Cisco IP テレフォニー ソリューション リファレンス ネットワーク デザイン ガイド Cisco CallManager Release 3.3

ログイン アクセスの保護

設定はコマンドライン インターフェイス（CLI）を使用して、telnet セッションを介して行うことができますが、ルータとスイッチの管理には Secure Shell（SSH）を使用する方法をお勧めします。ネットワーク要素を保護するための第一段階は、ルータとスイッチの仮想端末セッションにアクセスできるサブネットを制限することです。仮想コンソール アクセスをオペレーターやネットワーク管理ホストの IP アドレス範囲に限定すると、パスワードが漏洩しても、不正ユーザによるネットワーク デバイスへのアクセスを制限することができます。

信頼性の高いパスワードと認証方法の適用

パスワードは、ルータとスイッチへの不正アクセスを防止する、もう 1 つの重要な手段です。ユーザ パスワードを処理する最良の方法は、SofToken、SecureID、または DES Gold Cards などのワンタイム パスワード システムと連携させて TACACS+ または RADIUS 認証サーバを使用し、アタッカーが有効なユーザ パスワードを再使用するのを防止することです。しかし、必要な保守期間中に特権アクセス用のパスワードがローカルに設定されているルータが多くあります。

ルータ パスワードの漏洩を確実に防止するには、 service password-encryption コマンドを使用してすべてのパスワードを暗号化します。また、 enable secret コマンドを使用して、設定情報へのアクセスをさらに保護することをお勧めします。セキュリティを最大限に確保するために、パスワードには、数字と句読点の記号と、大文字と小文字を組み合せて使用してください。最後に、ネットワーク デバイスの管理には、IPSec や SSH などの暗号化された形式のアクセスを使用してください。

固有のポート VLAN ID（PVID）の各 802.1Q トランキング ポートへの割り当て

キャンパス ネットワークの設計で見落としやすい点は、802.1Q イーサネット トランクの保護です。トランクとは、複数の仮想 LAN（VLAN）を伝送する 2 つのネットワーク デバイス間のイーサネット接続です。802.1Q VLAN トランク設定に対するセキュリティ上の脅威が、1999 年 9 月の BUGTRAQ アラート（BUGTRAQ 801.1Q Security Alert; 9/99 BUGTRAQ@securityfocus.com email; Subject: VLAN Security）で明らかになりました。このアラートは、ユーザのネイティブ VLAN ID が、802.1Q トランクのポート VLAN ID（PVID）と同じである場合、ユーザは自分の VLAN からフレームを送信し、それらのフレームを他の VLAN に「ホップ」させることができることを指摘しています。この弱点は 802.1Q 仕様の一部であり、Cisco ISL トランキング ポートには適用されません。

この脅威に対する回避方法は、すべての 802.1Q トランク ポートに、キャンパス ネットワーク全体で固有の PVID、すなわちネイティブ VLAN ID を設定することです。

未使用のルータ サービスをディセーブルに設定

Cisco IOS リリース 12.1 以降では、シスコ ルータ上で実行できる不必要なサービスの多くは、デフォルトでディセーブル（オフ）になっています。しかし、ネットワークを常に監査し、これらのサービスがディセーブルになっていることを確認することを勧めします。次のサービスを使用していない場合は、ディセーブルにしてください。

• HTTP（ハイパーテキスト転送プロトコル）

• Finger

• UDP（ユーザ データグラム プロトコル）および TCP（転送制御プロトコル）Small Server

• RCP（リモート コピー プロトコル）または RSH（リモート シェル プロトコル）

• Telnet

ネットワーク管理機能の保護設定

SNMP（簡易ネットワーク管理プロトコル）は、ネットワーク要素のモニタリングと設定に広く使用されています。SNMP は、コミュニティ ストリングに基づく認証方式を使用します。コミュニティ ストリングは、本来、ネットワーク要素のアクセスに使用するパスワードです。SNMP を使用すると、仮想コンソールから表示または設定可能なほぼすべての情報にアクセスできるため、このアクセス方式をできるだけ完全に制限することが重要です。

