機 ID、クレデンシャル ポリシーなどの VPN 設定パラメータを使用して電話機を設定する必要があります。この情報は機密であるため、電話機が非信頼ネットワーク経由での接続を試行する前に、電話機を企業ネットワーク内でプロビジョニングする必要があります。最初に電話機を企業ネットワーク内でステージングしないで電話機を配置することは、サポートされていません。

ユーザは、電話機のユーザ インターフェイスの設定メニューで、VPN トンネルの確立を有効または無効にできます。VPN トンネルの確立が有効の場合、電話機は VPN トンネルの確立を開始します。電話機は、冗長性を持たせるために最大 3 つの VPN コンセントレータを使用して設定できます。VPN クライアントは、ロード バランシング メカニズムとして、VPN コンセントレータから他の VPN コンセントレータへのリダイレクションをサポートします。

VPN クライアント用の電話機を設定する手順については、次の Web サイトで入手可能な『 Cisco Unified Communications Manager Administration Guide 』の最新バージョンを参照してください。

http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html


) VPN クライアントをサポートするには、電話機でファームウェア リリース 9.0(2) 以上が実行されている必要があります。この機能は、Cisco Unified CM 8.x に登録されたファームウェアのバージョンが 9.0(2) の Cisco Unified IP Phones 79x2 および 79x5 上でのみ使用できます。IPv4 アドレスを使用してプロビジョニングされた電話機だけが、VPN クライアント機能でサポートされます。


Quality of Service

Quality of Service(QoS)は、企業ネットワーク用のすべてのセキュリティ ポリシーで、重要な部分を占めます。一般的に、QoS はネットワーク内のトラフィック重要度の設定と考えられていますが、ネットワークに入ることが許可されるデータの量も制御します。Cisco スイッチの場合、電話機からイーサネット スイッチにデータが送られるときのコントロール ポイントはポート レベルにあります。アクセス ポートでネットワークのエッジに適用される制御が多いほど、ネットワークでデータを集約するときに発生する問題は少なくなります。

QoS を使用すると、ネットワーク内のトラフィックの優先度だけでなく、任意の特定のインターフェイスを通過できるトラフィックの量も制御できます。ネットワーク内の音声 QoS をアクセス ポート レベルで配置するのに役立つ、Cisco Smartports テンプレートが作成されました。

厳しい QoS ポリシーでは、トラフィック レートを制御することによって、ネットワーク内のサービス拒否攻撃を制御および防止できます。

ロビーに設置された電話機の例ですでに説明したとおり、アクセス ポート レベルでトラフィックの十分なフロー コントロールを提供することにより、攻撃者が、ロビー内のそのポートから DoS 攻撃を仕掛けるのを防止できます。QoS 設定ではポートに送信されたトラフィックが最大レートを超えることが許可されていますが、トラフィックは Scavenger Class にリマークされているので、この例の設定は、それほどアグレッシブではありません。よりアグレッシブな QoS ポリシーを使用すると、ポリシーの最大制限を超える量のトラフィックはポートでドロップされ、その「不明な」トラフィックがネットワークに入ることはありません。IP テレフォニー データにエンドツーエンドで高い優先度を与えるには、ネットワーク全体で QoS を有効にする必要があります。

QoS の詳細については、「ネットワーク インフラストラクチャ」の章、および次の Web サイトで入手可能な『 Enterprise QoS Solution Reference Network Design(SRND)Guide 』を参照してください。

http://www.cisco.com/go/designzone

アクセス コントロール リスト

この項では、アクセス コントロール リスト(ACL)、および音声データの保護における ACL の使用方法について説明します。

VLAN アクセス コントロール リスト

VLAN アクセス コントロール リスト(ACL)を使用すると、ネットワーク上を流れるデータを制御できます。Cisco スイッチには、VLAN ACL 内でレイヤ 2~4 を制御する機能があります。ネットワーク内のスイッチのタイプによっては、VLAN ACL を使用して、特定の VLAN に流入または流出するトラフィックをブロックできます。また、VLAN ACL を使用して VLAN 内のトラフィックをブロックし、VLAN 内のデバイス間で発生する処理を制御することもできます。

VLAN ACL を配置する計画がある場合、IP テレフォニー ネットワーク内で使用される各アプリケーションで電話機が正しく動作するようにするにはどのポートが必要かを検証する必要があります。通常、任意の VLAN ACL は、電話機が使用する VLAN に適用されます。これにより、アクセス ポートで、アクセス ポートに接続されているデバイスにできるだけ近い制御ができるようになります。

VLAN ACL の設定については、次の製品マニュアルを参照してください。

Cisco Catalyst 3750 スイッチ

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_installation_and_configuration_guides_list.html

Cisco Catalyst 4500 シリーズ スイッチ

http://www.cisco.com/en/US/products/hw/switches/ps4324/products_installation_and_configuration_guides_list.html

Cisco Catalyst 6500 シリーズ スイッチ

http://www.cisco.com/en/US/products/hw/switches/ps708/products_installation_and_configuration_guides_list.html

VLAN ACL を適用する方法の詳細については、次のマニュアルを参照してください。

Cisco Catalyst 3750 スイッチ

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_installation_and_configuration_guides_list.html

Cisco Catalyst 4500 シリーズ スイッチ

http://www.cisco.com/en/US/products/hw/switches/ps4324/products_installation_and_configuration_guides_list.html

Cisco Catalyst 6500 シリーズ スイッチ

http://www.cisco.com/en/US/products/hw/switches/ps708/products_installation_and_configuration_guides_list.html

ACL は、VLAN に入るまたは VLAN から出るネットワーク トラフィックを制御する機能、および VLAN 内でトラフィックを制御する機能を提供します。

VLAN ACL を、モバイル性の高いアクセスポート レベルで配置および管理するのは非常に困難です。これらの管理上の問題があるので、ネットワークのアクセス ポートに VLAN ACL を配置するときは注意が必要です。

ルータのアクセス コントロール リスト

VLAN ACL と同様、ルータにも、ポートごとにインバウンド ACL およびアウトバウンド ACL の両方を処理する機能があります。最初のレイヤ 3 デバイスは、音声およびデータ VLAN を使用するときの音声データと別タイプのデータとの間の境界ポイントです。境界ポイントでは、2 つのタイプのデータが、相互にトラフィックを送信することが許可されます。VLAN ACL とは異なり、ルータ ACL は、ネットワーク内のすべてのアクセス デバイスには配置されません。その代わり、ネットワーク全体にルーティングするすべてのデータを準備する場所である、エッジ ルータで適用されます。これは、各 VLAN のデバイスがネットワーク内でアクセス可能なエリアを制御するために、レイヤ 3 ACL を適用するのに最適な場所です。レイヤ 3 ACL をネットワーク全体に配置することにより、トラフィックが収束する場所で、デバイスを相互に保護できます (図 4-11 を参照)。

図 4-11 レイヤ 3 のルータ ACL

 

レイヤ 3 に配置可能な ACL には、多くのタイプがあります。一般的なタイプの説明と例については、次の Web サイトで入手可能な『 Configuring Commonly Used IP ACLs 』を参照してください(シスコ パートナーとしてのログインが必要)。

http://cisco.com/en/US/partner/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml

導入済みのセキュリティ ポリシーに応じて、レイヤ 3 ACL は、非 Voice VLAN からの IP トラフィックがネットワーク内の音声ゲートウェイにアクセスするのを禁止するという単純な設定にも、他のデバイスが IP テレフォニー デバイスと通信するために使用する個別のポートや時間帯を制御するという詳細な設定にもできます。ACL が高精度および詳細になると、ネットワーク内のポート使用法の変更が原因で、音声だけでなく、ネットワーク内の他のアプリケーションも遮断される場合があります。

ネットワークにソフトフォンがある場合、電話機への Web アクセスが許可されている場合、または Attendant Console を使用するか、Voice VLAN サブネットへのアクセスが必要な他のアプリケーションを使用する場合、ACL の配置と制御はさらに難しくなります。

特定のサブネットに制限され、音声 VLAN に限定される IP Phone の場合、Unified CM、音声ゲートウェイ、電話機、および音声のみのサービスに使用されるその他のあらゆる音声アプリケーションへの(IP アドレスまたは IP 範囲による)すべてのトラフィックをブロックするように ACL を記述できます。この方法により、レイヤ 3 ACL を、レイヤ 2 または VLAN ACL よりも簡素化できます。

ファイアウォール

ファイアウォールを ACL と組み合わせて使用すると、IP テレフォニー デバイスと通信することが許可されていないデバイスから、音声サーバおよび音声ゲートウェイを保護できます。IP テレフォニーで使用するポートには動的な特性があるので、ファイアウォールを配置すると、IP テレフォニー通信で必要な広範囲のポートの開放を制御するのに役立ちます。ファイアウォールを導入するとネットワークの設計が複雑になるので、適正と見なされるトラフィックが通過するのを許可し、ブロックする必要があるトラフィックをブロックするようにファイアウォール、およびファイアウォールの周辺デバイスを配置および設定するときは、細心の注意が必要です。

