متطلبات الشبكة والأمان للمثيلات المخصصة

الأمن المادي

من المهم توفير الأمان المادي لمواقع Equinix Meet-Me Room ومرافق Cisco Dedicated Instance Data Center. عندما يتم المساس بالأمن المادي، يمكن البدء بهجمات بسيطة مثل تعطيل الخدمة عن طريق إيقاف الطاقة عن مفاتيح العميل. باستخدام الوصول المادي، يمكن للمهاجمين الوصول إلى أجهزة الخادم وإعادة تعيين كلمات المرور والوصول إلى المفاتيح. ويسهل الوصول المادي أيضًا شن هجمات أكثر تعقيدًا مثل هجمات الرجل في المنتصف، ولهذا السبب فإن طبقة الأمان الثانية، أي أمان الشبكة، تعد بالغة الأهمية.

يتم استخدام محركات التشفير الذاتي في مراكز البيانات المخصصة التي تستضيف تطبيقات الاتصالات الموحدة.

لمزيد من المعلومات حول ممارسات الأمان العامة، راجع الوثائق الموجودة في الموقع التالي: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

أمن الشبكات

يتعين على الشركاء التأكد من تأمين جميع عناصر الشبكة في البنية التحتية للمثيل المخصص (الذي يتصل عبر Equinix). تقع على عاتق الشريك مسؤولية ضمان أفضل ممارسات الأمن مثل:

• شبكة VLAN منفصلة للصوت والبيانات

• تمكين أمان المنفذ الذي يحد من عدد عناوين MAC المسموح بها لكل منفذ، ضد إغراق جدول CAM

• حماية مصدر IP من عناوين IP المزيفة

• فحص ARP الديناميكي (DAI) يفحص بروتوكول حل العناوين (ARP) وARP المجاني (GARP) بحثًا عن الانتهاكات (ضد انتحال ARP)

• 802.⁦1x⁩ يحد من الوصول إلى الشبكة للتحقق من صحة الأجهزة الموجودة على شبكات VLAN المخصصة (الهواتف تدعم 802.⁦1x⁩)

• تهيئة جودة الخدمة (QoS) لوضع العلامات المناسبة على حزم الصوت

• تكوينات منافذ جدار الحماية لمنع أي حركة مرور أخرى

أمان نقاط النهاية

تدعم نقاط نهاية Cisco ميزات الأمان الافتراضية مثل البرامج الثابتة الموقعة، والتمهيد الآمن (طرازات محددة)، وشهادة الشركة المصنعة المثبتة (MIC)، وملفات التكوين الموقعة، والتي توفر مستوى معينًا من الأمان لنقاط النهاية.

بالإضافة إلى ذلك، يمكن للشريك أو العميل تمكين الأمان الإضافي، مثل:

• تشفير خدمات الهاتف IP (عبر HTTPS) للخدمات مثل Extension Mobility

• إصدار شهادات ذات أهمية محلية (LSCs) من وظيفة وكيل هيئة الشهادات (CAPF) أو هيئة الشهادات العامة (CA)

• تشفير ملفات التكوين

• تشفير الوسائط والإشارات

• قم بتعطيل هذه الإعدادات إذا لم يتم استخدامها: منفذ الكمبيوتر الشخصي، وصول VLAN الصوتي للكمبيوتر الشخصي، ARP مجاني، وصول الويب، زر الإعدادات، SSH، وحدة التحكم

يؤدي تنفيذ آليات الأمان في المثيل المخصص إلى منع سرقة هوية الهواتف وخادم Unified CM، والتلاعب بالبيانات، والتلاعب بإشارات المكالمات/تدفق الوسائط.

مثيل مخصص عبر الشبكة:

• إنشاء وصيانة تدفقات الاتصالات المعتمدة

• التوقيع رقميًا على الملفات قبل نقل الملف إلى الهاتف

• يقوم بتشفير تدفقات الوسائط وإشارات المكالمات بين هواتف Cisco Unified IP

يوفر الأمان بشكل افتراضي ميزات الأمان التلقائية التالية لهواتف Cisco Unified IP:

• توقيع ملفات تكوين الهاتف

• دعم تشفير ملف تكوين الهاتف

• HTTPS مع Tomcat وخدمات الويب الأخرى (MIDlets)

بالنسبة لإصدار Unified CM 8.0 الأحدث، يتم توفير ميزات الأمان هذه بشكل افتراضي دون تشغيل عميل قائمة شهادات الثقة (CTL).

