トランクおよびゲートウェイ SIP セキュリティ

トランクおよびゲートウェイ SIP セキュリティの概要

このセクションでは、SIP トランク暗号化、ゲートウェイ暗号化、およびセキュリティプロファイル設定のヒントの概要について説明します。

SIP トランク暗号化

SIP トランクは、シグナリングとメディアの両方でセキュアなコールをサポートできます。TLS はシグナリングの暗号化を提供し、SRTP はメディアの暗号化を提供します。

トランクのシグナリング暗号化を設定するには、SIP トランクセキュリティプロファイル ( システム > セキュリティプロファイル > SIP トランクセキュリティ) を設定するときに次のオプションを選択します。プロファイルウィンドウ。

端末のセキュリティモードドロップダウンリストから "暗号化を選択します。"
受信トランスポートタイプドロップダウンリストから "TLS を選択します。"
発信トランスポートタイプドロップダウンリストから "TLS を選択します。"

SIP トランクセキュリティプロファイルを設定したら、それをトランクに適用します（端末 > トランク > SIP トランク設定ウィンドウ）。

トランクのメディア暗号化を設定するには、[ SRTP 許可 ] チェックボックスを選択します ( 端末トランクSIP トランク設定ウィンドウ)。

注意	このチェックボックスをオンにする場合、暗号化された TLS プロファイルを使用して、キーおよび他のセキュリティ関連情報が通話ネゴシエーション中に露出しないようにすることを推奨します。安全ではないプロファイルを使用する場合、SRTP は引き続き機能しますが、キーはシグナリングとトレースで公開されます。この場合、Unified Communications Manager とトランクの接続先の間でネットワークのセキュリティを確保する必要があります。

Cisco IOS MGCP ゲートウェイ暗号化

Unified Communications Manager は、セキュアな RTP 接続でパケットを暗号化および復号化するために使用される MGCP SRTP パッケージを使用するゲートウェイをサポートします。通話のセットアップ中に交換される情報によって、ゲートウェイが通話に SRTP を使用するかどうかが決まります。デバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。 1 つ以上のデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。 SRTP から RTP へのフォールバック (およびその逆) は、セキュアなデバイスからセキュアではないデバイスへの転送、電話会議、トランスコーディング、保留音などで発生する可能性があります。

それが2台の端末間のSRTP通話の暗号化をセットアップする際、 Unified Communications Manager マスター暗号化キーとSaltを生成して通話をセキュアなものにし、SRTPストリームの場合にのみゲートウェイに送信します。 Unified Communications Manager それはゲートウェイもサポートしているSRTCPストリームのキーとSaltを送信しません。これらのキーは、IPSec を使用してセキュリティ保護する必要がある、MGCP シグナリングパスを介してゲートウェイに送信されます。 Unified Communications Manager それはIPSec接続が存在するかどうかを認識しませんが、IPSecが構成されていない場合、システムはセッションキーをクリアテキストでゲートウェイに送信します。あなたはIPSec接続が確立されていることを確認します。セッションキーは安全な接続で送信されます。

ヒント

それがSRTP用に設定されたMGCPゲートウェイが、SCCPを実行している認証された電話機など、認証されたデバイスとのコールに関連している場合、盾のアイコンが電話機に表示されます。 Unified Communications Manager それは、デバイスのSRTP機能が通話に対して正常にネゴシエートされた場合に、通話を暗号化として分類します。 Unified Communications Manager セキュリティアイコンを表示できる電話機に MGCP ゲートウェイが接続されている場合、コールが暗号化されると、電話機にはロックアイコンが表示されます。

以下は、MGCP E1 PRI ゲートウェイに関する事実です。

SRTP 暗号化の MGCP ゲートウェイを設定する必要があります。次のコマンドを使用してゲートウェイを設定します: mgcppackage-capabilitysrtp-package
MGCP ゲートウェイは、Advanced IP Services または Advanced Enterprise Services のイメージを指定する必要があります。

例: c3745-adventerprisek9-mz.124-6.T.bin
Protected ステータスは、MGCP PRI セットアップ、アラート、および接続メッセージで独自の FacilityIE を使用することで、MGCP E1 PRI ゲートウェイと交換されます。
Unified Communications Manager がセキュアな通知トーンを再生するのは Cisco Unified IP 電話だけです。ネットワーク内の PBX は、通話のゲートウェイ側に対してトーンを再生します。

