Síťové a bezpečnostní požadavky vyhrazené pro jednotlivé případy

Fyzická bezpečnost

Je důležité zajistit fyzické zabezpečení místností Equinix Meet-Me Room a zařízení Cisco Dedicated Instance Data Center. Pokud je ohroženo fyzické zabezpečení, mohou být zahájeny jednoduché útoky, jako je přerušení služby vypnutím napájení přepínačů zákazníka. S fyzickým přístupem by útočníci mohli získat přístup k serverovým zařízením, resetovat hesla a získat přístup k přepínačům. Fyzický přístup také usnadňuje sofistikovanější útoky, jako jsou útoky typu man-in-the-middle, což je důvod, proč je druhá vrstva zabezpečení, zabezpečení sítě, kritická.

Samošifrovací jednotky se používají ve vyhrazených datových centrech instancí , která hostují aplikace UC.

Další informace o obecných bezpečnostních postupech naleznete v dokumentaci na následujícím pracovišti: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečení sítě

Partneři musí zajistit, aby všechny síťové prvky byly zabezpečeny v infrastruktuře vyhrazené instance (která se připojuje přes Equinix). Je odpovědností partnera zajistit osvědčené postupy zabezpečení, jako jsou:

• Samostatná síť VLAN pro hlas a data

• Povolit zabezpečení portů, které omezuje počet MAC adres povolených na port, proti zaplavení tabulky CAM

• Ochrana zdroje IP proti falešným IP adresám

• Dynamická kontrola ARP (DAI) zkoumá protokol ARP (Address Resolution Protocol) a bezdůvodné ARP (GARP) z hlediska porušení (proti falšování identity ARP)

• 802.1x omezuje přístup k síti pro ověřování zařízení v přiřazených sítích VLAN (telefony podporují 8021x).

• Konfigurace kvality služby (QoS) pro vhodné označení hlasových paketů

• Konfigurace portů brány firewall pro blokování jakéhokoli jiného provozu

Zabezpečení koncových bodů

Koncové body Cisco podporují výchozí funkce zabezpečení, jako je podepsaný firmware, zabezpečené spouštění (vybrané modely), certifikát nainstalovaný výrobcem (MIC) a podepsané konfigurační soubory, které poskytují určitou úroveň zabezpečení koncových bodů.

Kromě toho může partner nebo zákazník povolit další zabezpečení, například:

• Šifrování telefonních služeb IP (prostřednictvím protokolu HTTPS) pro služby, jako je mobilita rozšíření

• Vydávání místně významných certifikátů (LSC) z funkce proxy certifikační autority (CAPF) nebo veřejné certifikační autority (CA)

• Šifrování konfiguračních souborů

• Šifrování médií a signalizace

• Zakažte tato nastavení, pokud se nepoužívají: PC port, PC Voice VLAN Access, bezdůvodné ARP, Web Access, tlačítko Nastavení, SSH, konzole

Implementace bezpečnostních mechanismů ve vyhrazené instanci zabraňuje krádeži identity telefonů a serveru Unified CM, manipulaci s daty a signalizaci hovorů / manipulaci s mediálním proudem.

Vyhrazená instance v síti:

• Vytváří a udržuje ověřené komunikační streamy

• Digitálně podepisuje soubory před přenosem souboru do telefonu

• Šifruje datové proudy médií a signalizaci hovorů mezi IP telefony Cisco Unified

Zabezpečení ve výchozím nastavení poskytuje následující automatické funkce zabezpečení pro telefony Cisco Unified IP:

• Podepisování konfiguračních souborů telefonu

• Podpora šifrování konfiguračních souborů telefonu

• HTTPS s Tomcat a dalšími webovými službami (MIDlets)

Pro Unified CM verze 8.0 novější jsou tyto funkce zabezpečení poskytovány ve výchozím nastavení bez spuštění klienta Seznamu důvěryhodných certifikátů (CTL).