次の基本的な規則により、SNMP セキュリティが向上します。

• コミュニティ ストリングとして public および private を使用しないこと。

• SNMP アクセスを、一部のホストまたはサブネットだけに限定すること。

ロギング サービスを使用したアクセスと設定変更の追跡

不正な侵入者を追跡する最も重要なツールの 1 つとして、正確なロギングがあります。すべてのシステム通知とエラー メッセージをログに記録すると、多くの場合、ネットワーク デバイスの作動状況で重要な問題を見つけることができます。アクセス リスト違反をログに記録すると、デバイス間のログを比較して、ネットワークが探索されているかどうか、またはデバイスが危険にさらされているかどうかを判別することもできます。正確なログを取得するには、すべてのネットワーク要素で次の手順を実行してください。

• 認証 NTP サーバなどの正確な集中時刻源を使用するように、すべてのデバイスを設定します。

• すべての Cisco IOS および CatOS デバイスで、タイムスタンプ機能を使用可能にします。

• ロギング情報を受信する syslog サーバを指定します。

VLAN とブロードキャスト ドメインの作成と割り当て

多くの IP セキュリティ ソリューションが実行されるのは、パケットがレイヤ 3（IP）のデバイスを検出する場合だけです。Cisco CallManager クラスタ、IP フォン、VoIP ゲートウェイ、およびネットワーク管理ワークステーションは、常に、データ ネットワークの他の部分からも、これらのデバイス相互からも分離した、独自のサブネット上に置く必要があります。実際に、どのデバイスも、別々のセグメントを使用してネットワークに接続する必要があります。別々のセグメントを各デバイスに対して使用すると（つまり、スイッチ型イーサネット インフラストラクチャ）、どのようなアタッカーや攻撃的アプリケーションが物理的なワイヤを通過しても、他のイーサネット トラフィックを探索したり、取り込んだりすることを防止できます。さらに、推奨される Cisco AVVID 設計モデルは、802.1Q VLAN トランキング テクノロジーを使用して、IP フォンと、IP フォンに接続されているデータ PC に別々のサブネットを使用します。

図 15-1 では、一般的な企業ネットワークにおける主要なコンポーネントを示しています。この例では、すべての IP テレフォニー コンポーネントは、音声 IP ネットワーク（10.x.x.x）内のさまざまなサブネットおよび VLAN 上にあります。PC、電子メール サーバ、DHCP サーバなどのすべてのデータ コンポーネントは、データ IP ネットワーク（171.68.x.x）上にあります。また、このネットワークは、100% スイッチ型イーサネット環境であり、各ユーザと各デバイスは、別々のセグメント上に置かれています。

図 15-1 一般的な企業ネットワーク

レイヤ 2 の音声の保護

この章では、レイヤ 2 より下位のセキュリティについては詳しく説明しませんが、DHCP、ARP、およびその他のレイヤ 2 プロトコルを保護するレイヤ 2 テクノロジーについて説明します。レイヤ 2 を保護する技術には、Private VLAN、Port Security、DHCP Snooping、IP Source Guard、Secure ARP Detection、Dynamic ARP Inspection などがあります。

（注） Private VLAN と Port Security ではトランク ポートがサポートされていません。このため、IP フォンに設定された補助 VLAN のポートでは使用できません。ただし、Cisco CallManager、Cisco Unity、およびその他のサーバに接続されているポートでは有効的に使用できます。

レイヤ 2 の保護の詳細は、次の Web サイトで入手可能な『SAFE Blueprint』を参照してください。

http://www.cisco.com/go/safe

パケット フィルタの実装

この数年間、IP フィルタの使用は、安全なネットワークの構築に不可欠の要素になってきています。音声ネットワークへのアクセスを制限するために、IP テレフォニー ネットワークを保護する際にフィルタを使用することをシスコは強くお勧めします。大部分の企業では、これらのフィルタは、IP テレフォニー ネットワークとデータ ネットワークを接続するルータ上に置きます。フィルタは、次のセキュリティ項目に役立ちます。

