Cisco 3800 シリーズ サービス統合型ルータ

シスコ アクセス ルータ上でのSecure RTPによるメディアの認証と暗号化

ダウンロード
シスコ アクセス ルータ上でのSecure RTPによるメディアの認証と暗号化

データ シート


Secure RTPによるメディアの認証と暗号化


シスコのアクセス ルータ製品が持つメディア認証およびメディア暗号化の機能を使用することにより、Time Division Multiplexing(TDM;時分割多重)ポートまたはアナログ音声ゲートウェイ ポートで終端する音声会話を盗聴から確実に保護することができます。これらの機能は、信頼性と拡張性を兼ね備え、LANやWANを通じたIPコミュニケーションにセキュアな環境を提供します。

製品概要

大企業のブランチ オフィスや中小・中堅企業は、運営費の削減、生産性の向上、ネットワーク管理の簡素化を図るため、IPコミュニケーションへの移行を進めています。Cisco 1700からCisco ISR(Integrated Services Router)3800まで広範なプラットフォームを揃えたシスコのアクセス ルータ製品は、非常に負荷の高い企業環境に対しても、強力かつ拡張性の高いIPコミュニケーション ソリューションを幅広く提供できるように設計されています。

シスコのアクセス ルータ製品は、さまざまな音声セキュリティ機能を備えており、IPコミュニケーション ソリューションを導入する企業に最高レベルのセキュリティ保護を提供します。同業他社の多くは、付加的な拡張とポイント型の製品ソリューションによって、個々のコンポーネントを保護しています。シスコでは、自己防衛型ネットワーク構想に基づくマルチレイヤ ソリューションによって、ネットワークそのものからエンドポイントやアプリケーションへとセキュリティを拡大する方式を採っています。このように包括的かつ階層的なアプローチでセキュリティに取り組んでいるのはシスコだけです。ベスト プラクティスの詳細や、お客様のネットワークのセキュリティ対策に役立つツールについては、Cisco SAFEブループリントをご覧ください。

防御の第1段階は、音声ドメインへのアクセスを制御および防止することです。そして、Secure RTP(SRTP)を使用したメディア暗号化によって、第2段階の保護が提供されます。メディア暗号化機能を利用すると、音声会話が暗号化されるため、たとえ内部または外部のハッカーが音声ドメインへの侵入とアクセスに成功したとしても、音声会話が理解されることはありません。SRTPは、音声パケットのために特別に設計されたプロトコルで、AES暗号化アルゴリズムに対応し、Internet Engineering Task Force(IETF)RFC 3711標準となっています。SRTPを使用したメディア暗号化は、帯域効率の面でIPSecよりも優れています。

シスコ アクセス ルータのメディア暗号化機能は、Cisco IP Phoneのメディア暗号化機能とCisco CallManagerの両方と連動し、ゲートウェイ間の呼だけでなく、MGCPモードのIP Phoneとゲートウェイ間の呼にもセキュリティを提供します。したがってお客様は、メディアが終端するゲートウェイ インターフェイスのタイプに応じて、アナログ電話コール、ファックス コール、またはIP Phoneとゲートウェイ間の呼を保護できます。Cisco CallManagerが生成した音声暗号鍵は、暗号化シグナリング パスを通り、Transport Layer Security(TLS)を使用してCisco IP Phoneへ、IPSecを使用してゲートウェイへと送信されます。

シスコ アクセス ルータのメディア暗号化機能は、IOSソフトウェア12.3(5th)T(IOS PI-5リリース)から、Advanced Enterprise ServicesとAdvanced IP ServicesのIOSソフトウェア フィーチャ セットへのアップグレードによって利用可能となります。この機能を使用するには、PVDM2、NM-HD、およびNM-HDV2音声ゲートウェイ ネットワーク モジュールに組み込まれているDigital Signal Processor(DSP;デジタル信号プロセッサ)モジュール上での設定が必要です。

機能

メディアの認証および暗号化ソリューションの詳細な機能は、以下の表のとおりです。

表1 機能

認証および暗号化の機能 認証および暗号化のアルゴリズム プロトコル/コーデック/モジュールのサポート その他の機能
SRTPを使用した音声RTPストリームのメディア暗号化 AES-128暗号化アルゴリズムのサポート Cisco CallManagerとゲートウェイの間におけるMGCP 0.1モード通信プロトコルのサポート セキュアなエンドポイントとセキュアでないエンドポイントの間の呼に対するSRTP/RTPフォールバック
Secure RTP Control Protocol(RTCP)を使用したRTCP情報の交換 HMAC Secure Hash Authentication Algorithm(SHA 1)のサポート 音声コーデック、G.711、G.729A、G.729のサポート Survivable Remote Site Telephony(SRST)モードの呼に対するSRTP/RTPフォールバック
IPSecによるゲートウェイとCisco CallManager間のシグナリングの認証と暗号化   この機能をサポートしているモジュール:PVDM2-8、PVDM2-16、PVDM2-32、PVDM2-48、PVDM2-64、NM-HD-1V、NM-HD-2V、NM-HD-2VE、NM-HDV2、NM-HDV2-1T1/E1、NM-HDV2-2T1/E1 SRTPを使用したメディア暗号化された呼でのCompressed RTP(CRTP)のサポート