Vzhledem k tomu, že v síti je velký počet telefonů a IP telefony mají omezenou paměť, Cisco Unified CM funguje jako vzdálené úložiště důvěryhodných certifikátů prostřednictvím služby Ověření důvěry (TVS), takže úložiště důvěryhodných certifikátů nemusí být umístěno na každém telefonu. IP telefony Cisco kontaktují server TVS k ověření, protože nemohou ověřit podpis nebo certifikát prostřednictvím souborů CTL nebo ITL. Centrální úložiště důvěryhodných certifikátů se spravuje snadněji než úložiště důvěryhodných certifikátů na každém telefonu Cisco Unified IP.

TVS umožňuje IP telefonům Cisco Unified ověřovat aplikační servery, jako jsou služby EM, adresář a MIDlet, během vytváření protokolu HTTPS.

Soubor ITL (Initial Trust List) se používá pro počáteční zabezpečení, takže koncové body mohou důvěřovat Cisco Unified CM. ITL nepotřebuje žádné funkce zabezpečení, které by měly být explicitně povoleny. Soubor ITL je automaticky vytvořen při instalaci clusteru. Soukromý klíč serveru UNIFIED CM Trivial File Transfer Protocol (TFTP) se používá k podepsání souboru ITL.

Pokud je cluster nebo server Cisco Unified CM v nezabezpečeném režimu, soubor ITL se stáhne do všech podporovaných IP telefonů Cisco. Partner může zobrazit obsah souboru ITL pomocí příkazu CLI admin:show itl.

IP telefony Cisco potřebují soubor ITL k provádění následujících úloh:

• Bezpečná komunikace s CAPF, předpoklad pro podporu šifrování konfiguračního souboru

• Ověření podpisu konfiguračního souboru

• Ověřte aplikační servery, jako jsou služby EM, adresář a MIDlet během vytváření HTTPS pomocí TVS

Ověřování zařízení, souborů a signalizace závisí na vytvoření souboru seznamu důvěryhodných certifikátů (CTL), který je vytvořen, když partner nebo zákazník nainstaluje a nakonfiguruje klienta seznamu důvěryhodných certifikátů Cisco.

Soubor CTL obsahuje položky pro následující servery nebo tokeny zabezpečení:

• Token zabezpečení správce systému (SAST)

• Služby Cisco CallManager a Cisco TFTP, které jsou spuštěny na stejném serveru

• Funkce proxy certifikační autority (CAPF)

• TFTP server(y)

• Brána firewall ASA

Soubor CTL obsahuje certifikát serveru, veřejný klíč, sériové číslo, podpis, název vystavitele, název subjektu, funkci serveru, název DNS a IP adresu pro každý server.

Zabezpečení telefonu pomocí seznamu CTL poskytuje následující funkce:

• Autentizace stažených souborů TFTP (konfigurace, národní prostředí, kruhový seznam atd.) pomocí podpisového klíče

• Šifrování konfiguračních souborů TFTP pomocí podpisového klíče

• Šifrovaná signalizace hovorů pro IP telefony

• Šifrovaný zvuk hovoru (média) pro IP telefony

Vyhrazená instance poskytuje registraci koncového bodu a zpracování volání. Signalizace mezi Cisco Unified CM a koncovými body je založena na protokolu SCCP (Secure Skinny Client Control Protocol) nebo protokolu SIP (Session Initiation Protocol) a lze ji šifrovat pomocí protokolu TLS (Transport Layer Security). Média z/do koncových bodů jsou založena na protokolu RTP (Real-time Transport Protocol) a lze je také šifrovat pomocí protokolu SRTP (Secure RTP).

Povolení smíšeného režimu na Unified CM umožňuje šifrování signalizačního a mediálního provozu z a do koncových bodů Cisco.

Zabezpečené aplikace UC

Smíšený režim je ve vyhrazené instanci ve výchozím nastavení povolen.

Povolení smíšeného režimu ve vyhrazené instanci umožňuje provádět šifrování signalizačního a mediálního provozu z koncových bodů Cisco a do nich.

