Fysisk sikkerhed

Det er vigtigt at give fysisk sikkerhed til Equinix Meet-Me-lokaleplaceringer og Cisco Dedicated Instance Data Center-faciliteter. Når den fysiske sikkerhed er kompromitteret, kan simple angreb som f.eks. tjenesteafbrydelse ved at slukke for en kundes switches. Med fysisk adgang kan hackere få adgang til serverenheder, nulstille adgangskoder og få adgang til switches. Fysisk adgang letter også mere sofistikerede angreb som f.eks. angreb på mennesker i midten, og derfor er det andet sikkerhedslag, netværkssikkerheden, kritisk.

Selvkrypteringsdrev bruges i dedikerede forekomst-datacentre, der er vært for UC-applikationer.

For yderligere oplysninger om generelle sikkerhedspraksis henvises til dokumentationen på følgende placering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netværkssikkerhed

Partnerne skal sikre, at alle netelementer er sikret i infrastruktur for dedikeret forekomst (som forbinder via Equinix). Det er partnerens ansvar at sikre bedste sikkerhedspraksis såsom:

• Adskil VLAN for tale og data

• Aktivér portsikkerhed, der begrænser antallet af tilladte MAC-adresser pr. port, mod CAM-bordoversvømmelser

• IP-kildebeskyttelse mod forfalskede IP-adresser

• Dynamisk ARP-inspektion (DAI) undersøger adresse opløsning protokol (ARP) og gratis ARP (GARP) for overtrædelser (mod ARP-spoofing)

• 802.1x begrænser netværksadgangen til godkendte enheder på tildelte VLAN'er (telefoner understøtter 802.1x)

• Konfiguration af servicekvalitet (QoS) til passende mærkning af talepakker

• Konfigurationer af firewallporte til blokering af anden trafik

Sikkerhed for slutpunkter

Cisco-slutpunkter understøtter standardsikkerhedsfunktioner som f.eks. signeret firmware, sikker start (valgte modeller), producentens installerede certifikat (MIC) og signerede konfigurationsfiler, der giver et vist sikkerhedsniveau for slutpunkter.

Derudover kan en partner eller kunde aktivere yderligere sikkerhed, f.eks.:

• Krypter IP-telefontjenester (via HTTPS) for tjenester såsom Extension Mobility

• Udstede lokalt signifikante certifikater (LSC'er) fra certifikatmyndighedens proxyfunktion (CAPF) eller en offentlig certifikatmyndighed (CA)

• Krypter konfigurationsfiler

• Krypter medier og signaler

• Deaktiver disse indstillinger, hvis de ikke bruges: PC-port, pc-stemme-VLAN-adgang, gratis ARP, webadgang, indstillingsknap, SSH, konsol

Implementering af sikkerhedsmekanismer i den dedikerede forekomst forhindrer identitetstyveri af telefoner og Unified CM-serveren, manipulation af data og manipulation af opkaldssignaler/mediestream.

Dedikeret forekomst over netværket:

• Opretter og vedligeholder godkendte kommunikationsstreams

• Digitalt signerer filer, før filen overføres til telefonen

• Krypterer mediestrømme og opkaldssignaler mellem Cisco Unified IP-telefoner

Sikkerhed som standard giver følgende automatiske sikkerhedsfunktioner for Cisco Unified IP-telefoner:

• Signering af telefonkonfigurationsfilerne

• Understøttelse af kryptering af telefonkonfigurationsfil

• HTTPS med Tomcat og andre webtjenester (MID-lets)

For Unified CM-version 8.0 senere leveres disse sikkerhedsfunktioner som standard uden at køre CTL-klienten (Certificate Trust List).

Da der er et stort antal telefoner i et netværk, og IP-telefoner har begrænset hukommelse, fungerer Cisco Unified CM som en ekstern tillidslager via tillidskontrol (TVS), så en certifikattillidslager ikke behøver at placeres på hver telefon. Cisco IP-telefoner kontakter TVS-serveren til bekræftelse, fordi de ikke kan bekræfte en signatur eller certifikat via CTL- eller ITL-filer. Det er nemmere at administrere at have en central tillidslager end at have tillidslageret på hver Cisco Unified IP-telefon.

TVS gør det muligt for Cisco Unified IP-telefoner at godkende applikationsservere, såsom EM-tjenester, telefonbog og MIDLET, under oprettelse af HTTPS.

Filen Initial Trust List (ITL) bruges til den første sikkerhed, så slutpunkterne kan stole på Cisco Unified CM. ITL kræver ikke, at sikkerhedsfunktioner er aktiveret eksplicit. ITL-filen oprettes automatisk, når klyngen er installeret. Unified CM Trivial File Transfer Protocol (TFTP)-serverens private nøgle bruges til at signere ITL-filen.

Når Cisco Unified CM-klyngen eller -serveren er i ikke-sikker tilstand, downloades ITL-filen på hver understøttet Cisco IP-telefon. En partner kan se indholdet af en ITL-fil ved hjælp af CLI-kommandoen, admin:vis itl.

Cisco IP-telefoner skal bruge ITL-filen for at udføre følgende opgaver:

• Kommunikere sikkert til CAPF, en forudsætning for at understøtte kryptering af konfigurationsfiler

• Godkend konfigurationsfilens signatur

• Godkend applikationsservere, såsom EM-tjenester, telefonbog og MID-adgang under HTTPS-etablering ved hjælp af TVS

Enheds-, fil- og signalgodkendelse afhænger af oprettelsen af CTL-filen (Certificate Trust List), som oprettes, når partneren eller kunden installerer og konfigurerer Cisco Certificate Trust Listeklienten.

