Физическа охрана

Важно е да се осигури физическа сигурност на местата на Equinix Meet-Me Room и съоръженията на Центъра за данни на Cisco Dedicated Instance . Когато физическата сигурност е компрометирана, могат да бъдат инициирани прости атаки като прекъсване на услугата чрез изключване на захранването на превключвателите на клиента. С физически достъп нападателите могат да получат достъп до сървърни устройства, да нулират пароли и да получат достъп до превключватели. Физическият достъп също така улеснява по-сложни атаки като атаки "човек в средата", поради което вторият слой за сигурност, мрежовата сигурност, е от решаващо значение.

Самокриптиращите се устройства се използват в специализирани центрове за данни, които хостват приложения на UC.

За повече информация относно общите практики за сигурност вижте документацията на следното място: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Мрежова сигурност

Партньорите трябва да гарантират, че всички мрежови елементи са защитени в инфраструктурата на Dedicated Instance (която се свързва чрез Equinix). Отговорност на партньора е да гарантира най-добрите практики в областта на сигурността, като например:

• Отделен VLAN за глас и данни

• Активиране на сигурността на портовете, която ограничава броя на MAC адресите, разрешени за всеки порт, срещу наводнения на маса CAM

• IP Source Guard срещу фалшиви IP адреси

• Динамичната ARP инспекция (DAI) разглежда протокола за разрешаване на адреса (ARP) и безвъзмездната ARP (GARP) за нарушения (срещу ARP spoofing)

• 802. ограничава мрежовия достъп до удостоверени устройства на присвоени VLANs (телефоните поддържат 802.1x 1x)

• Конфигурация на качеството на услугата (QoS) за подходящо маркиране на гласови пакети

• Конфигурации на портове за защитна стена за блокиране на всеки друг трафик

Сигурност на крайните точки

Крайните точки на Cisco поддържат функции за сигурност по подразбиране, като подписан фърмуер, сигурно зареждане (избрани модели), инсталиран от производителя сертификат (MIC) и подписани конфигурационни файлове, които осигуряват определено ниво на сигурност за крайните точки.

В допълнение, партньор или клиент може да даде възможност за допълнителна сигурност, като например:

• Криптиране на IP телефонни услуги (чрез HTTPS) за услуги като Extension Mobility

• Издаване на местни значими сертификати (LSCs) от прокси функцията на сертифициращия орган (CAPF) или от публичен сертифициращ орган (CA)

• Шифроване на конфигурационни файлове

• Криптиране на носители и сигнализация

• Деактивирайте тези настройки, ако те не се използват: PC порт, PC глас VLAN достъп, безвъзмездна ARP, уеб достъп, бутон за настройки, SSH, конзола

Прилагането на механизми за сигурност в специализирания случай предотвратява кражбата на самоличност на телефоните и Единния CM сървър, подправянето на данни и подправянето на сигнализация / медийния поток.

Специален екземпляр по мрежата:

• Създава и поддържа удостоверени комуникационни потоци

• Цифрово подписва файлове, преди да прехвърли файла на телефона

• Криптира медийни потоци и сигнализация на повиквания между Cisco Unified IP телефони

Сигурността по подразбиране осигурява следните автоматични функции за сигурност за Cisco Unified IP телефони:

• Подписване на конфигурационните файлове на телефона

• Поддръжка за криптиране на файлове за конфигурация на телефона

• HTTPS с Tomcat и други уеб услуги (MIDlets)

За Unified CM Release 8.0 по-късно тези функции за сигурност се предоставят по подразбиране, без да се изпълнява клиентът на Certificate Trust List (CTL).

Тъй като има голям брой телефони в мрежа и IP телефоните имат ограничена памет, Cisco Unified CM действа като отдалечен доверителен магазин чрез услугата за проверка на доверието (TVS), така че да не се налага да се поставя сертификатен доверителен магазин на всеки телефон. IP телефоните на Cisco се свързват със сървъра на TVS за проверка, защото не могат да проверят подпис или сертификат чрез CTL или ITL файлове. Наличието на централен доверителен магазин е по-лесно за управление, отколкото наличието на доверителен магазин на всеки Cisco Unified IP телефон.

TVS позволява на Cisco Unified IP телефони да удостоверяват сървърите на приложения, като EM услуги, директория и MIDlet, по време на създаването на HTTPS.

Първоначалният доверителен списък (ITL) файлът се използва за първоначалната сигурност, така че крайните точки да могат да се доверят на Cisco Unified CM. ITL не се нуждае от никакви функции за сигурност, за да бъде активиран изрично. ITL файлът се създава автоматично, когато клъстерът е инсталиран. Частният ключ на сървъра на Unified CM Trivial File Transfer Protocol (TFTP) се използва за подписване на ITL файла.

Когато Cisco Unified CM клъстер или сървър е в несигурен режим, ITL файлът се изтегля на всеки поддържан Cisco IP телефон. Партньорът може да преглежда съдържанието на ITL файл с помощта на командата CLI, admin:show itl.

Cisco IP телефоните се нуждаят от ITL файла, за да изпълняват следните задачи:

• Комуникирайте сигурно с CAPF, предпоставка за поддръжка на криптирането на конфигурационния файл

• Удостоверяване на подписа на конфигурационния файл

• Удостоверяване на сървъри за приложения, като EM услуги, директория и MIDlet по време на създаването на HTTPS с помощта на телевизори

Удостоверяването на устройството, файла и сигнализацията разчитат на създаването на файла Certificate Trust List (CTL), който се създава, когато партньорът или клиентът инсталира и конфигурира клиента на Cisco Certificate Trust List.