IP テレフォニー ネットワークには、一意のデータ フローがあります。電話機はクライアント/サーバ モデルを使用してコール セットアップ用のシグナリングを生成し、Unified CM はそのシグナリングを使用して電話機を制御します。IP テレフォニー RTP ストリームのデータ フローは、ピアツーピア ネットワークに似ており、電話機またはゲートウェイは、RTP ストリームを介して相互に直接通信します。ファイアウォールがシグナリング トラフィックを検査できるようシグナリング フローがファイアウォールを経由しないようにする場合、ファイアウォールが、会話用の RTP ストリームを許可するのにどのポートを開放する必要があるかを判別できないので、RTP ストリームがブロックされることがあります。

正しく設計されたネットワークにファイアウォールを配置すると、すべてのデータがそのデバイスを経由するように強制できるので、キャパシティとパフォーマンスについて考慮する必要があります。パフォーマンスには、遅延の量が関係しています。ファイアウォールに高い負荷がかかっている場合やファイアウォールが攻撃されている場合は、1 つのファイアウォールにより遅延の量が増大することがあります。IP テレフォニーの配置に関する原則では、ファイアウォールの通常使用時の CPU 使用率を 60% 未満に抑えます。CPU の使用率が 60% を超えると、IP Phone、コール セットアップ、および登録に影響が出る可能性が高まります。CPU の使用率が継続的に 60% を超えると、登録済みの IP Phone は影響を受け、進行中のコールの品質は低下し、新しいコールのコール セットアップは問題を抱えます。CPU 使用率が 60% を超えた状態が続くと、最悪の場合、電話機の登録解除が始まります。このことが発生すると、電話機は Unified CM への再登録を試みるようになり、ファイアウォールの負荷はさらに増大します。この状態が発生すると、結果的に、登録解除と Unified CM への再登録の試行を繰り返す電話機の連続ブラックアウトが発生します。ファイアウォールの CPU 使用率が継続的に 60% 未満に落ち着くまで、この連続ブラックアウトは続き、すべてまたはほとんどの電話機が影響を受けます。現在、ネットワーク内で Cisco ファイアウォールを使用している場合、ネットワークに IP テレフォニー トラフィックを追加するときは、トラフィックが悪影響を受けないように、CPU 使用率を注意深くモニタしてください。

ファイアウォールを配置する方法はいくつもあります。この項では、ルーテッドおよびトランスペアレントの両方のシナリオにおける、アクティブ/スタンバイ モードの Cisco Adaptive Security Appliance(ASA)について集中的に説明します。この項で説明する各設定は、ファイアウォール設定の音声セクション内で、シングル コンテキスト モードで設定されたものです。


) Cisco Firewall Services Module(FWSM)は、Cisco Unified Communications 8.x アプリケーションではサポートされません。ネットワークで FWSM を使用する場合は、ACL を指定して、これらのアプリケーションのトラフィックを許可する必要があります。


すべての Cisco ファイアウォールは、マルチ コンテキスト モードまたはシングル コンテキスト モードのいずれかで実行できます。シングル コンテキスト モードでは、ファイアウォールは、ファイアウォールを通過するすべてのトラフィックを制御する単一のファイアウォールを指します。マルチ コンテキスト モードでは、ファイアウォールは複数の仮想ファイアウォールを指します。これらのコンテキストまたは仮想ファイアウォールにはそれぞれ独自の設定があり、異なるグループまたは管理者が制御できます。ファイアウォールに新しいコンテキストを追加するたびに、ファイアウォールの負荷およびメモリ要件は大きくなります。新しいコンテキストを配置するときは、音声 RTP ストリームが悪影響を受けないように、CPU 要件を満たしていることを確認してください。

Adaptive Security Appliance では、Unified Communications アプリケーション サーバおよびエンドポイントの IPv6 トラフィックのアプリケーション インスペクションのサポートは限定されています。ASA がネットワークに配置されている場合、Unified Communications には IPv6 を使用しないことを推奨します。


) ASA のペイロード暗号化なしモデルでは、Unified Communications の機能が無効にされています。


ファイアウォールは、ネットワーク上で実行されるアプリケーションのために、ネットワークのセキュリティ コントロール ポイントを提供します。トラフィックがファイアウォールを通過する場合、ファイアウォールは、IP テレフォニー会話用にポートを動的に開く機能も提供します。

アプリケーション インスペクション機能を使用すると、ファイアウォールを通過するトラフィックがファイアウォールで検査され、そのトラフィックが、ファイアウォールで予期されていたタイプのトラフィックかどうかが判別されます。たとえば、HTTP トラフィックが本当に HTTP トラフィックなのか、あるいは攻撃なのかが判別されます。それが攻撃だった場合、ファイアウォールはそのパケットをドロップし、そのパケットがファイアウォールの背後にある HTTP サーバに到達するのを許可しません。

ファイアウォールのアプリケーション層プロトコル検査では、すべての IP テレフォニー アプリケーション サーバまたはアプリケーションがサポートされているわけではありません。そのようなアプリケーションの一部として、Cisco Unity ボイスメール サーバ、Cisco Unified Attendant Console、Cisco Unified Contact Center Enterprise、および Cisco Unified Contact Center Express があります。トラフィックがファイアウォールを経由して流れるのを許可するため、これらのアプリケーション用の ACL を書き込むことができます。


) ファイアウォールに備えられたフェールオーバーのタイマーは、デフォルトで高い値が設定されています。フェールオーバー時にファイアウォールを通過する音声 RTP ストリームに影響するのを防ぐため、タイマー設定を 1 秒以下に設定することを推奨します。設定を変更し、フェールオーバーが発生すると、ファイアウォールのフェールオーバーが短縮され RTP ストリームが影響するフェールオーバー時間が削減されるため、RTP ストリームが影響を受ける時間が低減されます。


異なる Unified Communications コンポーネントの間にファイアウォールを設置する場合、コンポーネント間の通信に使用されるすべてのプロトコルについてアプリケーション インスペクションを有効にする必要があります。リモート エージェントの電話とスーパーバイザの電話の間にファイアウォールを設置すると、Unified Communications Manager のサイレント モニタリングなどの機能によって使用されるコール フローのシナリオで、アプリケーション インスペクションが失敗することがあります。

TCP を使用する Unified Communications デバイス(Cisco Unified Communications Manager など)は、パケット損失の場合にデータの転送を高速化するために、TCP SACK オプションをサポートしています。ただし、すべてのファイアウォールが TCP SACK オプションをサポートしているわけではありません。その場合、Unified Communications デバイスが TCP SACK オプションを使用しようとすると、そのようなファイアウォールを経由してデバイス間で確立された TCP セッションに問題が発生し、TCP セッションは失敗する場合があります。そのため、ファイアウォールは TCP SACK オプションを完全にサポートしている必要があります。サポートできない場合、ファイアウォールでは、スリーウェイ ハンドシェイク中に TCP パケットを変更でき、エンドポイントが TCP SACK オプションを使用しないようにこのオプションのサポートを無効にできることが必要です。

ネットワーク上で実行しているアプリケーションがネットワーク内のファイアウォールのバージョンでサポートされているかどうか、および ACL を書き出す必要があるかどうかを判別するには、次の Web サイトで入手可能な適切なアプリケーション マニュアルを参照してください。

http://www.cisco.com

ルーテッド ASA

ルーテッド モードの ASA ファイアウォールは、接続されているネットワーク間のルータとして機能します。各インターフェイスには、異なるサブセット上の 1 つの IP アドレスが必要です。シングル コンテキスト モードでは、ルーテッド ファイアウォールは Open Shortest Path First(OSPF)およびパッシブ モードの Routing Information Protocol(RIP)をサポートしています。マルチ コンテキスト モードは、静的ルートのみをサポートしています。ASA バージョン 8. x では、Enhanced Interior Gateway Routing Protocol(EIGRP)もサポートされます。拡張するルーティング要件に対するセキュリティ アプライアンスに依存するのではなく、アップストリーム ルータおよびダウンストリーム ルータの拡張ルーティング機能を使用することを推奨します。ルーテッド モードの詳細については、次の Web サイトで入手可能な『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。

http://www.cisco.com/en/US/products/ps6120/products_installation_and_configuration_guides_list.html

ルーテッド ASA ファイアウォールは、QoS、NAT、およびボックスへの VPN 終端をサポートしています。これらの機能は、トランスペアレント モードではサポートされていません(「トランスペアレント ASA」を参照)。ルーテッド設定では、ASA 上の各インターフェイスに IP アドレスが与えられます。トランスペアレント モードでは、ASA をリモートで管理するための IP アドレスの他には、インターフェイス上に IP アドレスは与えられません。