• 「ダイレクト ブロードキャスト」

• 「ソースルート パケット」

• 「ICMP リダイレクト」

• 「TCP 代行受信」

• 「リバース パス フォワーディング（RPF）」

• 「VoIP ゲートウェイの保護」

• 「その他のサービスの許可」

ダイレクト ブロードキャスト

Cisco インターフェイスが no ip directed-broadcast コマンドを使用して設定されている場合、ダイレクト ブロードキャストはドロップされます。このコマンドを使用しない場合、ダイレクト ブロードキャストは、このインターフェイスでリンク層ブロードキャストに展開されます。

ソースルート パケット

no ip source-route が設定されている Cisco ルータは、ソース ルーティング オプションが指定された IP パケットを転送しません。このコマンドは、インターネットに接続されているルータ、および企業内の IP テレフォニー ネットワークとデータ ネットワークを接続するゲートウェイ ルータで使用してください。

ICMP リダイレクト

IP テレフォニー ネットワークとデータ ネットワーク間の境界ルータでアクセス リストを使用し、すべての ICMP（インターネット コントロール メッセージ プロトコル）リダイレクトをフィルタリングすることをお勧めします。

TCP 代行受信

サービス妨害（DoS; Denial of Service）攻撃から VoIP ネットワークを保護するには、IP テレフォニー ネットワークとデータ ネットワーク間のゲートウェイ ルータ上でアクセス リストを設定して、音声ネットワーク内の宛先 IP アドレスと一致させてください。次に、 ip tcp intercept list コマンドをイーサネット インターフェイスに適用して、不審な TCP SYN トラフィックを探します。

リバース パス フォワーディング（RPF）

検証可能な IP ソース アドレスをもたない IP パケットを廃棄することにより、Unicast RPF 機能は、改ざんされたり、偽装された（なりすまし）IP ソース アドレスがネットワークに侵入して発生する問題を軽減します。Unicast RPF の設定に使用するその他のコマンドについては、『Cisco IOS Command Reference Master Index』を参照してください。また、 http://www.cisco.com からオンラインで Unicast RPF の資料を検索することもできます。

VoIP ゲートウェイの保護

図 15-2 に示されているように、コール シグナリングを Cisco CallManager からのみ許可することが重要です（トール バイパスを使用する場合は、他の VoIP ゲートウェイから許可)。直接コールのセットアップ試行を他のデバイスからブロックする最も簡単な方法は、ACL（アクセス コントロール リスト）をアップストリーム ルータか VoIP ゲートウェイ自体に使用することです。これにより、着信するシグナリング要求を Cisco CallManager から発信されるコールに限定することができます。

図 15-2 データ ネットワークからの直接コールの防止

その他のサービスの許可

多くの企業では、ポリシー、アプリケーション、およびコストの面から、少なくとも、データ ネットワークと IP テレフォニー ネットワーク間で最小限の通信が必要です。シスコでは、現在、各音声製品での UDP と TCP のポート使用に関する資料を更新中です。この新しい資料では、ユーザのネットワークに配置される、より厳密な ACL の許可についてさらに詳しく説明しています。

本書の発行時には、この新しいポート使用に関する資料は完成していませんでした。この情報については、Cisco Systems Engineer（SE）またはアカウント チームにご相談ください。

ファイアウォール

インターネット ファイアウォールは、ネットワーク インフラストラクチャのデフォルト要素です。ここでは、ネットワーク設計、ファイアウォール、および侵入検知アプリケーションを使用して、インターネット セキュリティ ポリシーとアーキテクチャがすでに実装済みであることを前提としています。信頼性の高いセキュリティ ポリシーでは、すべてのパートナー接続に対してファイアウォールを設定する手段がさらに必要であることを指示しています。これらの基本的なファイアウォールを設定し、AVVID ネットワークを構築し、既存の IP ネットワークに接続した後、Cisco CallManager クラスタと、IP テレフォニー ネットワークやデータ ネットワークとの間で、別のファイアウォールを追加する必要があります（図 15-3 を参照）。

