この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Unified Communications Manager は MGCP SRTP パッケージを使用するゲートウェイをサポートしています。ゲートウェイはこれを使用してセキュアな RTP 接続を介したパケットの暗号化と復号を行います。コール セットアップの間に交換される情報によって、ゲートウェイがコールに SRTP を使用するかどうかが決定されます。デバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。1 つ以上のデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバック(またはその逆)は、安全なデバイスから安全ではないデバイスへの転送、会議、トランスコーディング、保留音などの場合に発生する可能性があります。
システムによって 2 つのデバイス間に SRTP コールがセットアップされると、Cisco Unified Communications Manager によってセキュアなコール用のマスター暗号化キーとソルトが生成され、SRTP ストリーム用のみゲートウェイに送信されます。ゲートウェイでは SRTCP ストリームのキーとソルトもサポートされていますが、Cisco Unified Communications Manager では送信されません。これらのキーは、MGCP シグナリング パスを介してゲートウェイに送信されます。このパスは IPSec を使用して保護する必要があります。Cisco Unified Communications Manager では IPSec 接続の有無が認識されませんが、IPSec が設定されていないとシステムではセッションキーがクリア テキストでセッションに送信されます。セッション キーがセキュアな接続を介して送信されるよう、IPSec 接続が存在することを確認します。
セキュリティがサポートされた H.323 ゲートウェイおよび H.225/H.323/H.245 トランクによって制御されるゲートキーパーまたは非ゲートキーパーは、Cisco Unified Communications Operating System で IPSec アソシエーション関連付けを設定した場合、Cisco Unified Communications Manager に認証できます。Cisco Unified Communications Manager とこれらのデバイスの間での IPSec アソシエーション作成については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
H.323、H.225、および H.245 デバイスでは暗号キーが生成されます。これらのキーは、シグナリング パスを介して Cisco Unified Communications Manager に送信されます。このパスは IPSec を使用して保護する必要があります。Cisco Unified Communications Manager では IPSec 接続の有無が認識されませんが、IPSec が設定されていない場合、セッションキーがクリア テキストでセッションに送信されます。セッション キーがセキュアな接続を介して送信されるよう、IPSec 接続が存在することを確認します。
IPSec アソシエーションの設定に加えて、Cisco Unified Communications Manager Administration のデバイス設定ウィンドウにある [SRTP 許可(SRTP Allowed)] チェックボックスにマークを付ける必要があります。これは H.323 ゲートウェイ、H.225 トランク(ゲートキーパー制御)、クラスタ間トランク(ゲートキーパー制御)、およびクラスタ間トランク(非ゲートキーパー制御)の設定ウィンドウなどに存在します。このチェックボックスにマークを付けない場合、Cisco Unified Communications Manager は RTP を使用してデバイスと通信します。このチェックボックスにマークを付ける場合、Cisco Unified Communications Manager は SRTP がデバイスに設定されているかに応じてセキュア コールと非セキュア コールの両方を許可します。
システムが安全なメディアまたはシグナリング パスを確立でき、さらにデバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。システムが安全なメディアまたはシグナリング パスを確立できないか、1 つ以上のデバイスが SRTP をサポートしない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバック(またはその逆)は、安全なデバイスから安全ではないデバイスへの転送、会議、トランスコーディング、保留音などの場合に発生する可能性があります。
Cisco Unified Communications Manager は、2 つのエンドポイントがセキュアなメディア チャネルを確立できるよう、2 つの H.235 エンドポイント間で一部のタイプのゲートウェイやトランクが共有秘密(Diffie-Hellman キー)を透過的にパススルーすることを許可します。
H.235 データのパススルーを有効化するには、次のトランクおよびゲートウェイの構成時の設定で、[H.235 パススルー許可(H.235 pass through allowed)] チェックボックスにマークを付けます。
