この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Unified Communications Manager システムにセキュリティ対策を実装すると、電話機や Cisco Unified Communications Manager サーバ ID の盗用、データ改ざん、コール シグナリング/メディア ストリーム改ざんを防止できます。
Cisco IP テレフォニー ネットワークでは、認証された通信ストリームを確立および維持し、ファイルを電話機に転送する前にそのファイルにデジタル署名して、Cisco Unified IP Phone 間のメディア ストリームとコール シグナリングを暗号化します。
次の表の定義は、Cisco IP テレフォニー ネットワークの認証、暗号化およびその他のセキュリティ機能を設定する際に適用されます。
Cisco CTL クライアントで使用されたユーザ名とパスワード( Cisco Unified Communications Manager サーバへのログイン用) は Cisco Unified Communications Manager Administration のユーザ名およびパスワード( Cisco Unified Communications Manager Administration へのログインに使用するユーザ名とパスワード)と一致する必要があります。
ボイスメール ポートのセキュリティを設定する前に、この Cisco Unified Communications Manager リリースをサポートする Cisco Unity または Cisco Unified Communications Manager のバージョンをインストールしていることを確認します。
Cisco Unified Communications Manager システムは、コール セキュリティに対してトランスポート層からアプリケーション層にかけてのマルチレイヤ アプローチを採用しています。
Transport Layer Security には、シグナリングの認証と暗号化のための TLS および IPSec が含まれ、音声ドメインへのアクセスの制御と防止が実現されます。SRTP によってメディアの認証と暗号化が付加され、音声会話と他のメディアのプライバシーと機密性が保護されます。
次の表は、機能のサポート状況と設定状況に応じた、SCCP コール セッションの間に Cisco Unified Communications Manager に実装可能な認証と暗号化機能についてのサマリです。
|
次の表は、機能のサポート状況と設定状況に応じた、SIP コール セッションの間に Cisco Unified Communications Manager に実装可能な認証と暗号化機能についてのサマリです。
TLS モード:認証済みまたは暗号化済み(Cisco Unified IP Phone 7940G/7960G を除く)。 |
||||
|
Cisco Unified Communications Manager は Cisco Unified Communications Manager サーバおよび発信に関連するデバイスのセキュリティ レベルに応じてコールのセキュリティ ステータスを提供します。
セキュリティ アイコンをサポートする電話機には、コールのセキュリティ レベルが表示されます。
電話機は、認証済みのシグナリング セキュリティ レベルでのコールに対してはシールド アイコンを表示します。シールドは Cisco IP デバイス間での secured connection (セキュリティで保護された接続、セキュアな接続)を特定します。これは、デバイスが認証済、または暗号化シグナリングであることを意味します。
電話機は、暗号化されたメディア コールのロック アイコンを表示します。これは、デバイスが暗号化シグナリングと暗号化メディアを使用していることを意味します。
(注) | 一部の電話機モデルでは、ロック アイコンのみが表示されます。 |
コールのセキュリティ ステータスは、ポイントツーポイント、クラスタ間およびクラスタ内、マルチホップ コールで変更されます。SCCP 回線、SIP 回線、およびコール セキュリティ ステータス の H.323 シグナリング サポート通知は参加しているエンドポイントに変更されます。セキュリティ アイコンに関連する制約については、セキュリティ アイコンおよび暗号化に関するトピックを参照してください。
コールの音声とビデオ部分がコールのセキュリティ ステータスのベースとなります。コールは、音声とビデオ部分の両方がセキュアである場合に限り、安全とみなされます。次の表は、セキュリティ アイコンが表示されるかどうか、どのアイコンが表示されるかを決定するルールについて説明します。
(注) | 「コールのセキュリティ ステータスを指定すると BFCP アプリケーション暗号化ステータスを上書き」サービス パラメータは、パラメータ値が True で音声が安全であると、ロック アイコンを表示します。この状態は、他のすべてのメディア チャネルのセキュリティ ステータスを無視します。デフォルト パラメータ値は False です。 |
ここでは、シスコのセキュリティ機能が Cisco Unified Communications Manager アプリケーションとどのように連携するかについて説明します。
SIP が実行されている電話やトランクにプレゼンス グループ認証を追加するには、プレゼンス グループを設定して、プレゼンス リクエストを認証済みユーザに限定します。
(注) |
プレゼンス グループ設定の詳細については、『Feature Configuration Guide for Cisco Unified Communications Manager』を参照してください。
SIP トランクでプレゼンス リクエストを許可するには、SIP トランクでのプレゼンス リクエストを許可するよう Cisco Unified Communications Manager を設定すると共に、必要な場合には、リモートデバイスやアプリケーションからの着信プレゼンス リクエストの受け入れと認証を行うよう Cisco Unified Communications Manager を設定します。
SIP で開始された転送機能、および SIP トランクでの Web 転送やクリック ツー ダイヤルといったその他転送関連の高度な機能を使用するには、着信アウトオブダイアログ REFER リクエストを受け入れるよう SIP トランクのセキュリティ プロファイルを設定します。
イベント レポート(MWI サポートなど)を提供する場合、およびコール前 MTP 割り当て(ボイス メッセージ サーバからなど)を減少させる場合は、未承諾通知 SIP リクエストを受け入れるよう SIP トランクのセキュリティ プロファイルを設定します。
Cisco Unified Communications Manager において、SIP トランクの外部コールの外部デバイスまたは外部パーティへの転送(在席転送の場合など)を許可するには、REFERS および INVITES でヘッダーを置換する SIP リクエストを受け入れるよう、SIP トランクのセキュリティ プロファイルを設定します。
エクステンション モビリティの場合、ユーザのログインとログアウトの際に SIP ダイジェスト クレデンシャルが変化します。異なるユーザには異なるクレデンシャルが設定されるためです。
Cisco Unified Communications Manager Assistant は、CAPF プロファイルを設定した場合に(各 Cisco Unified Communications Manager Assistant ノードに 1 つ)、CTI へのセキュアな接続をサポートします(Transport Layer Security 接続)。