図 15-3 Cisco CallManager 周辺のファイアウォール構築

（注） WAN を介したクラスタ化を使用した配置環境など、同じクラスタ内の Cisco CallManager サーバ間にファイアウォールを設定しないようお勧めします。

Cisco CallManager クラスタと、音声とデータの両方のネットワークとの間にファイアウォールを設定すると、Cisco AVVID ネットワーク内の最も重要なコンポーネントである、コール処理エージェントの危険性が大幅に減少します。このファイアウォールは、すべての IP デバイスと Cisco CallManager との間の監視の役目をして、確実に特定のトランザクションだけが許可されます。

（注） H.225 ゲートキーパー制御トランクを使用している場合は、ファイアウォールを通過するコールで、一方向のオーディオとコールのセットアップ障害に問題が発生する可能性があります。このような問題を回避するには、H.225 ゲートキーパー制御トランクの Cisco CallManager Service Parameter を、ポート 1720 を使用してゲートキーパーに登録するように設定します。また、ポート 1720 上のファイアウォール内にある Cisco CallManager が受信する、ファイアウォールの外からの TCP パケットをすべて許可するようにファイアウォールを設定します。

ファイアウォールの詳細は、次の Web サイトで入手可能な Cisco PIX に関する資料を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm

また、次の Web サイトから Cisco IOS Firewall に関する資料も参照してください。

http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/

アプリケーション レイヤ ゲートウェイ（ALG）

ALG は、特定のアプリケーションのステートフル インスペクションを実行し、アプリケーションのファイアウォール トラバーサルとネットワーク アドレス変換（NAT）を容易にします。ALG は、インスペクション エンジンまたはフィックスアップ（fixup）と呼ばれることもあります。ALG には、アプリケーションに応じたタイプが備わっています。たとえば、音声の場合は、SIP、SCCP、MGCP、および H.323 の ALG があります。これらの ALG により、音声パケットがファイアウォールと NAT を正常にトラバースできます。

Windows の保護

Cisco CallManager に付属の Microsoft Windows オペレーティング システムに対しては、さまざまな保護が実行されてきました。レジストリ、NTFS ファイル システム、IIS サービスなど、オペレーティング システムの多方面にわたってロックされており、これ以上のセキュリティ設定は不要でサポートされていません。導入した他のサービスが、システムのセキュリティに影響を与える可能性があります。Cisco CallManager サーバにインストール可能なソフトウェアのみ設定してください。Cisco CallManager サーバに承認されていないアプリケーションをインストールすると、システムのパフォーマンスやセキュリティに影響を与えることがあります。また、システムに問題が発生した場合にシスコからトラブルシューティングのためのサービス サポートを受ける際、問題を切り分けるためにこれらのアプリケーションをアンインストールしなければならないことがあります。

未使用の Windows サービスをディセーブルに設定

インストール時に大部分のサービスとセキュリティを実行するように設定されます。これらの設定は変更しないでください。ただし、いくつかのサービスをディセーブル（オフ）に設定すると、Cisco CallManager のセキュリティが向上します。多くのコンピュータ攻撃は、IIS サービスに対して行われます。シスコではすべての管理をパブリッシャ サーバで行うことを推奨しているため、Cisco CallManager クラスタ内のすべてのサブスクライバ上で IIS をディセーブルに設定できます。この場合、IP フォンはサブスクライバに登録されます。これらのサーバ上で IIS をディセーブルにすると、システムで最も生産性の高いサーバへの悪質な攻撃を目的としたアクセスを大幅に減らすことができます。IIS はソフトウェアのアップグレードに必要なため、管理者はアップグレード時に IIS を再度イネーブルに設定する必要があります。IIS の起動を手動に設定すると、IIS はアップグレード時に必要に応じてイネーブルに設定できます。IIS 以外にも、DHCP と TFTP をすべてのサーバ上でディセーブルに設定できます。ただし、DHCP と TFTP が特に必要なパブリッシャなどではディセーブルに設定できません。