トランスペアレント モードと比較した場合のこのモードの制限は、デバイスがネットワークで表示されるため、攻撃ポイントになる可能性があることです。また、ルーティングの一部はファイアウォールで実行可能なため、ルーテッド ASA ファイアウォールをネットワークに配置すると、ネットワークのルーティングが変更されます。ファイアウォールに存在する、使用する予定のすべてのインターフェイスでは、IP アドレスも使用可能でなければなりません。そのため、ネットワーク内のルータの IP アドレスを変更する必要が生じる場合もあります。ASA ファイアウォールを経由してルーティング プロトコルまたは RSVP を許可する場合、トラフィックが外側(または信頼性が低い)インターフェイスを通過するのを許可するため、ACL を内側(または最も信頼性が高い)インターフェイス上に配置する必要があります。ACL では、最も信頼性が高いインターフェイスから出るのを許可される、その他のすべてのトラフィックも定義する必要があります。

トランスペアレント ASA

ASA ファイアウォールは、レイヤ 2 ファイアウォール(「Bump In The Wire」または「ステルス ファイアウォール」とも呼ばれる)として設定できます。この設定では、ファイアウォールに IP アドレス(管理目的のものを除く)は与えられず、すべてのトランザクションはネットワークのレイヤ 2 で行われます。ファイアウォールはブリッジとして動作しますが、レイヤ 3 のトラフィックは、拡張アクセス リストで明示的に許可しない限り、セキュリティ アプライアンスを通過できません。アクセス リストなしで許可されるトラフィックは、Address Resolution Protocol(ARP)トラフィックだけです。

この設定には、ファイアウォールが動的ルーティングを一切行わないため、攻撃者がファイアウォールを見つけることができないという利点があります。ファイアウォールがトランスペアレント モードでも動作するようにするには、静的ルーティングが必要です。

この設定では、ファイアウォールに合せてルーティングを変更する必要がないので、より簡単に既存のネットワークにファイアウォールを配置できます。またこの設定は、ファイアウォール内でいずれのルーティングも行わないため、ファイアウォールの管理やデバッグも簡単に実行できます。ファイアウォールはルーティング要求を処理しないので、通常は、 inspect コマンドと全体のトラフィックを使用したときのファイアウォールのパフォーマンスの方が、同じファイアウォール モデルとソフトウェアがルーティングを実行する場合よりも高くなります。

トランスペアレント モードでは、ルーティングのためにデータを渡す場合、同じファイアウォールをルーテッド モードで使用する場合とは異なり、トラフィックを許可するためにファイアウォールの内側と外側の両方で ACL を定義する必要があります。Cisco Discovery Protocol(CDP)トラフィックは、デバイスが定義済みの場合でも、デバイスを通過することはありません。直接接続される各ネットワークは、同じサブネット上に置かれている必要があります。コンテキスト間でインターフェイスを共有できません。マルチ コンテキスト モードを実行する計画の場合は、追加のインターフェイスを使用する必要があります。そのトラフィックがファイアウォールを通過するのを許可するには、ACL で、ルーティング プロトコルなどのすべての非 IP トラフィックを定義する必要があります。トランスペアレント モードでは QoS はサポートされていません。マルチキャスト トラフィックは、拡張 ACL が設定されているファイアウォールを通過するのを許可されますが、これはマルチキャスト デバイスではありません。トランスペアレント モードでは、VPN 終端はファイアウォールでサポートされていません。ただし、管理インターフェイス用の終端を除きます。

ASA ファイアウォールを経由してルーティング プロトコルまたは RSVP を許可する場合、トラフィックが外側(または信頼性が低い)インターフェイスを通過するのを許可するため、ACL を内側(または最も信頼性が高い)インターフェイス上に配置する必要があります。ACL では、最も信頼性が高いインターフェイスから出るのを許可される、その他のすべてのトラフィックも定義する必要があります。

トランスペアレント モードの詳細については、次の Web サイトで入手可能な『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。

http://www.cisco.com/en/US/products/ps6120/products_installation_and_configuration_guides_list.html


) トランスペアレント モードで NAT を使用する場合は、ASA バージョン 8.0(2) 以降が必要です。詳細については、http://www.cisco.com/en/US/docs/security/asa/asa80/release/notes/asarn80.html の『Cisco ASA 5500 Series Release Notes』を参照してください。


ASA Unified Communications Proxy 機能

Cisco ASA 5500 シリーズ アプライアンスの Cisco Unified Communications Proxy 機能には、暗号化および境界セキュリティ サービスのための複数のソリューションが含まれています。これらの機能により、非信頼ネットワーク経由で接続された Unified Communications システムとエンドポイント間のセキュアな通信が可能になります。TLS プロキシ機能は、セキュリティ ポリシーを終了し、内部的に暗号化された Cisco IP エンドポイントに適用します。Phone Proxy、モビリティ プロキシ、およびプレゼンス フェデレーション セキュリティ サービスは、企業ネットワークとリモート ユーザ、モバイル ソリューション、およびその他の外部ネットワーク間の安全な通信サービスを可能にします。

これらの機能はすべて、Cisco Unified Communications Proxy 領域の下でライセンスされます。この機能のライセンスおよび配置要件の詳細については、次のマニュアルを参照してください。

『Cisco ASA Unified Communications Proxy Licensing Guide』

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/at_a_glance_c45-509624.pdf

Cisco ASA 5500 Series Unified Communications Deployments 』データ シート

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd8073cbbf.html

Cisco Unified Communications Proxy 機能は、TLS セッションによってライセンスされます。Phone Proxy または TLS プロキシの場合、各 IP Phone に Unified CM サーバへの複数の接続がある場合があります。プライマリ Unified CM への 1 つの接続とバックアップ Unified CM への 1 つの接続です。この場合、2 つの TLS セッションが設定されているため、Phone Proxy は 2 つの Unified Communications Proxy セッションを使用します。モビリティ プロキシおよびプレゼンス フェデレーション プロキシの場合、各エンドポイントは 1 つの Unified Communications Proxy セッションを利用します。

Cisco Unified Communications Proxy 機能を有効にするには、キャパシティについて十分に考慮する必要があります。電話機の登録が失われたり、再登録の試行時に他のトラフィックに影響を与えたりしないように、プロキシ セッションの使用中に ASA での CPU 使用率が 60% 前後を下回るようにする必要があります。

ASA TLS プロキシ

この機能によって ASA ファイアウォールに暗号化音声シグナリングをインスペクションする機能が追加されます。エンドポイント デバイスに暗号化シグナリングが設定されている場合はシグナリングをインスペクションできないため、アプリケーション層ゲートウェイによって NAT フィックスアップなどの機能を実行できません。シグナリングを TLS プロキシ機能経由で送信することで ASA で TLS セッションに参加できます。これにより、ASA はシグナリング ストリームを解読して必要なフィックスアップなど実行した上で再びシグナリングを暗号化します。

ASA ファイアウォールを IP 電話機と ASA ファイアウォールが登録されている Unified CM の間に設置すると TLS プロキシが TLS セッションに挿入されます。暗号化シグナリングが設定された電話機では TLS を電話機と Unified CM のトランスポートとして使用します。TLS プロキシを使用する場合、1 つの電話機登録に対して 2 つの TLS セッションが存在します。1 つは電話機と ASA の間、もう 1 つは ASA と Unified CM の間です。

ASA はシグナリングのインスペクションが可能なため、アプリケーション インスペクション機能を備えた唯一のファイアウォールで、暗号化シグナリングのコールを制御する方法が装備されています。

TLS プロキシは電話機で使用される Certificate Trust List(CTL)に信頼されるエンティティとして追加されています。CTL ファイルには電話機との信頼関係が求められるすべてのサーバを含む 16 のエントリを格納できます。したがって、特定のクラスタで使用できる設定された TLS プロキシ数は Certificate Trust List のエントリ残数によって制限されます。

ASA Phone Proxy

Cisco ASA Phone Proxy 機能は、安全なリモート アクセスのために Cisco SRTP/TLS 暗号化エンドポイントの終端を有効にします。Phone Proxy では、VPN リモート アクセス ハードウェアの大規模な配置がなくても、セキュアな電話機の大規模な配置が可能です。エンド ユーザのインフラストラクチャは IP エンドポイントだけであり、VPN トンネルやハードウェアは必要ありません。Cisco ASA Phone Proxy は、Cisco Unified Phone Proxy の代替製品です。

ASA Phone Proxy は、混合モードと非セキュア モードの両方で Unified CM クラスタをサポートします。ただし、どちらのシナリオでも、暗号化対応のリモート電話機は常に暗号化モードに強制され、シグナリングとメディアは ASA Phone Proxy で終端されます。

電話機が非セキュアとして設定される非セキュア クラスタ モードまたは混合モードでは、ASA Phone Proxy は、電話機からの TLS 接続を終端し、Unified CM への TCP 接続を開始します。プロキシは、リモート IP Phone からのメディアの変換も行います。内部ネットワーク IP Phone に転送する前に、SRTP から RTP に変換します。

