この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Unified Communications Manager は MGCP SRTP パッケージを使用するゲートウェイをサポートしています。ゲートウェイはこれを使用してセキュアな RTP 接続を介したパケットの暗号化と復号を行います。コール セットアップの間に交換される情報によって、ゲートウェイがコールに SRTP を使用するかどうかが決定されます。デバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。1 つ以上のデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバック(またはその逆)は、安全なデバイスから安全ではないデバイスへの転送、会議、トランスコーディング、保留音などの場合に発生する可能性があります。
システムによって 2 つのデバイス間に SRTP コールがセットアップされると、Cisco Unified Communications Manager によってセキュアなコール用のマスター暗号化キーとソルトが生成され、SRTP ストリーム用のみゲートウェイに送信されます。ゲートウェイでは SRTCP ストリームのキーとソルトもサポートされていますが、Cisco Unified Communications Manager では送信されません。これらのキーは、MGCP シグナリング パスを介してゲートウェイに送信されます。このパスは IPSec を使用して保護する必要があります。Cisco Unified Communications Manager では IPSec 接続の有無が認識されませんが、IPSec が設定されていないとシステムではセッションキーがクリア テキストでセッションに送信されます。セッション キーがセキュアな接続を介して送信されるよう、IPSec 接続が存在することを確認します。
セキュリティをサポートする H.323 ゲートウェイおよびゲートキーパー、または非ゲートキーパー制御の H.225/H.323/H.245 トランクは、Cisco Unified Communications Operating System で IPSec アソシエーションを設定した場合、Cisco Unified Communications Manager に対して認証できます。Cisco Unified Communications Manager とこれらのデバイスの間での IPSec アソシエーション作成については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
H.323、H.225、および H.245 デバイスでは暗号キーが生成されます。これらのキーは、IPSec で保護されたシグナリング パスを介して Cisco Unified Communications Manager に送信されます。Cisco Unified Communications Manager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、セッション キーは暗号化されずに送信されます。セッション キーがセキュアな接続を介して送信されるよう、IPSec 接続が存在することを確認します。
IPSec アソシエーションの設定に加えて、[Cisco Unified Communications Manager Administration] のデバイス設定ウィンドウにある [SRTP Allowed] チェックボックスをオンにする必要があります。たとえば H.323 ゲートウェイ、H.225 トランク(ゲートキーパー制御)、クラスタ間トランク(ゲートキーパー制御)、およびクラスタ間トランク(非ゲートキーパー制御)などの設定ウィンドウがあります。このチェックボックスをオンにしない場合、Cisco Unified Communications Manager は RTP を使用してデバイスと通信します。このチェックボックスをオンにする場合、Cisco Unified Communications Manager は SRTP がデバイスに対して設定されているかどうかに応じて、セキュア コールと非セキュア コールを許可します。
セキュア メディア パスまたはセキュア シグナリング パスを確立でき、デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。セキュア メディア パスまたはセキュア シグナリング パスを確立できないか、1 つ以上のデバイスが SRTP をサポートしない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバック(またはその逆)は、安全なデバイスから安全ではないデバイスへの転送、会議、トランスコーディング、保留音などの場合に発生する可能性があります。
Cisco Unified Communications Manager の一部の種類のゲートウェイおよびトランクでは、共有秘密キー(Diffie-Hellman キー)やその他の H.235 データを 2 つの H.235 エンドポイント間で透過的にパススルーさせることができます。このため、これら 2 つのエンドポイントではセキュア メディア チャネルを確立できます。
H.235 データのパススルーを有効にするには、次のトランクおよびゲートウェイの設定で、[H.235 pass through allowed] チェックボックスをオンにします。
トランクとゲートウェイの設定の詳細については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
SIP トランクは、シグナリングとメディア両方のセキュア コールをサポートできます。TLS がシグナリング暗号化を提供し、SRTP がメディア暗号化を提供します。
トランクのシグナリング暗号化を設定するには、SIP トランク セキュリティ プロファイルを設定する際に次のオプションを選択します( )。
[Device Security Mode] ドロップダウン リストから [Encrypted] を選択します。
[Incoming Transport Type] ドロップダウン リストから [TLS] を選択します。
[Outgoing Transport Type] ドロップダウン リストから [TLS] を選択します。
SIP トランク セキュリティ プロファイルを設定した後、プロファイルをトランクに適用します( 設定ウィンドウ)。
トランクに対してメディア暗号化を設定するには、[SRTP Allowed] チェック ボックスをオンにします([Device] > [Trunk] > [SIP Trunk] 設定ウィンドウも同様です)。
この手順は、Cisco IOS MGCP ゲートウェイでセキュリティを設定する方法について説明しているマニュアル『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』とともに使用してください。
ここでは、IPSec の設定方法については説明しません。代わりに、ネットワーク インフラストラクチャで IPSec を設定する際の考慮事項と推奨事項について記載されています。ネットワーク インフラストラクチャ内で IPSec を設定する予定であり、Cisco Unified Communications Manager とデバイスの間では設定しない場合、IPSec の設定前に次の情報を検討してください。
Cisco Unified Communications Manager 自体ではなく、インフラストラクチャの中で IPSec をプロビジョニングすることを推奨します。
IPSec を設定する前に、既存の IPSec 接続または VPN 接続、プラットフォームの CPU への影響、帯域幅への影響、ジッタや遅延などのパフォーマンス メトリックについて考慮します。
『Voice and Video Enabled IPSec Virtual Private Networks Solution Reference Network Design Guide』を参照します。
『Cisco IOS Security Configuration Guide, Release 12.2』(またはそれ以降)を参照します。
IPSec 接続のリモート エンドをセキュアな Cisco IOS MGCP ゲートウェイで終端します。
テレフォニー サーバが存在するネットワークの信頼されている領域内のネットワーク デバイスでホストを終端します(ファイアウォールの背後、アクセス コントロール リスト(ACL)またはその他のレイヤ 3 デバイスなど)。
ホスト側 IPSec 接続の終端に使用する機器は、ゲートウェイの数とそれらのゲートウェイに予想されるコールの量とによって決まります。たとえば、Cisco VPN 3000 シリーズ コンセントレータ、Catalyst 6500 IPSec VPN サービス モジュール、Cisco サービス統合型ルータなどがあります。
セキュアなゲートウェイとトランクの設定の関連項目で指定されている順序で、手順を実行します。
注意 | IPSec 接続を設定してその接続がアクティブであることを確認しないと、メディア ストリームのプライバシーが損なわれる可能性があります。 |
Cisco Unified Communications Manager と、この章で説明されているゲートウェイやトランクとの間の IPSec の設定に関する情報については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
[SRTP Allowed] チェックボックスは [Cisco Unified Communications Manager Administration] の以下の設定ウィンドウで表示されます。
H.323 ゲートウェイ、ゲートキーパー制御または非ゲートキーパー制御の H.323/H.245/H.225 トランク、SIP トランクの [SRTP Allowed] チェックボックスを設定するには、次の手順を実行します。
ステップ 1 | 『Administration Guide for Cisco Unified Communications Manager』の説明に従って、ゲートウェイまたはトランクを検索します。 | ||
ステップ 2 | ゲートウェイまたはトランクの設定ウィンドウを開いた後、[SRTP Allowed] チェックボックスをオンにします。
| ||
ステップ 3 | [Save] をクリックします。 | ||
ステップ 4 | デバイスをリセットするには、[Reset] をクリックします。 | ||
ステップ 5 | IPSec が H323 向けに正しく設定されたことを確認します。(SIP の場合は、TLS が正しく設定されたことを確認してください。) |