ユーザ アカウントとパスワード

Cisco CallManager の管理者アカウントは、Microsoft Security Account Manager（SAM）データベースに保管されている Windows NT アカウントです。これは、Windows と同じ認証メカニズムを使用します。Cisco CallManager Administration に指定される、CTI や Multilevel Administration Access（MLA）のユーザ名とパスワードなどはすべて、Domain Controller（DC）Directory に保管されます。パスワードは 6 文字以上で、予測不可能な文字と数字を組み合せて指定してください。

管理の保護

シスコでは、インターネットと IIS 以外に、Microsoft Terminal Services または Virtual Network Computing（VNC）を使用したリモート管理をサポートしています。VNC は、リモートからデスクトップにグラフィカルにアクセスできる、クライアント/サーバのソフトウェア パッケージです。VNC を使用すると、自分のコンピュータがインターネットに接続されている限り、どこからでもそのコンピュータにアクセスできます。VNC は、ほとんどのプラットフォームで使用できるフリーソフトです。Cambridge 大学の Engineering Department では、Secure Shell（SSH）を使用して VNC を安全に実行するための設定上のガイドラインを次の Web サイトに公開しています。

http://www.uk.research.att.com/vnc/sshvnc.html

オペレーティング システムのパッチの更新

現在、ウィルス、ワーム、サービス妨害などのコンピュータに対する攻撃は日常的に行われています。頻繁に、Smurf、Code Red、Nimbda、SQL Slammer、Blaster、Nachi、Sobig などのウィルスの蔓延について聞いたり、実際に経験したりしています。アンチウィルスや侵入検知システムを使用すると、このような悪質な攻撃からコンピュータを守ることができます。しかし、このような攻撃を減らす最も良い方法は、オペレーティング システムを常に最新に保つことです。

シスコでは、あらゆるセキュリティ警告サービスを監視しています。新しいセキュリティの脆弱性がクリティカルまたは重大度 1 と見なされると、すべて修正およびテストが行われ、24 時間以内に http://www.cisco.com に公開されます。Cisco CallManager に影響を与える可能性のある、特定された脆弱性はすべて、毎月、オペレーティング システムのパッチに組み込まれます。

次のアプリケーションは、シスコが提供する同一のオペレーティング システムを使用しています。

• Cisco CallManager

• Cisco Conference Connection

• Cisco Emergency Responder

• Cisco IPCC Express

• Cisco IP IVR

• Cisco Internet Service Node（ISN）

• Cisco Personal Assistant

シスコが公開し、発表するオペレーティング システムのパッチは、上記のすべてのアプリケーションで有効です。これらのアプリケーションには、 http://www.cisco.com で公開されるパッチのみ適用してください。

一部の Web サイトでは、Cisco Unity や Cisco IPCC Enterprise（または、ここに記載のないその他のシスコ製品）のユーザに対して Microsoft 社の Web サイトからパッチを直接ダウンロードするよう指示されていることがあります。パッチは Microsoft 社から直接ダウンロードしないでください。その代わりに、次の Web サイトから目的のパッチを入手してください。

http://www.cisco.com/kobayashi/sw-center/sw-voice.shtml

（注） Microsoft 社では、Windows 95/98 や Office 製品用のパッチなど、Cisco CallManager に適用する必要のないパッチを多く公開しています。これらのパッチは、オペレーティング システムのビルドには組み込まれません。

セキュリティ パッチに関するシスコのポリシーの詳細は、次の Web サイトで入手可能な『Cisco CallManager Security Patch Process』を参照してください。

http://www.cisco.com/application/pdf/en/us/guest/products/ps556/c1167/ccmigration_09186a0080157c73.pdf

また、シスコでは、新しい適用可能な OS の更新についてお客様に電子メールで通知しています。このメールには、ビルドに組み込まれている内容、適用する対象、Cisco CallManager に適用しなければならない理由などが記載されています。この情報を利用するには、次の Web サイトをご覧ください。

http://www.cisco.com/warp/public/779/largeent/software_patch.html

Cisco Emergency Responder と Cisco Conference Connection は、Cisco CallManager と同じオペレーティング システムのビルドを使用します。このため、Cisco CallManager の OS に対するパッチと更新は、これらの 2 つのアプリケーションにも適用可能です。