Cisco Unified IP Phone と MGCP E1 PRI ゲートウェイの間のメディアが暗号化されていない場合、コールはドロップされます。

（注）

MGCP ゲートウェイの暗号化の詳細については、お使いのバージョンの Cisco IOS ソフトウェアに対応する Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways を参照してください。

H.323 ゲートウェイおよび H.323/H.225/H.245 トランク暗号化

セキュリティをサポートする H.323 ゲートウェイおよびゲートキーパーまたはゲートキーパーではない H.225/H.323/H.245 トランクは、Cisco Unified Communications Operating System 内で IPSec の関連付けを設定した場合、Unified Communications Manager に対して認証を行うことができます。 Unified Communications Manager とこれらの端末間の IPSec 関連付けの作成については、『Cisco Unified Communications Manager アドミニストレーションガイド』』を参照してください。

H.323、H.225、H.245 デバイスは暗号化キーを生成します。これらのキーは、シグナリングパスを通じて Unified Communications Manager に送信されます。シグナリングパスは IPSec で保護します。 Unified Communications Manager は IPSec 接続が存在するかどうかを認識しませんが、IPSec が設定されていない場合、セッションキーはプレーンテキストで送信されます。 IPSec 接続が確立されていることを確認します。セッションキーは安全な接続で送信されます。

IPSec 関連付けの設定に加えて、 Unified Communications Manager Administrationのデバイス設定ウィンドウで [SRTP 許可] チェックボックスをオンにする必要があります。たとえば、H.323 ゲートウェイ、H.225 トランク (ゲートキーパー制御)、クラスター間トランク (ゲートキーパー制御)、クラスター間トランク (非ゲートキーパー制御) 構成ウィンドウなどです。このチェックボックスをオフにすると、 Unified Communications Manager は RTP を使用してデバイスと通信します。チェックボックスをオンにすると、 Unified Communications Manager でセキュアおよび非セキュアの通話が可能になります。これは、端末に SRTP が設定されているかどうかによって異なります。

注意	Unified Communications Manager Administration で [SRTP 許可] チェックボックスをオンにする場合、Cisco では IPSec を設定して、セキュリティ関連情報がクリアテキストで送信されないようにすることを強く推奨します。 Unified Communications Manager は、ユーザが IPSec 接続を正しく設定したかどうかを確認しません。接続を適切に構成しないと、セキュリティ関連情報が暗号化されずに送信される場合があります。

システムがセキュアなメディアまたはシグナリングパスを確立でき、デバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。システムがセキュアなメディアまたはシグナリングパスを確立できない場合、または少なくとも 1 つのデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。 SRTP から RTP へのフォールバック (およびその逆) は、セキュアなデバイスからセキュアではないデバイスへの転送、電話会議、トランスコーディング、保留音などで発生する可能性があります。

ヒント

通話でパススルー対応 MTP が使用され、地域フィルタリング後にデバイスの音声機能が一致し、どのデバイスに対しても [MTP が必要] チェックボックスが選択されていない場合、 Unified Communications Manager は通話をセキュアなものに分類します。 [MTP が必要] チェックボックスがオンの場合、 Unified Communications Manager は通話の音声パススルーを無効にし、通話はノンセキュアとして分類されます。通話に MTP が含まれていない場合、 Unified Communications Manager は、端末の SRTP 機能に応じて通話を暗号化通話として分類する場合があります。

SRTP が設定されたデバイスの場合、[SRTP を許可する（ SRTP Allowed）] チェックボックスがデバイスに対して有効であり、デバイスの SRTP 機能のネゴシエートに成功すると、Unified Communications Manager は通話を暗号化通話として分類します。上記の条件が満たされない場合、 Unified Communications Manager は通話をセキュリティ保護されていないものとして分類します。セキュリティアイコンを表示できる電話にデバイスが接続されている場合、通話が暗号化されると、電話にロックアイコンが表示されます。

Unified Communications Manager は、トランクまたはゲートウェイを介した発信のファストスタート通話を非セキュアとして分類します。 Unified Communications Manager Administration で[SRTP 許可（SRTP Allowed）] チェックボックスをオンにすると、Unified Communications Manager は [アウトバウンド FastStart を有効にする（Enable Outbound FastStart）] チェックボックスを無効にします。