トランクとゲートウェイの設定の詳細については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
SIPトランクは、シグナリングとメディア両方のセキュア コールをサポートします。TLSは、シグナリング暗号化を提供し、SRTP はメディア暗号化を提供します。
トランクのシグナリング暗号化を設定するには、SIP トランク セキュリティ プロファイルを設定する際に次のオプションを選択します( )。
[デバイス セキュリティ モード(Device Security Mode)] ドロップダウン リストから、[暗号化済(Encrypted)] を選択します。
[受信転送タイプ(Incoming Transport Type)] ドロップダウン リストから、[TLS] を選択します。
[発信転送タイプ(Outgoing Transport Type)] ドロップダウン リストから、[TLS] を選択します。
SIP トランク セキュリティ プロファイルを設定した後、プロファイルをトランクに適用します( 設定ウィンドウ)。
トランクに対してメディア暗号化を設定するには、[SRTP を許可(SRTP Allowed)] チェック ボックスをオンにします([デバイス(Device)] > [トランク(Trunk)] > [SIP トランク(SIP Trunk)] 設定ウィンドウも同様です)。
この文書は Cisco IOS MGCP ゲートウェイでセキュリティを設定する方法について説明しているマニュアル『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』とともに使用してください。
ここでは、IPSec の設定方法については説明しません。代わりに、ネットワーク インフラストラクチャで IPSec を設定する際の考慮事項と推奨事項について記載されています。Cisco Unified Communications Manager とデバイスの間ではなく、ネットワーク インフラストラクチャ内に IPSec を設定する予定の場合、IPSec の設定前に次の情報を確認してください。
Cisco Unified Communications Manager 自体ではなく、インフラストラクチャの中で IPSec をプロビジョニングすることを推奨します。
IPSec を設定する前に、既存の IPSec や VPN接続、プラットフォームの CPU への影響、帯域幅への影響、ジッタや遅延などのパフォーマンス メトリックについて考慮します。
『Voice and Video Enabled IPSec Virtual Private Networks Solution Reference Network Design Guide』を参照します。
『Cisco IOS Security Configuration Guide, Release 12.2』(またはそれ以降)を参照します。
IPSec 接続のリモート エンドをセキュアな Cisco IOS MGCP ゲートウェイで終端します。
テレフォニー サーバが存在するネットワークの信頼できる範囲内のネットワーク デバイスでホストを終端します(ファイアウォール、アクセス コントロール リスト(ACL)、または他のレイヤ 3 デバイスなど)。
ホスト側 IPSec 接続の終端に使用する機器は、ゲートウェイの数とそれらのゲートウェイに予想されるコールの量とによって決まります。たとえば、Cisco VPN 3000 シリーズ Concentrators、Catalyst 6500 IPSec VPN サービス モジュール、Cisco サービス統合型ルータなどがあります。
関連項目に指定された順序で手順を実行し、セキュアなゲートウェイとトランクを設定します。
注意 | IPSec 接続の設定に失敗した場合、および接続がアクティブかどうかの確認に失敗した場合、メディア ストリームのプライバシーが漏洩する可能性があります。 |
Cisco Unified Communications Manager と、この章で説明されているゲートウェイやトランクとの間の IPSec の設定に関する情報については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
[SRTP を許可(SRTP Allowed)] チェックボックスは [Cisco Unified Communications Manager の管理(Cisco Unified Communications Manager Administration)] の以下の設定ウィンドウで表示されます。
H.323 ゲートウェイ、ゲートキーパー制御または非ゲートキーパー制御の H.323/H.245/H.225 トランク、SIP トランクの [SRTP を許可(SRTP Allowed)] チェックボックスを設定するには、次の手順を実行します。
ステップ 1 | 『Administration Guide for Cisco Unified Communications Manager』の説明に従って、ゲートウェイまたはトランクを検索します。 | ||
ステップ 2 | ゲートウェイまたはトランクの設定ウィンドウを開いた後、[SRTP を許可(SRTP Allowed)] チェックボックスをオンにします。
| ||
ステップ 3 | [保存(Save)] をクリックします。 | ||
ステップ 4 | デバイスをリセットするには、[リセット(Reset)] をクリックします。 | ||
ステップ 5 | IPSec が H323 向けに正しく設定されたことを確認します。(SIP の場合は、TLS が正しく設定されたことを確認してください。) |