Cisco CallManager でのウィルス スキャン

Cisco CallManager を含むすべての Windows 2000 サーバに、アンチウィルス ソフトウェアによる保護が必要です。現在、シスコでは、Cisco CallManager にアンチウィルス ソフトウェアを同梱したり組み込んだりしていません。シスコでは、AVVID Partner Program を通して、Symantec AntiVirus 7.6 または 8.0、および McAfee NetShield 4.5 の使用をサポートしています。稼働中の Cisco CallManager のバージョンに対応したウィルス スキャン ソフトウェアを設定してください。ウィルス スキャン ソフトウェアのインストールおよび設定の詳細は、次の Web サイトで入手可能な資料を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/voice/c_callmg/sec_vir/index.htm

Cisco Security Agent ホストベースの侵入検知

高度な Cisco Security Agent 製品は、サーバとデスクトップのコンピューティング システムに対する脅威を防止します。Cisco Security Agent は、悪質な攻撃が行われる前にそれを特定し防止する、従来のホストとデスクトップにおけるセキュリティ対策を超えた機能です。これにより、企業ネットワークとアプリケーションを脅威にさらす可能性をもつ、既知または未知（0 日）のセキュリティ リスクを取り除くことができます。Cisco Security Agent は、複数のエンドポイントのセキュリティ機能を統合し、拡張します。このエージェント パッケージには、ホスト侵入検知、分散型ファイアウォール、悪質なモバイル コードの保護、オペレーティング システムの完全性の保証、および監査ログの強化などの機能があります。

知名度の高い Code Red や SQL Slammer ワームなどのネットワーク セキュリティへの攻撃が示すように、従来のホストとデスクトップのセキュリティ テクノロジーでは、新種の進化する攻撃に対する方法に限界があります。ユーザは、ネットワークやクリティカル アプリケーションに影響を与えるセキュリティへの攻撃を防止する、強力なエンドポイント セキュリティを必要としています。Cisco Security Agent は署名の一致に依存するのではなく、動作を分析するため、このソリューションは強力な保護機能を提供し、稼働コストを軽減します。

Cisco CallManager リリース 3.3(3) の場合、Cisco Security Agent バージョンは Cisco CallManager に追加料金なしで同梱されます。このバージョンは、完全管理エージェントのセキュリティ機能すべてを備えており、他のエージェント機能を必要としません。主要な機能をもたないバージョンの場合、Management Console（CiscoWorks VPN/Security Management Solution（VMS）リリース 4.0 には同梱されています）をわずかな料金で購入すると、完全管理バージョンにアップグレードすることができます。完全管理エージェントの Management Console は、ポリシーの分散と管理を統合し、レポート機能を提供し、異なるシステムで起こる Ping Sweep やポート スキャンなどを比較します。Cisco Security Agent の詳細は、次の Web サイトにある資料を参照してください。

http://www.cisco.com/en/US/partner/products/sw/secursw/ps5057/index.html

Cisco Security Agent は、サービス妨害、ワーム、ウィルス、その他の不正な攻撃に対する強力なセキュリティ機能を備えていますが、完全なセキュリティ ソリューションというわけではありません。効果的に Cisco CallManager を保護するには、さらにアンチウィルス ソフトウェアを使用し、オペレーティング システムにパッチを適用し常に最新の状態に保ってください。

IP フォン サービスのオフロード

IP フォンのサービスである XML アプリケーションの多くは、インターネットにアクセスし、さまざまな最新データを取得します。このインターネットへのアクセスはセキュリティ面で危険性があるので、IP フォンのサービス アプリケーションはすべて Cisco CallManager クラスタ内のパブリッシャまたはサブスクライバから削除し、企業ファイアウォールの外、またはできれば中立地帯（DMZ）のいずれかにある専用サーバに組み込んでください。

