TFTP 暗号化

TFTP 暗号化構成ファイルの概要

TFTP 設定は、登録プロセス中に電話機が TFTP サーバからダウンロードする設定ファイルを暗号化することにより、デバイス登録中のデータを保護します。 このファイルには、ユーザ名、パスワード、IP アドレス、ポートの詳細、電話の SSH 資格情報などの機密情報が含まれています。 この機能が構成されていない場合、構成ファイルはクリアテキストで送信されます。 この機能を展開することで、登録プロセス中に攻撃者がこの情報を傍受することはできません。 この情報は暗号化されず、クリアテキストで送信されます。 そのため、データを保護するために TFTP 設定ファイルを暗号化することを推奨します。

警告

SIP 電話のダイジェスト認証オプションを有効にして、TFTP 暗号化構成オプションを無効にしている場合、ダイジェスト認証情報はクリアテキストで送信されます。

TFTP 構成後、TFTP サーバは次のことを行います。

  • ディスク上のすべてのクリアテキスト構成ファイルを削除します

  • 構成ファイルの暗号化バージョンを生成します。

電話が暗号化された電話構成ファイルをサポートし、電話構成ファイルの暗号化のタスクを実行した場合、電話は暗号化バージョンの構成ファイルを要求します。

一部の電話は暗号化された電話構成ファイルをサポートしていません。 電話のモデルとプロトコルによって、システムが構成ファイルを暗号化するために使用する方法が決まります。 暗号化された構成ファイルをサポートする機能とファームウェアのロード Unified Communications Manager に依存する、サポートされている方法です。 電話ファームウェアのロードを、暗号化された構成ファイルをサポートしないバージョンにダウングレードすると、TFTP サーバは最小限の構成設定を提供する暗号化されていない構成ファイルを提供します。その結果、電話が期待通りに動作しない可能性があります。

暗号化キーの配布

キー情報のプライバシーを確実に維持するために、暗号化された電話設定ファイルに関連するタスクはセキュアな環境で実行することを推奨します。

Unified Communications Manager は次のメソッドをサポートしています

  • 手動キー配布。

  • 電話の公開鍵による対称鍵暗号化。

手動鍵配布および電話の公開鍵を使用した対称鍵暗号化の設定情報は、Cisco Unified CM Administration ユーザーインターフェイスで TFTP 暗号化設定オプションを有効にしたことを前提としています。

TFTP 暗号化構成ファイルのヒント

TFTP 暗号化構成ファイルを有効にして、電話ダウンロードの機密データを保護することをお勧めします。 PKI 機能のない電話の場合は、Unified Communications Manager Administration と電話で対称キーを設定する必要があります。 電話または Unified Communications Manager から対称キーが見つからない、またはTFTP暗号化構成ファイルが設定されているときに不一致が発生する場合、電話は登録できません。

Unified Communications Managerで暗号化構成ファイルを構成する場合は、次の情報を考慮してください:

  • 暗号化構成ファイルに対応する電話のみが 電話セキュリティプロファイル設定 ページの TFTP暗号化設定 チェックボックスを表示します。 Cisco Unified IP 電話7800、7942、および 7962 (SCCP のみ) の暗号化構成ファイルを構成することはできません。これらの電話はダウンロードされた構成ファイルで機密データを受信しないためです。

  • TFTP 暗号化設定 チェックボックスはデフォルトでオフになっています。 このデフォルト設定を適用すると、電話に非セキュア プロファイル、ダイジェスト クレデンシャル、およびセキュア パスワードがクリアテキストで送信されます。

  • 公開鍵暗号化を使用する Cisco Unified IP 電話では、暗号化された構成ファイルを有効にするために、端末セキュリティモードを認証済みまたは暗号化済みに設定する必要はありません。 Unified Communications Manager は登録時に公開鍵をダウンロードするCAPFプロセスを使用します。 Unified Communications Manager

  • 使用中の環境が安全であることがわかっている場合、または PKI が有効になっていない電話に対称キーを手動で構成することを避けるために、暗号化されていない構成ファイルを電話にダウンロードすることを選択できます。 ただし、この方法の使用はお勧めしません。

  • Cisco Unified IP 電話7800、7942、7962 (SIP のみ) については、ダイジェスト証明書を電話機に送信する方法を提供します。暗号化設定を使用するより簡単ですが、安全性は劣ります。 Unified Communications Manager [構成ファイルからダイジェスト資格情報を除外する] 設定を使用するこの方法は、最初に対称キーを構成して電話に入力する必要がないため、ダイジェスト資格情報を初期化する場合に便利です。 この方法では、ダイジェスト クレデンシャルを非暗号化設定ファイルで電話機に送信します。 資格情報を電話に入力したら、[電話セキュリティプロファイルの設定(Phone Security Profile Configuration)] ページで、[TFTP 暗号化設定(TFTP Encrypted Config)] オプションを無効にしてから、[設定ファイルからダイジェスト証明書を除外する(Exclude Digest Credential in Configuration File)] オプションを有効にすることをお勧めします。 これにより、今後のダウンロードからダイジェスト認証情報が除外されます。

