CHAPTER 45 Cisco Unified Communications プロキシ 機能に関する情報 この章では、Cisco Unified Communications プロキシ機能向けに適応型セキュリティ アプライアンス を設定する方法について説明します。 この章には、次の項があります。 • 「Cisco Unified Communications での適応型セキュリティ アプライアンスに関する情報」(P.45-1) • 「Cisco Unified Communications での TLS プロキシ アプリケーション」(P.45-3) • 「Cisco Unified Communications プロキシ機能のライセンス」(P.45-4) Cisco Unified Communications での適応型セキュリティ アプライアンスに関する情報 この項では、Cisco ASA 5500 シリーズ アプライアンスでの Cisco UC プロキシ機能について説明しま す。プロキシの目的は、クライアントとサーバ間の接続を終端し、再発信することです。プロキシは、 トラフィック検査、プロトコルとの適合性、ポリシー制御など幅広いセキュリティ機能を提供し、内部 ネットワークのセキュリティを保証します。プロキシの機能として広く普及しているのが、暗号化され た接続を終端して、接続の機密性を維持しながらセキュリティ ポリシーを適用する機能です。Cisco ASA 5500 シリーズ アプライアンスは、統合された通信構成にプロキシの機能を提供する戦略的なプ ラットフォームです。 Cisco UC Proxy には、次のソリューションが含まれます。 Phone Proxy:シスコ暗号化エンドポイントのセキュアなリモート アクセスと Cisco SoftPhone の Virtual LAN(VLAN; バーチャル LAN)トラバーサル Phone Proxy 機能は、セキュアなリモート アクセスのために Cisco Secure Real-time Transport Protocol (SRTP)および Transport Layer Security (TLS)暗号化エンドポイントの終端をイネーブルにします。 Phone Proxy を使用すると、大規模な Virtual Private Network(VPN; バーチャル プライベート ネット ワーク)リモート アクセス ハードウェア構成を使用することなく、セキュアな電話を大規模に展開で きます。エンドユーザのインフラストラクチャは、VPN トンネルまたはハードウェアを使用しない、 単なる IP エンドポイントに制限されます。 Cisco 適応型セキュリティ アプライアンスの Phone Proxy は、Cisco Unified Phone Proxy の代わりに なる製品です。また、Phone Proxy を、ソフトフォン アプリケーションの音声およびデータ VLAN ト ラバーサルに対して展開できます。Cisco IP Communicator(CIPC)トラフィック(メディアとシグナ リングの両方)は、適応型セキュリティ アプライアンスを通じてプロキシで処理できるため、コール は音声 VLAN とデータ VLAN 間を安全に通過できます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 45-1 第 45 章 Cisco Unified Communications プロキシ機能に関する情報 Cisco Unified Communications での適応型セキュリティ アプライアンスに関する情報 TLS プロキシと Phone Proxy の違いについては、次の URL で Unified Communications に関する内容 を参照してください。『TLS Proxy vs Phone Proxy』ホワイト ペーパーもあります。 http://www.cisco.com/go/secureuc TLS プロキシ:Cisco Unified Communications 暗号化シグナリングの復号化と検査 エンドツーエンド暗号化では、ネットワーク セキュリティ アプライアンスがメディアやシグナリング トラフィックに対して「盲目」になることがよくあります。これにより、アクセス コントロールや脅 威回避セキュリティの機能が低下する場合があります。このように可視性が失われると、ファイア ウォール機能と暗号化された音声間の相互運用性が失われ、企業では両方の主要なセキュリティ要件に 対応できない状態が続く可能性があります。 適応型セキュリティ アプライアンスは、シスコ暗号化エンドポイントから Cisco Unified Communications Manager(Cisco UCM)までの暗号化されたシグナリングを代行受信して復号化し、 必要な脅威回避とアクセス コントロールを適用します。また、Cisco UCM サーバへのトラフィックを 再暗号化して機密性を保証することもできます。 通常、適応型セキュリティ アプライアンスの TLS プロキシ機能は、構内の統合された通信ネットワー クに展開されます。このソリューションは、エンドツーエンド暗号化とファイアウォールを利用して Unified Communications Manager サーバを保護する構成に最も適しています。 モビリティ プロキシ:Cisco Unified Mobility Advantage サーバと Cisco Unified Mobile Communicator クライアント間のセキュアな接続 Cisco Unified Mobility ソリューションには、企業向け通信アプリケーションとサービスを携帯電話に 拡張する、モバイル ハンドセット用の使いやすいソフトウェア アプリケーションである Cisco Unified Mobile Communicator(Cisco UMC)と Cisco Unified Mobility Advantage(Cisco UMA)サーバが含 まれています。Cisco Unified Mobility ソリューションは通信のエクスペリエンスを効率化し、単一番 号リーチおよびモバイル エンドポイントの Unified Communications インフラストラクチャへの統合を 実現します。 