CTI/JTAPI/TAPI アプリケーションの複数のインスタンスが実行されている場合、CTI TLS をサポートするには、CTI Manager と JTAPI/TSP/CTI アプリケーション間のシグナリングおよびメディア通信ストリームを保護するために、すべてのアプリケーション インスタンスに一意のインスタンス ID(IID)を設定する必要があります。
デバイス セキュリティ モードが認証済みまたは暗号化済みの場合、Cisco Unity-CM TSP は Cisco Unified Communications Manager TLS ポートを介して Cisco Unified Communications Manager に接続します。セキュリティ モードが非セキュアの場合、Cisco Unity TSP は CTI Manager ポートを介して Cisco Unified Communications Manager に接続します。
認証機能および暗号化機能をインストールして設定する前に、次の制限事項を考慮してください。
シグナリング暗号化またはメディア暗号化は、デバイス認証なしでは実装できません。デバイス認証をインストールするには、Cisco CTL Provider サービスを有効にしてから、Cisco CTL クライアントをインストールして設定します。
混合モードを設定している場合、Cisco Unified Communications Manager ではネットワーク アドレス変換(NAT)がサポートされません。
メディア ストリームのファイアウォール トラバーサルを許可するために、ファイアウォールで UDP を有効にできます。UDP を有効にすると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。
ヒント | ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。 |
シグナリング暗号化では、NAT トラバーサルがサポートされません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。
帯域幅の要件のため、Cisco Unified IP Phone 7940G と 7960G は、アクティブな暗号化されたコールでの暗号化されたデバイスからの割り込みをサポートしません。割り込みの試行は失敗します。発信側の電話機では、割り込みが失敗したことを示すトーンが再生されます。
リリース 8.2 以前のリリースを実行中の暗号化された Cisco Unified IP Phone は、認証済み参加者または非セキュア参加者としてのみアクティブな通話に割り込みできます。
発信者がセキュアな SCCP コールに割り込む場合、システムはターゲット デバイスで内部トーン再生メカニズムを使用し、ステータスはセキュアのままになります。
発信者がセキュアな SIP コールに割り込む場合、システムは保留トーンを再生し、トーンの間 Cisco Unified Communications Manager がコールを非セキュアとして分類します。
(注) | リリース 8.3 以降を実行中の、非セキュアまたは認証済み Cisco Unified IP Phone は、暗号化コールに割り込むことができます。電話会議のセキュリティ ステータスは、セキュリティ アイコンによって表示されます。 |
以下の情報は、暗号化のための設定を済ませ、ワイドバンド コーデック地域が割り当てられている Cisco Unified IP Phone 7960G および 7940G に適用するものです。TLS/SRTP 用に設定された Cisco Unified IP Phone 7940G および 7960G にのみ適用されます。
暗号化された通話を確立するため、Cisco Unified Communications Manager はワイドバンド コーデックを無視して、電話のコーデック リストからサポートされる別のコーデックを選択します。通話に参加する他のデバイスに暗号化用の設定ができていない場合は、Cisco Unified Communications Manager はワイドバンド コーデックを使用した、認証済のセキュアでない通話を確立することがあります。
Cisco Unified Communications Manager は、メディア リソースが使用されない場合、セキュアな Cisco Unified IP Phone(SCCP または SIP)セキュアな CTI デバイス/ルート ポイント、セキュアな Cisco MGCP IOS ゲートウェイ、セキュアな SIP トランク、セキュアな H.323 ゲートウェイ、セキュアな会議ブリッジ、およびセキュアな H.323/H.245/H.225 トランクの間での認証済みコールと暗号化コールをサポートしています。次のケースにおいて、Cisco Unified Communications Manager はメディア暗号化を提供しません。
詳細は、暗号化とこのバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified Communications Manager の『System Configuration Guide for Cisco Unified Communications Manager』を参照してください。
全ての電話が暗号化された設定ファイルをサポートするわけではありません。暗号化された設定ファイルをサポートしますが、署名を検証しない電話機もあります。Cisco Unified IP Phone 7905G と 7912G を除き、暗号化されたコンフィギュレーション ファイルをサポートするすべての電話が完全に暗号化されたコンフィギュレーション ファイルを受信するには Cisco Unified Communications Manager リリース 5.0 以降と互換性を持つファームウェアが必要です。Cisco Unified IP Phone 7905G と 7912G は既存のセキュリティ機構を使用し、この機能に新しいファームウェアを必要としません。
セキュリティ アイコンおよび暗号化には次の制約事項が適用されます。
暗号化ロック アイコンが電話の転送やコール保留時などのタスクを実行したときに電話に表示されない場合があります。MOH など、これらのタスクに関連付けられたメディア ストリームが暗号化されていないと、ステータスが暗号化から非セキュアに変更します。
Cisco Unified Communications Manager は、H.323 トランクを通過中のコールに対してはシールド アイコンを表示しません。
PSTN を含むコールでは、セキュリティ アイコンは、発信の IP ドメイン部分のみのセキュリティ ステータスを示します。
SIP トランクは TLS 転送タイプを使用すると、暗号化されている、または認証されていないセキュリティ ステータスを報告します。SRTP がネゴシエートされると、セキュリティ ステータスは暗号化されます。SRTP がネゴシエートされていない場合は認証されていないままです。これにより、 Cisco Unified Communications Manager のコール制御は、SIP トランクに関連するコールの全体的なセキュリティ レベルを特定できます。
SIP トランクは、ミートミー会議または C 割り込みなどの発生時にパーティが認証されると、認証された状態をトランク経由で報告します。(SIP トランクは依然 TLS/SRTP を使用します。)