内部 IP Phone が認証されるが暗号化は設定されない混合モード クラスタでは、ASA Phone Proxy は Unified CM の TLS 接続を TCP に変換しませんが、SRTP は RTP に変換されます。内部 IP Phone が暗号化済みとして設定された場合は、TLS 接続も SRTP も変換されません。


) ASA Phone Proxy は、VPN トンネル経由で接続している電話機からのパケットのインスペクションをサポートしません。したがって、VPN トンネルによる Phone Proxy トラフィックの送信はサポートされません。



) バージョン 8.4 を実行する ASA 5500 アプライアンスは、Unified CM 8.0(x) と統合されている場合は Phone Proxy 機能をサポートできますが、Unified CM バージョン 8.5(x) および 8.6(x) と統合されている場合は Phone Proxy をサポートしません。


ASA Phone Proxy では、暗号化された TFTP 設定ファイルおよび電話への HTTP トラフィックがサポートされていません。ASA Phone Proxy に接続されている電話は、設定ファイルの暗号化オプションを無効にする必要があります。ASA がトランスペアレント モードまたはマルチモードで実行されている場合、ASA Phone Proxy はサポートされません。また、ASA Phone Proxy では Cisco Unified Personal Communicator はサポートされません。

TLS プロキシ機能と ASA Phone Proxy 機能の違いのリストについては、次の Web サイトで入手可能な『 TLS Proxy vs.Phone Proxy 』を参照してください。

http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns165/ns391/white_paper_c11-493584.html

ASA モビリティ プロキシ機能

Cisco ASA モビリティ プロキシは、Cisco Unified Mobile Communicator ソフトウェアと Cisco Unified Mobility Advantage サーバ間のセキュアな接続を容易にします。モビリティ プロキシは、Cisco Unified Mobile Communicator ソフトウェアとサーバ間の TLS 接続を代行受信できます。モビリティ プロキシは、Mobile Multiplexing Protocol(MMP)インスペクション エンジンを使用してポリシーを調べてモビリティ トラフィックに適用し、Blackberry、Symbian、および Windows モバイル デバイス上で実行される Cisco Unified Mobile Communicator のプロトコル準拠を強化します。

Cisco Mobility Advantage を使用した配置の場合、ASA をファイアウォールとモビリティ プロキシの両方として使用することを推奨します。ただし、この機能は、既存のファイアウォールを利用して、モビリティ プロキシとしてだけ実装することもできます。


) Cisco ASA バージョン 8.2(x) 以降、モビリティ プロキシ アプリケーションに Cisco Unified Communications Proxy ライセンスは不要になりました。


ASA for Unified Presence

このプロキシ機能は、Cisco Unified Presence と Microsoft Office Communications Server(OCS)プレゼンス ソリューション間のセキュアなプレゼンス フェデレーションを促進します。したがって、Cisco Unified Presence ソリューションを含むネットワークで、プレゼンス情報を他の企業とフェデレーションおよび共有することが可能になります。プレゼンス フェデレーション プロキシは、あるネットワーク内の Cisco Unified Presence サーバと別のネットワーク内の Microsoft Access Proxy サーバ間の TLS 接続の TLS プロキシとして実装されます。

ASA Intercompany Media Engine プロキシ

ASA Cisco Intercompany Media Engine(IME)プロキシは、IME 呼処理用の Cisco IME ソリューションの必須コンポーネントです。IME によって、強化された Unified Communications 機能をサポートし、PSTN ネットワークを通過する必要がない、セキュアな企業間通信システムが可能になります。ソリューションの IME 呼処理フェーズの詳細については、「Cisco Intercompany Media Engine」を参照してください。IME 対応 ASA は、非 IME コールのスパム対策ブロッキングなどの境界セキュリティ機能およびフォールバック機能のオーディオ品質モニタリングを提供し、SIP メッセージを検査し、SIP から SIP/TLS および RTP/SRTP への変換のプロキシとして機能します。IME 対応 ASA は接続を終端して再開します。これにより、SIP メッセージングを検査し、SIP ALG 処理を適用できます。ASA は、Unified CM がセキュアでない場合は SIP/TLS トラフィックを Unified CM に向かう TCP に変換し、Unified CM がセキュアな場合は TLS で接続します。次の配置モデルが IME 対応 ASA に適用されます。

基本(インライン)

オフパス

基本配置

基本(インライン)配置では、IME 機能を使用してインターネット ASA が設定され、Unified CM クラスタからのすべてのインターネット行きのトラフィックは必然的にこの IME 対応 ASA を通過します。図 4-12 に示すように、IME 対応 ASA は企業のエッジにあり、すべての IME 関連 SIP トランク シグナリングおよび音声/ビデオ RTP メディアをリモート企業にプロキシします。

図 4-12 Intercompany Media Engine ASA の基本(インライン)配置モデル

 

オフパス配置

企業ネットワーク内に既存のファイアウォールがある配置では、IME 機能をサポートするために既存のファイアウォールを置換またはアップグレードすること、またはインターネット ファイアウォールとインラインの IME 対応 ASA を追加して既存のセキュリティ アーキテクチャを変更することが不可能な場合があります。このシナリオでは、IME のオフパス モデルに ASA を実装できます。オフパスは、推奨される配置方式です。

オフパス配置では、図 4-20 に示すように、着信および発信 IME コールは DMZ 内に設置された IME 対応 ASA を通過します。Unified CM は、すべての SIP シグナリングを IME 対応 ASA に転送するように設定されます。その他のすべてのインターネット行きのトラフィックは、IME 対応 ASA を通過しません。

図 4-13 Intercompany Media Engine ASA のオフパス配置モデル

 

リモート企業からの着信 IME コールは、IME 対応 ASA の外側インターフェイスにアドレス指定されます。IME 対応 ASA は、静的な NAT または PAT を利用して、内側の各 Unified CM ノードへのマッピングを作成します。この動作は、どちらの配置オプションでも同じです。発信 IME コールの場合、オフパス配置では、Unified CM がオフパス IME 対応 ASA にコールを直接送信することが必要です。これは、マッピング サービス プロトコルによって実現されます。Unified CM は、IME 対応 ASA のマッピング サービス リクエストを送信し、宛先 IP アドレスとして使用される内部 IP アドレスおよびポート番号と IME で取得されたルート内のリモート宛先のポート番号を提供します。Unified CM は次に、この IME コールの SIP Invite をこの内部 IP アドレスにアドレス指定します。これにより、パケットが IME 対応 ASA に転送されることが保証されます。IME 対応 ASA はパケットを受信すると、コールを着信側の外部 IP アドレスに転送します。

通話中 PSTN フォールバック

IME ソリューションでは、Quality of Service(QoS)が許容レベルを下回った場合にコールがPSTN にフォールバックするメカニズムも提供されます。発信側と終端側の IME 対応 ASA は、インターネットから着信するすべてのオーディオ ストリーム(ビデオではない)をモニタし、感度調整するアルゴリズムを背景にメディアを分析します。RTP ストリームの検知された損失およびジッタ測定に基づいて、IME 対応 ASA は、コール品質が感度しきい値よりも低下したと判断した場合、SIP Refer メッセージを Unified CM に送信してフォールバックをトリガーします。IME コールはアクティブのままですが、発信側の Unified CM は、リモート企業の特定の IME フォールバック DID(SIP コール セットアップ時に取得)に対してバックグラウンドでPSTN コールをセットアップします。終端側 Unified CM がPSTN コールを IME コールのフォールバック コールとして識別し、接続が確立されると、両方の Unified CM はメディアをそれぞれのPSTN ゲートウェイに切り替えるようにエンドポイントに指示します。この変更はユーザにはシームレスです。ビデオなどの高度な機能は失われますが、コールの音声部分はそのままです。

デフォルトのフォールバック感度レベルから開始し、実際にPSTN 接続にフォールバックするコール数を確認した後で変更することを推奨します。IME ソリューションおよび ASA 設定の詳細については、次の Web サイトで入手可能な『 Cisco ASA 5500 Series Configuration Guide using the CLI 』の Cisco Intercompany Media Engine プロキシ情報を参照してください。

http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/config.html

設計上の考慮事項

IME 対応 ASA には少なくとも 2 つの外部(グローバル)IP アドレスが必要です。リモート企業からの着信コールに対して PAT が使用される場合、1 つは SIP シグナリング用、1 つはメディア ターミネーション用です。NAT が実装される場合は、さらに必要となる場合があります。IME 対応 ASA 上の SIP シグナリング用外部 IP アドレスは、IME で取得されたルートでアドバタイズされるものです。

IME 対応 ASA には少なくとも 2 つの内部 IP アドレスも必要です。1 つは SIP シグナリング用、1 つはメディア ターミネーション用です。Unified CM からの着信 IME コールに対して PAT が使用されます。


) IME 対応 ASA のインターフェイスを外部および内部と呼んでいますが、ASA が DMZ 内に配置される場合、どちらのインターフェイスも DMZ 内に存在するサブネット上にある場合があります。最低でも、外部インターフェイス サブネットはインターネットからアクセス可能である必要があり、内部インターフェイス サブネットはイントラネットからアクセス可能である必要があります。


