Cisco Unity セキュリティ ガイド Microsoft Exchange版 Release 5.x
Cisco Unity 、 Cisco Unified Communications Manager 、および IP Phone 間の接続の保護
Cisco Unity、Cisco Unified Communications Manager、および IP Phone 間の接続の保護
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Cisco Unity、Cisco Unified Communications Manager、および IP Phone 間の接続の保護

Cisco Unity、Cisco Unified Communications Manager、および IP Phone 間の接続におけるセキュリティの問題

Cisco Unity ボイスメール ポートのための Cisco Unified Communications Manager のセキュリティ機能

Cisco Unified Communications Manager および Cisco Unity のセキュリティ モード設定

ベスト プラクティス

Cisco Unity、Cisco Unified Communications Manager、および IP Phone 間の接続の保護

この章では、Cisco Unity、Cisco Unified Communications Manager (CM)(旧名称 Cisco Unified CallManager)、および IP Phone 間の接続に関係する潜在的なセキュリティの問題について説明します。また、実施する必要のある作業、さまざまな決定を支援するための推奨事項、決定した事項による影響、およびベスト プラクティスを示します。

次の各項を参照してください。

「Cisco Unity、Cisco Unified Communications Manager、および IP Phone 間の接続におけるセキュリティの問題」

「Cisco Unity ボイスメール ポートのための Cisco Unified Communications Manager のセキュリティ機能」

「Cisco Unified Communications Manager および Cisco Unity のセキュリティ モード設定」

「ベスト プラクティス」

Cisco Unity、Cisco Unified Communications Manager、および IP Phone 間の接続におけるセキュリティの問題

Cisco Unity システムでセキュリティ上の弱点となる可能性があるのは、Cisco Unity、Cisco Unified Communications Manager、および IP Phone 間の接続です。考えられる脅威は次のとおりです。

man-in-the-middle 攻撃(Cisco Unified CM と Cisco Unity ボイスメール ポート間の情報フローが傍受され、改変された場合)

ネットワーク トラフィックのスニフィング(Cisco Unified CM、Cisco Unity ボイスメール ポート、および Cisco Unified CM の管理対象 IP Phone 間に流れる電話通話とシグナリング情報を、ソフトウェアを使用して傍受された場合)

Cisco Unity ボイスメール ポートと Cisco Unified CM 間のコールシグナリングの改変

Cisco Unity ボイスメール ポートとエンドポイント(IP Phone やゲートウェイなど)間のメディア ストリームの改変

Cisco Unity ボイスメール ポートの ID 盗用(Cisco Unity ではないデバイスが、自身を Cisco Unified CM に Cisco Unity ボイスメール ポートとして提示)

Cisco Unified CM サーバの ID 盗用(Cisco Unified CM ではないサーバが、自身を Cisco Unity ボイスメール ポートに Cisco Unified CM サーバとして提示)

Cisco Unity ボイスメール ポートのための Cisco Unified Communications Manager のセキュリティ機能

Cisco Unified Communications Manager は、Cisco Unity との接続を 「Cisco Unity、Cisco Unified Communications Manager、および IP Phone 間の接続におけるセキュリティの問題」に示した脅威から保護することができます。Cisco Unity で利用できる Cisco Unified CM のセキュリティ機能について、表6-1 で説明します。

 

表6-1 Cisco Unity で使用される Cisco Unified Communications Manager のセキュリティ機能

セキュリティ機能
説明

シグナリングの認証

シグナリング パケットの転送中に改ざんが発生していないことを、Transport Layer Security(TLS)プロトコルを使用して検証するプロセス。シグナリングの認証は、シスコ証明書信頼リスト(CTL)ファイルの作成を通じて実行されます。

この機能によって、次の脅威から保護されます。

Cisco Unified CM と Cisco Unity ボイスメール ポート間の情報フローを改変する man-in-the-middle 攻撃。

コールシグナリングの改変。

Cisco Unity ボイスメール ポートの ID 盗用。

Cisco Unified CM サーバの ID 盗用。

デバイスの認証

デバイスの ID を検証し、エンティティが ID どおりの本物であることを確認するプロセス。このプロセスは、Cisco Unified CM と Cisco Unity ボイスメール ポートの間で、一方のデバイスが他方のデバイスの証明書を受理するときに発生します。証明書が受理されると、当該のデバイス間に安全な接続が確立されます。デバイスの認証は、シスコ証明書信頼リスト(CTL)ファイルの作成を通じて実行されます。