安全なモニタリングと録音のため、SIP トランクは、既存の通話情報ヘッダー機能を使用して SIP 回線によって現在使用されている SIP トランクのセキュリティ アイコンの状態を送信します。これにより、SIP トランクのピアによるコールの全体的なセキュリティ ステータスのモニタが可能になります。
一部の電話機モデルでは、ロック アイコンしか表示されず、シールド アイコンが表示されません。
(注) | デバイス セキュリティ モードは、Cisco Unified IP Phone または SIP トランクのセキュリティ能力を設定します。クラスタ セキュリティ モードでは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。 |
クラスタ セキュリティ モードが非セキュアになると、デバイス セキュリティ モードは電話のコンフィギュレーション ファイルで非セキュアになります。このような状況では、デバイス セキュリティ モードに認証済みまたは暗号化済みが指定されていた場合でも、電話によって SRST 対応ゲートウェイや Cisco Unified Communications Manager との間に非セキュアの接続が作成されます。[SRST 許可(SRST Allowed)] チェックボックスなど、デバイス セキュリティ モード以外のセキュリティ関連の設定は無視されます。Cisco Unified Communications Manager Administration でセキュリティ設定が削除されることはありませんが、セキュリティは実現されません。
電話は、クラスタ セキュリティ モードが混合モードであり、電話コンフィギュレーション ファイルのデバイス セキュリティ モードが認証済みまたは暗号化済みに設定され、[トランク設定(Trunk Configuration)] ウィンドウで [SRST 許可(SRST Allowed?)] チェックボックスにマークが付いており、かつ電話コンフィギュレーション ファイルに有効な SRST 証明書が存在する場合にのみ、SRST 対応ゲートウェイへのセキュアな接続を試行します。
Cisco Unified Communications Manager では、SIP コールが 2 つ以上の独立したコール レッグとして定義されます。2 つの SIP デバイス間での標準の二者間通話の場合、2 つのコール レッグが存在します。1 つのレッグは発信元 SIP ユーザ エージェントと Cisco Unified Communications Manager の間(発信元コール レッグ)、もう 1 つのレッグは Cisco Unified Communications Manager と接続先 SIP ユーザ エージェントとの間です(終端コール レッグ)。各コール レッグが個別のダイアログを表します。ダイジェスト認証は、ポイントツーポイント プロセスであるため、各コール レッグでのダイジェスト認証はもう 1 つのコール レッグから独立しています。SRTP 機能は、ユーザ エージェント間でネゴシエートされる機能に応じて、コール レッグごとに変更できます。
SRTP 暗号化を実装すると、サードパーティのスニフィング ツールが機能しません。適切な認証で承認された管理者は Cisco Unified Communications Manager 管理者 で設定を変更することでパケット キャプチャを開始できます(パケット キャプチャをサポートしているデバイスの場合)。このリリースをサポートしている 『Troubleshooting Guide for Cisco Unified Communications Manager』 を参照し、Cisco Unified Communications Managerでのパケット キャプチャの構成に関する情報をご確認ください。
必ず安全なラボ環境でインストール作業および設定作業を実行してから、広範囲のネットワークに展開します。
リモート ロケーションにあるゲートウェイおよびその他のアプリケーション サーバに対して IPSec を使用します。
警告 | これらのインスタンスで IPSec を使用しないと、セッション暗号キーが暗号化されずに転送されます。 |
ここでは、Cisco Unified Serviceability でどのようなときにデバイスのリセット、サーバ/クラスタのリブート、サービスの再起動が必要になるかについて説明します。
Cisco CallManager サービスの再起動については、『Cisco Unified Serviceability Administration Guide』を参照してください。
電話の設定を更新した後に単一のデバイスをリセットするには、電話セキュリティ プロファイルの適用に関連したトピックを参照してください。
このセクションでは、デバイスのリセット、Cisco Unified Serviceability のサービスの再起動やサーバ/クラスタのリブートが必要となる場合について説明します。
作業を進める前にデバイスのリセット、サーバとクラスタのリブートとサービスの再起動に関するガイドラインを参照してください。
暗号化向けに設定された Cisco Unified IP Phone 7960G および 7940G に割り込みを設定しようとすると、次のメッセージが表示されます。
Cisco Unified IP Phone のモデル 7960 および 7940 に暗号化を設定する場合、暗号化されたコールに参加している間、それらの暗号化されたデバイスは割り込みリクエストを受け付けることができません。コールが暗号化されていると、割り込みの試行は失敗します。
Cisco Unified Communications Manager Administration で以下のタスクを実行すると、メッセージが表示されます。
CTL クライアントの [クラスタ セキュリティ モード(Cluster Security Mode)] パラメータを更新する。
[サービス パラメータ(Service Parameter)] ウィンドウの [組み込みブリッジ有効(Builtin Bridge Enable)] パラメータをアップデートする。
このメッセージは、暗号化されたセキュリティ プロファイルが Cisco Unified IP Phone 7960G および 7940G に設定され、[組み込みブリッジ(Built In Bridge)] 設定に [デフォルト(Default)](またはデフォルト同等設定)を選択した場合、[電話の設定(Phone Configuration)] ウィンドウに表示されません。それでも、同様の制限が適用されます。
ヒント | 変更を有効にするには、個々の Cisco IP デバイスをリセットする必要があります。 |
Cisco Unified Communications Manager をインストールすると、メディアおよびシグナリングの暗号化機能が自動的にインストールされます。
Cisco Unified Communications Manager によって、Cisco Unified Communications Manager 仮想ディレクトリ用のセキュア ソケット レイヤ(SSL)が自動的にインストールされます。
Cisco 認証局プロキシ機能(CAPF)では、Cisco Unified Communications Manager Administration の一部として自動的にインストールされます。
トランスポート セキュリティはデータのコーディング、パッキング、および送信を処理します。Cisco Unified Communications Manager は次の安全なトランスポート プロトコルを提供しています。