Unified Communications Manager では、ゲートウェイとトランクの種類によっては、2 つの H.235 エンドポイント間で共有秘密（Diffie-Hellman キー）とその他の H.235 データを透過的にパススルーさせることができるため、2 つのエンドポイント間でセキュアなメディアチャネルを確立できます。

H.235 データのパススルーを有効にするには、次のトランクとゲートウェイの構成設定で H.235 パススルーの許可チェックボックスを選択します:

H.225 トランク
ICT ゲートキーパーコントロール
ICT 非ゲートキーパーコントロール
H.323 ゲートウェイ

トランクとゲートウェイの設定については、『Cisco Unified Communications Manager アドミニストレーションガイド』を参照してください。

SIP トランクセキュリティプロファイルの設定について

Unified Communications Manager Administrationでは、SIP トランクに対するセキュリティ関連の設定がグループ化され、1 つのセキュリティプロファイルを複数の SIP トランクに割り当てることができます。セキュリティに関連する設定には、デバイスセキュリティモード、ダイジェスト認証、および着信/発信転送タイプの設定があります。設定した値を SIP トランクに適用するには、トランクの設定(Trunk Configuration)ウィンドウでセキュリティプロファイルを選択します。

Unified Communications Manager をインストールすると、自動登録用の事前定義済み非セキュア SIP トランクセキュリティプロファイルが提供されます。 SIP トランクのセキュリティ機能を有効にするには、新しいセキュリティプロファイルを設定し、SIP トランクに適用します。トランクがセキュリティをサポートしていない場合は、非セキュアプロファイルを選択します。

SIP トランクがサポートするセキュリティ機能だけが、セキュリティプロファイル設定ウィンドウに表示されます。

SIP トランクセキュリティプロファイルのセットアップのヒント

Unified Communications Manager Administration で SIP トランクセキュリティプロファイルを設定する場合は、以下の情報を考慮してください:

SIP トランクを設定する場合、[トランク設定] ウィンドウでセキュリティプロファイルを選択する必要があります。デバイスがセキュリティをサポートしていない場合、非セキュアプロファイルを適用します。
現在デバイスに割り当てられているセキュリティプロファイルを削除することはできません。
すでに SIP トランクに割り当てられているセキュリティプロファイルの設定を変更する場合、再設定した設定は、そのプロファイルが割り当てられているすべての SIP トランクに適用されます。
デバイスに割り当てられているセキュリティファイルの名前を変更することができます。古いプロファイル名と設定が割り当てられている SIP トランクは、新しいプロファイル名と設定を引き継ぎます。
Unified Communications Manager 5.0 以降にアップグレードする前にデバイスセキュリティモードを設定した場合、Unified Communications Manager は SIP トランクのプロファイルを作成し、プロファイルをデバイスに適用します。

トランクとゲートウェイの SIP セキュリティタスクフローの設定

以下のタスクを完了してゲートウェイと SIP のセキュリティを設定します。

手順

	コマンドまたはアクション	目的
ステップ 1	セキュアなゲートウェイとトランクのセットアップ	セキュリティのためにセキュアなゲートウェイとトランクを有効にします。
ステップ 2	SIP トランクセキュリティプロファイルのセットアップ	SIP トランクセキュリティプロファイルを追加、更新、またはコピーします。
ステップ 3	SIP トランクセキュリティプロファイルの適用	SIP トランクセキュリティプロファイルをトランクに適用し、有効にします。セキュリティプロファイルをデバイスに適用します。
ステップ 4	SIP トランクと SIP トランクセキュリティプロファイルを同期する	SIP トランクを SIP トランクセキュリティプロファイルと同期させます。
ステップ 5	Unified Communications Manager Administration を使用して SRTP を許可する	H.323 ゲートウェイおよびゲートキーパーまたは非ゲートキーパーで制御される H.323/H.245/H.225 トランクまたは SIP トランクの SRTP Allowed オプションを設定します。

セキュアなゲートウェイとトランクのセットアップ

この手順は、ドキュメント Media andSignaling Authentication and EncryptionFeature for Cisco IOS MGCP Gatewaysと併せて使用してください。このドキュメントには、セキュリティのために Cisco IOS MGCP ゲートウェイを設定する方法が記載されています。

手順

ステップ 1

utils ctl コマンドを実行してクラスタを混合モードに設定したことを確認してください。

ステップ 2

電話で暗号化を設定したことを確認してください。

ステップ 3

IPSec を設定します。

ヒント

ネットワークインフラにIPSecを設定するか、 Unified Communications Manager とゲートウェイやトランク間でIPSecを設定できますよ。一方の方法を実装して IPSec をセットアップする場合、もう一方の方法を実装する必要はありません。

