Fyzická bezpečnost

Je důležité zajistit fyzické zabezpečení umístění místností Equinix Meet-Me a datového centra vyhrazené instance Cisco. Když je ohrožena fyzická bezpečnost, lze zahájit jednoduché útoky, jako je přerušení služby vypnutím napájení přepínačů zákazníka. Díky fyzickému přístupu mohou útočníci získat přístup k serverovým zařízením, resetovat hesla a získat přepínače. Fyzický přístup také usnadňuje sofistikovanější útoky, jako jsou útoky typu man-in-the-middle, což je důvod, proč je druhá bezpečnostní vrstva, zabezpečení sítě, kriticky důležitá.

Jednotky s vlastním šifrováním se používají v datových centrech vyhrazené instance, která hostují aplikace UC.

Další informace o obecných bezpečnostních postupech naleznete v dokumentaci na následujícím místě: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečení sítě

Partneři musí zajistit, aby všechny síťové prvky byly zabezpečeny v infrastruktuře vyhrazené instance (která se připojuje přes Equinix). Je odpovědností partnera zajistit osvědčené postupy v oblasti bezpečnosti, jako jsou:

• Oddělit síť VLAN pro hlas a data

• Povolit zabezpečení portu, které omezuje počet adres MAC povolených na port proti zaplavení tabulky CAM

• IP Source Guard proti zfalšovaným IP adresám

• Dynamic ARP Inspection (DAI) zkoumá protokol k rozlišení adres (ARP) a bezplatný ARP (GARP) pro porušení (proti ARP spoofing)

• 802.1x omezuje síťový přístup k ověřeným zařízením na přiřazených VLANS (telefony podporují 802.1x)

• Konfigurace kvality služby (Qos) pro vhodné značení hlasových paketů

• Konfigurace portů brány firewall pro blokování jakéhokoli jiného provozu

Zabezpečení koncových bodů

Koncové body Cisco podporují výchozí bezpečnostní funkce, jako je podepsaný firmware, zabezpečené spuštění (vybrané modely), certifikát nainstalovaný výrobcem (MIC) a podepsané konfigurační soubory, které poskytují určitou úroveň zabezpečení koncových bodů.

Kromě toho může partner nebo zákazník povolit další zabezpečení, například:

• Šifrování služeb IP telefonů (prostřednictvím protokolu HTTPS) pro služby, jako je Extension Mobility

• Vydávání lokálně významných certifikátů (LSCS) z funkce proxy certifikační autority (CAPF) nebo veřejné certifikační autority (CA)

• Šifrovat konfigurační soubory

• Šifrovat média a signalizace

• Pokud nejsou použita, zakažte tato nastavení: PC port, PC Voice VLAN Access, Bezplatný ARP, Web Access, tlačítko Nastavení, SSH, konzola

Implementace bezpečnostních mechanismů ve vyhrazené instanci zabraňuje krádeži identity telefonů a serveru Unified CM, manipulaci s daty a manipulaci se signalizací hovorů / mediálním proudem.

Vyhrazená instance přes síť:

• Vytváří a udržuje ověřené komunikační toky.

• Před přenosem souboru do telefonu digitálně podepisuje soubory

• Šifruje streamy médií a signalizace hovorů mezi telefony Cisco Unified IP

Ve výchozím nastavení zabezpečení poskytuje následující automatické funkce zabezpečení pro telefony Cisco Unified IP:

• Podepisování konfiguračních souborů telefonu

• Podpora šifrování konfiguračního souboru telefonu

• HTTPS s Tomcat a dalšími webovými službami (MIDLETS)

Pro systém Unified CM verze 8.0 novější jsou tyto funkce zabezpečení ve výchozím nastavení poskytovány bez spuštění klienta seznamu důvěryhodných certifikátů (CTL).