ソリューションの 2 つのコンポーネントを分離する、ネットワーク内の非 IME ファイアウォールについて、次のコンポーネント間の IME 通信を許可するために適切なピンホールを開くことが不可欠です。

IME サーバと Unified CM

IME サーバと GoDaddy 登録サーバ

IME サーバとピアツーピア IME サーバ ネットワーク(分散キャッシュ リング)

IME 対応 ASA(内部)と Unified CM

IME 対応 ASA(内部)と IME 内部エンドポイント(メディア)

IME 対応 ASA(外部)とリモート企業の IME 対応 ASA

IME ソリューションのコンポーネントのポートの全リストについては、次の Web サイトで入手可能な『 Cisco Intercompany Media Engine Installation and Configuration Guide 』を参照してください。

http://cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html

IME 対応 ASA と NAT を実行している Unified CM 間にイントラネット ファイアウォールがある場合は、次の条件を満たす必要があります。

着信および発信 SIP メッセージングの正しいフィックスアップを可能にするには、このイントラネット ファイアウォールは SIP ALG 機能に対応する Cisco ASA である必要があります。

Unified CM の実際の IP アドレスを IME 対応 ASA が到達できるアドレスに変換するには、静的 NAT エントリが必要です。

Cisco IME 対応 ASA には、通常、インターネットのサブネットに到達するためのデフォルト ルートがあります。また、内部エンドポイントを含む潜在的なすべてのサブネットへの IP ルートも必要です。これには、データ サブネット(Cisco Unified Video Advantage カメラを含む場合もあり)も含まれます。

IME ソリューションには、SIP/TLS 接続の確立に使用される ASA 証明書を検証するための独自の認証局が必要です。IME 対応 ASA は、この Certificate Authority(CA; 認証局)に対して SIP SSL 証明書を確認する必要があります。


) GoDaddy.com は、リモート企業とのセキュアな SIP TLS 接続を確立するために認可されている唯一の証明書プロバイダーです。


High Availability(高可用性)

IME 対応 ASA は、IME 通信のステートレス フェールオーバーを提供するために、アクティブ/スタンバイ フェールオーバー モードで配置できます。障害が発生した場合、確立されているすべてのコールおよび既存のコールは失われます。ステートフル フェールオーバーはサポートされません。

オフパス配置方式では、Unified CM は、それぞれが独自の IME ファイアウォールを持つ複数の IME サービス(登録 DID と除外 DID のセット)を設定できます。これにより、ソリューションの復元性はさらに向上します。

キャパシティ プランニング

ASA の各モデルは、一定の数の音声コールとビデオ コールの処理について評価されています。ASA の最新の IME コール キャパシティについては、「キャパシティ プランニング」を参照してください。

オフパス モデルでは、Unified CM で設定された各 IME サービス(登録 DID と除外 DID のセット)は IME 対応 ASA に関連付けられます。複数の IME サービスが Unified CM に存在できるため、管理者は負荷を複数の IME 対応 ASA に分散して、全体のキャパシティを向上させることができます。

データセンター

データセンター内では、IP テレフォニー アプリケーション サーバで必要なセキュリティについて、セキュリティ ポリシーを定義する必要があります。Cisco Unified Communications サーバは IP に基づいているので、データセンター内にある、時間に敏感な他のデータに適用するセキュリティを、これらのサーバにも適用できます。

データセンターの間で WAN でのクラスタリングが使用されている場合、データセンター内とデータセンター間の両方に適用されている追加のセキュリティは、クラスタ内のノード間で許可されている最大往復時間に収まる必要があります。WAN 経由のクラスタリングを使用するマルチサイトまたは冗長なデータセンター実装では、アプリケーション サーバに関する現行のセキュリティ ポリシーでデータセンターのファイアウォールをまたぐサーバ間のトラフィックを保護するように要求されている場合は、すでに展開済みのインフラストラクチャ セキュリティ システム間のこのトラフィックに対して IPSec トンネルを使用することを推奨します。

データ アプリケーションに適したデータセンター セキュリティを設計するには、次の Web サイトで入手可能な『 Data Center Networking: Server Farm Security SRND 』(『 Server Farm Security in the Business Ready Data Center Architecture 』)のガイドラインに従うことを推奨します。

http://www.cisco.com/go/designzone

ゲートウェイ、トランク、およびメディア リソース

ゲートウェイおよびメディア リソースは、IP テレフォニー コールをPSTN コールに変換するデバイスです。外部コールがかけられた場合、ゲートウェイまたはメディア リソースは、IP テレフォニー ネットワークにおいてすべての音声 RTP ストリームが流れる数少ない場所の 1 つです。

IP テレフォニー ゲートウェイおよびメディア リソースは、ネットワーク内のほぼすべての場所に配置できるので、導入済みのセキュリティ ポリシーによっては、IP テレフォニー ゲートウェイまたはメディア リソースを保護することが、他のデバイスを保護することより難しいと見なされる場合があります。しかし、ネットワーク内のどこで信頼が確立されているかによりますが、ゲートウェイおよびメディア リソースを簡単に保護できる場合もあります。ゲートウェイおよびメディア リソースが Unified CM により制御される方法が関係していますが、シグナリングがゲートウェイまたはメディア リソースに到達するために通るパスがネットワーク内で安全と見なされている部分にある場合、単純な ACL を使用して、ゲートウェイまたはメディア リソースに送る、またはそこから戻るシグナリングを制御できます。ゲートウェイ(またはメディア リソース)と Unified CM のロケーションの間のネットワークが安全と見なされない場合は(ゲートウェイがリモートの支店に置かれている場合など)、インフラストラクチャを使用してゲートウェイおよびメディア リソースへの IPSec トンネルを構築することにより、シグナリングを保護できます。ほとんどのネットワークでは、通常、2 つの方式(ACL および IPSec)の組み合わせを使用して、これらのデバイスが保護されています。

H.323 ビデオ会議デバイスでは、ネットワークのどの H.323 クライアントからでも H.225 トランクのためにポート 1720 をブロックするように、ACL を記述できます。この方法では、ユーザが互いに H.225 セッションを直接開始するのをブロックします。シスコ デバイスでは H.225 にさまざまなポートを使用する場合があるので、どのポートが使用されるかを確認するには、使用する機器の製品マニュアルを参照してください。可能であれば、シグナリングの制御に必要な ACL が 1 つだけになるように、ポートを 1720 に変更します。

ここでは、ネットワークのエッジで QoS を使用しているので、攻撃者が Voice VLAN に侵入してゲートウェイおよびメディア リソースの場所を判別できた場合、ポートの QoS により、攻撃者がゲートウェイまたはメディア リソースに送信できるデータの量が制限されます (図 4-14 を参照)。

図 4-14 IPSec、ACL、および QoS を使用したゲートウェイおよびメディア リソースの保護

 

電話機で SRTP を有効にしている場合、一部のゲートウェイおよびメディア リソースでは、電話機からのゲートウェイおよびメディア リソースに対する Secure RTP(SRTP)をサポートします。ゲートウェイまたはメディア リソースが SRTP をサポートしているかどうかを判別するには、次の Web サイトで入手可能な適切な製品マニュアルを参照してください。

http://www.cisco.com

IPSec トンネルの詳細については、次の Web サイトで入手可能な『 Site-to-Site IPSec VPN Solution Reference Network Design(SRND) 』を参照してください。

http://www.cisco.com/go/designzone

ゲートウェイの周囲へのファイアウォールの配置

コールの送信元である電話機と、PSTN ネットワークへのゲートウェイとの間にファイアウォールを配置する場合、注意が必要な問題が生じます。ステートフル ファイアウォールは、Unified CM、ゲートウェイ、および電話機の間のシグナリング メッセージの内容を参照し、コールの実行を許可するための RTP ストリーム用のピンホールを開けます。通常の ACL で同じことを行うには、RTP ストリームで使用されるポート範囲全体を、ゲートウェイに対して開放する必要があります。

ネットワーク内にゲートウェイを配置する方法は 2 つあります。つまり、ファイアウォールの背後に配置する方法と、ファイアウォールの前面に配置する方法です。ゲートウェイをファイアウォールの背後に配置する場合、そのゲートウェイを使用している電話機からのすべてのメディアは、ファイアウォールを通過する必要があります。また、これらのストリームがファイアウォールを通過するようにするには、追加の CPU リソースが必要です。次に、ファイアウォールでは、これらのストリームの制御が追加され、ゲートウェイが DoS 攻撃から保護されます (図 4-15 を参照)。

図 4-15 ファイアウォールの背後に配置されたゲートウェイ

 