この機能によって、次の脅威から保護されます。

Cisco Unified CM と Cisco Unity ボイスメール ポート間の情報フローを改変する man-in-the-middle 攻撃。

メディア ストリームの改変。

Cisco Unity ボイスメール ポートの ID 盗用。

Cisco Unified CM サーバの ID 盗用。

シグナリングの暗号化

暗号方式を使用して、Cisco Unity ボイスメール ポートと Cisco Unified CM の間で送信されるすべての SCCP シグナリング メッセージの機密性を(暗号化によって)保護するプロセス。シグナリングを暗号化することで、通話者に関係する情報、通話者が入力する DTMF 番号、通話のステータス、メディア暗号キーなどが、意図していない不正なアクセスから保護されます。

この機能によって、次の脅威から保護されます。

Cisco Unified CM と Cisco Unity ボイスメール ポート間の情報フローを傍受する man-in-the-middle 攻撃。

Cisco Unified CM と Cisco Unity ボイスメール ポート間のシグナリング情報フローを傍受するネットワーク トラフィック スニフィング。

メディア暗号化

暗号化の手順を利用して、メディアに機密性を持たせるプロセス。このプロセスでは、IETF の RFC 3711 で定義された Secure Real Time Protocol(SRTP)を使用して、意図した受信者だけが Cisco Unity ボイスメール ポートとエンドポイント(電話機やゲートウェイなど)間のメディア ストリームを解釈できることを保証します。サポートされるのは、オーディオ ストリームに限られます。メディアの暗号化には、デバイスのメディア マスター キー ペアの作成、Cisco Unity とエンドポイントへのキーの配信、およびキー転送中のキー配信の保護が含まれます。Cisco Unity とエンドポイントは、このキーを使用してメディア ストリームを暗号化および暗号解除します。

この機能によって、次の脅威から保護されます。

Cisco Unified CM と Cisco Unity ボイスメール ポート間のメディア ストリームを傍受する man-in-the-middle 攻撃。

Cisco Unified CM、Cisco Unity ボイスメール ポート、および Cisco Unified CM の管理対象 IP Phone 間に流れる電話通話を盗聴するネットワーク トラフィック スニフィング。

認証およびシグナリング暗号化は、メディアを暗号化するための最小限の要件です。つまり、デバイスがシグナリング暗号化と認証をサポートしていない場合、メディアを暗号化することはできません。


) Cisco Unified Communications Manager のセキュリティ(認証および暗号化)で保護されるのは、Cisco Unity への通話に限られます。メッセージ ストアに保存されているメッセージは、Cisco Unified CM の認証機能と暗号化機能では保護されませんが、Cisco Unity の安全なプライベート メッセージ機能で保護することができます。Cisco Unity の安全なプライベート メッセージ機能の詳細については、「安全なメッセージ機能」を参照してください。


Cisco Unified Communications Manager および Cisco Unity のセキュリティ モード設定

Cisco Unified Communications Manager および Cisco Unity には、ボイスメール ポート用のセキュリティ モード オプション(表6-2 を参照)が用意されています。


注意 Cisco Unity ボイスメール ポートのクラスタ セキュリティ モードの設定は、Cisco Unified Communications Manager ポートのセキュリティ モードの設定と一致している必要があります。一致していない場合は、Cisco Unified CM での認証および暗号化が失敗します。

 

表6-2 ボイスメール ポートのセキュリティ モード オプション

設定
効果

[保証なし]

コールシグナリング メッセージがクリア(暗号化されていない)テキストとして送信され、認証された TLS ポートではなく非認証ポートを使用して Cisco Unified CM に接続されるため、コールシグナリング メッセージの完全性とプライバシは保証されません。

また、メディア ストリームを暗号化することはできません。

[認証]

コールシグナリング メッセージは認証された TLS ポートを使用して Cisco Unified CM に接続されるため、完全性が保証されます。ただし、クリア(暗号化されていない)テキストで送信されるため、コールシグナリング メッセージのプライバシは保証されません。

また、メディア ストリームは暗号化されません。

[暗号化]

コールシグナリング メッセージは認証された TLS ポートを使用して Cisco Unified CM に接続され、暗号化されるため、完全性とプライバシが保証されます。

また、メディア ストリームを暗号化することができます。


注意 メディア ストリームを暗号化するには、両方のエンドポイントが暗号化モードで登録されている必要があります。ただし、エンドポイントの一方が保証なしモードまたは認証モードに設定され、もう一方が暗号化モードに設定されている場合は、メディア ストリームは暗号化されません。また、介在するデバイス(トランスコーダまたはゲートウェイ)が暗号化に対応していない場合、メディア ストリームは暗号化されません。

ベスト プラクティス

Cisco Unity と Cisco Unified Communications Manager の両方で、ボイスメール ポートの認証と暗号化を有効にすることをお勧めします。

認証および暗号化を有効にする方法については、該当する Cisco Unified Communications Manager インテグレーション ガイドを参照してください。このドキュメントは、
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/products_installation_and_configuration_guides_list.html から入手可能です。