ステップ 4

H.323 IOS ゲートウェイおよびクラスタ間トランクの場合、で SRTP 許可チェックボックスを選択します。 Unified Communications Manager

SRTP 許可チェックボックスがトランク構成またはゲートウェイ構成ウィンドウに表示されます。これらのウィンドウの表示方法に関する情報は、 Cisco Unified Communications Manager アドミニストレーションガイドのトランクとゲートウェイの章を参照してください。

ステップ 5

SIP トランクの場合、SIP トランクセキュリティプロファイルを設定し、トランクに適用します (まだ実行していない場合)。また、必ず Device Trunk SIP Trunk Configuration > ウィンドウの > SRTP 許可チェックボックスをオンにしてください。

注意	SRTP 許可チェックボックスを選択する場合は、暗号化された TLS プロファイルを使用することを推奨します。これにより、通話ネゴシエーション中に鍵やその他のセキュリティ関連情報が漏洩しないようにします。安全ではないプロファイルを使用する場合、SRTP は引き続き機能しますが、キーはシグナリングとトレースで公開されます。この場合、Unified Communications Manager とトランクの接続先の間でネットワークのセキュリティを確保する必要があります。

ステップ 6

ゲートウェイでセキュリティ関連の設定タスクを実行します。

詳細については、 Cisco IOS MGCP ゲートウェイのメディアおよびシグナリングの認証と暗号化機能を参照してください。

SIP トランクセキュリティプロファイルのセットアップ

SIP トランクセキュリティプロファイルを追加、更新、またはコピーするには、以下の手順を実行します。

手順

ステップ 1	Cisco Unified Communications Manager Administrationからシステム > セキュリティプロファイル > SIP トランクセキュリティプロファイルを選択します。
ステップ 2	次のいずれかの作業を実行します。新しい CAPF プロファイルを追加するには、[検索対象（Find）] ウィンドウで [新規追加] をクリックします。 (プロファイルを表示して、[ 新規追加] をクリックすることもできます。) 設定ウィンドウには、各フィールドの既定の設定が表示されます。既存のプロファイルをコピーするには、適切なプロファイルを見つけ、[コピー（Copy）] 列内にあるそのレコード用の [コピー（Copy）] アイコンをクリックします (プロファイルを表示して [ コピー] をクリックすることもできます。) 構成ウィンドウに構成済みの設定が表示されます。既存のプロファイルを更新するには、SIP トランクセキュリティプロファイルの検索で説明されているように、適切なセキュリティプロファイルを見つけて表示します。 [権限の設定(Role Configuration)] ウィンドウが表示され、現在の設定が表示されます。
ステップ 3	SIP トランクセキュリティプロファイル設定の説明に従って、適切な設定を入力します。
ステップ 4	[保存（Save）] をクリックします。セキュリティプロファイルを作成したら、トランクに適用します。 SIP トランクのダイジェスト認証を設定した場合、まだ行っていない場合は、トランクの SIP Realm ウィンドウと、SIP トランクを介して接続されるアプリケーションのアプリケーションユーザウィンドウでダイジェスト認証情報を設定する必要があります。 SIP トランクを介して接続されるアプリケーションに対してアプリケーションレベルの認証を有効にした場合、まだ行っていない場合は、アプリケーションに許可する認証方法をアプリケーションユーザウィンドウで設定する必要があります。

SIP トランクセキュリティプロファイルの設定項目

次の表に、SIP トランクセキュリティプロファイルの設定項目の説明を示します。

表 1. SIP トランクセキュリティプロファイルの設定項目

設定

説明

名前

セキュリティプロファイルの名前を入力します。新しいプロファイルを保存すると、[Trunk Configuration] ウィンドウの [SIP Trunk Security Profile] ドロップダウンリストボックスにその名前が表示されます。

説明

セキュリティプロファイルの説明を入力します。説明には、どの言語でも最大 50 文字まで指定できますが、二重引用符（"）、パーセント記号（%）、アンパサンド（&）、バックスラッシュ（\）、山カッコ（<>）は使用できません。

[デバイスセキュリティモード(Device Security Mode)]