ゲートウェイを配置する 2 番めの方法は、ファイアウォールの外側に配置する方法です。電話機からゲートウェイに送信される唯一のデータ タイプは RTP ストリームなので、そのゲートウェイに送信可能な RTP トラフィックの量は、アクセス スイッチの QoS 機能により制御されます。Unified CM からゲートウェイに送信されるのは、コールをセットアップするためのシグナリングだけです。ネットワーク内で、信頼できるエリアにゲートウェイが配置されている場合、Unified CM とゲートウェイの間で許可する必要がある唯一の通信は、そのシグナリングです (図 4-15 を参照)。RTP ストリームはファイアウォールを通過しないので、この配置方式では、ファイアウォールの負荷が低下します。

ACL とは異なり、ほとんどのファイアウォール設定では、シグナリングがファイアウォールを経由している限り、Unified CM が電話機とゲートウェイに対して、それらの 2 つのデバイスの間で使用するように指示している RTP ストリーム ポートだけが開放されます。また、ファイアウォールには、DoS 攻撃用の追加機能や、対象トラフィックを参照して、攻撃者が禁止動作を行っていないかどうかを判別するための Cisco Intrusion Prevention System(IPS; 侵入防御システム)シグニチャがあります。

「ファイアウォール」の項で説明するように、ファイアウォールが、電話機からゲートウェイへのすべてのシグナリングおよび RTP ストリームを調べる場合、キャパシティが問題になることがあります。また、音声データ以外のデータがファイアウォールを通過する場合、ファイアウォールを通過するコールがファイアウォールにより影響されないように、CPU 使用率をモニタする必要があります。

ファイアウォールと H.323

H.323 は、エンドポイント間のメディア ストリームのセットアップ、および Unified CM と H.323 ゲートウェイ間でアクティブ状態と要求される接続時間の間、H.245 を利用します。以降のコール フローに対する変更には H.245 を使用します。

デフォルトでは Cisco ファイアウォールによって H.245 セッションと関連するコールの RTP ストリームが追跡されます。また、RTP トラフィックが 5 分以上ファイアウォールを通過しない場合、H.245 セッションのタイムアウトも実行します。1 つ以上の H.323 ゲートウェイと他のエンドポイントがすべてファイアウォールの一方にあるトポロジでは、RTP トラフィックはファイアウォールによって認識されません。H.245 セッションは 5 分後にファイアウォールによってブロックされ、そのストリームの制御が停止されます。ただし、ストリーム自体には影響しません。この場合、付加サービスなどは利用できなくなります。このデフォルトの動作はファイアウォール設定で、予想される最大コール所要時間が指定されるように変更できます。

デフォルトの値を変更することでエンドポイントすべてがファイアウォールに対して同じ側に存在している場合に H.323 がコールすべての機能を維持できるというメリットがあります。

SAF サービス

Unified CM は、その Call Control Discovery(CCD; 呼制御ディスカバリ)機能に対して Cisco Service Advertisement Framework(SAF)ネットワーク サービスを使用します(「Service Advertisement Framework(SAF)」を参照)。この機能では、呼制御ディスカバリ アドバタイジング サービスに関連付けられた SIP トランクまたは非ゲートキーパー制御 H.323 トランクが使用されます。サービスは、H.323 トランクの動的ポート番号、SIP トランクの標準ポート 5060、SIP ルート ヘッダー情報など、これらのトランクのコール ネゴシエーション情報をアドバタイズします。

Adaptive Security Appliance には、SAF ネットワーク サービスのアプリケーション インスペクションはありません。Unified CM がコールの発信に SAF 対応 H.323 トランクを使用する場合、ASA は H.225 シグナリングで使用されている一時的なポート番号を取得するために SAF パケットを検査できません。そのため、SAF 対応 H.323 トランクからのコール トラフィックが ASA を通過するシナリオでは、このシグナリング トラフィックを許可するために ASA 上で ACL を設定する必要があります。ACL 設定は、H.225 および H.245 シグナリングによって使用されるすべてのポートを指定している必要があります。標準 5060 ポートの SAF 対応 SIP トランクが使用される場合は、ACL 設定は必要ありません。

Cisco Unified Border Element との Unified CM トランク統合

Unified CM トランクによって、企業ネットワークと外部ネットワークの間に IP 接続ポイントが追加されます。これらの相互接続に追加のセキュリティ対策を適用して、データおよび IP テレフォニー アプリケーションに固有の脅威を軽減する必要があります。Unified CM トランクと外部ネットワークの間に Cisco Unified Border Element を実装することが、より柔軟でセキュアな相互運用性オプションとなります。

Cisco Unified Border Element は、音声アプリケーション境界と音声トラフィックとデータ トラフィックの両方に適用できるセキュリティ脅威軽減技術を提供する Cisco IOS ソフトウェア機能です。Cisco Unified Border Element は、Cisco IOS ファイアウォール、認証、および VPN 機能とともに同じデバイス上で設定でき、サービス プロバイダー ネットワークまたはその他の外部ネットワークと統合された Unified CM トランクのセキュリティを強化できます。これらの Cisco IOS セキュリティ機能は、外部の攻撃に対する防御として、およびルータを通過してサービス プロバイダーのネットワークへ出ていく内部トラフィックのチェックポイントとしての役割を果たします。サービス プロバイダーまたはサービス プロバイダーのネットワークに接続されたネットワークから発生した不正アクセス、DoS 攻撃、または Distributed DoS(DDoS; 分散型 DoS)攻撃を防ぐために、および侵入やデータ盗用を防ぐために、インフラストラクチャ アクセス コントロール リスト(ACL)を使用することもできます。

Cisco Unified Border Element は、シグナリングおよびメディアのネットワーク トポロジを隠蔽する機能を提供するバックツーバック ユーザ エージェント(B2BUA)です。ネットワークのセキュリティと処理上の独立性を有効にし、すべてのトラフィックで Cisco Unified Border Element IP アドレスを置き換えることで NAT サービスを提供します。

Cisco Unified Border Element は、ネットワーク間のメディアおよびシグナリング パケットで DSCP QoS パラメータを再マーキングするために使用できます。これにより、トラフィックはネットワーク内で QoS ポリシーに従うようになります。

Cisco IOS ファイアウォール機能は、Cisco Unified Border Element との組み合わせで使用され、シグナリング メッセージを一致させてトラフィックを管理するために Application Inspection and Control(AIC)を提供します。これは、SIP トランク DoS 攻撃を防ぐのに役立ち、コンテンツおよびレート制限に基づくメッセージ フィルタリングを可能にします。

Cisco Unified Border Element によって SIP トランク登録が可能です。この機能は、Unified CM SIP トランクでは使用できません。

Cisco Unified Border Element は、背後にあるエンドポイントに代わって、企業ネットワークの E.164 DID 番号をサービス プロバイダーの SIP トランクに登録できます。ネットワークの E.164 DID 番号をプロキシするために Cisco Unified Border Element を使用する場合、実際のエンドポイントのステータスはモニタされません。したがって、登録解除されたエンドポイントが引き続き使用可能として表示される場合があります。

Cisco Unified Border Element は、外部ネットワーク経由で SRTP を使用して RTP 企業ネットワークを接続できます。これにより、企業内に SRTP を配置しなくても安全な通信が可能になります。RTP-SRTP インターワーキングもサポートしますが、G.711 mulaw、G.711 alaw、G.729abr8、G.729ar8、G.729br8、G.729r8 など、少数のコーデックに制限されます。

特定の SIP サービス プロバイダーでは、コール サービスが許可される前に、SIP トランクへの登録が必要です。これにより、コールは既知のエンドポイントだけから発生するようになり、企業とサービス プロバイダー間のサービス ネゴシエーションはよりセキュアになります。Unified CM は、ネイティブで SIP トランク上の登録をサポートしていませんが、Cisco Unified Border Element を使用すればこのサポートが可能になります。Cisco Unified Border Element は、Cisco Unified Communications Manager に代わって、企業の電話番号を使用してサービス プロバイダーに登録します。

Cisco Unified Border Element の設定および製品詳細については、次の Web サイトで入手可能なマニュアルを参照してください。

http://www.cisco.com/en/US/products/sw/voicesw/ps5640/index.html

http://www.cisco.com/en/US/products/sw/voicesw/ps5640/products_installation_and_configuration_guides_list.html

アプリケーション サーバ

Unified CM セキュリティ機能のリスト、および有効にする方法については、次の Web サイトで入手可能な『 Cisco Unified Communications Manager Security Guide 』を参照してください。

http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html

任意の Unified CM セキュリティ機能を有効にする前に、それらの機能が、ネットワーク内のこれらのタイプのデバイスに関する企業セキュリティ ポリシーで指定されている、セキュリティ要件を満たしていることを確認してください。詳細については、次の Web サイトにある『 Cisco ASA 5500 Series Release Notes 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/asa80/release/notes/asarn80.html

シングル サインオン

Single Sign-On(SSO; シングル サインオン)機能は、Cisco Unified CM 8.5(1) で導入されました。この機能によりエンド ユーザは、Windows ドメインにログインできるようになり、Unified Communication Manager の User Options ページおよび Cisco Unified Communications Integration for Microsoft Office Communicator(CUCIMOC)アプリケーションに安全にアクセスすることができます。

