「SCCP ゲートウェイでの TLS 1.2 サポート」では、ユニキャスト会議ブリッジを含むデジタルシグナルプロセッサ(DSP)ファームの SCCP プロトコルでの TLS 1.2 設定について詳しく説明します。
(CFB)、メディア ターミネーション ポイント(MTP)、および SCCP テレフォニー制御(STC)アプリケーション(STCAPP)。
ゲートウェイ上の DSP は、変換またはトランスコーディングのメディアリソースとして使用できます。各メディアリソースは、Secure Skinny Client Control Protocol(SCCP)を使用して Cisco Unified
Communications Manager と通信します。現在、TLS 1.0 と同等の SSL 3.1 がセキュアな信号の送信に使用されています。この機能により、TLS 1.2 のサポートが強化されます。Cisco IOS XE Cupertino
17.7.1a 以降、TLS 1.2 が拡張され、次世代暗号化(NGE)暗号スイートをサポートするようになりました。
(注)
|
Cisco Unified Communications Manager(CUCM)バージョン 14SU2 は、AA:22:BB:44:55 または AA22BB4455 のように、コロン付きまたはコロンなしのサブジェクト名フィールド(CN 名)を持つセキュアな
SCCP ゲートウェイをサポートするように拡張されました。
CUCM は、SCCP ゲートウェイからの着信証明書の CN フィールドを確認し、このゲートウェイの CUCM に設定された DeviceName と照合して確認します。DeviceName には、ゲートウェイの MAC アドレスが含まれています。CUCM
は、DeviceName の MAC アドレスをコロン付きの MAC アドレスに変換し(AA:22:BB:44:55 など)、ゲートウェイの証明書の CN 名で検証します。したがって、CUCM では、ゲートウェイが証明書内の CN フィールド、つまりサブジェクト名にコロン付きの
MAC アドレスの使用が求められています。
国防情報システム局(DISA)の新しいガイドラインにより、サブジェクト名フィールド CN にはコロンを使用しないことが要件となっています。たとえば、AA22BB4455 です。
|
SCCP TLS 接続
CiscoSSL は OpenSSL に基づいています。SCCP は CiscoSSL を使用して通信信号を保護します。
リソースがセキュアモードで設定されている場合、SCCP アプリケーションは、Transport Layer Security(TLS)ハンドシェイクを完了するプロセスを開始します。ハンドシェイクの際、サーバーは、サポートされている TLS バージョンと暗号スイートに関する情報を
CiscoSSL に送信します。以前は、SCCP セキュアシグナリングでは SSL 3.1 のみがサポートされていました。SSL 3.1 は TLS 1.0 と同等です。TLS 1.2 サポート機能は、SCCP セキュアシグナリングに TLS
1.2 サポートを導入します。
TLS ハンドシェイクが完了すると、SCCP に通知され、SCCP はプロセスを強制終了します。
ハンドシェイクが正常に完了すると、REGISTER メッセージがセキュアトンネル経由で Cisco Unified Communications Manager に送信されます。ハンドシェイクが失敗し、再試行が必要な場合は、新しいプロセスが開始されます。
(注)
|
SCCP ベースのシグナリングでは、TLS_RSA_WITH_AES_128_CBC_SHA 暗号スイートのみがサポートされます。
|
暗号スイート
SCCP ベースのシグナリングでは、TLS_RSA_WITH_AES_128_CBC_SHA 暗号スイートがサポートされます。
Cisco IOS XE Cupertino 17.7.1a 以降、次の NGE 暗号スイートもサポートされます。
これらの暗号スイートにより、STCAPP アナログ電話と SCCP DSPFarm 会議サービスの両方でセキュアな音声シグナリングが可能になります。暗号スイートの選択は、ゲートウェイと CUCM の間でネゴシエートされます。
NGE 暗号スイートを使用するには、次の前提条件が適用されます。
-
TLS 1.2 を設定します。詳細については、STC アプリケーションの TLS バージョンの設定を参照してください。
-
CUCM リリース 14.1 SU1 以降、および TLS 1.2 をサポートする音声ゲートウェイまたはプラットフォームを使用します。
-
CUCM Web UI から、[Cipher Management] に移動し、[CIPHER switch] を [NGE] として設定します。詳細については、「暗号管理」を参照してください。
暗号スイートの確認の詳細については、TLS バージョンと暗号スイートの確認を参照してください。
SRTP で暗号化されたメディアの場合、より高度な暗号スイート(AEAD-AES-128-GCM または AEAD-AES-256-GCM)を使用できます。これらの暗号スイートの選択は、セキュアなアナログ音声とハードウェア会議ブリッジ音声メディアの両方について、GW
と CUCM との間で自動的にネゴシエートされます。Authenticated Encryption with Associated Data(AEAD)暗号は、メッセージの完全性を検証する組み込みの SHA アルゴリズムを使用せずに機密性、完全性、および信頼性を同時に実現します。
サポートされるプラットフォーム
SCCP ゲートウェイ機能での TLS 1.2 サポートは、次のプラットフォームで使用できます。