セキュリティ アプライアンスはプロキシとして機能し、Cisco UMC と Cisco UMA 間の TLS シグナリ ングを終端し、再発信します。プロキシ セキュリティ機能の一部として、Cisco UMC と Cisco UMA 間のプロトコルである Cisco UMA Mobile Multiplexing Protocol(MMP; モバイル多重化プロトコル) に対する検査がイネーブルになります。 プレゼンス フェデレーション プロキシ:Cisco Unified Presence サーバとシスコまたは Microsoft のプレゼンス サーバ間のセキュアな接続 Cisco Unified Presence ソリューションは、ユーザの可用性とステータスに関する情報(ユーザが特定 の時間に IP 電話などの通信デバイスを使用しているかどうかなど)を収集します。また、Web コラボ レーションやビデオ会議がイネーブルになっているかどうかなど、通信機能に関する情報も収集しま す。Cisco Unified Presence でキャプチャされたユーザ情報を使用すると、Cisco Unified Personal Communicator や Cisco UCM などのアプリケーションで、ユーザは最も効率のよい協調的な通信方法 を確認して同僚との接続を効率化できるので、生産性が向上します。 適応型セキュリティ アプライアンスをセキュア プレゼンス フェデレーション プロキシとして使用する と、企業は Cisco Unified Presence(Cisco UP)サーバをシスコまたは Microsoft の他のプレゼンス サーバに安全に接続し、企業間通信をイネーブルにできます。セキュリティ アプライアンスは、サー バ間の TLS 接続を終端し、サーバ間の Session Initiation Protocol(SIP; セッション開始プロトコル) 通信に対するポリシーを検査および適用できます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 45-2 OL-18970-01-J 第 45 章 Cisco Unified Communications プロキシ機能に関する情報 Cisco Unified Communications での TLS プロキシ アプリケーション Cisco Unified Communications での TLS プロキシ アプ リケーション 表 45-1 に、適応型セキュリティ アプライアンスで TLS プロキシを使用する Cisco Unified Communications アプリケーションを示します。 表 45-1 アプリケー ション TLS プロキシ アプリケーションおよびセキュリティ アプライアンス TLS クライア TLS サーバ Cisco UCM ント Phone Proxy お IP 電話 よび TLS プロ セキュリティ アプ クライアント ライアンス サーバ 認証 の役割 セキュリティ アプライアン ス クライアン トの役割 あり 自己署名したまた は内部 CA による プロキシ証明書 適応型セキュ リティ アプラ イアンス CA によって署名 されたローカ ル ダイナミッ ク証明書 (Phone Proxy アプリケー ションには証 明書は不要な 場合がある) キシ モビリティ プ ロキシ Cisco UMC Cisco UMA なし Cisco UMA 秘密 キーまたは証明書 偽装の使用 任意のスタ ティックな設 定済み証明書 プレゼンス フェデレー ション プロキ シ Cisco UP また は MS LCS/OCS Cisco UP ま たは MS LCS/OCS あり 自己署名したまた は内部 CA による プロキシ証明書 Cisco UP 秘密 キーまたは証 明書偽装の使 用 適応型セキュリティ アプライアンスは、さまざまな音声アプリケーションに対して TLS プロキシをサ ポートします。Phone Proxy の場合、適応型セキュリティ アプライアンスで実行中の TLS プロキシに は、次の主要な機能があります。 • 適応型セキュリティ アプライアンスは、Cisco UCM クラスタがノンセキュア モードであっても、 インターネットを介して Phone Proxy に接続しているリモートの IP 電話を、強制的にセキュア モードにする。 • TLS プロキシは適応型セキュリティ アプライアンスに実装されて、IP 電話からの TLS シグナリン グを代行受信する。 • TLS プロキシはパケットを復号化し、NAT リライトおよびプロトコルへの適合性を行う検査エン ジンにパケットを送信する。また、オプションでパケットを暗号化し、それらのパケットを Cisco UCM に送信するか、IP 電話が Cisco UCM でノンセキュア モードになるよう設定されている場合 はクリア テキストでパケットを送信することもできます。 • 適応型セキュリティ アプライアンスは、必要に応じてメディア ターミネータとして機能し、SRTP および Real-time Transport Protocol(RTP)メディア ストリーム間で変換を行う。 • TLS プロキシは、TLS クライアント、プロキシ(適応型セキュリティ アプライアンス)、および TLS サーバ間で信頼できる関係を確立することで動作する透過的なプロキシである。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 45-3 第 45 章 Cisco Unified Communications プロキシ機能に関する情報 Cisco Unified Communications プロキシ機能のライセンス Cisco Unified Mobility ソリューションでは、TLS クライアントは Cisco UMA クライアントになり、 TLS サーバは Cisco UMA サーバになります。適応型セキュリティ アプライアンスは、Cisco UMA ク ライアントと Cisco UMA サーバの間にあります。(TLS プロキシとして実装された)Cisco Unified Mobility のモビリティ プロキシでは、クライアントとのハンドシェイク中にサーバ プロキシに対して インポートされた PKCS-12 証明書を使用できます。ハンドシェイク中、Cisco UMA クライアントは 証明書(クライアント証明書ではない)を提示する必要はありません。 