V Cisco Unified CM verze 12.5(1) byla přidána nová možnost povolit šifrování signalizace a médií na základě SIP OAuth namísto smíšeného režimu / CTL pro klienty Jabber a Webex. Proto v Unified CM verze 12.5(1) lze SIP OAuth a SRTP použít k povolení šifrování pro signalizaci a média pro klienty Jabber nebo Webex. Povolení smíšeného režimu je v současné době i nadále vyžadováno pro IP telefony Cisco a další koncové body Cisco. V budoucí verzi je plánováno přidání podpory pro SIP OAuth v koncových bodech 7800/8800.

Připojení Cisco Unity se připojuje k Unified CM prostřednictvím portu TLS. Pokud je režim zabezpečení zařízení nezabezpečený, připojení Cisco Unity se připojí k Unified CM prostřednictvím portu SCCP.

Chcete-li nakonfigurovat zabezpečení pro porty hlasového zasílání zpráv Unified CM a zařízení Cisco Unity se systémem SCCP nebo Cisco Unity Connection se systémem SCCP, může partner pro port zvolit zabezpečený režim zabezpečení zařízení. Pokud zvolíte ověřený port hlasové schránky, otevře se připojení TLS, které ověří zařízení pomocí vzájemné výměny certifikátů (každé zařízení přijímá certifikát druhého zařízení). Pokud zvolíte šifrovaný port hlasové schránky, systém nejprve ověří zařízení a poté odešle šifrované hlasové streamy mezi zařízeními.

Další informace o zabezpečení portů hlasových zpráv naleznete v tématu: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpečení komunikace mezi aplikacemi Cisco Unified CM a CUBE

Pro zabezpečenou komunikaci mezi Cisco Unified CM a CUBE musí partneři/zákazníci používat certifikát podepsaný svým držitelem nebo certifikáty podepsané certifikační autoritou.

Certifikáty podepsané svým držitelem:

1. CUBE a Cisco Unified CM generují certifikáty podepsané svým držitelem

2. CUBE exportuje certifikát do Cisco Unified CM

3. Cisco Unified CM exportuje certifikát do CUBE

Certifikáty podepsané certifikační autoritou:

1. Klient vygeneruje pár klíčů a odešle žádost o podpis certifikátu (CSR) certifikační autoritě (CA)

2. Certifikační autorita ji podepíše svým privátním klíčem a vytvoří certifikát identity

3. Klient nainstaluje seznam kořenových a zprostředkujících certifikátů důvěryhodné certifikační autority a certifikát identity.

Souhrn protokolu

V následující tabulce jsou uvedeny protokoly a přidružené služby používané v řešení Unified CM.

Další informace o konfiguraci MRA najdete v těchto tématech: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zabezpečení Jabber a Webex pomocí SIP OAuth

Klienti Jabber a Webex se ověřují prostřednictvím tokenu OAuth namísto místně významného certifikátu (LSC), který nevyžaduje povolení funkce proxy certifikační autority (CAPF) (také pro MRA). SIP OAuth pracující se smíšeným režimem nebo bez něj byl představen v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V Cisco Unified CM 12.5 máme novou možnost v Profilu zabezpečení telefonu, která umožňuje šifrování bez LSC/CAPF pomocí jednoho transportního protokolu (TLS) + tokenu OAuth v SIP REGISTER. Uzly Expressway-C používají rozhraní API webové služby AXL (Administrative XML Web Service) k informování Cisco Unified CM o SN/SAN ve svém certifikátu. Cisco Unified CM používá tyto informace k ověření certifikátu Exp-C při navazování vzájemného připojení TLS.

SIP OAuth umožňuje šifrování médií a signalizace bez certifikátu koncového bodu (LSC).

Cisco Jabber používá dočasné porty a zabezpečené porty 6971 a 6972 prostřednictvím připojení HTTPS k TFTP serveru ke stažení konfiguračních souborů. Port 6970 je nezabezpečený port pro stahování přes HTTP.

Další podrobnosti o konfiguraci SIP OAuth: Režim SIP OAuth.