Cisco 2800 シリーズ サービス統合型ルータ

シスコ マルチサービスおよびサービス統合型ルータでのセキュアな音声サービスの実現

データ シート





シスコ マルチサービスおよびサービス統合型ルータでのセキュアな音声サービスの実現


シスコシステムズのマルチサービスおよびサービス統合型ルータ製品のメディア認証および暗号化機能を使用すると、音声会話の盗聴を防止できます。

シスコ ユニファイド コミュニケーションにおける音声および IP コミュニケーションの製品およびアプリケーションは、コミュニケーションを円滑にし、ビジネス プロセスの短縮、適切なリソースの迅速な活用、および生産性と利益の拡大を可能にします。シスコ ユニファイド コミュニケーションの製品は、シスコ ビジネス コミュニケーション ソリューションに不可欠です。シスコ ビジネス コミュニケーション ソリューションは、ネットワーク インフラストラクチャ、セキュリティ、ネットワーク管理の各製品、無線接続、ライフサイクル サービスなどから構成されます。


製品概要

企業では運用費用の削減、生産性の向上、およびネットワーク管理の簡素化を進めるために、IP コミュニケーションに移行しつつあります。Cisco 1700 から Cisco ISR 3800 シリーズまでにわたるシスコ マルチサービスおよびサービス統合型ルータは、要求の厳しいエンタープライズ環境に適した強力でスケーラブルな IP コミュニケーション ソリューションを提供します。

シスコ マルチサービスおよびサービス統合型ルータでは各種の音声セキュリティ機能が利用でき、IP コミュニケーション ソリューションを配置している企業を高度なセキュリティで保護します。シスコのマルチレイヤ製品は、自己防衛型モデルに基づき、ネットワークからエンドポイントおよびアプリケーションにまで広がっています。企業ネットワークのセキュリティ向上に役立つベスト プラクティスおよびツールの詳細なフレームワークについては、シスコの SAFE ブループリントを参照してください。

Secure Real-Time Transport Protocol(SRTP)では、音声ドメインにアクセスした内部または外部の盗聴者が理解できないように音声会話を暗号化することによって、セキュリティで保護できます。SRTP は、音声パケット用に設計されており、Advanced Encryption Standard(AES)暗号化アルゴリズムをサポートし、Internet Engineering Task Force(IETF)RFC 3711 標準となっています。

シスコ製ルータのメディア暗号化は、Cisco Unified CallManager ソフトウェアおよび Cisco Unified IP Phone のメディア暗号化機能とともに使用でき、ゲートウェイ間のコールおよび IP フォンとゲートウェイの間のコールをセキュリティで保護します。これにより、メディアの終端となるゲートウェイ インターフェイスのタイプに応じて、アナログ電話のコール、ファックスのコール、IP フォンとゲートウェイの間のコールがセキュリティで保護されます。Cisco Unified CallManager で作成された音声暗号鍵は、Transport Layer Security(TLS)によって暗号化シグナリング パスを通って安全に Cisco Unified IP Phone へ、または IP Security(IPSec)で保護されたリンクによってゲートウェイへ送られます。

シスコ製ルータのメディア暗号化機能は、Cisco IOS® ソフトウェア リリース 12.3(11)T2 で、Advanced Enterprise Services および Advanced IP Services という IOS ソフトウェア フィーチャ セットにアップグレードすることで利用できるようになります。メディア暗号化機能は、PVDM2、EVM-HD、NM-HD、AIM-VOICE、および NM-HDV2 音声ゲートウェイ ネットワーク モジュールに搭載されている Digital Signal Processor(DSP; デジタル信号プロセッサ)モジュールで有効です。


