الأمان المادي

من المهم توفير الأمان المادي لمواقع غرفة Equinix Meet-Me ومرافق مركز بيانات المثيل المكرس من Cisco. عندما يتم اختراق الأمان المادي، يمكن بدء هجمات بسيطة مثل تعطيل الخدمة عن طريق إيقاف الطاقة عن محولات العميل. باستخدام الوصول المادي، يمكن للمهاجمين الوصول إلى أجهزة الخادم، وإعادة تعيين كلمات المرور، والوصول إلى المفاتيح. كما يسهل الوصول المادي الهجمات الأكثر تطوراً مثل هجمات الرجل في الوسط، وهذا هو السبب في أن طبقة الأمان الثانية، أمن الشبكة، أمر بالغ الأهمية.

تُستخدم محركات الأقراص ذاتية التشفير في مراكز بيانات المثيلات المكرّسة التي تستضيف تطبيقات UC.

لمزيد من المعلومات حول ممارسات الأمان العامة، راجع الوثائق الموجودة في الموقع التالي: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

أمان الشبكة

يحتاج الشركاء إلى التأكد من تأمين جميع عناصر الشبكة في البنية التحتية للمثيل المخصص (التي تتصل عبر Equinix). تقع على عاتق الشريك مسؤولية ضمان أفضل الممارسات الأمنية مثل:

• شبكة VLAN منفصلة للصوت والبيانات

• تمكين أمان المنفذ الذي يحد من عدد عناوين MAC المسموح بها لكل منفذ، مقابل فيضان جدول CAM

• حماية مصدر IP ضد عناوين IP المزورة

• فحص فحص ARP الديناميكي (DAI) بروتوكول تحليل العنوان (ARP) وARP المجاني (GARP) للانتهاكات (ضد سرقة ARP)

• 802.⁦1x⁩ تقييد الوصول إلى الشبكة لمصادقة الأجهزة على شبكات VLAN المعينة (تدعم الهواتف 802.⁦1x⁩)

• تكوين جودة الخدمة (QoS) لوضع علامات مناسبة على الحزم الصوتية

• تكوينات منافذ جدار الحماية لمنع أي حركة مرور أخرى

أمان نقاط النهاية

تدعم نقاط نهاية Cisco ميزات الأمان الافتراضية مثل البرنامج الثابت الموقَّع والتمهيد الآمن (الطرازات المحددة) والشهادة المثبتة من الشركة المصنعة (MIC) وملفات التكوين الموقَّعة، والتي توفر مستوى معين من الأمان لنقاط النهاية.

بالإضافة إلى ذلك، يستطيع الشريك أو العميل تمكين أمان إضافي، مثل:

• تشفير خدمات هاتف IP (عبر HTTPS) لخدمات مثل Extension Mobility

• إصدار شهادات مهمة محليًا (LSCs) من وظيفة وكيل جهة منح الشهادات (CAPF) أو جهة منح الشهادات العامة (CA)

• تشفير ملفات التكوين

• تشفير الوسائط وإشارات

• تعطيل هذه الإعدادات إذا لم يتم استخدامها: منفذ الكمبيوتر، الوصول إلى VLAN للصوت بالكمبيوتر، ARP المجاني، الوصول إلى الويب، زر الإعدادات، SSH، وحدة التحكم

إن تنفيذ آليات الأمان في المثيل المخصص يمنع سرقة الهوية للهواتف وخادم Unified CM والتلاعب بالبيانات والتلاعب بإشارات المكالمات / بث الوسائط.

المثيل المكرّس عبر الشبكة:

• إنشاء وصيانة تدفقات اتصال مصادقة

• توقيع الملفات رقميًا قبل نقل الملف إلى الهاتف

• تشفير عمليات دفق الوسائط وإشارات المكالمات بين هواتف Cisco Unified IP

يوفر الأمان بشكل افتراضي ميزات الأمان التلقائية التالية لهواتف Cisco Unified IP:

• توقيع ملفات تكوين الهاتف

• دعم تشفير ملف تكوين الهاتف

• HTTPS مع Tomcat وخدمات الويب الأخرى (MIDlets)

بالنسبة لإصدار Unified CM الأحدث 8.0، يتم توفير ميزات الأمان هذه بشكل افتراضي دون تشغيل عميل قائمة الثقة للشهادات (CTL).