  • ダイジェスト クレデンシャルがこれらの電話に存在し、受信ファイルにダイジェスト クレデンシャルが含まれていない場合、既存のクレデンシャルがそのまま残ります。 ダイジェストの資格情報は、電話が工場出荷時の設定にリセットされるか、新しい資格情報 (空白を含む) が受信されるまで、そのまま残ります。 電話機またはエンドユーザーのダイジェスト資格情報を変更する場合は、対応する [電話機セキュリティプロファイル情報(Phone Security Profile Information)] ページの 設定ファイルから [ダイジェスト資格情報を除外する(Exclude Digest Credential in Configuration File)] を一時的に無効にして、新しいダイジェスト資格情報を電話にダウンロードします。

電話設定ファイルの暗号化タスク フロー

TFTP 構成ファイルの暗号化をセットアップするには、クラスタ内の電話が手動キー暗号化と公開キー暗号化をサポートしていることを確認し、電話が SHA-1 および SHA-512 をサポートしていることを確認したら、次のタスクを完了します。


(注)  
クラスター全体で SHA-512 を有効にした場合で、電話がサポートしていない場合、これらの電話は機能しません。

手順

  コマンドまたはアクション 目的

ステップ 1

TFTP 暗号化を有効にする

電話の TFTP 構成ファイル オプションを有効にします。 電話セキュリティ プロファイルでこのオプションを有効にできます。

ステップ 2

SHA-512 署名アルゴリズムの設定

TFTP ファイル暗号化が有効な場合、デフォルトで SHA-1 が署名アルゴリズムとして構成されます。 この手順でシステムを更新し、より強力な SHA-512 アルゴリズムを使用します。

ステップ 3

LSC または MIC 証明書のインストールを確認する

公開キーを使用する電話の場合、証明書のインストールを確認します。

ステップ 4

CTL ファイルの更新

TFTP 構成ファイルの更新が完了したら、CTL ファイルを再生成します。

ステップ 5

サービスの再起動

Cisco CallManager および Cisco TFTP サービスを再起動してください。

ステップ 6

電話をリセット

暗号化 TFTP 構成ファイルの更新が完了したら、電話をリセットします。

TFTP 暗号化を有効にする

特定の電話モデルの電話セキュリティ プロファイル内でこの TFTP を有効にできます。 この手順を実行して TFTP サーバからダウンロードしたファイルの TFTP 暗号化を有効にします。

手順

ステップ 1

Cisco Unified CM Administration から、以下を選択します。システム > セキュリティ > 電話セキュリティ プロファイル

ステップ 2

検索する をクリックし、電話セキュリティ プロファイルを選択します。

ステップ 3

TFTP 暗号化設定 チェックボックスを選択します。チェックしてください。

ステップ 4

[保存(Save)] をクリックします。

ステップ 5

クラスタで使用される他の電話セキュリティ プロファイルに対して、これらの手順を繰り返します。

(注)  

 

電話構成ファイルの暗号化を無効にするには、 の電話セキュリティプロファイルの TFTP Encrypted Config Cisco Unified Communications Manager Administration チェックボックスを解除し、その変更を保存する必要があります。

SHA-512 署名アルゴリズムの設定

SHA-1 は TFTP ファイル署名のデフォルトのアルゴリズムです。 以下のオプションの手順を使用してシステムをアップグレードし、デジタル署名などの TFTP 構成ファイルにより強力な SHA-512 アルゴリズムを使用できます。


(注)  

お使いの電話が SHA-512 をサポートしていることを確認してください。 そうでない場合、システムを更新した後に電話が機能しません。

手順

ステップ 1

Cisco Unified CM Administration から、以下を選択します。システム > エンタープライズパラメータ

ステップ 2

[ セキュリティパラメータ ] ペインに移動します。

ステップ 3

TFTP ファイル署名アルゴリズム ドロップダウンリストから、 SHA-512 を選択します

ステップ 4

[保存(Save)] をクリックします。

ポップアップ ウィンドウにリストされている影響を受けるサービスを再起動して、手順を完了します。

LSC または MIC 証明書のインストールを確認する

公開キーを使用する電話の場合、証明書のインストールを確認します。

(注)  
この手順は、PKI 暗号化を使用する Cisco Unified IP 電話に適用されます。 お使いの電話が PKI 暗号化をサポートしているかどうかを判断するには、「暗号化構成ファイルをサポートしている電話モデル」セクションを参照してください。

以下の手順は、電話が Unified Communications Manager データベースに存在し、TFTP 暗号化設定パラメータが Unified Communications Manager で有効になっていることを前提としています。

手順

ステップ 1

製造元でインストールされた証明書 (MIC) またはローカルで有効な証明書 (LSC) が電話に存在することを確認します。

ステップ 2

Cisco Unified CM Administration から、[デバイス] > [電話機] を選択します。

電話のリストが表示されます。

ステップ 3

端末名をクリックします。

[電話設定] ページが表示されます。

ヒント

 
[電話機の設定(Phone Configuration)] ページの [CAPF 設定(CAPF settings)] セクションで [トラブルシューティング(Troubleshoot)] オプションを選択し、Unified Communications Manager の電話に LSC または MIC が存在するかどうかを確認します。 証明書が電話に存在しない場合、[削除] および [トラブルシューティング] オプションは表示されません。