Cisco Unified Presence ソリューションでは、適応型セキュリティ アプライアンスは、Cisco UP サーバ と外部サーバ間の TLS プロキシとして機能します。これにより、適応型セキュリティ アプライアンス は、TLS 接続を開始したサーバの代わりに TLS メッセージをプロキシ処理し、プロキシ処理した TLS メッセージをクライアントにルーティングします。適応型セキュリティ アプライアンスは、サーバと クライアントの証明書トラストポイントを保存し、これらの証明書を TLS セッションの確立時に提示 します。 Cisco Unified Communications プロキシ機能のライセン ス 適応型セキュリティ アプライアンスでサポートされる Cisco Unified Communications プロキシ機能に は、次の Unified Communications Proxy ライセンスが必要です。 • Phone Proxy • 暗号化音声検査の TLS プロキシ • モビリティ プロキシ • プレゼンス フェデレーション プロキシ Unified Communications プロキシ機能は、TLS セッションによってライセンスされます。Phone Proxy または TLS プロキシでは、各 IP 電話が、Cisco UCM サーバに対する 1 つの接続を持つ場合と、 2 つ(プライマリ Cisco UCM およびバックアップ Cisco UCM に対して 1 つずつ)の接続を持つ場合 があります。後者の場合、2 つの TLS セッションがセットアップされるため、Phone Proxy では 2 つの Unified Communications Proxy セッションを使用します。モビリティ プロキシとプレゼンス フェデ レーション プロキシでは、各エンドポイントは 1 つの Unified Communications Proxy セッションを使 用します。 表 45-2 に、Unified Communications Proxy ライセンス詳細をプラットフォームごとに示します。 表 45-2 セキュリティ アプライアンスのライセンス要件 セキュリティ アプ ライアンス プラッ トフォーム 最大 UC Proxy ライセ ンス ASA 5505 24 UC Proxy ライセンスの段階 24 ASA 5510 100 24, 50, 100 ASA 5520 1,000 24, 50, 100, 250, 500, 750, 1000 ASA 5540 2,000 24, 50, 100, 250, 500, 750, 1000, 2000 ASA 5550 3,000 24, 50, 100, 250, 500, 750, 1000, 2000, 3000 Unified Communications Proxy ライセンスは、activation-key コマンドを使用して、他のライセンス 機能(SSL VPN など)と同様に適用します。適応型セキュリティ アプライアンスでライセンスを確認 するには、show version コマンドまたは show activation-key コマンドを次のように使用します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 45-4 OL-18970-01-J 第 45 章 Cisco Unified Communications プロキシ機能に関する情報 Cisco Unified Communications プロキシ機能のライセンス hostname# show activation-key Serial Number: P3000000179 Running Activation Key: 0xa700d24c 0x98caab35 0x88038550 0xaf383078 0x02382080 Licensed features for this platform: Maximum Physical Interfaces : Unlimited Maximum VLANs : 150 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Security Contexts : 10 GTP/GPRS : Enabled VPN Peers : 750 WebVPN Peers : 750 AnyConnect for Mobile : Disabled AnyConnect for Linksys phone : Disabled Advanced Endpoint Assessment : Enabled UC Proxy Sessions : 1000 This platform has an ASA 5520 VPN Plus license. The flash activation key is the SAME as the running key. hostname# ライセンスの追加情報については、次のリンクを参照してください。Cisco.com の登録ユーザの場合、 Unified Communications Proxy ライセンスを入手するには、次の Web サイトにアクセスしてくださ い。 http://www.cisco.com/go/license Cisco.com の登録ユーザでない場合は、次の Web サイトにアクセスしてください。 https://tools.cisco.com/SWIFT/Licensing/RegistrationServlet 姓名、電子メール アドレス、および show version コマンド出力で表示される適応型セキュリティ アプ ライアンスのシリアル番号を入力してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 45-5 第 45 章 Cisco Unified Communications プロキシ機能に関する情報 Cisco Unified Communications プロキシ機能のライセンス Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 45-6 OL-18970-01-J
© Copyright 2026 Paperzz