IP フォンの自動登録をディセーブルに設定

自動登録は、以前取り外された IP フォンの起動、Cisco CallManager への自動登録、電話番号の取得、ネットワークでのアクティブ化を可能にする Cisco CallManager の機能です。この機能は、プラグイン アプレット TAPS（Tool for Auto-Registered Phone Service）を使用して多数の IP フォンを設置する際に特に便利です。しかし、これは料金詐欺、悪質な誘導攻撃、サービス妨害攻撃などを引き起こすこともあります。すべての Cisco CallManager サーバで自動登録をディセーブルにすることをお勧めします。自動登録は、多数の IP フォンを設置する際に一時的に使用し、それ以外ではディセーブルにしてください。

マルチレベル管理

Multilevel Administration Access（MLA）は、Cisco CallManager をロール ベースで管理する Cisco
CallManager の機能です。MLA を使用すると、管理グループを作成し、管理ユーザをこれらのグループに割り当てることができます。これらのグループに権限を設定して、Cisco CallManager Administration の各ページへのアクセスをそれぞれ拒否したり、読み取り/書き込みアクセスまたは読み取り専用アクセスを許可することができます。たとえば、ネットワーク管理者はすべての管理ページに読み取り/書き込みアクセスができるのに対して、技術者は IP フォン設置のために管理ページにだけ読み取り/書き込みアクセスができ、オペレーターは IP フォン、ゲートウェイ、これらのデバイスの現在状況を確認するボイス メール ページにだけ読み取り専用アクセスができます。

料金詐欺の防止

料金詐欺は、通信業界では深刻な問題です。通信テクノロジーの不正な使用は企業にとって多額の費用がかかり、通信管理者はこの不正に対して必要な措置をとらなければなりません。

料金詐欺を防止するには、ダイヤル プランをCisco CallManager のコール検索スペース（calling search space） とパーティション（partition） に適切に設定してください。これらを設定すると、発信側のデバイスがダイヤルできるダイヤル パターンを指定できます。たとえば、ある IP フォンに 9.xxxxxxx というパターンのパーティションを含むコール検索スペースが指定されているものとします。このパターンとパーティションだけがその IP フォンのコール検索スペースに関連付けられている場合、その IP フォンはこのパターンの番号にしかダイヤルすることができません。

料金詐欺を防止する基本的な方法は、次のとおりです。

• ダイヤル プランを使用して料金詐欺を軽減し解消すること

• コールを内線番号 9xxx に転送すること

• IP フォンの自動登録をディセーブルにすること

• 不在転送、ボイス メール、Personal Assistant コール検索スペース

• 料金詐欺に頻繁に使用されるエリア コードのブロック

ダイヤル プランの設計の詳細は、「ダイヤル プラン」を参照してください。また、『Cisco CallManager Fundamentals』を参照してください。この資料は、 www.fatbrain.com または
www.amazon.com から入手できます。

ソフトウェアの MTP および会議サービス

Cisco CallManager サーバに、ソフトウェア ベースのMTP（メディア終端点）サービスおよび会議サービスをインストールしないことをお勧めします。これらのアプリケーションは、RTP（Real-Time Transport Protocol）および UDP（User Datagram Protocol）VoIP ストリームを終了させ、それらを混合して別のコール レッグまたは電話会議を作成します。UDP は保護しにくいプロトコルであり、Cisco CallManager サーバ上で UDP を終端させるとサーバが不必要に攻撃にさらされてしまう危険性があります。このリスクを緩和するには、ハードウェア ベースの MTP と会議を使用するか、別個の Windows 2000 サーバに会議ソフトウェアをインストールしてください。

システムの監査およびログ

監査を実行すると、Windows 2000 の多くの特権タスクの使用状況を追跡できます。監査が使用可能になっている場合、定期的に Event Viewer を確認すると、システムが危険にさらされているかどうかを判別できます。 表 15-1 では、推奨される監査方式を示しています。

Cisco CallManager の SNMP

「ネットワーク要素の保護」 で説明しているように、SNMP コミュニティ ストリングはネットワーク要素へのアクセスに使用するパスワードです。SNMP を使用すると、仮想コンソールから表示または設定可能なほぼすべての情報にアクセスできるため、このアクセス方式をできるだけ完全に制限することが重要です。