STC アプリケーションの TLS バージョンの設定
STC アプリケーションの TLS バージョンを設定するには、次のタスクを実行します。
enable
configure terminal
stcapp security tls-version v1.2
exit
(注)
|
stcapp security tls コマンドは、TLS バージョンをv.1.0、v1.1、または v1.2 のみに設定します。明示的に設定されない場合は、デフォルトで TLS v1.0 が選択されます。
|
DSP ファームプロファイルに対するセキュアモードでの TLS バージョンの設定
DSP ファームプロファイルの TLS バージョンをセキュアモードで設定するには、次のタスクを実行します。enable
configure terminal
dspfarm profile 7 conference security
tls-version v1.2
exit
(注)
|
注意: tls コマンドは、セキュリティモードでのみ設定できます。
|
TLS バージョンと暗号スイートの確認
TLS バージョンと暗号スイートを確認するには、次のタスクを実行します。
# show dspfarm profile 100
Dspfarm Profile Configuration
Profile ID = 100, Service = CONFERENCING, Resource ID = 2
Profile Service Mode : secure
Trustpoint : Overlord_DSPFarm_GW
TLS Version : v1.2
TLS Cipher : ECDHE-RSA-AES256-GCM-SHA384
Profile Admin State : UP
Profile Operation State : ACTIVE
Application : SCCP Status : ASSOCIATED
Resource Provider : FLEX_DSPRM Status : UP
Total Number of Resources Configured : 10
Total Number of Resources Available : 10
Total Number of Resources Out of Service : 0
Total Number of Resources Active : 0
Maximum conference participants : 8
Codec Configuration: num_of_codecs:6
Codec : g711ulaw, Maximum Packetization Period : 30 , Transcoder: Not Required
Codec : g711alaw, Maximum Packetization Period : 30 , Transcoder: Not Required
Codec : g729ar8, Maximum Packetization Period : 60 , Transcoder: Not Required
Codec : g729abr8, Maximum Packetization Period : 60 , Transcoder: Not Required
Codec : g729r8, Maximum Packetization Period : 60 , Transcoder: Not Required
Codec : g729br8, Maximum Packetization Period : 60 , Transcoder: Not Required
STCAPP アプリケーションの TLS バージョンの確認
STCAPP アプリケーションの TLS バージョンを確認するには、次のタスクを実行します。
Device# show call application voice stcapp
App Status: Active
CCM Status: UP
CCM Group: 120
Registration Mode: CCM
Total Devices: 0
Total Calls in Progress: 0
Total Call Legs in Use: 0
ROH Timeout: 45
TLS Version: v1.2
# show stcapp dev voice 0/1/0
Port Identifier: 0/1/0
Device Type: ALG
Device Id: 585
Device Name: ANB3176C85F0080
Device Security Mode : Encrypted
TLS version : TLS version 1.2
TLS cipher : ECDHE-RSA-AES256-GCM-SHA384
Modem Capability: None
Device State: IS
Diagnostic: None
Directory Number: 80010
Dial Peer(s): 100
Dialtone after remote onhook feature: activated
Busytone after remote onhook feature: not activated
Last Event: STCAPP_CC_EV_CALL_MODIFY_DONE
Line State: ACTIVE
Line Mode: CALL_CONF
Hook State: OFFHOOK
mwi: DISABLE
vmwi: OFF
mwi config: Both
Privacy: Not configured
HG Status: Unknown
PLAR: DISABLE
Callback State: DISABLED