ドロップダウンリストから、次のオプションのいずれかを選択します。

[非セキュア(Non Secure)]：イメージ認証以外のセキュリティ機能を適用しません。 TCP または UDP 接続で Unified Communications Manager が利用できます。
認証（Authenticated）: Unified Communications Manager はトランクの整合性と認証を提供します。 NULL/SHA を使用する TLS 接続を開始します。
暗号化（Encrypted）: Unified Communications Managerはトランクの整合性、シグナリング、および認証を提供します。シグナリング用に、AES128/SHA を使用する TLS 接続を開始します。

（注）

認証済みとして選択されている [デバイスのセキュリティプロファイル (トランク)] を使用して設定した場合、Unified Communications Manager は、NULL_SHA 暗号を使用した TLS connection (データ暗号化なし) を開始します。

これらのトランクは、通知先デバイスが NULL_SHA 暗号をサポートしていない場合は、そのデバイスを登録したり、コールを発信したりしません。

NULL_SHA 暗号をサポートしていない通知先デバイスでは、暗号化 (Encrypted) として選択した [デバイスのセキュリティプロファイル (トランク)] で設定する必要があります。このデバイスセキュリティプロファイルを使用すると、トランクは、データの暗号化を可能にする追加の TLS 暗号を提供します。

[着信転送タイプ(Incoming Transport Type)]

[デバイスセキュリティモード（Device Security Mode）] が [非セキュア（Non Secure）] の場合、TCP+UDP では [転送タイプ（Transport Type）] を指定します。

[デバイスセキュリティモード(Device Security Mode)] が [認証のみ(Authenticated)] または [暗号化(Encrypted)] である場合、[TLS] が転送タイプとなります。

（注）

Transport Layer Security（TLS）プロトコルによって、Unified Communications Manager とトランクとの間の接続が保護されます。

[発信転送タイプ(Outgoing Transport Type)]

ドロップダウンリストから適切な発信転送モードを選択します。

[デバイスセキュリティモード(Device Security Mode)] が [非セキュア(Non Secure)] である場合、[TCP] または [UDP] を選択します。

[デバイスセキュリティモード(Device Security Mode)] が [認証のみ(Authenticated)] または [暗号化(Encrypted)] である場合、[TLS] が転送タイプとなります。

（注）

TLS は、SIP トランクのシグナリング整合性、デバイス認証、およびシグナリング暗号化を実現します。

（注）

Unified Communications Manager システムと、TCP をサポートしていない他のアプリケーションとの間で SIP トランクを接続する場合は、発信トランスポートタイプとして UDP のみを使用する必要があります。それ以外の場合は、デフォルトオプションとして TCP を使用します。

[ダイジェスト認証を有効化(Enable Digest Authentication)]

ダイジェスト認証を有効にするには、このチェックボックスをオンにします。このチェックボックスをオンにすると、Unified Communications Manager は、トランクからのすべての SIP 要求でチャレンジを行います。

ダイジェスト認証は、デバイス認証、整合性、および信頼性を提供しません。これらの機能を使用するには、セキュリティモード [認証のみ(Authenticated)] または [暗号化(Encrypted)] を選択します。

ヒント

TCP 転送または UDP 転送を使用しているトランク上の SIP トランクユーザを認証するには、ダイジェスト認証を使用してください。

[ナンス確認時間(Nonce Validity Time)]

ナンス値が有効な時間を秒単位で入力します。デフォルト値は 600（10 分）です。この時間が経過すると、Unified Communications Manager は新しい値を生成します。

（注）

ナンス値は、ダイジェスト認証をサポートするランダム値で、ダイジェスト認証パスワードの MD5 ハッシュの計算に使用されます。

セキュア証明書のサブジェクトまたはサブジェクトの代替名

このフィールドは、[着信転送タイプ(Incoming Transport Type)] および [発信転送タイプ(Outgoing Transport Type)] に TLS を設定した場合に適用されます。

デバイス認証の場合は、SIPトランクデバイスのセキュア証明書のサブジェクトまたはサブジェクト代替名証明書の名前を入力します。 Unified Communications Manager クラスタを使用している場合、またはTLSピアにSRVルックアップを使用している場合は、1つのトランクが複数のホストに解決される可能性があり、その結果トランクに複数のセキュア証明書のサブジェクトまたはサブジェクトの代替名が生成されます。複数のセキュア証明書のサブジェクト名またはサブジェクト代替名が存在する場合は、スペース、カンマ、セミコロン、またはコロンのいずれかの文字を入力して名前を区切ります。