ونظرًا لوجود عدد كبير من الهواتف في الشبكة ولأن هواتف IP لديها ذاكرة محدودة، يعمل Cisco Unified CM كمخزن موثوق به عن بُعد من خلال خدمة التحقق من الثقة (TVS) بحيث لا يلزم وضع مخزن الثقة للشهادات على كل هاتف. تتصل هواتف Cisco IP بخادم TVS للتحقق لأنه لا يمكنه التحقق من توقيع أو شهادة من خلال ملفات CTL أو ITL. من الأسهل إدارة وجود مخزن الثقة المركزي من وجود مخزن الثقة على كل هاتف Cisco Unified IP.

يتيح بروتوكول TVS لهواتف Cisco Unified IP مصادقة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet، أثناء إنشاء HTTPS.

يتم استخدام ملف "قائمة الثقة الأولية" (ITL) للأمان الأولي، بحيث يمكن لنقاط النهاية أن تثق في Cisco Unified CM. لا يحتاج ITL إلى تمكين أي ميزات أمان بشكل صريح. يتم إنشاء ملف ITL تلقائيًا عند تثبيت المجموعة. يتم استخدام المفتاح الخاص لخادم Unified CM المبسط بروتوكول نقل الملفات (TFTP) لتوقيع ملف ITL.

عندما تكون مجموعة نظام أو خادم Cisco Unified CM في وضع غير آمن، يتم تنزيل ملف ITL على كل هاتف Cisco IP مدعوم. يمكن للشريك عرض محتويات ملف ITL باستخدام أمر CLI، المسؤول: show itl.

تحتاج هواتف Cisco IP إلى ملف ITL للقيام بالمهام التالية:

• الاتصال بأمان بـ CAPF، وهو شرط مسبق لدعم تشفير ملفات التكوين

• مصادقة توقيع ملف التكوين

• مصادقة خوادم التطبيق، مثل خدمات EM والدليل وMIDlet أثناء إنشاء HTTPS باستخدام TVS

تعتمد مصادقة الجهاز والملف وإشارات الإشارة على إنشاء ملف قائمة الثقة للشهادات (CTL)، الذي يتم إنشاؤه عندما يقوم الشريك أو العميل بتثبيت وتكوين عميل قائمة الثقة لشهادات Cisco.

يحتوي ملف CTL على إدخالات للخوادم التالية أو رموز الأمان التالية:

• الرمز المميز لأمان مسؤول النظام (SAST)

• Cisco CallManager وخدمات Cisco TFTP التي تعمل على نفس الخادم

• وظيفة وكيل جهة منح الشهادات (CAPF)

• خادم (خوادم) TFTP

• جدار حماية ASA

يحتوي ملف CTL على شهادة خادم، والمفتاح العام، والرقم التسلسلي، والتوقيع، واسم جهة الإصدار، واسم الموضوع، ووظيفة الخادم، واسم DNS، وعنوان IP لكل خادم.

يوفر أمان الهاتف مع CTL الوظائف التالية:

• مصادقة الملفات التي تم تنزيلها ببروتوكول TFTP (التكوين والإعدادات المحلية وقائمة الرنين وما إلى ذلك) باستخدام مفتاح التوقيع

• تشفير ملفات تكوين TFTP باستخدام مفتاح التوقيع

• إرسال إشارات المكالمات المشفرة لهواتف IP

• صوت المكالمة المشفر (الوسائط) لهواتف IP

يوفر المثيل المكرّس تسجيل نقطة النهاية ومعالجة المكالمات. تعتمد الإشارات بين Cisco Unified CM ونقاط النهاية على بروتوكول التحكم في العميل النحيف الآمن (SCCP) أو بروتوكول بدء الجلسة (SIP) ويمكن تشفيرها باستخدام أمان طبقة النقل (TLS). تعتمد الوسائط من/إلى نقاط النهاية على بروتوكول النقل في الوقت الحقيقي (RTP) ويمكن أيضًا تشفيرها باستخدام RTP الآمن (SRTP).

يؤدي تمكين الوضع المختلط على Unified CM إلى تمكين تشفير الإشارات وحركة مرور الوسائط من وإلى نقاط نهاية Cisco.

تطبيقات UC الآمنة

يتم تمكين الوضع المختلط بشكل افتراضي في "المثيل المكرّس".

يؤدي تمكين الوضع المختلط في "المثيل المكرّس" إلى تمكين القدرة على تنفيذ تشفير الإشارات وحركة مرور الوسائط من وإلى نقاط نهاية Cisco.