次の基本的な規則により、SNMP セキュリティが向上します。

• コミュニティ ストリングとして public および private を使用しないでください。

• SNMP アクセスを、一部のホストまたはサブネットだけに限定してください。

IP フォンの Gratuitous Address Resolution Protocol からの保護

デフォルトでは、IP フォンは Gratuitous Address Resolution Protocol（GARP）のパケットに対応しています。一部のデバイスは GARP を使用して、その存在をネットワークに伝えます。しかし、アタッカーもこの GARP を使用して、有効なネットワーク デバイスになりすますことができます。たとえば、アタッカーは GARP メッセージを送信してデフォルト ルータになる要求をします。Cisco CallManager リリース 3.3(3) では、管理者は Phone Configuration ページから、GARP パケットの許可をディセーブルにすることができます。

（注） IP フォンは、DHCP のロード プロセスで確認する必要があるデバイスの IP アドレスを取得します。その後、IP フォンはアドレス解決プロトコル（ARP）を使用して、通信する必要があるデバイスの MAC アドレスを判別します。

GARP の許可をディセーブルにすると、特に攻撃ツールである Ettercap を遮断することができます。

音声 VLAN の組み込み PC からの分離

IP フォンは、デフォルトでは、アップストリーム スイッチ方向のスイッチ ポートで受信したすべてのパケットを PC ポートに転送します。これには、その IP フォン宛の 802.1Q タグが付いたパケットも含まれます。Cisco CallManager リリース 3.3(3) では、管理者は音声 VLAN のタグが付いたパケットの PC ポートへの転送をディセーブルにすることができます。同様に、音声 VLAN のタグが付いた PC ポートから受信したパケットもドロップされます。このオプションを使用すると、PC ポートに接続されているデバイスが、音声 VLAN にアクセスしなくても必要に応じて 802.1Q を使用することができます（802.1Q が使用可能な場合）。このオプションは、Phone Configuration ページで設定することができます。PC ポートから音声 VLAN へのアクセスをディセーブルにすると、特に攻撃ツールである VOMIT を遮断することができます。

ネットワーク設定情報へのアクセスの禁止

デフォルトでは、IP フォンの Settings（設定）ボタンを押すと、IP フォンの設定内容にアクセスすることができます。Cisco CallManager リリース 3.3(3) では、管理者は Settings ボタンをディセーブルにし、設定情報へのアクセスを禁止することができます。このオプションは、Phone Configuration ページで設定することができます。

不要な PC ポートをディセーブルに設定

デフォルトでは、PC ポートは PC ポートをもつすべての IP フォンで使用可能になっています。Cisco CallManager リリース 3.3(3) では、管理者は PC ポートをディセーブルにすることができます。このオプションは、ロビーや会議室にある IP フォンに便利です。このオプションは、Phone Configuration ページで設定することができます。

IP フォンのファームウェアの有効性を確認

IP フォンには、受信したイメージがシスコ作成のイメージであるかどうかを検証する機能があります。この機能を使用すると、トロイの木馬イメージが IP フォンにインストールされ、他の保護メカニズムを破壊することを防止することができます。イメージはデジタル署名され、Digital Signature Envelope に入れられます。IP フォンが新しいイメージをダウンロードすると、新しいイメージの署名と既存のイメージの署名を比較します。署名が一致しない場合、その新しいイメージは拒否されます。Cisco CallManager リリース 3.3(3) の場合、すべてのイメージは、デフォルトでは設定可能なオプションなしで署名が付きます。

（注） 一度 IP フォンに署名付きのイメージがロードされると、削除したり取り消すことはできません。

このような機能をサポートしている IP フォンのファームウェア イメージは、Cisco CallManager リリース 3.3(2) でも機能します。ただし、設定可能なオプションは機能せず、デフォルトの動作は Cisco CallManager リリース 3.3(2) のファームウェアとまったく同じになります。つまり、IP フォンにより GARP パケットが許可され、音声 VLAN のタグが付いたパケットが PC ポートに転送され、許可されてしまいます。また、PC ポートと Settings ボタンが両方とも使用可能になります。