نظرًا لوجود عدد كبير من الهواتف في الشبكة ولأن هواتف IP لها ذاكرة محدودة، فإن Cisco Unified CM يعمل كمخزن ثقة عن بعد من خلال خدمة التحقق من الثقة (TVS) بحيث لا يتعين وضع مخزن ثقة الشهادة على كل هاتف. تتصل هواتف IP الخاصة بشركة Cisco بخادم TVS للتحقق لأنها لا تستطيع التحقق من التوقيع أو الشهادة من خلال ملفات CTL أو ITL. يعد إنشاء مخزن ثقة مركزي أسهل في الإدارة من وجود مخزن الثقة على كل هاتف Cisco Unified IP.

يتيح TVS للهواتف Cisco Unified IP التحقق من صحة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet، أثناء إنشاء HTTPS.

يتم استخدام ملف قائمة الثقة الأولية (ITL) للأمان الأولي، حتى تتمكن نقاط النهاية من الثقة في Cisco Unified CM. لا يحتاج ITL إلى تمكين أي ميزات أمان بشكل صريح. يتم إنشاء ملف ITL تلقائيًا عند تثبيت المجموعة. يتم استخدام المفتاح الخاص لخادم Unified CM Trivial File Transfer Protocol (TFTP) لتوقيع ملف ITL.

عندما يكون مجموعة أو خادم Cisco Unified CM في وضع غير آمن، يتم تنزيل ملف ITL على كل هاتف IP Cisco مدعوم. يمكن للشريك عرض محتويات ملف ITL باستخدام أمر CLI، admin:show itl.

تحتاج هواتف IP من Cisco إلى ملف ITL لأداء المهام التالية:

• التواصل بشكل آمن مع CAPF، وهو شرط أساسي لدعم تشفير ملف التكوين

• التحقق من صحة توقيع ملف التكوين

• مصادقة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet أثناء إنشاء HTTPS باستخدام TVS

تعتمد مصادقة الجهاز والملف والإشارات على إنشاء ملف قائمة ثقة الشهادات (CTL)، والذي يتم إنشاؤه عندما يقوم الشريك أو العميل بتثبيت عميل قائمة ثقة الشهادات من Cisco وتكوينه.

يحتوي ملف CTL على إدخالات للخوادم أو رموز الأمان التالية:

• رمز أمان مسؤول النظام (SAST)

• خدمات Cisco CallManager وCisco TFTP التي تعمل على نفس الخادم

• وظيفة وكيل هيئة الشهادة (CAPF)

• خادم(ات) TFTP

• جدار الحماية ASA

يحتوي ملف CTL على شهادة الخادم والمفتاح العام والرقم التسلسلي والتوقيع واسم المصدر واسم الموضوع ووظيفة الخادم واسم DNS وعنوان IP لكل خادم.

يوفر أمان الهاتف باستخدام CTL الوظائف التالية:

• مصادقة الملفات التي تم تنزيلها عبر TFTP (التكوين، والإعدادات المحلية، وقائمة الحلقات، وما إلى ذلك) باستخدام مفتاح التوقيع

• تشفير ملفات تكوين TFTP باستخدام مفتاح التوقيع

• إشارات المكالمات المشفرة للهواتف IP

• مكالمات صوتية مشفرة (وسائط) للهواتف IP

توفر المثيلات المخصصة تسجيل نقطة النهاية ومعالجة المكالمات. تعتمد الإشارات بين Cisco Unified CM ونقاط النهاية على بروتوكول التحكم الآمن بالعميل (SCCP) أو بروتوكول بدء الجلسة (SIP) ويمكن تشفيرها باستخدام أمان طبقة النقل (TLS). تعتمد الوسائط من/إلى نقاط النهاية على بروتوكول النقل في الوقت الفعلي (RTP) ويمكن أيضًا تشفيرها باستخدام Secure RTP (SRTP).

يتيح تمكين الوضع المختلط على Unified CM تشفير الإشارات وحركة الوسائط من وإلى نقاط نهاية Cisco.

تطبيقات UC الآمنة

يتم تمكين الوضع المختلط بشكل افتراضي في المثيل المخصص.

يتيح تمكين الوضع المختلط في المثيل المخصص إمكانية تشفير الإشارات وحركة الوسائط من وإلى نقاط نهاية Cisco.

