Fysisk sikkerhed

Det er vigtigt at sørge for fysisk sikkerhed til Equinix's lokaler til møder med mig og faciliteter til Cisco-dedikerede forekomstdatacentre. Når den fysiske sikkerhed er kompromitteret, kan simple angreb, såsom driftsforstyrrelser ved at lukke for strøm til en kundes switches, startes. Med fysisk adgang kan brugere få adgang til serverenheder, nulstille adgangskoder og få adgang til switches. Fysisk adgang letter også mere angreb, som man-in-the-middle, hvilket er årsagen til, at det andet sikkerhedslag, netværkssikkerheden, er meget vigtigt.

Selvkrypteringsdrev bruges i dedikerede tilfælde-datacentre , der er vært for UC-applikationer.

For yderligere oplysninger om generelle sikkerhedspraksisser henvises til dokumentationen på følgende placering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netværkssikkerhed

Partnere skal sikre, at alle netværkselementer er sikre i Dedikeret instance-infrastruktur (som opretter forbindelse via Equinix). Det er partnerens ansvar at sikre bedste praksis for sikkerhed, såsom:

• Separat VLAN for stemme og data

• Aktivér Port Security, som begrænser antallet af MAC-adresser tilladt pr. port, mod cam-tabellens indhold

• IP-kildeobjekt over for spooferede IP-adresser

• Dynamisk ARP-inspektion (DAI) undersøger adresseopløsningsprotokol (ARP) og gryende ARP (GARP) for overtrædelser (mod ARP-spoofing)

• 802. begrænser1x netværksadgang til godkendte enheder på tildelte VLAN'er (telefoner understøtter 802.1x)

• Konfiguration af tjenestekvalitet (QoS) for passende mærkning af stemmepakker

• Konfigurationer af firewall-porte til blokering af al anden trafik

Sikkerhed for slutpunkter

Cisco-slutpunkter understøtter standardsikkerhedsfunktioner såsom underskrevet firmware, sikker opstart (valgte modeller), producentens installerede certifikat (MIC) og underskrevne konfigurationsfiler, som giver et bestemt sikkerhedsniveau for slutpunkter.

Derudover kan en partner eller kunde aktivere yderligere sikkerhed, såsom:

• Krypter IP-telefontjenester (via HTTPS) for tjenester såsom lokalnummermobilitet

• Udstedelse af lokalt vigtige certifikater (LSCs) fra certifikatmyndighedens proxyfunktion (CAPF) eller en offentlig certifikatmyndighed (CA)

• Krypter konfigurationsfiler

• Krypter medier og signal

• Deaktiver disse indstillinger, hvis de ikke bruges: PC-port, PC Voice VLAN-adgang, dekomisk ARP, Web Access, knappen Indstillinger, SSH, konsol

Implementeringen af sikkerhed mekanismerne i den dedikerede instans forhindrer identitetsstrukner fra telefonerne og Unified CM-serveren, ændring af data og opkaldssignalering/mediestream-ændring.

Dedikeret forekomst via netværket:

• Etablerer og opretholder godkendte kommunikationsstreams

• Signerer filer digitalt, før filen overføres til telefonen

• Krypterer mediestreams og opkaldssignalering mellem Cisco Unified IP-telefoner

Sikkerhed giver som standard følgende automatiske sikkerhedsfunktioner til Cisco Unified IP-telefoner:

• Underskrivning af telefonkonfigurationsfilerne

• Support til telefonkonfigurationsfilkryptering

• HTTPS med Tomcat og andre webtjenester (MIDlets)

Til Unified CM Release 8.0 senere leveres disse sikkerhedsfunktioner som standard uden at køre klienten certificate Trust List (CTL).

Fordi der er mange telefoner på et netværk, og IP-telefoner har begrænset hukommelse, fungerer Cisco Unified CM som en ekstern tillidsbutik via tillidsbekræftelsestjenesten (TVS), så en certifikattillidsbutik ikke skal placeres på hver telefon. Cisco IP-telefoner kontakter TVS-serveren for verificering, fordi de ikke kan bekræfte en underskrift eller certifikat gennem CTL- eller ITL-filer. Det er nemmere at administrere en central tillidsbutik end at have tillid til hver Cisco Unified IP-telefon.

TVS gør det Cisco Unified IP-telefoner til at godkende applikationsservere, såsom EM-tjenester, telefonbog og MIDlet, under brug af HTTPS.

Den indledende tillidsliste (ITL)-fil bruges til den indledende sikkerhed, så slutpunkterne kan have tillid Cisco Unified CM. ITL behøver ikke nogen sikkerhedsfunktioner for at blive aktiveret udtrykkeligt. ITL-filen oprettes automatisk, når klyngen er installeret. Serverens private nøgle til Unified CM Trivial File Transfer Protocol (TFTP) bruges til at underskrive ITL-filen.

Når den Cisco Unified CM-klynge eller server er i ikke-sikker tilstand, downloades ITL-filen på hver understøttet Cisco IP-telefon. En partner kan se indholdet af en ITL-fil ved hjælp af CLI-kommandoen, admin:show itl.

Cisco IP-telefoner skal bruge ITL-filen for at udføre følgende opgaver:

• Kommunikere sikkert til CAPF, en forudsætning for at understøtte konfigurationsfilkryptering

• Godkend konfigurationsfilsignaturen

• Godkend applikationsservere, såsom EM-tjenester, telefonbog og MIDlet under HTTPS-brug af TVS

Godkendelse af enhed, fil og signal afhænger af oprettelsen af filen Certificate Trust List (CTL), som oprettes, når partneren eller kunden installerer og konfigurerer Cisco-certifikattillidslisteklienten.