機能

表 1 に、メディア認証および暗号化ソリューションの詳細を示します。

表 1 メディア認証および暗号化ソリューション

機能 説明
認証および暗号化機能
  • SRTP を使用した音声 RTP ストリームのメディア暗号化
  • セキュア RTP Control Protocol(RTCP)による RTCP 情報の交換
  • セキュアなエンドポイントとセキュアでないエンドポイント間のコールに対する SRTP/RTP フォールバック
  • WAN フェールオーバー時に Cisco Unified Survivable Remote Site Telephony(SRST)モードで利用可能なセキュア コール
  • SRTP によってメディア暗号化コールで利用可能な Compressed RTP(CRTP)
認証および暗号化アルゴリズム
  • AES-128 暗号化アルゴリズムのサポート
  • HMAC Secure Hash Algorithm(SHA 1)のサポート
シグナリング認証および暗号化機能
  • ゲートウェイと Cisco Unified CallManager の間のシグナリングであるMedia Gateway Control Protocol(MGCP)および H.323 を IPSec により暗号化
  • IP フォンと Cisco Unified SRST ルータ間のシグナリングおよび暗号化で TLS を使用
プロトコルのサポート
  • MGCP 0.1(Cisco Unified CallManager を使用した MGCP ゲートウェイのサポート)
  • H.323(H.323 ゲートウェイおよび IPIP ゲートウェイでサポート、Cisco Unified CallManager との相互運用はオプション)
  • SRST モードでの SCCP(Cisco Unified IP Phone)
モジュールのサポート
  • PVDM モジュール:PVDM2-8、PVDM2-16、PVDM2-32、PVDM2-48、PVDM2-64
  • アナログ音声モジュール:EVM-HD(PVDM 搭載)、NM-HD-1V、NM-HD-2V、NM-HD-2VE
  • デジタル音声モジュール NM-HDV2、NM-HDV2-1T1/E1、NM-HDV2-2T1/E1、NM-HDV(全バージョン)、AIM-VOICE-30、AIM-ATM-VOICE-30
コーデックのサポート
  • G.711、G.729A、G.729



用途

シスコ マルチサービスおよびサービス統合型ルータのメディア認証および暗号化機能は、Cisco Unified IP Phone や Cisco Unified CallManager のメディア暗号化機能とともに使用すると、WAN または LAN での IP コミュニケーション用としてセキュリティの高度な環境を構築できます。図 1 では、ブランチ オフィス A の音声ゲートウェイ ネットワーク モジュールに到達した音声コールの暗号化に SRTP を使用しています。これにより、ブランチ オフィス A 内のアナログ電話間およびファックス間のコールが保護されます。同様に、ブランチ オフィス A の Time-Division Multiplexing(TDM; 時分割多重)エンドポイントまたはアナログ電話と、本社の Cisco Unified IP Phone との間でセキュアなコールが利用できます。ブランチ オフィス A のゲートウェイと Cisco Unified CallManager の間のシグナリングは、IPSec によってセキュリティで保護され、本社の IP フォンと Cisco Unified CallManager の間のシグナリングは、TLS によって保護されます。

図 1 メディア認証および暗号化

図 1 メディア認証および暗号化
※ 画像をクリックすると、大きく表示されます。popup_icon


主な機能と利点

メディア認証および暗号化

メディア暗号化は現在、Cisco Unified IP Phone 間の音声コールに対してエンドツーエンドで暗号化を実行します。シスコ製ルータにメディア暗号化を導入すると、IP フォンとゲートウェイの間およびゲートウェイ間のコールを保護できます。これにより発信側は、IETF RFC3711 標準ベースの SRTP を使用して、暗号化コールを PSTN ゲートウェイに送ることができます。SRTP は、音声パケットのペイロードだけを暗号化するので、余分な暗号化ヘッダーは付加されません。このため、SRTP で暗号化された音声パケットは、RTP 音声パケットとほとんど同じになり、さらに開発作業やパケット操作を行わなくても、Quality of Service(QoS; サービス品質)や Compressed RTP などの機能を使用できます。また、SRTP は、AES 暗号化標準でサポートされている実用上最大サイズの鍵を使用して、セキュリティを向上させています。音声暗号鍵はコールごとに作成されるので、セキュリティ保護のレベルも高まります。メディア認証は、コールを暗号化するデバイスの身元も確認します。

SRTP を使用したメディア暗号化は、LAN 上の音声通信のプライバシーや機密を内部の脅威から保護するのに適しています。また、メディア暗号化は、データ用の VPN インフラストラクチャを使用して IP WAN またはインターネットで行うこともできます。