في إصدار Cisco Unified CM 12.5(1)، تمت إضافة خيار جديد لتمكين تشفير الإشارات والوسائط بناءً على SIP OAuth بدلاً من الوضع المختلط / CTL لعملاء Jabber وWebex. لذلك، في إصدار Unified CM 12.5(1)، يمكن استخدام SIP OAuth وSRTP لتمكين تشفير الإشارات والوسائط لعملاء Jabber أو Webex. يظل تمكين الوضع المختلط مطلوبًا لهواتف Cisco IP ونقاط نهاية Cisco الأخرى في الوقت الحالي. هناك خطة لإضافة دعم SIP OAuth في نقاط نهاية 7800/8800 في إصدار مستقبلي.

يتصل اتصال Cisco Unity Connection بنظام Unified CM من خلال منفذ TLS. عندما يكون وضع أمان الجهاز غير آمن، يتصل Cisco Unity Connection بـ Unified CM من خلال منفذ SCCP.

لتكوين الأمان لمنافذ المراسلة الصوتية في Unified CM وأجهزة Cisco Unity التي تعمل ببرنامج SCCP أو أجهزة Cisco Unity Connection التي تعمل ببرنامج SCCP، يستطيع الشريك اختيار وضع أمان جهاز آمن للمنفذ. إذا اخترت منفذ بريد صوتي مُصادق عليه، فسيتم فتح اتصال TLS، والذي يصادق على الأجهزة باستخدام تبادل شهادات متبادل (يقبل كل جهاز شهادة الجهاز الآخر). إذا اخترت منفذ بريد صوتي مشفر، يقوم النظام أولاً بمصادقة الأجهزة ثم يرسل تدفقات صوتية مشفرة بين الأجهزة.

لمزيد من المعلومات حول منافذ المراسلة الصوتية الآمنة، ارجع إلى: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

تأمين الاتصالات بين Cisco Unified CM وCUBE

للاتصالات الآمنة بين Cisco Unified CM وCUBE، يحتاج الشركاء/العملاء إلى استخدام شهادة موقعة ذاتيًا أو شهادات موقعة من CA.

للشهادات الموقّعة ذاتيًا:

1. يقوم CUBE وCisco Unified CM بإنشاء شهادات موقعة ذاتيًا

2. تصدر شهادة CUBE إلى Cisco Unified CM

3. تصدر شهادة Cisco Unified CM إلى CUBE

للشهادات الموقعة من CA:

1. يقوم العميل بإنشاء زوج مفتاح ويرسل طلب توقيع الشهادة (CSR) إلى جهة إصدار الشهادة (CA)

2. يقوم CA بتوقيعها باستخدام مفتاحها الخاص، وإنشاء شهادة هوية

3. يقوم العميل بتثبيت قائمة شهادات CA الجذر والوسيطة الموثوق فيها وشهادة الهوية

ملخص البروتوكول

يوضح الجدول التالي البروتوكولات والخدمات المرتبطة بها المستخدمة في حل Unified CM.

لمزيد من المعلومات حول تكوين MRA، ارجع إلى: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

تأمين Jabber وWebex باستخدام SIP OAuth

يتم مصادقة عملاء Jabber وWebex من خلال رمز OAuth بدلاً من شهادة مهمة محليًا (LSC)، والتي لا تتطلب تمكين وظيفة وكيل جهة منح الشهادات (CAPF) (لـ MRA أيضًا). تم تقديم SIP OAuth الذي يعمل مع الوضع المختلط أو بدونه في Cisco Unified CM 12.5(1) وJabber 12.5 وExpressway X12.5.

في Cisco Unified CM 12.5، لدينا خيار جديد في ملف تعريف أمان الهاتف الذي يقوم بتمكين التشفير دون LSC/CAPF، باستخدام أمان طبقة النقل المفرد (TLS) + رمز OAuth في SIP REGISTER. تستخدم عُقد Expressway-C API لخدمة ويب XML الإدارية (AXL) لإبلاغ Cisco Unified CM بـ SN/SAN في شهادتها. يستخدم Cisco Unified CM هذه المعلومات للتحقق من شهادة EXP-C عند إنشاء اتصال TLS متبادل.

يقوم SIP OAuth بتمكين تشفير الإشارات والوسائط دون شهادة نقطة النهاية (LSC).

يستخدم Cisco Jabber المنافذ المؤقتة والمنافذ الآمنة 6971 و6972 عبر اتصال HTTPS بخادم TFTP لتنزيل ملفات التكوين. يعد المنفذ 6970 منفذًا غير آمن للتنزيل عبر HTTP.

المزيد من التفاصيل حول تكوين SIP OAuth: وضع SIP OAuth.