CTL-filen indeholder poster til følgende servere eller sikkerhedspoletter:

• Systemadministrators sikkerhedstoken (VEDR.)

• Cisco CallManager og Cisco TFTP-tjenester, der kører på den samme server

• Certifikatmyndighedens proxyfunktion (CAPF)

• TFTP-server(e)

• ASA-firewall

CTL-filen indeholder et servercertifikat, offentlig nøgle, serienummer, signatur, udstedernavn, emnenavn, serverfunktion, DNS-navn og IP-adresse for hver server.

Telefonsikkerhed med CTL leverer følgende funktioner:

• Godkendelse af TFTP-downloadede filer (konfiguration, lokalisering, ringliste, og så videre) ved hjælp af en signeringsnøgle

• Kryptering af TFTP-konfigurationsfiler ved hjælp af en signeringsnøgle

• Krypteret opkaldssignal til IP-telefoner

• Krypteret opkaldslyd (medier) til IP-telefoner

Dedikeret forekomst giver slutpunktsregistrering og behandling af opkald. Signalet mellem Cisco Unified CM og slutpunkter er baseret på SCCP (Secure Skinny Client Control Protocol) eller Session Initiation Protocol (SIP) og kan krypteres ved hjælp af Transport Layer Security (TLS). Mediet fra/til slutpunkterne er baseret på realtids transportprotokol (RTP) og kan også krypteres ved hjælp af Secure RTP (SRTP).

Aktivering af blandet tilstand på Unified CM muliggør kryptering af signal og medietrafik fra og til Cisco-slutpunkter.

Sikre UC-applikationer

Blandet tilstand er som standard aktiveret i Dedikeret instans.

Aktivering af blandet tilstand i dedikeret tilfælde aktiverer muligheden for at udføre kryptering af signalet og medietrafikken fra og til Cisco-slutpunkterne.

I Cisco Unified CM udgivelse 12.5(1) blev en ny valgmulighed til at aktivere kryptering af signal og medier baseret på SIP OAuth i stedet for blandet tilstand/ CTL tilføjet for Jabber- og Webex-klienter. Derfor kan SIP OAuth og SRTP i Unified CM-version 12.5(1) bruges til at aktivere kryptering for signal og medier for Jabber eller Webex-klienter. Aktivering af blandet tilstand er fortsat nødvendig for Cisco IP-telefoner og andre Cisco-slutpunkter på nuværende tidspunkt. Der er en plan for at tilføje support til SIP OAuth i 7800/8800 slutpunkter i en fremtidig udgivelse.

Cisco Unity Connection tilslutter til Unified CM via TLS-porten. Når enhedens sikkerhedstilstand ikke er sikker, opretter Cisco Unity Connection forbindelse til Unified CM via SCCP-porten.

For at konfigurere sikkerheden for Unified CM-telefonsvarerporte og Cisco Unity-enheder, der kører SCCP eller Cisco Unity Connection-enheder, der kører SCCP, kan en partner vælge en sikker enhedssikkerhedstilstand for porten. Hvis du vælger en godkendt indtalt besked-port, åbnes en TLS-forbindelse, som godkender enhederne ved hjælp af en gensidig certifikatudveksling (hver enhed accepterer certifikatet fra den anden enhed). Hvis du vælger en krypteret voicemail-port, godkender systemet først enhederne og sender derefter krypterede stemmestreams mellem enhederne.

For yderligere oplysninger om porte til beskeder om sikkerhed, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sikring af kommunikation mellem Cisco Unified CM og CUBE

For sikker kommunikation mellem Cisco Unified CM og CUBE skal partnere/kunder bruge enten selv underskrevne certifikater eller CA-underskrevne certifikater.

For selv underskrevne certifikater:

1. CUBE og Cisco Unified CM generere selv underskrevne certifikater

2. CUBE eksportcertifikat til Cisco Unified CM

3. Cisco Unified CM eksportcertifikat til CUBE

For CA-underskrevne certifikater:

1. Klienten opretter et nøglepar og sender en anmodning om underskrift af certifikat (CSR) til certifikatmyndigheden (CA)

2. CA signerer den med dens private nøgle og opretter et identitetscertifikat

3. Klienten installerer listen over nøglecentercertifikater, der er tillid til, samt certifikater for rod og sikkerhed samt identitetscertifikatet

Protokoloversigt

Følgende tabel viser protokollerne og tilknyttede tjenester, der bruges i Unified CM-løsningen.

For yderligere oplysninger om MRA-konfiguration, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Sikre Jabber og Webex med SIP OAuth

Jabber- og Webex-klienter godkendes via et OAuth-token i stedet for et lokalt vigtigt certifikat (LSC), som ikke kræver aktivering af certifikatmyndighedsproxyfunktion (CAPF) (også for MRA). SIP OAuth, der arbejder med eller uden blandet tilstand, blev indført i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.

I Cisco Unified CM 12.5 har vi en ny valgmulighed i telefonsikkerhedsprofilen, der aktiverer kryptering uden LSC/CAPF ved hjælp af enkelt Transport Layer Security (TLS) + OAuth-polet i SIP REGISTER. Expressway-C-knudepunkter bruger Administrations-XML Web Service (AXL) API til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certificeringen, når der oprettes en fælles TLS forbindelse.

SIP OAuth aktiverer medie- og signalkryptering uden et slutpunktscertifikat (LSC).

Cisco Jabber bruger kortvarige porte og sikre porte 6971 og 6972 porte via HTTPS-forbindelse til TFTP-serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.

Flere oplysninger om SIP OAuth-konfiguration: SIP OAuth-tilstand.