Transport Layer Security(TLS)はセキュア ポートと証明書交換を使用して、2 つのシステム間またはデバイス間の安全で信頼できるデータ転送を実現します。TLS は音声ドメインへのアクセスを防ぐために、Cisco Unified Communications Manager制御システム、デバイス、およびプロセス内の接続を保護および制御します。Cisco Unified Communications Manager は TLS を使用して SCCP を実行する電話機へのセキュアな SCCP 発信、および SIP を実行する電話機またはトランクへの SIP 発信を保護します。
IP Security(IPSec)は、 Cisco Unified Communications Manager とゲートウェイ間のセキュアで信頼できるデータ転送を実現します。IPSec は、Cisco IOS MGCP および H.323 ゲートウェイにシグナリング認証および暗号化を実装します。
TLS および IPSec転送サービスに SRTP をサポートするデバイスにおいて、次のセキュリティ レベルのセキュア RTP(SRTP)を追加できます。SRTP は Cisco Unified IP Phone から発信または終了した音声会話を保護するためにメディア ストリーム(音声パケット)を認証および暗号化し、TDM またはアナログ音声ゲートウェイ ポートが音声ドメインへのアクセスを得ようとする盗聴から保護されます。SRTP は、リプレイ攻撃に対する保護を追加します。
Cisco Unified Communications Manager 9.0 はデュアル モード スマートフォンの TLS/SRTP サポートを提供しています。TLS は携帯電話については IP 電話と同じセキュアで信頼できるデータ転送モードを設定し、SRTP は音声会話を暗号化します。
証明書は、クライアントとサーバの ID を保護します。ルート証明書がインストールされた後、証明書はルート信頼ストアに追加され、デバイスとアプリケーション ユーザとの間を含め、ユーザとホストの間の接続をセキュアにします。
管理者はサーバ証明書のフィンガープリントの参照、自己署名証明書の再生性、および信頼証明書の削除を Cisco Unified Communications Operating System GUI で実行できます。
管理者は、自己署名証明書の再生成と参照を CLI(コマンド ライン インターフェイス)でも行えます。
CallManager 信頼ストアの更新と証明書の管理の詳細については、この Cisco Unified Communications Manager リリースに対応した『Administration Guide for Cisco Unified Communications Manager』を参照してください。
(注) |
|
製造元でインストールされる証明書(MIC):Cisco Manufacturing はこの証明書をサポートされている電話機に自動的にインストールします。製造元でインストールされる証明書は LSC インストールの Cisco 認証局プロキシ機能(CAPF)を認証します。製造元でインストールされる証明書を上書きしたり、削除することはできません。
ローカルで有効な証明書(LSC):この証明書タイプは Cisco 認証局プロキシ機能(CAPF)に関連付けられた必要なタスクの実行後、電話機にインストールされます。LSC はセキュリティ モードを認証または暗号化に設定すると Cisco Unified Communications Manager と電話機間の接続を保護します。
CAPF 信頼ストアに残された MIC ルート証明書は、証明書のアップグレードに使用されます。CallManager 信頼ストアの更新および証明書の管理についての詳細は、このリリースに対応した『Administration Guide for Cisco Unified Communications Manager』を参照してください。
Cisco は次の自己署名(所有)証明書タイプを Cisco Unified Communications Manager サーバで使用します。
HTTPS 証明書(Tomcat):自己署名ルート証明書は、HTTPS サーバの Cisco Unified Communications Manager インストール時に生成されます。Cisco Unity Connection は、SMTP および IMAP サービスにこの証明書を使用します。
CallManager 証明書:自己署名ルート証明書は Cisco Unified Communications Manager サーバに Cisco Unified Communications Manager をインストールすると、自動的にインストールされます。
CAPF 証明書:Cisco CTL クライアントの設定が完了したら Cisco Unified Communications Manager のインストール時に生成されるこのルート証明書は、お使いのサーバまたはクラスタ内のすべてのサーバにコピーされます。
IPSec 証明書(ipsec_cert):自己署名ルート証明書は、MGCP および H.323 ゲートウェイとの IPSec 接続用の Cisco Unified Communications Manager のインストール時に生成されます。
SRST 対応ゲートウェイの証明書:安全な SRST 参照の Cisco Unified Communications Manager Administration 設定時に、 Cisco Unified Communications Manager は SRST 対応ゲートウェイの証明書をゲートウェイから取得し Cisco Unified Communications Manager データベースに保存します。デバイスをリセットすると、証明書は電話機の設定ファイルに追加されます。証明書はデータベースに格納されているため、この証明書を証明書の管理ツールで管理できません。
TVS 証明書:信頼検証サービス(TVS)をサポートする自己署名証明書です。
電話と VPN 間の信頼性証明書:このカテゴリを使用すると、 Cisco Unified IP Phone の VPN 証明書をインポートできます。これらの証明書は Midlet 信頼ストアに保存されます。
電話証明書信頼ストア(電話信頼):Cisco Unified Communications Manager はこの証明書タイプを使用して電話での HTTPS アクセスをサポートします。Cisco Unified Communications オペレーティング システム GUI を使用して証明書を電話の信頼ストアにアップロードできます。電話 CTL 信頼にある証明書は CTL ファイル機能により電話にダウンロードされ、 Cisco Unified IP Phoneからの安全な Web アクセス(HTTPS)をサポートします。電話機の信頼証明書はサーバに残り、電話機は TVS を介してこの証明書を要求できます。
Cisco Unified Communications Manager は次の証明書タイプを CallManager 信頼ストアにインポートします。
Cisco Unity サーバまたは Cisco Unity Connection 証明書:Cisco Unity および Cisco Unity Connection はこの自己署名ルート証明書を使用して Cisco Unity SCCP および Cisco Unity Connection SCCP デバイス証明書に署名します。Cisco Unityでは、 Cisco Unity Telephony Integration Manager(UTIM)がこの証明書を管理します。Cisco Unity Connectionでは、 Cisco Unity Connection Administration がこの証明書を管理します。