Vzhledem k tomu, že v síti je velký počet telefonů a IP telefony mají omezenou paměť, funguje Cisco Unified CM jako vzdálený úložiště důvěryhodných certifikátů prostřednictvím služby ověřování důvěryhodnosti (TVS), takže úložiště důvěryhodných certifikátů nemusí být umístěno na každém telefonu. Cisco IP telefony kontaktují server TVS kvůli ověření, protože nemohou ověřit podpis nebo certifikát prostřednictvím souborů CTL nebo ITL. Mít centrální úložiště důvěryhodných certifikátů se spravuje snáze než mít úložiště důvěryhodných certifikátů na každém telefonu Cisco Unified IP.

Služba TVS umožňuje telefonům Cisco Unified IP během vytváření protokolu HTTPS ověřovat servery aplikací, jako jsou služby EM, adresář a MIDLET.

Pro počáteční zabezpečení se používá soubor ITL (Initial Trust List), aby koncové body mohly důvěřovat aplikaci Cisco Unified CM. Služba ITL nepotřebuje explicitně povolit žádné bezpečnostní funkce. Soubor ITL se automaticky vytvoří při instalaci clusteru. K podpisu souboru ITL se používá soukromý klíč serveru TFTP (Unified CM Trivial File Transfer Protocol).

Když je cluster nebo server Cisco Unified CM v nezabezpečeném režimu, je soubor ITL stažen do každého podporovaného Cisco IP telefonu. Partner může zobrazit obsah souboru ITL pomocí příkazu rozhraní příkazového řádku admin:show itl.

Cisco IP telefony potřebují soubor ITL k provedení následujících úkolů:

• Bezpečně komunikovat s CAPF, což je předpoklad pro podporu šifrování konfiguračního souboru

• Ověřit podpis konfiguračního souboru

• Ověřte aplikační servery, jako jsou služby EM, adresář a MIDLET během založení HTTPS pomocí TVS

Ověřování zařízení, souborů a signalizace závisí na vytvoření souboru seznamu důvěryhodných certifikátů (CTL), který se vytvoří, když partner nebo zákazník nainstaluje a nakonfiguruje klienta seznamu důvěryhodných certifikátů Cisco.

Soubor CTL obsahuje položky pro následující servery nebo tokeny zabezpečení:

• Token zabezpečení správce systému (SAST)

• Služby Cisco Manager a Cisco TFTP spuštěné na stejném serveru

• Funkce proxy certifikační autority (CAPF)

• Server(y) TFTP

• firewall ASA

Soubor CTL obsahuje certifikát serveru, veřejný klíč, sériové číslo, podpis, název vydavatele, název předmětu, funkci serveru, název DNS a adresu IP pro každý server.

Zabezpečení telefonu s platformou CTL poskytuje následující funkce:

• Ověřování stažených souborů TFTP (konfigurace, národní prostředí, seznam vyzvánění atd.) pomocí podpisového klíče

• Šifrování konfiguračních souborů TFTP pomocí podpisového klíče

• Signalizace šifrovaného hovoru pro IP telefony

• Šifrovaný zvuk hovoru (média) pro IP telefony

Vyhrazená instance poskytuje registraci koncového bodu a zpracování hovorů. Signalizace mezi Cisco Unified CM a koncovými body je založena na protokolu SCCP (Secure Skinny Client Control Protocol) nebo protokolu SIP (Session Initiation Protocol) a může být šifrována pomocí protokolu TLS (Transport Layer Security). Média od/do koncových bodů jsou založena na protokolu RTP (Real-time Transport Protocol) a mohou být také šifrována pomocí zabezpečeného RTP (SRTP).

Povolení smíšeného režimu v systému Unified CM umožňuje šifrování signalizačního a mediálního provozu z koncových bodů Cisco a do koncových bodů.

Zabezpečené aplikace UC

Smíšený režim je ve vyhrazené instanci ve výchozím nastavení povolen.

Povolení smíšeného režimu ve vyhrazené instanci umožňuje provádět šifrování signalizačního a mediálního provozu z koncových bodů Cisco a do koncových bodů.

