Cisco Unity 間の接続の保護
接続、シスコ ユニファイド コミュニケーション
マネージャーと IP 電話
• Cisco Unity Connection、Cisco Unified Communications Manager、および IP Phone 間の接続の保護(1 ページ)
Cisco Unity Connection、Cisco Unified Communications Manager、および IP Phone の間の接続の保護
導入
この章では、Cisco Unity Connection、Cisco Unified Communications Manager、および IP 電話の間の接続に関連する潜在的なセキュリティ問題について説明します。実行する必要があるアクションに関する情報。意思決定に役立つ推奨事項。あなたが下した決定の影響についての議論。そしてベストプラクティス。
Unity Connection と Cisco Unified 間の接続のセキュリティ問題 コミュニケーションマネージャーとIP電話
Cisco Unity Connection システムの潜在的な脆弱点は、Unity Connection ボイス メッセージング ポート(SCCP 統合の場合)またはポート グループ(SIP 統合の場合)、Cisco Unified Communications Manager、および IP 電話の間の接続です。
考えられる脅威には次のようなものがあります。
- 中間者攻撃(Cisco Unified CM と Unity Connection 間の情報フローが監視および変更される場合)
- ネットワーク トラフィック スニッフィング(ソフトウェアを使用して、Cisco Unified CM、Unity Connection、および Cisco Unified CM によって管理される IP 電話の間を流れる電話での会話とシグナリング情報をキャプチャする場合)
- Unity Connection と Cisco Unified CM 間のコール シグナリングの変更
- Unity Connection とエンドポイント間のメディア ストリームの変更(例:ampファイル、IP 電話またはゲートウェイ)
- Unity Connection の個人情報の盗難(Unity Connection 以外のデバイスが Unity Connection サーバとして Cisco Unified CM に存在する場合)
- Cisco Unified CM サーバの個人情報の盗難(Cisco Unified CM 以外のサーバが Cisco Unified CM サーバとして Unity Connection に存在する場合)
CiscoUnifiedCommunicationsManagerUnityConnectionボイスメッセージングポートのセキュリティ機能
Cisco Unified CM は、「Unity Connection、Cisco Unified Communications Manager、および IP Phone 間の接続のセキュリティの問題」にリストされている脅威に対して Unity Connection との接続を保護できます。
Unity Connection が活用できる Cisco Unified CM セキュリティ機能tagこれらについては、表 1:Cisco Unity Connection で使用される Cisco Unified CM セキュリティ機能で説明されています。
表 1: Cisco Unity Connection で使用される Cisco Unified CM セキュリティ機能
| セキュリティ機能 | 説明 |
| シグナリング認証 | Transport Layer Security (TLS) プロトコルを使用して、そうでないことを検証するプロセス。amp送信中にシグナリング パケットにエラーが発生しました。 シグナリング認証は、Cisco Certificate Trust List(CTL)の作成に依存します。 file. この機能は以下から保護します。 • Cisco Unified CM と Unity Connection の間の情報フローを変更する中間者攻撃。 • コール シグナリングの変更。 • Unity Connection サーバの個人情報の盗難。 • Cisco Unified CM サーバの個人情報の盗難。 |
| デバイス認証 | デバイスの ID を検証し、そのエンティティが主張どおりのものであることを確認するプロセス。このプロセスは、各デバイスが他のデバイスの証明書を受け入れるときに、Cisco Unified CM と Unity Connection ボイス メッセージング ポート(SCCP 統合の場合)または Unity Connection ポート グループ(SIP 統合の場合)の間で発生します。証明書が受け入れられると、デバイス間に安全な接続が確立されます。デバイス認証は、Cisco Certificate Trust List(CTL)の作成に依存します。 file. この機能は以下から保護します。 • Cisco Unified CM と Unity Connection の間の情報フローを変更する中間者攻撃。 • メディア ストリームの変更。 • Unity Connection サーバの個人情報の盗難。 • Cisco Unified CM サーバの個人情報の盗難。 |
| シグナリング暗号化 | 暗号化方式を使用して、Unity Connection と Cisco Unified CM の間で送信されるすべての SCCP または SIP シグナリング メッセージの機密性を(暗号化によって)保護するプロセス。シグナリング暗号化により、当事者、当事者が入力した DTMF 数字、通話ステータス、メディア暗号化キーなどに関連する情報が、意図しないアクセスや不正なアクセスから確実に保護されます。 この機能は以下から保護します。 • Cisco Unified CM と Unity Connection の間の情報フローを監視する中間者攻撃。 • Cisco Unified CM と Unity Connection の間のシグナリング情報フローを監視するネットワーク トラフィック スニッフィング。 |