利用方法

シスコ アクセス ルータのメディア認証およびメディア暗号化機能は、Cisco IP Phoneのメディア暗号化機能やCisco CallManagerと連動し、WANまたはLANを通じたIPコミュニケーションにセキュアな環境を提供します。以下の図では、ブランチ オフィスAにある音声ゲートウェイ ネットワーク モジュール上で、暗号化音声コールに対してSRTPが使用されています。これによってオフィス内のアナログ電話機同士またはファックス同士の間で安全な呼が確立されます。同様に、ブランチ オフィスAにあるTDMエンドポイントまたはアナログ電話機から本社にあるCisco IP Phoneへも安全な呼が確立されます。また、ブランチ オフィスAにあるゲートウェイとCisco CallManagerの間のシグナリングはIPSecで保護され、本社のIP PhoneとCisco CallManagerの間のシグナリングはTLSで保護されます。

図1 メディアの認証と暗号化

主な機能と利点

メディアの認証と暗号化
現在のメディア暗号化機能は、エンドツーエンド(Cisco IP Phone間)で音声コールを暗号化します。シスコ アクセス ルータにメディア暗号化機能が導入されたことにより、IP Phoneとゲートウェイの間およびゲートウェイ間に安全な呼を確立できるようになりました。お客様は、IETF RFC 3711標準ベースのSRTPを使用して、暗号化された呼をPSTNゲートウェイに発信できます。SRTPは、ほかの暗号化ヘッダーを追加することなく、音声パケットのペイロードだけを暗号化するため、SRTPで暗号化された音声パケットはRTP音声パケットとほとんど区別がつきません。その結果、新たに何かを開発したりパケットを操作したりしなくても、Quality of Service(QoS;サービス品質)やCRTPのような機能に対応できます。またSRTPは、DESや3DESアルゴリズムよりも高レベルのセキュリティと速度を備えたAES暗号化アルゴリズムを使用しています。音声暗号鍵は呼単位で作成されるので、高度なセキュリティ保護が保証されます。さらにメディア認証機能によって、呼を暗号化するゲートウェイやIP Phoneの身元を検証できます。

SRTPを使用したメディア暗号化は、LAN上の音声のプライバシーや機密性を内部の脅威から保護するのに最適です。また、メディア暗号化は、データ用に配備されているVPNインフラストラクチャを使用することで、IP WANまたはインターネットを経由した利用も可能です。

シグナリングの認証と暗号化
ゲートウェイとCisco CallManagerの間のシグナリングの認証と暗号化はIPSecで保護されます。そのため、DTMF番号、パスワード、暗証番号(PIN)、および音声暗号鍵などのシグナリング情報が保護されていることが保証されます。IOSで利用可能なソフトウェアベースのIPSecと、AIM-VPNモジュールを使用するハードウェアベースのIPSecの両方がサポートされているので、柔軟な構成が可能です。

暗号化コールのスケーラビリティ
SRTPのメディア暗号化は、ルータのCPUではなく、DSPモジュールで実行されます。DSPを搭載した音声ゲートウェイ インターフェイスの数を増やすか、プラットフォーム(サービス統合型ルータなど)に組み込むDSPの数を増やせば、安全な呼に利用できるDSPの数を増やすことができるので、効率的な拡張が可能です。

効率的な遅延最適化とチャネル容量への影響
暗号化コールにおいて、鍵の交換は通常のMGCPコール セットアップのなかで完了し、特別なメッセージは挿入されないので、コール セットアップに遅延が生じることはありません。また、SRTPによるメディア暗号化はDSP上で実行されます。ルータのCPUで実行されるのでも、音声パケットを処理するための専用暗号化エンジンで実行されるのでもないため、音声メディアの遅延も生じません。

G.729モードとG.729aモードでは、暗号化された呼によるチャネル容量への影響はありません。また、G.711モードでもチャネル容量への影響も最小限で済みます。DSP単位でのチャネルへの影響は、以下の表のとおりです。

コーデック 通常の音声コール/DSP 暗号化音声コール/DSP
G.711 16コール 10コール
G.729a 8コール 8コール
G.729 6コール 6コール

管理機能
メディアの認証と暗号化は、CLI(コマンドライン インターフェイス)コマンドを使って、シスコのアクセス ルータに簡単に設定できます。また、ロック アイコン インジケータのようなCisco IP Phoneの機能によって、IP Phoneとゲートウェイ間の暗号化電話コールを視覚的に確認することもできます。コール フロー内にメディア暗号化をサポートしていないデバイスがある場合や、セキュリティが何らかの理由で脆弱化した場合は、ロック アイコンは表示されません。CLIコマンドは、暗号化された呼に関する詳細情報の表示と確認や、呼のデバッグにも使用されます。