V aplikaci Cisco Unified CM verze 12.5(1) byla pro klienty Jabber a Webex přidána nová možnost pro šifrování signalizace a médií na základě protokolu SIP OAuth namísto smíšeného režimu / CTL. Proto lze v Unified CM verzi 12.5(1) použít SIP OAuth a SRTP k povolení šifrování pro signalizaci a média pro klienty Jabber nebo Webex. Povolení smíšeného režimu je nyní vyžadováno pro Cisco IP telefony a další koncové body Cisco. Existuje plán přidat podporu pro SIP OAuth v koncových bodech 7800/8800 v budoucí verzi.

Systém Cisco Unity Connection se připojuje ke službě Unified CM prostřednictvím portu TLS. Pokud není bezpečnostní režim zařízení zabezpečený, systém Cisco Unity Connection se připojí ke službě Unified CM prostřednictvím portu SCCP.

Chcete-li konfigurovat zabezpečení pro porty hlasové zprávy Unified CM a zařízení Cisco Unity se zařízeními SCCP nebo Cisco Unity Connection se zařízeními SCCP, může partner zvolit pro port zabezpečený režim zabezpečení zařízení. Pokud zvolíte ověřený port hlasové schránky, otevře se připojení TLS, které ověří zařízení pomocí vzájemné výměny certifikátů (každé zařízení přijme certifikát jiného zařízení). Pokud zvolíte šifrovaný port hlasové pošty, systém nejprve ověří zařízení a poté odešle šifrované hlasové proudy mezi zařízeními.

Další informace o portech pro zasílání hlasových zpráv zabezpečení naleznete zde: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified SU1_chapter_010001.html

Zabezpečení komunikace mezi aplikacemi Cisco Unified CM a CUBE

Pro bezpečnou komunikaci mezi aplikacemi Cisco Unified CM a CUBE musí partneři/zákazníci používat certifikáty podepsané svým držitelem nebo certifikáty podepsané certifikační autoritou.

Certifikáty podepsané svým držitelem:

1. CUBE a Cisco Unified CM generují certifikáty podepsané svým držitelem

2. CUBE exportuje certifikát do řešení Cisco Unified CM

3. Cisco Unified CM exportuje certifikát do CUBE

Pro certifikáty podepsané certifikační autoritou:

1. Klient vygeneruje pár klíčů a odešle certifikační autoritě žádost o podepsání certifikátu (CSR)

2. Certifikační autorita ji podepíše svým privátním klíčem a vytvoří certifikát identity

3. Klient nainstaluje seznam důvěryhodných kořenových a zprostředkovatelských certifikátů certifikační autority a certifikátu identity

Souhrn protokolu

V následující tabulce jsou uvedeny protokoly a související služby používané v řešení Unified CM.

Další informace o konfiguraci MRA naleznete zde: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/x12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zabezpečení aplikací Jabber a Webex pomocí protokolu SIP OAuth

Klienti Jabber a Webex jsou ověřováni pomocí tokenu OAuth namísto lokálně významného certifikátu (LSC), který nevyžaduje povolení proxy funkce certifikační autority (CAPF) (také pro MRA). Systém SIP OAuth pracující se smíšeným režimem nebo bez něj byl zaveden v aplikacích Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V aplikaci Cisco Unified CM 12.5 máme v profilu zabezpečení telefonu novou možnost, která umožňuje šifrování bez LSC/CAPF pomocí tokenu TLS + OAuth v registru SIP. Uzly Expressway-C používají rozhraní API pro správu XML Web Service (AXL) k informování systému Cisco Unified CM o SN/SAN v certifikátu. Cisco Unified CM používá tyto informace k ověření certifikátu Exp-C při navazování vzájemného připojení TLS.

SIP OAuth umožňuje šifrování médií a signalizace bez certifikátu koncového bodu (LSC).

Aplikace Cisco Jabber ke stažení konfiguračních souborů používá dočasné porty a zabezpečené porty 6971 a 6972 přes připojení protokolu HTTPS k serveru TFTP. Port 6970 je nezabezpečený port ke stažení přes HTTP.

Další podrobnosti o konfiguraci SIP OAuth: Režim SIP OAuth.