CWT Repetition Interval: 0 second(s) (no repetition)
Number of CCBs: 1
Global call info:
Total CCB count = 3
Total call leg count = 6
Call State for Connection 2 (ACTIVE): TsConnected
Connected Call Info:
Call Reference: 33535871
Call ID (DSP): 187
Local IP Addr: 198.51.100.2
Local IP Port: 8234
Remote IP Addr: 198.51.100.20
Remote IP Port: 8154
Calling Number: 80010
Called Number:
Codec: g711ulaw
SRTP: on
RX Cipher: AEAD_AES_256_GCM
TX Cipher: AEAD_AES_256_GCM
DSPfarm 接続の sRTP 暗号スイートを確認するには、次のタスクを実行します。
# show sccp connection detail
bridge-info(bid, cid) - Normal bridge information(Bridge id, Calleg id)
mmbridge-info(bid, cid) - Mixed mode bridge information(Bridge id, Calleg id)
sess_id conn_id call-id codec pkt-period dtmf_method type bridge-info(bid, cid) mmbridge-info(bid, cid) srtp_cryptosuite dscp
call_ref spid conn_id_tx
16778224 - 125 N/A N/A rfc2833_pthru confmsp All RTPSPI Callegs All MM-MSP Callegs N/A N/A
- - -
16778224 16777232 126 g711u 20 rfc2833_pthru s- rtpspi (101,125) N/A AEAD_AES_256_GCM 184
30751576 16777219 -
16778224 16777231 124 g711u 20 rfc2833_pthru s- rtpspi (100,125) N/A AEAD_AES_256_GCM 184
30751576 16777219 -
Total number of active session(s) 1, connection(s) 2, and callegs 3
コール情報の確認
フォワーディング プレーン インターフェイス(FPI)に保存されている TDM コールと IVR コールのコール情報を表示するには、showvoipfpi calls コマンドを使用します。コール ID を選択し、show voip fpi calls confID call_id_number コマンドを使用して暗号スイートを確認できます。次の例では、暗号スイート 6 は AES_256_GCM です。
#show voip fpi calls
Number of Calls : 2
---------- ---------- ---------- ----------- --------------- ---------------
confID correlator AcallID BcallID state event
---------- ---------- ---------- ----------- --------------- ---------------
1 1 87 88 ALLOCATED DETAIL_STAT_RSP
21 21 89 90 ALLOCATED DETAIL_STAT_RSP
#show voip fpi calls confID 1
---------------------------------------------------------------------------
VoIP-FPI call entry details:
---------------------------------------------------------------------------
Call Type : TDM_IP confID : 1
correlator : 1 call_state : ALLOCATED
last_event : DETAIL_STAT_RSP alloc_start_time : 1796860810
modify_start_time: 0 delete_start_time: 0
Media Type(SideA): SRTP cipher suite : 6
---------------------------------------------------------------------------
FPI State Machine Stats:
------------------------
create_req_call_entry_inserted : 1
………
表 1. SCCP ゲートウェイでの TLS 1.2 サポートの機能情報
機能名
|
リリース
|
機能情報
|
NGE 暗号スイートのサポート
|
Cisco IOS XE Cupertino 17.7.1a
|
この機能は、セキュアな音声シグナリングとセキュアなメディアでの NGE 暗号スイートをサポートします。これらの暗号スイートは、STCAPP アナログ電話と SCCP DSPFarm 会議サービスの両方に適用できます。
|