ヒント

 
また、電話機のセキュリティ設定をチェックすることで、電話機に LSC または MIC が存在することを確認できます。 詳細については、このバージョンの Cisco Unified IP 電話をサポートする Unified Communications Managerの管理ガイドを参照してください。

ステップ 4

証明書が存在しない場合は、[ 電話設定 ] ウィンドウで CAPF 機能を使用して LSC をインストールします。 LSC のインストール方法については、認証局プロキシ機能に関連するトピックを参照してください。

ステップ 5

CAPF 設定が完了したら、[保存(Save)] をクリックします。

ステップ 6

[リセット(Reset)] をクリックします。

電話機は、リセット後に TFTP サーバに暗号化された設定ファイルを要求します。

CTL ファイルの更新

Unified Communications Manager で変更を行ったら、CTL ファイルを更新します。 TFTP ファイル暗号化を有効にしたため、CTL ファイルを再生成する必要があります。

手順

ステップ 1

コマンドライン インターフェイスにログインします。

ステップ 2

パブリッシャノードで、 utils ctl update CTLfile コマンドを実行します。

サービスの再起動

暗号化 TFTP 構成ファイルの更新が完了したら、変更を有効にするために Cisco TFTP および Cisco CallManager サービスを再起動してください。

手順

ステップ 1

[Cisco Unified Serviceability] から、以下を選択します。ツール > コントロールセンター – 機能サービス

ステップ 2

次の 2 つのサービスを選択します。

  • Cisco CallManager
  • Cisco TFTP

ステップ 3

[再起動(Restart)] をクリックします。 しかし、CallManager 証明書を再生成または更新した後に、TFTP サービスを手動で再起動する必要はありません

電話をリセット

暗号化 TFTP 構成ファイルの更新がすべて完了したら、必ず電話をリセットしてください。

手順

ステップ 1

Cisco Unified CM Administration から、[デバイス(Device)] > [電話機(Phones)] を選択します。

ステップ 2

[検索(Find)] をクリックします。

ステップ 3

[ すべて選択] をクリックします。

ステップ 4

[選択したアイテムのリセット(Reset Selected)] をクリックします。

TFTP 暗号化構成ファイルを無効にする


警告
SIP を実行している電話でダイジェスト認証が True で、TFTP 暗号化構成設定が False の場合、ダイジェスト資格情報が平文で送信される場合があります。

設定の更新後、電話の暗号化キーは Unified Communications Managerデータベースに残ります。

Cisco Unified IP 電話 の 7911G、7931G(SCCP のみ)、7941G、7941G-GE、7942G、7945G、7961G、7961G-GE、7962G、7965G、7971G、7971G-GE、および 7975G が暗号化構成設定が [いいえ(False)] に更新されると、暗号化されたファイル(.enc.sgn ファイル)をリクエストし、電話は暗号化されていない、署名されたファイル(.sgn ファイル)をリクエストします。

Cisco Unified IP 電話が SCCP および SIP で実行されている場合、暗号化構成設定が False に更新されたら暗号化ファイルを要求します。 電話の GUI から対称キーを削除して、次に電話がリセットされたときに、暗号化されていない構成ファイルが要求されるようにします。

  • Cisco Unified IP 電話s SCCP 実行: 6901, 6911, 6921, 6941, 6945, 6961, 7906G, 7911G, 7921G, 7925G, 7925G-EX, 7926G, 7931G, 7941G, 7941G-GE, 7942G, 7945G, 7961G, 7961G-GE, 7962G, 7965G, 7971G, 7971G-GE, 7975G, 8941, 8945.

  • SIP で動作する Cisco Unified IP 電話:6901、6911、6921、6941、6945、6961、7906G、7911G、7941G、7941G-GE、7942G、7961G、7961G-GE、7962G、7965G、7970G、7971G-GE、7975G、8941、8945、8961、9971、7811、78321、7841、7861、7832、8811、8841、8845、8851、8851NR、8861、8865、8865NE、8821、8831、8832、8832NR。

手順

  コマンドまたはアクション 目的

ステップ 1

電話設定ファイルの暗号化を無効にするには、その電話に関連付けられている電話セキュリティプロファイルの [ TFTP 暗号化設定 ] チェックボックスのチェックを解除します。

ステップ 2

Cisco Unified IP 電話7942 および 7962 (SIP のみ) では、電話スクリーンに表示される対称キーの値として 32 バイトの 0 を入力して、暗号化を無効にします。

ステップ 3

Cisco Unified IP 電話s (SIP のみ) では、電話スクリーンで対称キーを削除して暗号化を無効にします。

これらのタスクの実行方法については、お使いの電話モデルに対応する電話管理ガイドを参照してください。