シグナリング認証および暗号化

ゲートウェイと Cisco Unified CallManager の間のシグナリング認証および暗号化は、IPSec を使用して保護します。これにより、Dual Tone MultiFrequency(DTMF)ディジット、パスワード、Personal Identification Number(PIN)、音声暗号鍵などのシグナリング情報が保護されます。Cisco IOS ソフトウェアで利用できるソフトウェアベースの IPSec も、AIM-VPN モジュールを使用したハードウェアベースの IPSec もサポートされています。

暗号化コールのスケーラビリティ

SRTP メディア暗号化は、ルータの CPU で実行されるのではなく、DSP モジュールで実行されます。これにより、DSP を搭載した音声ゲートウェイ インターフェイスを増やしたり、プラットフォーム(サービス統合型ルータなど)に組み込まれた DSP を増やしたりすることによって、セキュアなコールに利用できる DSP の数が増え、効率的な拡張が可能になります。

効率的な遅延最適化およびチャネル容量への影響

鍵の交換は通常の MGCP コール設定の一環として行われるので、コールを暗号化すると、コールのセットアップに遅延は発生せず、余分なメッセージも作成されません。SRTP メディア暗号化は、ルータの CPU や、音声パケット処理用の暗号化エンジンで実行されるのではなく、DSP で実行されるので、音声メディアの遅延も発生しません。

G.729 および G.729a モードで暗号化されたコールの場合、チャネル容量には影響せず、G.711 モードの場合でも影響は最小に抑えられます(表 2)。

表 2 DSP あたりのチャネルへの影響(例:PVDM2)

コーデック 通常の音声コール/DSP 暗号化音声コール/DSP
G.711 16 コール 10 コール
G.729a 8 コール 8 コール
G.729 6 コール 6 コール


管理機能

シスコ製ルータでは、CLI(コマンドライン インターフェイス)からメディア認証および暗号化を簡単に設定できます。また、Cisco IP Phone に表示されるロック アイコンなどの機能によって、ゲートウェイ宛のコールの暗号化を視覚的に確認できます。コール フロー内のデバイスがメディア暗号化をサポートしていない場合、またはセキュリティが損なわれた場合、ロック アイコンは表示されなくなります。CLI コマンドは、暗号化コールの詳細の確認および表示を行う場合にも、コールをデバッグする場合にも利用できます。

Cisco Unified SRST モードでのセキュリティ

Cisco Unified SRST には、Cisco Unified CallManager との接続の消失時に備えたコール処理の冗長性があります。メディア認証および暗号化は、Cisco Unified SRST モードにおいて Cisco IOS ソフトウェア リリース 12.3(14)T でサポートされ、WAN リンクまたは Cisco Unified CallManager のダウン時にリモート ブランチ オフィスにセキュアなコールを送ります。WAN リンクまたは Cisco Unified CallManager が元に戻ると、Cisco Unified CallManager ではセキュアなコールの処理機能が再開されます。Cisco Unified SRST ルータから IP フォンへのシグナリングは、TLS で暗号化されます。


SRTP および IPSec VPN

SRTP と IPSec は、互いに補完し合う VPN 技術です。SRTP はエンドツーエンド(IP フォン間)の暗号化であり、IPSec VPN はルータ間のトンネルベース暗号化であることが大きな違いの 1 つです。また、SRTP は音声パケットだけを暗号化し、IPSec VPN トンネルはデータ、音声、およびビデオを運びます(これを V3PN と呼びます)。つまり、SRTP では IPSec VPN によって、音声トラフィックが確実に保護されます。

信頼されている WAN ネットワークを構築している大企業および中小・中堅企業の場合、SRTP を使用すると、ネットワーク全体にわたりエンドツーエンドで音声を暗号化できます。ただし、こうした企業の大半では、インターネットで、またはサービス プロバイダーが管理する WAN で事業を展開しています。したがって、WAN は安全でない場合もあるので、ブランチ オフィスのデータ伝送を安全に行うには VPN トンネルを使用します。SRTP を使用すると、データ用の IPSec VPN ネットワークを使用して WAN の音声を保護できます。図 2 に、この仕組みを示します。