シングル サインオンの設定には、Cisco Unified CM とサードパーティ製アプリケーションとの統合が必要です。サードパーティ製アプリケーションには、Microsoft Windows Servers、Microsoft Active Directory、および ForgeRock Open Access Manager(OpenAM)も含まれます。設定の詳細については、次の Web サイトで入手可能な『 Cisco Unified Communications Manager Features and Services Guide 』の最新版を参照してください。

http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html

Unified CM およびアプリケーション サーバ上の Cisco Security Agent

Cisco Security Agent は、IP テレフォニーおよび IP テレフォニー サービスを提供するのにシスコが使用するアプリケーション サーバのほとんどで使用されています。Cisco Security Agent ソフトウェアは、サーバとの間のトラフィックの動作と、サーバ上でアプリケーションが実行される方法を調べて、すべてが正常かどうかを判別する、ホスト侵入防御ソフトウェアです。異常と見なされるものが見つかった場合、Cisco Security Agent ソフトウェアはそのアクティビティが発生するのを阻止します。

Cisco Security Agent

シスコは、自社サーバ用のデフォルト Cisco Security Agent ポリシーを開発しました。このポリシーにより、IP テレフォニー サーバで必要なすべての機能は正しく機能し、同時に、既知および不明な攻撃が IP テレフォニー サーバに影響することは防止されます。このソフトウェアは、アプリケーションとオペレーティング システムを、ウイルスやワーム攻撃から保護します。これらのタイプの侵入からの最大限の保護を得るには、常に最新バージョンの Cisco Security Agent ソフトウェアがサーバにインストールされていることを確認してください。管理対象外エージェントがサーバにインストールされていると、攻撃のログは、エージェントがインストールされているシステムでのみ参照できます。特定のタイプのアラームが発生したので書き込まれた可能性があるログ ファイルをチェックするには、各システムにログインする必要があります。管理対象外 Cisco Security Agent はデフォルトで Unified CM のインストール時にインストールされます。

管理対象外 Cisco Security Agent は、既知および不明の攻撃、ワーム、およびウイルスから各システムを保護します。Cisco Security Agent を管理対象外モードで実行すると、アラームは相関されません。システムのログ ファイルを参照するには、各システムに個別にアクセスする必要があります。


) Cisco Unified CM 8.x では現在、管理対象 Cisco Security Agent 機能はサポートされません


SELinux

Security Enhanced Linux(SELinux)は、セキュリティ ポリシーを実装するための統合 Linux OS 機能です。Cisco Unified CM 8.6(1) 以降のリリースで、Cisco Security Agent から置き換わりました。

サーバに関する一般的なガイドライン

Unified CM およびその他の IP テレフォニー アプリケーション サーバは、通常のサーバとして扱わないでください。システムの設定時に行う任意の操作が、開始を試みているコール、または進行中のコールに影響する場合があります。他のビジネスクラス アプリケーションと同様、大規模な設定の変更は、電話の会話を遮断することがないようメンテナンス時間帯で行う必要があります。

アプリケーション サーバ用の標準的なセキュリティ ポリシーは、IP テレフォニー サーバには不十分な場合があります。電子メール サーバや Web サーバとは異なり、音声サーバでは、画面をリフレッシュしたり、メッセージを再送信したりすることは許可されていません。音声通信は、リアルタイムのイベントです。IP テレフォニー サーバ用のセキュリティ ポリシーでは、音声システムの設定または管理に関連付けられていない作業が、IP テレフォニー サーバで決して行われないことを保証する必要があります。ネットワーク内のアプリケーション サーバで通常のアクティビティと見なされるアクティビティ(インターネット サーフィンなど)でも、IP テレフォニー サーバで行うことはできません。

また、シスコは IP テレフォニー サーバ用に適切に定義されたパッチ システムを提供しています。IT 組織内のパッチ ポリシーに基づいて、このパッチ システムを適用する必要があります。シスコにより承認されている場合を除き、OS ベンダーのパッチ システムを使用する通常の方法でシステムにパッチを適用しないでください。すべてのパッチは、シスコの指示に従ってシスコまたは OS ベンダーからダウンロードし、パッチ インストール プロセスに応じて適用する必要があります。

導入済みのセキュリティ ポリシーで、デフォルト インストールで提供された以上の OS のロック ダウンが要求されている場合は、OS の強化手法を使用する必要があります。

セキュリティの警告を受け取るために、次の Web サイトでシスコの通知サービスに登録できます。

http://www.cisco.com/cisco/support/notifications.html

配置例

この項では、ロビーに設置された電話機およびファイアウォールの配置について、セキュリティ面を考慮した実施例を示します。このようなタイプと同様の配置を扱うには、適切なセキュリティ ポリシーを適用する必要があります。

ロビーに設置された電話機の例

この項の例は、物理的なセキュリティが低いロビー エリアのようなエリアで使用する、電話機およびネットワークを設定する 1 つの方法を示しています。この例に出てくる機能は、いずれもロビーに設置する電話機で要求されている機能ではありませんが、導入済みのセキュリティ ポリシーで、より強固なセキュリティが必要とされている場合は、この例でリストされている機能を使用できます。

いずれのユーザも電話機の PC ポートからネットワークにアクセスできないようにするため、電話機の背面の PC ポートを無効にして、ネットワーク アクセスを制限する必要があります(「電話機の PC ポート」を参照)。また、攻撃を仕掛けようとしている人が、ロビーに設置された電話の接続先ネットワークの IP アドレスを参照できないように、電話機の設定ページも無効にする必要があります(「アクセス設定」を参照)。電話機の設定を変更できないという欠点は、通常、ロビーに設置された電話機では問題になりません。

ロビーに設置された電話機が移動される可能性は非常に低いため、電話機には固定 IP アドレスを使用できます。固定 IP アドレスを使用すると、攻撃者が電話機を切断して接続することにより新しい IP アドレスを取得するのを防止できます(「IP アドレッシング」を参照)。また、電話機が抜かれると、ポートの状態が変化し、電話機は Unified CM から登録解除されます。ロビーに設置された電話機のポートでこのイベントをトラッキングするだけで、誰かがネットワークへの接続を試行しているかどうかを判別できます。

電話機のスタティック ポート セキュリティを使用し、MAC アドレスを取得することを許可しない場合、攻撃者は、そのアドレスを発見できたときに、自らの MAC アドレスをその電話機の MAC アドレスに変更しなければなりません。ダイナミック ポート セキュリティを無制限タイマーと共に使用して、MAC アドレスを取得する(取得したアドレスは解除しない)場合、MAC アドレスを追加する必要はありません。これにより、電話機を交換しない限り、MAC アドレスをクリアするためにスイッチ ポートを変更せずに済みます。MAC アドレスは、電話機の底面のラベルにリストされています。MAC アドレスをリストすることがセキュリティの問題と見なされる場合は、ラベルを除去し、デバイスを識別するための Lobby Phone というラベルに置き換えることができます (「スイッチ ポート」 を参照)。

ポートまたはポートが接続されているスイッチに関する情報を攻撃者がイーサネット ポートから参照できないように、単一の VLAN を使用し、ポートで Cisco Discovery Protocol(CDP)を無効にできます。この場合、電話機の E911 緊急コール用のスイッチに CDP エントリは与えられません。緊急番号をダイヤルするときは、ロビーに設置された各電話機に、ラベル、またはローカル セキュリティ用の情報メッセージのいずれかが必要です。

ポート上に DHCP は存在しないため、DHCP スヌーピング バインディング テーブルに静的エントリを定義できます(「DHCP スヌーピング:不正な DHCP サーバ攻撃の防止」を参照)。DHCP スヌーピング バインディング テーブルに静的エントリを定義すると、VLAN でダイナミック ARP インスペクションを有効にして、攻撃者が、ネットワーク上のレイヤ 2 ネイバーの 1 つに関する他の情報を取得するのを防止できます(「ダイナミック ARP インスペクションの要件」を参照)。

DHCP スヌーピング バインディング テーブルに静的エントリが定義されていると、IP ソース ガードを使用できます。攻撃者が MAC アドレスと IP アドレスを取得でき、パケットの送信を開始した場合、正しい IP アドレスが設定されたパケットだけを送信できます。

電話機が動作するのに必要なポートと IP アドレスのみを許可する、VLAN ACL を書き込むことができます(「VLAN アクセス コントロール リスト」を参照)。次の例には、ネットワークへのアクセスを制御するための、レイヤ 2 または最初のレイヤ 3 デバイスのポートに適用可能な非常に小規模な ACL が含まれています(「ルータのアクセス コントロール リスト」を参照)。この例は、ロビー エリアで使用されている Cisco 7960 IP Phone に基づいています。電話機への保留音または電話機からの HTTP アクセスは使用しません。

ファイアウォールの配置例(集中型配置)