| メディアの暗号化 | 暗号化手順を使用してメディアの機密性を確保するプロセス。 このプロセスでは、IETF RFC 3711 で定義されている Secure Real Time Protocol(SRTP)を使用し、意図した受信者だけが Unity Connection とエンドポイント間のメディア ストリームを解釈できるようにします(たとえば、ampファイル、電話機またはゲートウェイ)。サポートにはオーディオ ストリームのみが含まれます。メディア暗号化には、デバイスの Media Player キー ペアの作成、Unity Connection とエンドポイントへのキーの配信、およびキーの転送中のキーの配信の保護が含まれます。 Unity Connection とエンドポイントはキーを使用してメディア ストリームの暗号化と復号化を行います。 この機能は以下から保護します。 • Cisco Unified CM と Unity Connection の間のメディア ストリームをリッスンする中間者攻撃。 • Cisco Unified CM、Unity Connection、および Cisco Unified CM によって管理される IP Phone の間を流れる電話会話を盗聴するネットワーク トラフィック スニッフィング。 |
認証とシグナリング暗号化は、メディア暗号化の最小要件として機能します。つまり、デバイスがシグナリングの暗号化と認証をサポートしていない場合、メディアの暗号化は実行できません。
Cisco Unified CM セキュリティ(認証と暗号化)は、Unity Connection へのコールのみを保護します。メッセージ ストアに記録されたメッセージは、Cisco Unified CM の認証および暗号化機能では保護されませんが、Unity Connection のプライベート セキュア メッセージング機能では保護できます。 Unity Connection のセキュア メッセージング機能の詳細については、「プライベートおよびセキュアとマークされたメッセージの処理」を参照してください。
自己暗号化ドライブ
Cisco Unity Connection は、自己暗号化ドライブ(SED)もサポートしています。これはフルディスク暗号化 (FDE) とも呼ばれます。 FDE は、ハード ドライブ上で利用可能なすべてのデータを暗号化するために使用される暗号化方式です。
データには以下が含まれます file、オペレーティング システムおよびソフトウェア プログラム。ディスク上で使用可能なハードウェアは、すべての受信データを暗号化し、すべての送信データを復号化します。ドライブがロックされると、暗号化キーが作成され、内部に保存されます。このドライブに保存されているすべてのデータは、そのキーを使用して暗号化され、暗号化された形式で保存されます。 FDE はキー ID とセキュリティ キーで構成されます。
詳細については、 https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Cisco Unified Communications Manager および Unity のセキュリティ モード設定 繋がり
Cisco Unified Communications Manager および Cisco Unity Connection には、表 2 に示すセキュリティ モード オプションがあります。ボイス メッセージング ポート(SCCP 統合の場合)またはポート グループ(SIP 統合の場合)のセキュリティ モード オプションです。
注意
Unity Connection ボイス メッセージング ポート(SCCP 統合の場合)またはポート グループ(SIP 統合の場合)のクラスタ セキュリティ モード設定は、Cisco Unified CM ポートのセキュリティ モード設定と一致する必要があります。
それ以外の場合、Cisco Unified CM の認証と暗号化は失敗します。
表 2: セキュリティ モードのオプション
| 設定 | 効果 |
| 安全でない | コール シグナリング メッセージは、認証された TLS ポートではなく非認証ポートを介して Cisco Unified CM に接続されたクリア(暗号化されていない)テキストとして送信されるため、コール シグナリング メッセージの整合性とプライバシーは保証されません。また、メディア ストリームは暗号化できません。 |
| 認証済み | コール シグナリング メッセージは認証された TLS ポートを介して Cisco Unified CM に接続されるため、その整合性が保証されます。しかし コール シグナリング メッセージはクリア (暗号化されていない) テキストとして送信されるため、プライバシーは保証されません。さらに、メディア ストリームは暗号化されません。 |
| 暗号化 | コール シグナリング メッセージは認証された TLS ポートを介して Cisco Unified CM に接続され、コール シグナリング メッセージが暗号化されるため、コール シグナリング メッセージの整合性とプライバシーが確保されます。さらに、メディア ストリームを暗号化することもできます。両方のエンドポイントを暗号化モードで登録する必要があります メディア ストリームを暗号化します。ただし、一方のエンドポイントが非セキュアまたは認証モードに設定され、もう一方のエンドポイントが暗号化モードに設定されている場合、メディア ストリームは暗号化されません。また、介在するデバイス (トランスコーダやゲートウェイなど) の暗号化が有効になっていない場合、メディア ストリームは暗号化されません。 |
Unity Connection、Cisco Unified Communications Manager、および IP Phone 間の接続を保護するためのベスト プラクティス
Cisco Unity Connection と Cisco Unified Communications Manager の両方でボイス メッセージング ポートの認証と暗号化を有効にする場合は、次の URL で入手可能な『Cisco Unified Communications Manager SCCP Integration Guide for Unity Connection Release 12.x』を参照してください。
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Cisco Unity Connection、Cisco Unified Communications Manager、および IP Phone の間の接続の保護
ドキュメント / リソース
 |
CISCO Unity Connection ユニファイド コミュニケーション マネージャ [pdf] ユーザーガイド Unity Connection Unified Communications Manager、Connection Unified Communications Manager、Unified Communications Manager、Communications Manager、マネージャ |