Cisco Unity および Cisco Unity Connection SCCP デバイス証明書:Cisco Unity および Cisco Unity Connection SCCP デバイスはこの署名付き証明書を使用して Cisco Unified Communications Managerとの TLS 接続を確立します。
証明書の名前はボイス メール サーバ名に基づく証明書のサブジェクト名のハッシュを表しています。すべてのデバイス(またはポート)が、ルート証明書をルートとする証明書を発行します。
SIP プロキシ サーバの証明書:CallManager 信頼ストアが SIP ユーザ エージェントの証明書を含み、SIP ユーザ エージェントが信頼ストアに Cisco Unified Communications Manager 証明書を含む場合、SIP トランク経由で接続する SIP ユーザ エージェントは Cisco Unified Communications Manager を認証します。
Cisco Unified Communications Manager は PKCS#10 証明書署名要求(CSR)の機能を利用してサード パーティ証明機関(CA)との統合をサポートします。これは Cisco Unified Communications Operating System 証明書マネージャ GUI でアクセス可能です。現在サードパーティ CA を使用しているユーザは Cisco CallManager、CAPF、IPSec、および Tomcat 証明書を発行するために CSR の機能を使用する必要があります。
(注) | マルチサーバ(SAN)CA 署名付き証明書を使用する際、マルチサーバ証明書は、パブリッシャにアップロードされる時点でクラスタに存在するノードのみに適用されます。したがって、ノードを再構築したり、クラスタに新しいノードを追加したりするたびに、新しいマルチサーバ証明書を生成して、クラスタにアップロードする必要があります。 |
システムを混合モードで実行すると、4096 以上のキー サイズの CA 証明書を受け入れないエンドポイントもあります。CA 証明書を混合モードで使用するには、次のいずれかのオプションを選択してください。
(注) | このリリースの Cisco Unified Communications Manager は SCEP インターフェイスをサポートしません。 |
サードパーティ製の、CA 署名付き証明書をプラットフォームにアップロードした後、CTL クライアントを実行して CTL ファイルを更新する必要があります。CTL クライアントの実行後、更新する適切なサービスを再起動します。たとえば、 Cisco Unified Communications Manager 証明書を更新するときは Cisco CallManager および Cisco TFTP サービスを再起動し、CAPF 証明書を更新するときは、CAPF を再起動します。
(注) | Cisco CallManager 証明書または CAPF 証明書をアップロードした後に、ITL ファイルをアップデートするために自動的に電話機がリセットされる場合があります。 |
プラットフォームでの証明書署名要求(CSR)の生成については、この Cisco Unified Communications Manager リリースに対応した『Administration Guide for Cisco Unified Communications Manager』を参照してください。
TFTP によるファイル操作(整合性)
電話機と Cisco Unified Communications Manager との間で行われる呼処理シグナリングの変更(認証)
XXX で定義している中間者攻撃(認証) 表 1
電話機およびサーバの ID 盗難(認証)
リプレイ アタック(ダイジェスト認証)
許可では、認証されたユーザ、サービス、またはアプリケーションが実行できるアクションを指定します。1 つのセッションで複数の認証方式と許可方式を実装できます。
このプロセスは、ファームウェア ロードで、電話へのロード前にバイナリ イメージによる改ざんを防止します。イメージが改ざんされると、電話の認証プロセスが失敗し、イメージは拒否されます。イメージ認証は、Cisco Unified Communications Manager インストール時に自動的にインストールされた、署名付きバイナリ ファイルによって実行されます。同様に、Web からダウンロードしたファームウェア アップデートにも、署名付きバイナリ イメージが用意されます。
このプロセスは、デバイスの ID を検証してエンティティが正当なものであることを確認するプロセスです。
デバイス認証は、Cisco Unified Communications Manager サーバと、サポート対象の Cisco Unified IP Phone、SIP トランク、または JTAPI/TAPI/CTI アプリケーション(サポートされている場合)との間で発生します。これらのエンティティ間での認証済み接続は、それぞれのエンティティが相手側エンティティの証明書を受け入れた場合にのみ発生します。相互認証が、相互証明書交換のこのプロセスを表しています。
デバイス認証は、Cisco CTL ファイルの作成(Cisco Unified Communications Manager サーバ ノードとアプリケーションの認証時)、および Certificate Authority Proxy Function(電話と JTAPI/TAPI/CTI アプリケーションの認証時)に依存します。
ヒント | SIP トランク経由で接続される SIP ユーザは、CallManager 信頼ストアに SIP ユーザ エージェント証明書が含まれ、SIP ユーザ エージェントの信頼ストアに Cisco Unified Communications Manager 証明書が含まれる場合に、Cisco Unified Communications Manager で認証されます。CallManager 信頼ストアの更新の詳細については、この Cisco Unified Communications Manager リリースに対応した『Administration Guide for Cisco Unified Communications Manager』を参照してください。 |
このプロセスは、コンフィギュレーション ファイル、リング リスト ファイル、ロケール ファイル、および CTL ファイルなど、電話によってダウンロードされる、デジタル署名されたファイルを検証します。ファイル作成後の改ざんが発生していないことを確認するため、電話によって署名が検証されます。サポートされるデバイスの一覧については、「Phone Model Support」を参照してください。
クラスタを混合モードに設定すると、リング リスト ファイル、ローカライズ ファイル、default.cnf.xml、リング リスト WAV ファイルなどのスタティック ファイルは TFTP サーバによって、.sgn フォーマットで署名されます。TFTP サーバは、ファイルのデータに発生した変更を検証するたびに、<device name>.cnf.xml フォーマットでファイルに署名します。
キャッシュが無効の場合、TFTP サーバは署名済みファイルをディスクに書き込みます。保存されたファイルが変更されたことが TFTP サーバによって確認された場合、TFTP サーバによってファイルが再度署名されます。ディスクの新しいファイルによって保存済みファイルが上書きされ、保存済みファイルは削除されます。電話が新しいファイルをダウンロードできるようになる前に、関連するデバイスを管理者が Cisco Unified Communications Manager Administration で再起動する必要があります。