図 2 セキュア RTP および V3PN

図 2 セキュア RTP および V3PN
※ 画像をクリックすると、大きく表示されます。popup_icon


機能の一覧

表 3 機能の一覧

プロトコル/機能のサポート プラットフォームのサポート(表 4 のモジュールを搭載) リリース
MGCP ゲートウェイ(MGCP 0.1) Cisco 2600XM、2691、3660、3725、および 3745 マルチサービス プラットフォーム
Cisco ISR 2811、2821、2851、3825、および 3845
Cisco VG224 Analog Phone Gateway
Cisco IOS ソフトウェア リリース 12.3(11)T2 および Cisco Unified CallManager 4.1
H.323 ゲートウェイおよび IPIP ゲートウェイ Cisco 2600XM、2691、3725、および 3745 マルチサービス プラットフォーム
Cisco ISR 2811、2821、2851、3825、および 3845
Cisco VG224 Analog Phone Gateway
Cisco IAD 2430 シリーズ Integrated Access Device
IPIP ゲートウェイは、フロースルー モードおよびフローアラウンド モードでサポート
Cisco IOS ソフトウェア リリース 12.4(6)T
Cisco Unified CallManager 5.0 でのネットワーキングはサポート(オプション)
Cisco Unified SRST モードでの SCCP IP Phone Cisco 2600XM、2691、3660、3725、および 3745 マルチサービス プラットフォーム
Cisco ISR 2811、2821、2851、3825、および 3845
Cisco IOS ソフトウェア リリース 12.3(14)T および Cisco Unified CallManager 4.1



モジュールの一覧

表 4 モジュールの一覧

モジュールのサポート プラットフォームのサポート リリース
NM-HD-1V、NM-HD-2V、NM-HD-2VE Cisco 2600XM、2691、3660、3725、および 3745 マルチサービス プラットフォーム
Cisco ISR 2811、2821、2851、3825、および 3845
Cisco IOS ソフトウェア リリース 12.3(11)T2
NM-HDV2、NM-HDV2-1T1/E1、NM-HDV2-2T1/E1 Cisco 2600XM、2691、3725、および 3745 マルチサービス プラットフォーム
Cisco ISR 2811、2821、2851、3825、および 3845
Cisco IOS ソフトウェア リリース 12.3(11)T2
PVDM2-8、PVDM2-16、PVDM2-32、PVDM2-48、PVDM2-64 * Cisco ISR 2801、2811、2821、2851、3825、および 3845 Cisco IOS ソフトウェア リリース 12.3(11)T2 と、Cisco ISR 2801 を除くすべてのプラットフォーム
Cisco IOS ソフトウェア リリース 12.3(14)T と Cisco ISR 2801 プラットフォーム
EVM-HD Cisco ISR 2821、2851、3825、および 3845 Cisco IOS ソフトウェア リリース 12.3(11)T2 および Cisco Unified CallManager 4.1
NM-HDV(各種のバンドルを含む) Cisco 2600XM、2691、3725、および 3745 マルチサービス プラットフォーム
Cisco ISR 2811、2821、2851、3825、および 3845
Cisco IOS ソフトウェア リリース 12.3(14)T および Cisco Unified CallManager 4.1
AIM-VOICE-30、AIM-ATM-VOICE-30、NM-HDA Cisco 2600XM、2691、3725、および 3745 マルチサービス プラットフォーム Cisco IOS ソフトウェア リリース12.3(6)T


* PVDM2 パケット/音声 DSP モジュールは、Cisco ISR 2801、2811、2821、および 2851 に搭載の VIC/VWIC で使用します。これらのモジュールは、Cisco ISR 2821、2851、3825、および 3845 でサポートされている High-Density Analog and Digital Extension Module(EVM-HD)とともに使用します。

注:シスコ マルチサービスおよびサービス統合型ルータの音声ゲートウェイ モジュールは、メディア暗号化をサポートしている Cisco Unified IP Phone 7940G、7960G、および 7970G で使用します。Cisco Unified IP Phone 7970G は、Cisco Unified CallManager 4.0 によるメディア暗号化を、Cisco Unified IP Phone 7960G および 7940G は、Cisco Unified CallManager 4.1 によるメディア暗号化をサポートしています。