このフィールドには、4096 文字まで入力できます。

ヒント

サブジェクト名は、送信元接続の TLS 証明書に対応します。サブジェクト名が、サブジェクト名とポートで一意であることを確認してください。同じサブジェクト名と着信ポートの組み合わせを異なるSIPトランクに割り当てることはできません。例：ポート5061のSIP TLS trunk1に、セキュア証明書のサブジェクトまたはサブジェクトの代替名my_cm1、my_cm2があります。ポート5071のSIP TLS trunk2には、セキュア証明書のサブジェクトまたはサブジェクトの代替名my_cm2、my_cm3があります。ポート5061のSIP TLS trunk3は、セキュア証明書のサブジェクトまたはサブジェクトの代替名my_ccm4を持つことができますが、セキュア証明書のサブジェクトまたはサブジェクトの代替名my_cm1を持つことはできません。

[着信ポート(Incoming Port)]

着信ポートを選択します。 0 ～ 65535 の一意のポート番号を入力します。着信 TCP および UDP の SIP メッセージのデフォルトポート値は、5060 です。着信 TLS メッセージの保護されたデフォルト SIP ポートは、5061 です。入力した値は、このプロファイルを使用するすべての SIP トランクに適用されます。

ヒント

TLS を使用するすべての SIP トランクが、同じ着信ポートを共有できます。[TCP + UDP] を使用するすべての SIP トランクが、同じ着信ポートを共有できます。同じポートで、TLS の SIP 転送トランクと、TLS 以外の SIP 転送トランクタイプを混合することはできません。

ヒント

通常のトラフィック時に、SIP トランクの UDP ポートで 1 つの IP アドレスから着信したパケットのレートが SIP Trunk UDP Port Throttle Threshold の設定値を超えた場合は、しきい値を設定し直します。 SIP トランクと SIP ステーションが同じ着信 UDP ポートを共有している場合、2 つのサービスパラメータ値の大きいほうの値に基づいて Unified Communications Manager はパケットのスロットリングを行います。このパラメータに対する変更を有効にするには、Cisco CallManager サービスを再起動する必要があります。

[アプリケーションレベル認証を有効化(Enable Application Level Authorization)]

アプリケーションレベルの許可は、SIP トランクを介して接続されるアプリケーションに適用されます。

このチェックボックスをオンにする場合は、ダイジェスト認証を有効化(Enable Digest Authentication)チェックボックスもオンにし、トランクのダイジェスト認証を設定する必要があります。Unified Communications Manager は許可されたアプリケーションメソッドを確認する前に SIP アプリケーションユーザを認証します。

アプリケーションレベルの許可が有効な場合は、まずトランクレベルの許可が発生してから、アプリケーションレベルの許可が発生します。つまり、Unified Communications Manager は、アプリケーションユーザの設定(Application User Configuration) ウィンドウで SIP アプリケーションユーザに許可されている方式よりも先に、（このセキュリティプロファイルで）トランクに許可されている方式を確認します。

ヒント

アプリケーションの ID を信頼しない場合、またはアプリケーションが特定のトランクで信頼されていない場合は、アプリケーションレベルの許可の使用を検討してください。アプリケーション要求は、予期しないトランクから着信することがあります。

[プレゼンスのSUBSCRIBEの許可（Accept Presence Subscription）]

Unified Communications Manager が SIP トランク経由で着信するプレゼンスサブスクリプション要求を受け付けるようにする場合は、このチェックボックスをオンにします。

[アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この機能について許可するアプリケーションユーザの [プレゼンスのSUBSCRIBEの許可(Accept Presence Subscription)] チェックボックスをオンにします。

アプリケーションレベルの許可が有効で、アプリケーションユーザの [プレゼンスのSUBSCRIBEの許可(Accept Presence Subscription)] チェックボックスがオンで、トランクのチェックボックスがオフの場合、トランクに接続されている SIP ユーザエージェントに 403 エラーメッセージが送信されます。

[Out-of-Dialog REFERの許可(Accept Out-of-Dialog Refer)]

Unified Communications Manager が SIP トランク経由で着信する非インバイトの Out-of-Dialog REFER 要求を受け付けるようにする場合は、このチェックボックスをオンにします。

[アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この方式について許可するアプリケーションユーザの [Out-of-Dialog REFERの許可(Accept Out-of-Dialog Refer)] チェックボックスをオンにします。