CTL-filen indeholder poster for følgende servere eller sikkerhedstokens:

• Sikkerhedstoken for systemadministrator (SAST)

• Cisco CallManager og Cisco TFTP-tjenester, der kører på den samme server

• Proxy-funktion for certifikatmyndighed (CAPF)

• TFTP-server(er)

• ASA-firewall

CTL-filen indeholder et servercertifikat, offentlig nøgle, serienummer, signatur, udstedernavn, emnelinavn, serverfunktion, DNS-navn og IP-adresse for hver server.

Telefonsikkerhed med CTL giver følgende funktioner:

• Godkendelse af downloadede TFTP-filer (konfiguration, lokale, ringeliste osv.) ved hjælp af en signeringsnøgle

• Kryptering af TFTP-konfigurationsfiler ved hjælp af en signeringsnøgle

• Krypteret opkaldssignal for IP-telefoner

• Krypteret opkaldslyd (medier) til IP-telefoner

Dedikeret forekomst giver slutpunktregistrering og opkaldsbehandling. Signaleringen mellem Cisco Unified CM og slutpunkter er baseret på SCCP (Secure Skinny Client Control Protocol) eller SIP (Session Initiation Protocol) og kan krypteres ved hjælp af TLS (Transport Layer Security). Mediet fra/til slutpunkterne er baseret på RTP (Real-time Transport Protocol) og kan også krypteres ved hjælp af Secure RTP (SRTP).

Aktivering af blandet tilstand på Unified CM aktiverer kryptering af signal- og medietrafik fra og til Cisco-slutpunkterne.

Sikre UC-applikationer

Blandet tilstand er aktiveret som standard i dedikeret forekomst.

Aktivering af blandet tilstand i dedikeret forekomst giver mulighed for at udføre kryptering af signal- og medietrafikken fra og til Cisco-slutpunkterne.

I Cisco Unified CM version 12.5(1) blev en ny valgmulighed til at aktivere kryptering af signaler og medier baseret på SIP OA uth i stedet for blandet tilstand/CTL tilføjet for Jabber- og Webex-klienter. Derfor kan SIP OA uth og SRTP bruges i Unified CM version 12.5(1) til at aktivere kryptering til signaler og medier for Jabber- eller Webex-klienter. Aktivering af blandet tilstand er fortsat påkrævet for Cisco IP-telefoner og andre Cisco-slutpunkter på nuværende tidspunkt. Der er en plan for at tilføje understøttelse af SIP OA uth i 7800/8800-slutpunkter i en fremtidig udgivelse.

Cisco Unity Connection opretter forbindelse til Unified CM via TLS-porten. Når enhedens sikkerhedstilstand ikke er sikker, opretter Cisco Unity Connection forbindelse til Unified CM via SCCP-porten.

For at konfigurere sikkerhed for Unified CM-talemeddelelsesporter og Cisco Unity-enheder, der kører SCCP eller Cisco Unity Connection-enheder, der kører SCCP, kan en partner vælge en sikker enhedssikkerhedstilstand for porten. Hvis du vælger en godkendt voicemail-port, åbnes en TLS-forbindelse, der godkender enhederne ved hjælp af en gensidig certifikatudveksling (hver enhed accepterer certifikatet for den anden enhed). Hvis du vælger en krypteret voicemail-port, godkender systemet først enhederne og sender derefter krypterede talestreams mellem enhederne.

For yderligere oplysninger om porte til sikkerhedsmeddelelser henvises til: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified jpgSU1_chapter_010001.html

Sikring af kommunikation mellem Cisco Unified CM og CUBE

For sikker kommunikation mellem Cisco Unified CM og CUBE skal partnere/kunder bruge enten selvsignerede certifikater eller CA-signerede certifikater.

For selvsignerede certifikater:

1. CUBE og Cisco Unified CM genererer selvsignerede certifikater

2. CUBE eksporterer certifikat til Cisco Unified CM

3. Cisco Unified CM eksporterer certifikat til CUBE

For CA-signerede certifikater:

1. Klienten genererer et nøglepar og sender en anmodning om certifikatsignering (CSR) til certifikatmyndigheden (CA)

2. CA'en underskriver den med sin private nøgle og opretter et identitetscertifikat

3. Klient installerer listen over betroede CA-rodcertifikater og mellemliggende certifikater og identitetscertifikatet

Sammendrag af protokol

Følgende tabel viser de protokoller og tilknyttede tjenester, der bruges i Unified CM-løsningen.

Få flere oplysninger om MRA-konfiguration i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/x12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Sikring af Jabber og Webex med SIP OA uth

Jabber- og Webex-klienter er godkendt via et OA uth-token i stedet for et lokalt signifikant certifikat (LSC), hvilket ikke kræver CAPF-aktivering (også for MRA). SIP OA uth, der arbejder med eller uden blandet tilstand, blev introduceret i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.

I Cisco Unified CM 12.5 har vi en ny valgmulighed i telefonsikkerhedsprofil, der aktiverer kryptering uden LSC/CAPF ved hjælp af enkelt Transport Layer Security (TLS) + OAUTH-TOKEN I SIP REGISTER. Expressway-C-knudepunkter bruger den administrative XML Web Service (AXL) API til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certifikatet, når der oprettes en gensidig TLS-forbindelse.

SIP OA uth aktiverer medie- og signalkryptering uden et slutpunktscertifikat (LSC).

Cisco Jabber bruger Ephemeral-porte og sikre porte 6971- og 6972-porte via HTTPS-forbindelse til TFTP-serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.

Flere oplysninger om SIP OA uth-konfiguration: SIP OA uth tilstand.