電話では、ファイルが TFTP サーバから受信されると、署名の検証によってファイルの整合性が確認されます。電話で認証済み接続を確立するには、次の条件への適合を確認します。
シグナリング整合性とも呼ばれるこのプロセスは、TLS プロトコルを使用して、伝送中にシグナリング パケットが改ざんされていないことを検証します。
SIP トランクと電話のこのプロセスによって、Cisco Unified Communications Manager が Cisco Unified Communications Manager に接続されるデバイスのアイデンティティに対するチャレンジを実行できます。チャレンジが実施されると、デバイスはユーザ名とパスワードに類似したダイジェスト クレデンシャルを検証用に Cisco Unified Communications Manager に提出します。提出されたクレデンシャルがデータベース内に設定されたそのデバイスに対するクレデンシャルと一致した場合、ダイジェスト認証は成功となり、Cisco Unified Communications Manager によって SIP リクエストが処理されます。
(注) | クラスタ セキュリティ モードはダイジェスト認証に影響しないことに注意してください。 |
(注) | あるデバイスのダイジェスト認証を有効にすると、登録する一意のダイジェスト ユーザ ID とパスワードが要求されます。 |
電話ユーザやアプリケーション ユーザには、Cisco Unified Communications Manager データベースで SIP ダイジェスト クレデンシャルを設定します。
アプリケーションには、[アプリケーション ユーザ設定(Application User Configuration)] ウィンドウでダイジェスト クレデンシャルを指定します。
SIP を実行している電話には、[エンドユーザ(End User)] ウィンドウでダイジェスト認証用のクレデンシャルを指定します。ユーザを設定した後にクレデンシャルを電話と関連付けるには、[電話の設定(Phone Configuration)] ウィンドウで [ダイジェスト ユーザ(Digest User)](エンドユーザ)を選択します。電話をリセットした後、クレデンシャルは TFTP サーバからその電話に提供される電話コンフィギュレーション ファイル内に存在します。TFTP ダウンロードでダイジェスト クレデンシャルがクリアテキストで送信されないようにするには、暗号化された電話コンフィギュレーション ファイル設定に関連するトピックを参照してください。
SIP トランクで受信したチャレンジの場合、レルム ユーザ名(デバイスまたはアプリケーション ユーザ)およびダイジェスト クレデンシャルを指定する SIP レルムを設定します。
外部電話や SIP 実行中のトランクに対するダイジェスト認証を有効化してダイジェスト クレデンシャルを設定する場合、Cisco Unified Communications Manager によってユーザ名、パスワード、レルムのハッシュを含むクレデンシャルのチェックサムが計算されます。システムでは、MD5 ハッシュの計算に、乱数であるナンス値が使用されます。値は Cisco Unified Communications Manager によって暗号化され、ユーザ名とチェックサムがデータベースに保存されます。
チャレンジを開始するために、Cisco Unified Communications Manager では SIP 401(未認証)メッセージが使用されます。メッセージのヘッダーにはナンスとレルムが含まれています。ナンス有効期間は、電話またはトランクの SIP デバイス セキュリティ プロファイルで設定します。ナンス有効期間には、ナンス値が有効な時間を分単位で指定します。この時間が経過すると、その外部デバイスは Cisco Unified Communications Manager によって拒否され、新しい番号が生成されます。
ヒント | ダイジェスト認証では、整合性や機密性は提供されません。デバイスの整合性と機密性を確保するには、TLS をサポートするデバイスであれば、デバイスに TLS プロトコルを設定します。暗号化をサポートするデバイスであれば、デバイス セキュリティ モードを暗号化に設定します。暗号化電話コンフィギュレーション ファイルをサポートするデバイスであれば、ファイルに暗号化を設定します。 |
電話のダイジェスト認証を有効化すると、キープアライブ メッセージを除き、SIP を実行中の電話のすべてのリクエストに対して Cisco Unified Communications Manager はチャレンジを実施します。Cisco Unified Communications Manager は回線側電話からのチャレンジに応答しません。
応答を受信すると、Cisco Unified Communications Manager はデータベースに保存されたユーザ名のチェックサムを、応答ヘッダー内のクレデンシャルに対して検証します。
SIP を実行中の電話は Cisco Unified Communications Manager レルムに存在します。レルムはインストール時に Cisco Unified Communications Manager Administration で定義されます。電話へのチャレンジについて SIP レルムを設定するには、サービス パラメータ [SIP ステーション レルム(SIP Station Realm)] を使用します。各ダイジェスト ユーザには、レルムごとに 1 セットのダイジェスト クレデンシャルを設定できます。
ヒント | エンドユーザのダイジェスト認証を有効化しながら、ダイジェスト クレデンシャルを設定しない場合、電話の登録が失敗します。クラスタ モードが非セキュアであり、かつダイジェスト認証が有効化されダイジェスト クレデンシャルが設定されている場合、ダイジェスト クレデンシャルが電話に送信され、Cisco Unified Communications Manager は依然としてチャレンジを開始します。 |
トランクのダイジェスト認証を有効化すると、Cisco Unified Communications Manager は、SIP トランク経由で接続された SIP デバイスとアプリケーションからの SIP トランク リクエストに対してチャレンジを実施します。システムでは、チャレンジ メッセージ内で [クラスタ ID(Cluster ID)] エンタープライズ パラメータが使用されます。SIP トランクを介して接続する SIP ユーザ エージェントは、Unified Communications Manager Administration でデバイスまたはアプリケーションに設定された一意のダイジェスト クレデンシャルを使用して応答します。
Cisco Unified Communications Manager が SIP トランク リクエストを開始した場合、SIP トランクを介して接続された SIP ユーザ エージェントは Cisco Unified Communications Manager のアイデンティティにチャレンジを行えます。これらの着信チャレンジに対しては、SIP レルムを設定してリクエストされたクレデンシャルをユーザに提供します。Cisco Unified Communications Manager が SIP 401(未認証)または SIP 407(プロキシ認証必須)メッセージを受信した場合、Cisco Unified Communications Manager はトランクを介して接続するレルムおよびチャレンジ メッセージの指定するユーザ名の暗号化されたパスワードをルックアップします。Cisco Unified Communications Manager によってパスワードが復号され、ダイジェストが計算され、応答メッセージ内に表現されます。