[Unsolicited NOTIFYの許可(Accept Unsolicited Notification)]

Unified Communications Manager が SIP トランクを経由する受信非インバイトメッセージ、未承諾通知メッセージを受け入れるようにするには、このチェックボックスをオンにします。

[アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この方式について許可するアプリケーションユーザの [Unsolicited NOTIFYの許可(Accept Unsolicited Notification)] チェックボックスをオンにします。

[Replacesヘッダーの許可(Accept Replaces Header)]

Unified Communications Manager が既存の SIP ダイアログを置き換える新しい SIP ダイアログを受け付けるようにする場合は、このチェックボックスをオンにします。

[アプリケーションレベル認証を有効化(Enable Application Level Authorization)] チェックボックスをオンにした場合は、[アプリケーションユーザの設定(Application User Configuration)]ウィンドウに移動し、この方式について許可するアプリケーションユーザの [Replacesヘッダーの許可(Accept Header Replacement)] チェックボックスをオンにします。

[セキュリティステータスの送信(Transmit Security Status)]

Unified Communications Manager が、関連付けられた SIP トランクから SIP ピアにコールのセキュリティアイコンステータスを送信するようにする場合は、このチェックボックスをオンにします。

デフォルトでは、このチェックボックスはオフになっています。

[SIP V.150アウトバウンドSDPオファーのフィルタリング(SIP V.150 Outbound SDP Offer Filtering)]

ドロップダウンリストから、次のフィルタ処理オプションのいずれかを選択します。

[デフォルトのフィルタを使用(Use Default Filter)]：SIP トランクは、SIP V.150 Outbound SDP Offer Filtering サービスパラメータで示されるデフォルトのフィルタを使用します。サービスパラメータを見つけるには Cisco Unified Communications Manager Administration のシステム（System） > サービスパラメータ（Service Parameters） > クラスタ全体のパラメータ（デバイス-SIP）（Clusterwide Parameters (Device-SIP)）に移動します。
[フィルタなし(No Filtering)]：SIP トランクは、アウトバウンドオファーで V.150 SDP 回線のフィルタリングを行いません。
[MER V.150 を削除(Remove Pre-MER V.150)]：SIP トランクは、アウトバウンドオファーで V.150 MER SDP 回線を削除します。トランクが MER V.150 よりも前の Unified Communications Manager に接続する際のあいまいさを低減するには、このオプションを選択します。
[MER V.150より前を削除(Remove Pre-MER V.150)]：SIP トランクは、アウトバウンドオファーで MER に準拠しない V.150 回線があれば削除します。 MER よりも前の回線でオファーを処理できない MER 準拠のデバイスのネットワークに、ご使用のクラスタが含まれているときのあいまいさを低減するには、このオプションを選択します。

[SIP V.150アウトバウンドSDPオファーのフィルタリング(SIP V.150 Outbound SDP Offer Filtering)]

ドロップダウンリストから、次のフィルタ処理オプションのいずれかを選択します。

[デフォルトのフィルタを使用(Use Default Filter)]：SIP トランクは、SIP V.150 Outbound SDP Offer Filtering サービスパラメータで示されるデフォルトのフィルタを使用します。サービスパラメータを見つけるには Cisco Unified Communications Manager Administration のシステム（System） > サービスパラメータ（Service Parameters） > クラスタ全体のパラメータ（デバイス-SIP）（Clusterwide Parameters (Device-SIP)）に移動します。
[フィルタなし(No Filtering)]：SIP トランクは、アウトバウンドオファーで V.150 SDP 回線のフィルタリングを行いません。
[MER V.150 を削除(Remove Pre-MER V.150)]：SIP トランクは、アウトバウンドオファーで V.150 MER SDP 回線を削除します。トランクが MER V.150 よりも前の Unified Communications Manager に接続する際のあいまいさを低減するには、このオプションを選択します。
[MER V.150より前を削除(Remove Pre-MER V.150)]：SIP トランクは、アウトバウンドオファーで MER に準拠しない V.150 回線があれば削除します。 MER よりも前の回線でオファーを処理できない MER 準拠のデバイスのネットワークに、ご使用のクラスタが含まれているときのあいまいさを低減するには、このオプションを選択します。