CTL файлът съдържа записи за следните сървъри или символи за сигурност:

• Жетони за сигурност на системния администратор (SAST)

• Cisco CallManager и Cisco TFTP услуги, които работят на един и същ сървър

• Сертификат орган прокси функция (CAPF)

• TFTP сървър(и)

• Защитна стена ASA

CTL файлът съдържа сървърен сертификат, публичен ключ, сериен номер, подпис, име на емитента, име на субекта, функция на сървъра, DNS име и IP адрес за всеки сървър.

Сигурността на телефона с CTL осигурява следните функции:

• Удостоверяване на изтеглените TFTP файлове (конфигурация, локализация, ринглист и т.н.) с помощта на ключ за подписване

• Криптиране на TFTP конфигурационни файлове с помощта на ключ за подписване

• Криптирана сигнализация на повиквания за IP телефони

• Криптирано аудио повикване (медии) за IP телефони

Специализираната инстанция осигурява регистрация на крайната точка и обработка на повиквания. Сигнализацията между Cisco Unified CM и крайните точки се основава на Secure Skinny Client Control Protocol (SCCP) или Протокола за иницииране на сесия (SIP) и може да бъде криптирана с помощта на сигурност на транспортния слой (TLS). Медиите от/до крайните точки се основават на транспортния протокол в реално време (RTP) и могат да бъдат криптирани с помощта на Secure RTP (SRTP).

Активирането на смесен режим на Unified CM позволява криптиране на сигнализацията и медийния трафик от и до крайните точки на Cisco.

Сигурни UC приложения

Смесеният режим е активиран по подразбиране в Dedicated Instance.

Активирането на смесен режим в Dedicated Instance дава възможност за извършване на криптиране на сигналния и медийния трафик от и до крайните точки на Cisco.

В Cisco Unified CM release 12.5 (1) беше добавена нова опция за активиране на криптиране на сигнализация и медии на базата на SIP OAuth вместо смесен режим / CTL за клиенти на Jabber и Webex. Следователно, в Unified CM release 12.5(1), SIP OAuth и SRTP могат да се използват за активиране на криптиране за сигнализация и медии за клиенти на Jabber или Webex. Активирането на смесен режим продължава да се изисква за IP телефоните на Cisco и други крайни точки на Cisco по това време. Има план за добавяне на подкрепа за SIP OAuth в 7800/8800 крайни точки в бъдещо освобождаване.

Cisco Unity Connection се свързва с унифициран CM през TLS порта. Когато режимът на сигурност на устройството не е сигурен, Cisco Unity Connection се свързва с Unified CM през SCCP порта.

За да конфигурирате сигурността за Unified CM портове за гласови съобщения и устройства Cisco Unity, които работят с SCCP или Cisco Unity Connection устройства, които работят с SCCP, партньорът може да избере защитен режим на сигурност на устройството за порта. Ако изберете заверен гласов мейл порт, се отваря TLS връзка, която удостоверява устройствата с помощта на взаимен обмен на сертификати (всяко устройство приема сертификата на другото устройство). Ако изберете криптиран порт за гласова поща, системата първо удостоверява устройствата и след това изпраща криптирани гласови потоци между устройствата.

За повече информация относно портовете за гласови съобщения за сигурност вижте следното: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Осигуряване на комуникациите между Cisco Unified CM и CUBE

За сигурни комуникации между Cisco Unified CM и CUBE, партньорите/клиентите трябва да използват или самоподписан сертификат, или CA-подписани сертификати.

За самоподписани сертификати:

1. CUBE и Cisco Unified CM генерират самоподписани сертификати

2. Сертификат за износ на CUBE за Cisco Унифициран CM

3. Cisco Унифициран сертификат за износ на CM за CUBE

За CA-подписани сертификати:

1. Клиентът генерира ключова двойка и изпраща заявка за подписване на сертификат (CSR) до сертифициращия орган (CA)

2. CA го подписва с частния си ключ, създавайки сертификат за самоличност

3. Клиентът инсталира списъка с надеждни CA Root и междинни сертификати и сертификата за самоличност

Резюме на протокола

Следващата таблица показва протоколите и свързаните с тях услуги, използвани в решението Unified CM.

За повече информация относно конфигурацията на MRA вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Осигуряване на Jabber и Webex със SIP OAuth

Клиентите на Jabber и Webex се удостоверяват чрез OAuth токен вместо локално значим сертификат (LSC), който не изисква активиране на прокси функцията на сертифициращия орган (CAPF) (и за MRA). SIP OAuth, работещ със или без смесен режим, е въведен в Cisco Unified CM 12.5(1), Jabber 12.5 и Expressway X12.5.

В Cisco Unified CM 12.5 имаме нова опция в профила за сигурност на телефона, която позволява криптиране без LSC / CAPF, като използваме единичен защитен слой (TLS) + OAuth токен в SIP REGISTER. Автомагистралите-C възли използват API за административна XML уеб услуга (AXL), за да информират Cisco Unified CM за SN/SAN в сертификата си. Cisco Unified CM използва тази информация, за да валидира сертификата Exp-C при установяване на взаимна TLS връзка.

SIP OAuth позволява медийно и сигнално криптиране без сертификат за крайна точка (LSC).

Cisco Jabber използва ефимерни портове и сигурни портове 6971 и 6972 порта чрез HTTPS връзка към TFTP сървъра, за да изтеглите конфигурационните файлове. Port 6970 е незащитен порт за изтегляне чрез HTTP.

Повече подробности за конфигурацията SIP OAuth: SIP OAuth режим.