ヒント | レルムは、xyz.com のように SIP トランクを介して接続される領域を表し、リクエストの送信元を判別するのに役立ちます。 |
SIP レルムを設定するには、SIP トランクのダイジェスト認証の関連項目を参照してください。Cisco Unified Communications Manager にチャレンジを行える SIP トランク ユーザ エージェントのそれぞれについて、Cisco Unified Communications Manager で SIP レルム、ユーザ名、パスワードを設定する必要があります。各ユーザ エージェントには、レルムごとに 1 セットのダイジェスト クレデンシャルを設定できます。
Cisco Unified Communications Manager では、許可プロセスを使用して、SIP が実行されている電話機、SIP トランク、および SIP トランクの SIP アプリケーション要求からのメッセージについて、特定のカテゴリを制限します。
SIP INVITE メッセージと in-dialog メッセージ、および SIP が実行されている電話機の場合、Cisco Unified Communications Manager では、コーリング サーチ スペースおよびパーティションによって許可を与えます。
電話機からの SIP SUBSCRIBE 要求の場合、Cisco Unified Communications Manager では、プレゼンス グループへのユーザ アクセスに許可を与えます。
SIP トランクの場合、Cisco Unified Communications Manager では、プレゼンス サブスクリプションおよび特定の非 INVITE SIP メッセージ(Out-of-Dialog REFER、Unsolicited NOTIFY、Replaces ヘッダー付き SIP 要求など)の許可を与えます。[SIP トランク セキュリティ プロファイルの設定(SIP Trunk Security Profile Configuration)] ウィンドウで、許可する SIP 要求をオンにする際に、許可を指定します。
SIP トランクのアプリケーションの許可を有効にするには、[SIP トランク セキュリティ プロファイル(SIP Trunk Security Profile)] ウィンドウで [アプリケーション レベル認証を有効化(Enable Application Level Authorization)] チェックボックスと [ダイジェスト認証を有効化(Enable Digest Authentication)] チェックボックスをオンにしてから、[アプリケーション ユーザの設定(Application User Configuration)] ウィンドウで許可する SIP 要求のチェックボックスをオンにします。
SIP トランクの許可とアプリケーション レベルの許可(認証)の両方を有効化した場合、最初に SIP トランクの許可が実行され、次に SIP アプリケーション ユーザの許可が実行されます。トランクの場合、Cisco Unified Communications Manager では、トランクのアクセス コントロール リスト(ACL)情報をダウンロードしてキャッシュします。ACL 情報は、着信 SIP 要求に適用されます。ACL で SIP 要求が許可されていない場合、コールは 403 Forbidden メッセージで失敗します。
ACL で SIP 要求が許可されている場合、Cisco Unified Communications Manager では、[SIP トランク セキュリティ プロファイル(SIP Trunk Security Profile)] でダイジェスト認証が有効になっているかどうかを確認します。 ダイジェスト認証が無効でアプリケーションレベルの許可(認証)も無効の場合、Cisco Unified Communications Manager では要求を処理します。ダイジェスト認証が有効な場合、Cisco Unified Communications Manager では、着信要求に認証ヘッダーが存在することを確認してから、ダイジェスト認証を使用して発信元アプリケーションを識別します。ヘッダーが存在しない場合、Cisco Unified Communications Manager では 401 メッセージでデバイスに対するチャレンジを行います。
アプリケーションレベルの ACL を適用する前に、Cisco Unified Communications Manager では、ダイジェスト認証で SIP トランク ユーザ エージェントを認証します。このため、アプリケーションレベルの許可(認証)を実行するには、事前に [SIP トランク セキュリティ プロファイル(SIP Trunk Security Profile)] でダイジェスト認証を有効にする必要があります。
ヒント | 暗号化機能は、Cisco Unified Communications Manager をサーバにインストールするときに自動的にインストールされます。 |
ここでは、Cisco Unified Communications Manager のサポートする暗号化のタイプについて説明します。
シグナリングの暗号化により、デバイスと Cisco Unified Communications Manager サーバ間で送信されるすべての SIP と SCCP シグナリング メッセージを暗号化することができます。
シグナリング暗号化によって、相手に関連する情報、相手が入力した DTMF 番号、通話の状態、メディア暗号キーなどの情報が意図しないアクセスや不正なアクセスから保護されることが保証されます。
混合モードのクラスタを設定している場合、シスコはCisco Unified Communications Managerでのネットワーク アドレス変換(NAT)をサポートしません。NAT はシグナリング暗号化を使用しません。
ファイアウォールで UDP ALG を有効にし、メディア ストリームによるファイアウォール トラバーサルを許可できます。UDP ALG を有効にすると、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールの信頼できる側のメディア ソースが双方向のメディア フローを開くことができます。
ヒント | ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。 |
シグナリング暗号化では、NAT トラバーサルがサポートされません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。
Secure Real-Time Protocol(SRTP)を使用するメディア暗号化により、確実に、サポートされるデバイス間で目的の受信者のみがメディア ストリームを解釈できるようになります。メディア暗号化には、デバイスのメディアのマスター キー ペアの作成、デバイスへのキー配布、キーが転送される間のキー配布のセキュリティ確保などが含まれます。Cisco Unified Communications Manager では、SIP トランクに加えて、主に IOS ゲートウェイ、ゲートキーパー制御および非ゲートキーパー制御の Cisco Unified Communications Manager H.323 トランク向けに SRTP がサポートされています。
デバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。1 つ以上のデバイスが SRTP をサポートしていない場合は、システムは RTP 接続を使用します。SRTP から RTP へのフォールバックは、セキュアなデバイスからセキュアではないデバイスへの転送、トランスコーディング、保留音などの場合に発生する可能性があります。
セキュリティ対応デバイスのほとんどにおいて、認証とシグナリング暗号化は、メディアを暗号化するための最小要件です。つまり、デバイスがシグナリング暗号化と認証をサポートしていない場合、メディア暗号化は行われません。Cisco IOS ゲートウェイおよびトランクでは、認証なしのメディア暗号化がサポートされています。SRTP 機能(メディア暗号化)を有効にする場合、Cisco IOS ゲートウェイおよびトランクに IPSec を設定する必要があります。
次の例は、SCCP および MGCP コールのメディア暗号化を示します。
デバイス A とデバイス B は、メディアの暗号化と認証をサポートしており、Cisco Unified Communications Manager で登録します。
デバイス A がデバイス B に対して発信すると、Cisco Unified Communications Manager はキー マネージャ機能から 2 セットのメディア セッション マスター値を要求します。
両方のデバイスが、デバイス A からデバイス B へのメディア ストリーム用のセットと、デバイス B からデバイス A へのメディア ストリーム用のセットの 2 セットを受け取ります。
マスター値の最初のセットを使用して、デバイス A はデバイス A からデバイス B へのメディア ストリームの暗号化と認証のためのキーを導出します。
マスター値の 2 番目のセットを使用して、デバイス A はデバイス B からデバイス A へのメディア ストリームの認証と復号のためのキーを導出します。
デバイス B は反対の操作手順でこれらの設定を使用します。
キーを受信した後、デバイスは必要なキー導出を実行し、SRTP パケット処理が行われます。
(注) | SIP および H.323 トランク/ゲートウェイを実行している電話は、独自の暗号パラメータを生成し、Cisco Unified Communications Manager に送信します。 |
Cisco Unified Communications Manager は、ダイジェスト クレデンシャルや管理者パスワードといった機密データを、TFTP サーバからの設定ファイル ダウンロードの形で電話にプッシュします。
Cisco Unified Communications Manager において、データベース内では可逆暗号化を使用してこれらのクレデンシャルがセキュアにされています。ダウンロード プロセス中のデータを保護するため、このオプションをサポートするすべての Cisco Unified IP Phone において、暗号化されたコンフィギュレーション ファイルを設定することを推奨します。このオプションが有効にされると、デバイス コンフィギュレーション ファイルだけがダウンロード用に暗号化されます。
(注) | 状況によっては、機密データの電話へのダウンロードにクリア テキストを選択することもできます。たとえば、電話のトラブルシュートや自動登録などの場合が考えられます。 |
Cisco Unified Communications Manager は、暗号化キーを符号化してデータベースに保存します。TFTP サーバでは、対称暗号化キーを使用してコンフィギュレーション ファイルの暗号化と復号が行われます。
電話に PKI 機能がある場合、Cisco Unified Communications Manager では電話の公開キーを使用して電話のコンフィギュレーション ファイルを暗号化できます。
電話に PKI 機能がない場合、Cisco Unified Communications Manager と電話に一意の対称キーを設定する必要があります。
コンフィギュレーション ファイルの暗号化は、Cisco Unified Communications Manager Administration の [電話セキュリティ プロファイル(Phone Security Profile)] ウィンドウで有効化し、その後 [電話の設定(Phone Configuration)] ウィンドウで電話に適用します。
任意の Windows または Linux プラットフォームにNetwork Mapper(NMAP)スキャン プログラムを実行して、脆弱性スキャンを実行できます。NMAP はネットワーク調査やセキュリティ監査を行う、無料のオープン ソースのユーティリティです。
(注) | NMAP DP スキャンは、完了までに最大 18 時間かかります。 |
nmap -n -vv -sU -p <port_range> <ccm_ip_address>
-n:DNS 解決なし。見つかったアクティブ IP アドレスに対して逆向き DNS解決を行わないよう NMAP に支持します。NMAP のパラレル スタブ リゾルバを使用した場合でも DNS は遅くなる可能性があるため、このオプションによってスキャン時間を削減できます。
-v:出力をより詳細にし、進行中のスキャンについて NMAP がより詳細な情報を印字するようにします。システムは見つかったオープン ポートを表示し、スキャンに数分以上かかると NMAP が見積もった場合には完了までにかかる時間を表示します。このオプションを使うと、詳細度が 2 倍以上になります。
-p:スキャンし、デフォルトをオーバーライドするポートを指定します。個々のポート番号に加えて、ハイフンで区切られた範囲(たとえば 1-1023)も使用できることにご注意ください。
ccm_ip_address:Cisco Unified Communications Manager の IP アドレス。
次の手順は、認証および暗号化を実装するために必要なすべての手順を示します。指定されたセキュリティ機能のために実行が必要なタスクを含む章の参考資料については、関連項目を参照してください。
関連する Cisco IP テレフォニー アプリケーション、および製品に関する詳細については、次のドキュメントを参照してください。
『System Configuration Guide for Cisco Unified Communications Manager』
『Administration Guide for Cisco Unified Communications Manager』
『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』
『Cisco Unified Communications Manager Integration Guide for Cisco Unity』
『Cisco Unified Communications Manager Integration Guide for Cisco Unity Connection』
『Cisco Unified Survivable Remote Site Telephony (SRST) administration documentation that supports the SRST-enabled gateway』
『Administration Guide for Cisco Unified Communications Manager』
『Cisco Unified Communications Manager Bulk Administration Guide』
『Troubleshooting Guide for Cisco Unified Communications Manager』
ご使用の電話機モデルをサポートしているファームウェア リリース ノート