シスコ ユニファイド コミュニケーションのサービスおよびサポート

シスコシステムズとパートナーは、シスコのライフサイクル サービスの考え方を活用して、シスコ ユニファイド コミュニケーション システムをサポートするための幅広いエンドツーエンド サービスを提供しています。これらのサービスは、IP コミュニケーション ソリューションの構築、運用、および最適化に効果のある手法を基にしています。たとえば、早期段階に計画サービスおよび設計サービスを活用すると、厳しいスケジュール要件を満たすことができ、導入作業中のネットワークの停止を最小限に抑えます。運用サービスを使用すると、専門家の技術サポートによって通信の中断リスクを軽減できます。最適化サービスを使用すると、ソリューションのパフォーマンスが向上し、運用効率が高まります。シスコとそのパートナーは、耐障害性の高い統合型ネットワークの構築および維持に役立つシステムレベルのサービスおよびサポートを提供し、企業ニーズに対応しています。


まとめ

メディア認証および暗号化によって、IP コミュニケーションを利用している大企業および中小・中堅企業のセキュリティが強化されます。LAN または WAN において TDM、アナログ音声ゲートウェイ ポート、または Cisco Unified IP Phone に到達する音声会話は、標準ベースの暗号化によって盗聴が防止されます。


製品の互換性

表 5 製品の互換性

項目  
製品の互換性
  • Cisco 2600XM、2691、3725、および 3745 マルチサービス プラットフォーム
  • Cisco ISR 2811、2821、2851、3825、および 3845
  • Cisco VG224 Analog Phone Gateway
  • Cisco IAD 2430 シリーズ Integrated Access Device
  • MCGP および SCCP 向けの Cisco Unified CallManager 4.1(Cisco Unified SRST モード)
  • Cisco Unified CallManager 5.0(H.323)
ソフトウェアの互換性
  • Advanced IP Services Image
  • Advanced Enterprise Services Image
プロトコル MGCP 0.1、H.323、SCCP(SRST モード)



発注情報

シスコ製品の購入方法の詳細は、シスコのサービス担当者にお問い合わせになるか、シスコの Web サイトを参照してください。発注情報については、表 6 を参照してください。

表 6 発注情報

製品名 製品番号
IP コミュニケーション 高密度デジタル音声ネットワーク モジュール NM-HDV2
IP コミュニケーション高密度デジタル音声ネットワーク モジュール(T1/E1 ポート× 1 搭載) NM-HDV2-1T1/E1
IP コミュニケーション高密度デジタル音声ネットワーク モジュール(T1/E1 ポート× 2 搭載) NM-HDV2-2T1/E1
IPコミュニケーション音声/ファックス ネットワーク モジュール(1 スロット) NM-HD-1V
IP コミュニケーション音声/ファックス ネットワーク モジュール(2 スロット) NM-HD-2V
IP コミュニケーション拡張音声/ファックス ネットワーク モジュール(2 スロット) NM-HD-2VE
デジタル T1/E1 パケット音声/ファックス ネットワーク モジュール NM-HDV(および各種のバンドル)
30 チャネル音声/ファックス DSP Advanced Integration Module AIM-VOICE-30、AIM-ATM-VOICE-30
高密度アナログ/デジタル 拡張モジュール EVM-HD
8 チャネル パケット ファックス/音声 DSP モジュール PVDM2-8
16 チャネル パケット ファックス/音声 DSP モジュール PVDM2-16
32 チャネル パケット ファックス/音声 DSP モジュール PVDM2-32
48 チャネル パケット ファックス/音声 DSP モジュール PVDM2-48
64 チャネル パケット ファックス/音声 DSP モジュール PVDM2-64



関連情報

シスコのメディア認証および暗号化機能の詳細については、次の URL を参照してください。

Cisco IOS MGCP ゲートウェイの音声セキュリティ機能(英語)
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123t/123t_11/gtsecure.htm

セキュア Cisco Unified SRST(英語)
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_configuration_guide_chapter09186a008022c969.html