SRTPとIPSec V3PNの位置づけ

SRTPとIPSec VPNには、技術的にいくつか相違点があります。最も大きな違いは、SRTPがエンドツーエンド(IP Phone間)の暗号化を提供できるのに対し、IPSec VPNはルータ間のトンネルベースの暗号化であるという点です。また、SRTPは音声パケットのみを暗号化しますが、IPSec VPNトンネルではデータ、音声、およびビデオを伝送できます。

SRTPは、IPSec VPNを補完する音声暗号化手段として使用できます。信頼できるWANネットワークを持つ大企業や中小・中堅企業では、ネットワークをまたがるエンドツーエンドの音声暗号化にSRTPを使用できます。しかし、ほとんどの企業は、インターネットやサービス プロバイダーが管理するWANを使って業務を行っています。したがって、WANが安全であるとは限らず、ブランチ オフィス間で安全にデータを伝送するためにはVPNトンネルを使用する必要があります。SRTPを使用すれば、データに使用しているIPSec VPNネットワークと同じWAN内で音声を保護できます。これを以下に図示します。

図2 SRTPおよびV3PN

サポート リリース

表2 サポート リリース

モジュール サポート プラットフォーム サポート 出荷開始時期 リリース(内部使用のみ)
NM-HD-1V、NM-HD-2V、NM-HD-2VE Cisco 2600XM、2691、ISR 2811、ISR 2821、ISR 2851、3660、3700、ISR 3800 2004年9月 IOS 12.3(11)Tおよび今後のCisco CallManagerリリース
NM-HDV2、NM-HDV2-1T1/E1*、NM-HDV2-2T1/E1* Cisco 2600XM、2691、ISR 2811、ISR 2821、ISR 2851、3700、ISR 3800 2004年9月 IOS 12.3(11)Tおよび今後のCisco CallManagerリリース
PVDM2-8、PVDM2-16、PVDM2-32、PVDM2-48、PVDM2-64 Cisco ISR 2811、ISR 2821、ISR 2851 2004年9月 IOS 12.3(11)Tおよび今後のCisco CallManagerリリース
*日本では、E1に設定されたモジュールのサポートは提供いたしません。
PVDM2パケット/音声DSPモジュールは、Cisco ISR 2811/2821/2851のオンボード スロットで使用できます。また、シスコ アクセス ルータの音声ゲートウェイ モジュールは、メディア暗号化をサポートしているCisco 7940/7960/7970 IP Phoneとの相互運用性を提供します。Cisco 7970はCisco CallManager 4.0リリースを使ってメディア暗号化をサポートできますが、Cisco 7960/7940 IP Phoneについては将来のCisco CallManagerリリースでメディア暗号化をサポートします。

まとめ

メディア認証とメディア暗号化は、IPコミュニケーションを導入している大企業や中小・中堅企業に新たなセキュリティ レイヤをもたらします。TDMポートとアナログ音声ゲートウェイ ポートのどちらで終端する音声会話も、標準ベースの暗号化を使用してLANおよびWAN内での盗聴から保護することができます。

製品仕様

表3 製品仕様

製品の互換性 Cisco CallManager
ソフトウェアの互換性 Cisco IOS 12.3(11)Tリリース

Advanced IP Servicesイメージ

Advanced Enterprise Servicesイメージ

プロトコル Cisco MGCP 0.1


発注情報

表4 発注情報

製品名 製品番号
IPコミュニケーション高密度デジタル音声ネットワーク モジュール NM-HDV2
IPコミュニケーション高密度デジタル音声ネットワーク モジュール(内蔵T1/E1ポート×1) NM-HDV2-1T1/E1*
IPコミュニケーション高密度デジタル音声ネットワーク モジュール(内蔵T1/E1ポート×2) NM-HDV2-2T1/E1*
1スロットIPコミュニケーション音声/ファックス ネットワーク モジュール NM-HD-1V
2スロットIPコミュニケーション音声/ファックス ネットワーク モジュール NM-HD-2V
2スロットIPコミュニケーション拡張音声/ファックス ネットワーク モジュール NM-HD-2VE
8チャネル パケット ファックス/音声DSPモジュール PVDM2-8
16チャネル パケット ファックス/音声DSPモジュール PVDM2-16
32チャネル パケット ファックス/音声DSPモジュール PVDM2-32
48チャネル パケット ファックス/音声DSPモジュール PVDM2-48
64チャネル パケット ファックス/音声DSPモジュール PVDM2-64
*日本では、E1に設定されたモジュールのサポートは提供いたしません。





お問い合わせ