（注）

セキュアコール接続を確立するには、V.150用にSIPのIOSを設定する必要があります。 IOS を Unified Communications Manager で設定する際の詳細については、http://www.cisco.com/c/en/us/td/docs/ios/12_4t/12_4t4/mer_cg_15_1_4M.htmlをご覧ください。

SIP トランクセキュリティプロファイルの適用

トランクの設定ウィンドウのトランクに SIP トランクセキュリティプロファイルを適用します。デバイスにセキュリティプロファイルを適用するには、以下の手順を実行します。

手順

ステップ 1	Cisco Unified Communications Manager アドミニストレーションガイドの説明に従ってトランクを見つけます。
ステップ 2	トランク構成ウィンドウが表示されたら、[ SIP トランクセキュリティプロファイル ] 設定を見つけます。
ステップ 3	セキュリティプロファイルドロップダウンリストから、端末に適用するセキュリティプロファイルを選択します。
ステップ 4	[保存（Save）] をクリックします。
ステップ 5	トランクをリセットするには、[ 設定の適用] をクリックします。 SIP トランクのダイジェスト認証を有効にするプロファイルを適用した場合、トランクのダイジェスト認証情報を SIP レルムウィンドウで構成する必要があります。アプリケーションレベルの認証を有効にするプロファイルを適用した場合、[アプリケーションユーザー（Application User）] ウィンドウで、ダイジェスト認証情報と許可される認証方法を設定する必要があります（まだ設定していない場合）。

SIP トランクと SIP トランクセキュリティプロファイルを同期する

構成が変更された SIP トランクセキュリティプロファイルと SIP トランクを同期するには、以下の手順を実行します。これにより、可能な限り最小の影響で未適用の設定を適用します。 (たとえば、影響を受ける一部のデバイスでは、リセット/再起動を実行する必要がない場合があります。)

手順

ステップ 1	[システム（System）] > [セキュリティプロファイル（Security Profile）] > [SIP トランクセキュリティプロファイル（SIP Trunk Security Profile）] を選択します。
ステップ 2	使用する検索条件を選択します。
ステップ 3	[検索（Find）] をクリックします。ウィンドウには、検索基準に一致する SIP トランクセキュリティプロファイルのリストが表示されます。
ステップ 4	同期するためのSIPトランクセキュリティプロファイルをクリックします。
ステップ 5	追加の設定変更を加えます。
ステップ 6	[保存（Save）] をクリックします。
ステップ 7	[設定の適用（Apply Config）] をクリックします。 [ 設定情報の適用 ] ダイアログが表示されます。
ステップ 8	OKをクリックします。

Unified Communications Manager Administration を使用して SRTP を許可する

[SRTP 許可] チェックボックスは、 Unified Communications Manager の次の設定ウィンドウに表示されます:

H.323 ゲートウェイの設定ウィンドウ
H.225 トランク (ゲートキーパー制御) の設定ウィンドウ
Inter-Cluster Trunk (ゲートキーパー制御) 設定ウィンドウ
Inter-Cluster Trunk (ゲートキーパー制御) 設定ウィンドウ
SIP トランク設定ウィンドウ

H.323 ゲートウェイおよびゲートキーパーまたは非ゲートキーパーで制御される H.323/H.245/H.225 トランクまたは SIP トランクの [SRTP 許可] チェックボックスを設定するには、以下の手順を実行します。

手順

ステップ 1

Unified Communications Manager の説明に従って、ゲートウェイまたはトランクを見つけます。

ステップ 2

ゲートウェイ/トランクの設定ウィンドウを開いたら、[ SRTP 許可 ] チェックボックスにチェックを入れます。

注意	SIP トランクに対して [ SRTP 許可 ] チェックボックスを選択する場合、暗号化された TLS プロファイルを使用することをお勧めします。安全ではないプロファイルを使用する場合、SRTP は引き続き機能しますが、キーはシグナリングとトレースで公開されます。この場合、Unified Communications Manager とトランクの接続先の間でネットワークのセキュリティを確保する必要があります。

ステップ 3

[保存（Save）] をクリックします。

ステップ 4

端末をリセットするには、 [リセット] をクリックします。

ステップ 5

H323 に対して IPSec が正しく構成されていることを確認します。 (SIP の場合、TLS が正しく設定されていることを確認してください。)

Cisco Unified Communications Manager セキュリティガイド、リリース 14 および SU

偏向のない言語

翻訳について

Book Title

Cisco Unified Communications Manager セキュリティガイド、リリース 14 および SU

Chapter Title