في إصدار Cisco Unified CM 12.5(1)، تمت إضافة خيار جديد لتمكين تشفير الإشارات والوسائط استنادًا إلى SIP OAuth بدلاً من الوضع المختلط / CTL لعملاء Jabber وWebex. لذلك، في إصدار Unified CM 12.5(1)، يمكن استخدام SIP OAuth وSRTP لتمكين التشفير للإشارات والوسائط لعملاء Jabber أو Webex. لا يزال تمكين الوضع المختلط مطلوبًا بالنسبة لهواتف Cisco IP ونقاط نهاية Cisco الأخرى في هذا الوقت. هناك خطة لإضافة الدعم لـ SIP OAuth في نقاط نهاية 7800/8800 في إصدار مستقبلي.

يتصل Cisco Unity Connection بـ Unified CM عبر منفذ TLS. عندما يكون وضع أمان الجهاز غير آمن، يتصل Cisco Unity Connection بـ Unified CM عبر منفذ SCCP.

لتكوين الأمان لمنافذ الرسائل الصوتية Unified CM وأجهزة Cisco Unity التي تعمل بنظام SCCP أو أجهزة Cisco Unity Connection التي تعمل بنظام SCCP، يمكن للشريك اختيار وضع أمان الجهاز الآمن للمنفذ. إذا اخترت منفذ بريد صوتي معتمد، فسيتم فتح اتصال TLS، والذي يقوم بمصادقة الأجهزة باستخدام تبادل الشهادات المتبادلة (يقبل كل جهاز شهادة الجهاز الآخر). إذا اخترت منفذ بريد صوتي مشفر، يقوم النظام أولاً بمصادقة الأجهزة ثم يرسل تدفقات صوتية مشفرة بين الأجهزة.

لمزيد من المعلومات حول منافذ الرسائل الصوتية الأمنية، راجع: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

تأمين الاتصالات بين Cisco Unified CM وCUBE

للحصول على اتصالات آمنة بين Cisco Unified CM وCUBE، يتعين على الشركاء/العملاء استخدام شهادة ذاتية التوقيع أو شهادات موقعة من CA.

بالنسبة للشهادات الموقعة ذاتيًا:

1. يقوم CUBE وCisco Unified CM بإنشاء شهادات ذاتية التوقيع

2. يقوم CUBE بتصدير الشهادة إلى Cisco Unified CM

3. يقوم Cisco Unified CM بتصدير الشهادة إلى CUBE

بالنسبة للشهادات الموقعة من قبل CA:

1. يقوم العميل بإنشاء زوج مفاتيح وإرسال طلب توقيع الشهادة (CSR) إلى هيئة الشهادات (CA)

2. تقوم CA بالتوقيع عليه باستخدام مفتاحها الخاص، مما يؤدي إلى إنشاء شهادة هوية

3. يقوم العميل بتثبيت قائمة شهادات الجذر والوسيط CA الموثوقة وشهادة الهوية

ملخص البروتوكول

يوضح الجدول التالي البروتوكولات والخدمات المرتبطة المستخدمة في حل Unified CM.

لمزيد من المعلومات حول تكوين MRA، راجع: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

تأمين Jabber وWebex باستخدام SIP OAuth

يتم مصادقة عملاء Jabber وWebex من خلال رمز OAuth بدلاً من شهادة ذات أهمية محلية (LSC)، والتي لا تتطلب تمكين وظيفة وكيل هيئة الشهادات (CAPF) (لـ MRA أيضًا). تم تقديم SIP OAuth الذي يعمل مع أو بدون الوضع المختلط في Cisco Unified CM 12.5(1)، وJabber 12.5، وExpressway X12.5.

في Cisco Unified CM 12.5، لدينا خيار جديد في ملف تعريف أمان الهاتف الذي يمكّن التشفير بدون LSC/CAPF، باستخدام رمز Transport Layer Security (TLS) + OAuth واحد في SIP REGISTER. تستخدم عقد Expressway-C واجهة برمجة تطبيقات خدمة ويب XML الإدارية (AXL) لإعلام Cisco Unified CM برقم SN/SAN في شهادتها. تستخدم Cisco Unified CM هذه المعلومات للتحقق من صحة شهادة Exp-C عند إنشاء اتصال TLS متبادل.

يتيح SIP OAuth تشفير الوسائط والإشارات دون شهادة نقطة نهاية (LSC).

يستخدم Cisco Jabber المنافذ المؤقتة والمنافذ الآمنة 6971 و6972 عبر اتصال HTTPS بخادم TFTP لتنزيل ملفات التكوين. المنفذ 6970 هو منفذ غير آمن للتنزيل عبر HTTP.

مزيد من التفاصيل حول تكوين SIP OAuth: وضع SIP OAuth.