この項の例は、データセンター内において、背後に Unified CM を配置するファイアウォールの 1 つの展開方法を示しています(図 4-16 を参照)。この例では、Unified CM は、すべての電話機がファイアウォールの外側から 1 つのクラスタに接続される集中型配置として置かれています。この配置内のネットワークには、社内データセンター内でルーテッド モードで設定されたファイアウォールがすでに含まれているので、ゲートウェイの配置を決定する前に負荷が確認されます。ファイアウォールの平均的な負荷を確認した後、CPU に対するファイアウォールの負荷を 60% 未満に保つため、すべての RTP ストリームがファイアウォールを横断しないようにすることが決定されました(「ゲートウェイの周囲へのファイアウォールの配置」を参照)。ゲートウェイはファイアウォールの外側に配置されています。Unified CM でゲートウェイとの間の TCP データ フローを制御するため、ネットワーク内の ACL を使用します。電話機の IP アドレスは適切に定義されているので、ACL は、電話機からの RTP ストリームを制御するためネットワークにも書き込まれます(「IP アドレッシング」を参照)。音声アプリケーション サーバは DeMilitarized Zone(DMZ; 非武装地帯)に配置されています。Unified CM との間のアクセス、およびネットワーク上のユーザへのアクセスを制御するため、ファイアウォールで ACL を使用します。この設定では、インスペクションを使用してファイアウォールを通過する RTP ストリームの量を制限します。これにより、既存のネットワークに新しい音声アプリケーションを追加したときの、ファイアウォールに対する影響を最小限に抑えられます。

図 4-16 ファイアウォールの配置例

 

ネットワーク仮想化の保護

ここではバーチャル ネットワーク間の通信に同種接続を提供するのに伴う問題と、この問題を解決するための手法について説明します。バーチャル ルート フォワーディングとネットワーク仮想化についての知識が必要です。これらのテクノロジーに関するネットワーク設計原理については、 http://www.cisco.com/go/designzone で入手可能なネットワーク仮想化の資料を参照してください。

ここで紹介する内容は、仮想化を使用した Unified Communication ソリューションのセキュリティの強化を保証するものではありません。既存のインフラストラクチャに Unified Communications レイヤに配置できる内容を説明することを目的としています。仮想化テクノロジーのメリットとデメリットを評価するには、ネットワーク仮想化に関する資料を参照してください。

仮想化テクノロジーに基づいたネットワークでは、トラフィックがレイヤ 3 で論理的に区別され、バーチャル ネットワークにはそれぞれルーティング テーブルが存在します。ルーティング情報の欠如により、異なるバーチャル ネットワーク間では通信できません。この環境はユーザ エンドポイントがデータセンター内のデバイスとのみ通信するクライアントサーバ配置に最適ですが、ピアツーピア通信では問題が発生します。部門別、場所別、トラフィックのタイプ(データまたは音声)別など、バーチャル ネットワークの配置にかかわらず、異なるバーチャル プライベート ネットワーク ルーティングおよび転送(VRF)テーブルのエンドポイントに相互に通信する機能が備えられていないという問題の中核は変わりません。図 4-17 で示されているソリューションでは、ある VRF に設置されたソフトウェア ベースの電話機と別の VRF に設置されたハードウェア電話機の通信にデータセンターに設置された共有 VRF を使用しています。このソリューションは、他の異なる状況にも適用できる場合があります。ネットワーク バーチャライゼーションでは、データセンターとキャンパス ネットワーク間の境界に対する、データセンターの防御を実装することが要求されます。以降では、この実装方法について説明します。

シナリオ 1:単一のデータセンター

図 4-17 単一のデータセンター

 

このシナリオは最も簡単に実装できます。通常のネットワーク仮想化実装への増設として実装します。この設計では、パケットを任意の VRF にルーティングできる機能を備えたデータセンター ルータが組み込まれています。このルータはフュージョン ルータと呼ばれます (フュージョン ルータの構成に関する詳細については、ネットワーク バーチャライゼーションの資料を参照してください)。このピアツーピアの通信トラフィックを可能にする配置シナリオは、VRF 間のルーティングとデータセンターのセキュアなアクセスを実現するファイアウォール機能の役割をフュージョン ルータが担います。

このシナリオには、次の主な要件が適用されます。

キャンパス ルータによってパケットがデフォルトのルーティング経由でフュージョン ルータに向けて他のキャンパス VRF に送信されます。つまり、すべてのルータ ホップはデフォルトでフュージョン ルータにルーティングされる必要があります。データセンターで共有されている VRF にはそれぞれのキャンパス VRF に関するルート情報が保持されています。共有 VRF を除くすべての VRF は直接接続されていません。

Unified CM はデータセンターの共有 VRF に配置されています。共有 VRF 内の通信が妨げられることはありません。

共有 VRF はデータセンターに設置されています。複数のデータセンターが存在している場合は、共有 VRF はデータセンターすべてを網羅します。

データセンター側のアプリケーション層ゲートウェイによって TFTP と SCCP または外部から送信された SIP セッションをデータセンターの Unified CM クラスタ宛てに送信するポートを開放するアクセス リストが指定されます。TFTP は電話機が TFTP サーバから設定とソフトウェア イメージをダウンロードするのに必要です。また、電話機を Unified CM クラスタに登録するため、SCCP または SIP が必要です。使用される特定のソフトウェア バージョンに適切なポート番号については Unified CM の製品マニュアルを参照してください。

このシナリオでは、VRF それぞれの通信デバイスから送信されたコール シグナリングは、すべてアプリケーション層ゲートウェイを経由してシグナリングをインスペクションすることでアプリケーション層ゲートウェイが動的に必要な VRF それぞれの UDP ピンホールを開き、ファイアウォール外部から送信された RTP トラフィックをフュージョン ルータ宛てに通します。ファイアウォールでインスペクションされないと、外部エンドポイントから送信された RTP ストリームそれぞれはファイアウォールを通過できません。呼制御シグナリングのインスペクションにより、ファイアウォールを通じた UDP トラフィックのフォワーディングが可能になります。

この配置モデルは、VRF 対応ネットワーク上で通信デバイスのピアツーピア接続を可能にします。アプリケーション層ゲートウェイによって共有 VLAN とフュージョン ルータに安全にアクセスできます。エンドポイント間の異なる VRF のメディア ストリームはすべて、最短パスを通過しません。メディアはフュージョン ルータ経由でルーティングされるためデータセンターにバックホールされます。

シナリオ 2:冗長なデータセンター

冗長なデータセンターの場合、シナリオは複雑化します。コール セットアップ シグナリングが対応する RTP ストリームによって使用される同一のアプリケーション層ゲートウェイを確実に通過するようにします。シグナリングとメディアが異なるパスを通過すると、UDP ピンホールが開かれません。図 4-18 は問題を抱えるシナリオの例を示します。左のハードウェア電話機は左のデータセンターのサブスクライバによって制御されています。対応する呼制御シグナリングは左のファイアウォールを通過します。RTP ストリームを通過させるため、このファイアウォールのピンホールが開かれています。しかし、このルーティングでは RTP メディア ストリームが必ず同じパスを通過するとは限りません。また、右のファイアウォールによってストリームはブロックされます。

図 4-18 異なるパスを通過するコール シグナリングとメディア

 

この問題を解決するには、Trusted Relay Point(TRP)機能を使用します (図 4-19 を参照)。データセンターそれぞれのサブスクライバはメディアを固定する TRP を起動して、メディア ストリームが適切なファイアウォールを確実に通過するようにします。左のデータセンター内のサブスクライバによって制御されている電話機が左データセンターの TRP を起動し、右のデータセンター内のサブスクライバによって制御されている電話機が右データセンターの TRP を起動する必要があります。TRP は、コール シグナリングとまったく同じルーティング パスを通過することを保証するメディアに対して、特定のホスト ルートを有効にする IP アドレスを提供します。このアドレスを使用してシグナリングとメディアは同じファイアウォールを通過するため、問題を解決できます。

図 4-19 TRP を備えた冗長なデータセンター

 

TRP は、デバイスが利用されるコールでデバイス レベルで起動されるメディア ターミネーション ポイント リソースです。デバイスにはそれぞれ TRP を起動するかどうかを設定するチェックボックスがあります。

まとめ

この章では、ネットワーク内の音声データを保護するために有効にできるセキュリティのうち、一部のみを取り上げました。ここで取り上げた手法は、ネットワーク内のすべてのデータを保護するためにネットワーク管理者が使用できる、すべてのツールのサブセットにすぎません。逆に、ネットワーク全体のデータで必要なセキュリティのレベルによっては、これらのツールでさえ、ネットワークで有効にする必要がない場合もあります。セキュリティの方法は、注意深く選択してください。ネットワーク内のセキュリティが高くなると、それに応じて、複雑度や問題のトラブルシューティングも増加します。各企業の責任で、リスクと組織の要件の両方を定義し、ネットワークとネットワークに接続されたデバイスに適切なセキュリティを適用する必要があります。