Netzwerk- und Sicherheitsanforderungen dedizierte Instanz

Physische Sicherheit

Es ist wichtig, die physische Sicherheit für die Standorte der Equinix Meet-Me-Room und die Cisco Dedicated Instance Data Center-Einrichtungen zu gewährleisten. Wenn die physische Sicherheit in Frage kommt, können einfache Angriffe wie Dienstunterbrechungen durch Herunterfahren der Stromversorgung für die Kunden-Switches ausgelöst werden. Mit physischem Zugriff können Angreifer Zugriff auf Servergeräte erhalten, Passwörter zurücksetzen und Zugriff auf Switches erlangen. Der physische Zugriff ermöglicht auch komplexere Angriffen wie Man-in-the-Middle-Angriffen. Deshalb ist die zweite Sicherheitsschicht, die Netzwerksicherheit, von entscheidender Bedeutung.

Selbstverschlüsselungslaufwerke werden in Rechenzentren dedizierter Instanzen verwendet, die UC-Anwendungen hosten.

Weitere Informationen zu allgemeinen Sicherheitspraktiken finden Sie in der Dokumentation an folgendem Speicherort: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netzwerksicherheit

Partner müssen sicherstellen, dass alle Netzwerkelemente in der Infrastruktur der dedizierten Instanz (die über Equinix verbunden wird) gesichert sind. Die Verantwortung des Partners liegt in der Verantwortung, die best Practices für die Sicherheit zu gewährleisten, wie z. B.:

• VLAN für Sprache und Daten trennen

• Aktivieren Sie port security (Portsicherheit), wodurch die Anzahl der pro Port zulässigen MAC-Adressen begrenzt wird, ohne dass die CAM-Tabelle umfinget.

• IP-Quell-Schutz vor spoofen IP-Adressen

• Dynamic ARP Inspection (DAI) prüft das Address Resolution Protocol (ARP) und den verwendenden ARP (GARP) auf Verstöße (gegen ARP-Spoofing)

• 802. beschränkt1x den Netzwerkzugriff auf die Authentifizierung von Geräten auf zugewiesenen VLANs (Telefone unterstützen 802.1x)

• Konfiguration der Dienstqualität (QoS) für die entsprechende Markierung von Sprachpaketen

• Firewall-Portkonfigurationen zum Blockieren von anderem Datenverkehr

Endpunkte-Sicherheit

Cisco-Endpunkte unterstützen Standardsicherheitsfunktionen wie signierte Firmware, Secure Boot (ausgewählte Modelle), vom Hersteller installierte Zertifikate (MIC) und signierte Konfigurationsdateien, die ein bestimmtes Sicherheitsniveau für Endpunkte bieten.

Zusätzlich kann ein Partner oder Kunde zusätzliche Sicherheitsmaßnahmen aktivieren, wie z. B.:

• Verschlüsseln von IP-Telefondiensten (über HTTPS) für Dienste wie Extension Mobility

• Ausgabe von lokal wichtigen Zertifikaten (LSCs) von der Proxyfunktion der Zertifizierungsstelle (CAPF) oder einer öffentlichen Zertifizierungsstelle (CA)

• Konfigurationsdateien verschlüsseln

• Medien und Signalisierung verschlüsseln

• Deaktivieren Sie diese Einstellungen, wenn sie nicht verwendet werden: PC-Port, PC-Sprach-VLAN-Zugriff, Telefon-ARP, Webzugriff, Schaltfläche "Einstellungen", SSH, Konsole

Durch die Implementierung von Sicherheitsmechanismen in der dedizierten Instanz werden Identitätsdiebstahl von Telefonen und dem Unified CM-Server, Datenmanipulationen und Manipulation von Anrufsignalisierung/ Medienstream-Manipulation verhindert.

Dedizierte Instanz über dem Netzwerk:

• Richtet authentifizierte Kommunikationsstreams ein und verwaltet diese

• Signiert Dateien digital, bevor die Datei auf das Telefon übertragen wird

• Verschlüsselt Medienstreams und Anrufsignalisierung zwischen den Cisco Unified-Telefonen

Die Standardmäßige Sicherheit umfasst folgende automatische Sicherheitsfunktionen für Cisco Unified-Telefone:

• Signieren der Telefonkonfigurationsdateien

• Unterstützung für Dateiverschlüsselung der Telefonkonfigurationsdatei

• HTTPS mit Tomcat und anderen Webdiensten (MIDlets)

Für Unified CM Version 8.0 höher sind diese Sicherheitsfunktionen standardmäßig verfügbar, ohne den CTL-Client (Certificate Trust List) ausführen zu müssen.

Da es in einem Netzwerk eine große Anzahl von Telefonen gibt und IP-Telefone nur über eingeschränkten Speicher verfügen, agiert Cisco Unified CM als Vertrauensspeicher auf dem Ferncomputer über den Trust Verification Service (TVS), sodass nicht auf jedem Telefon ein Zertifikatsspeicher platziert werden muss. Die Cisco IP-Telefone kontaktieren den TVS-Server zur Überprüfung, da sie eine Signatur oder ein Zertifikat nicht über CTL- oder ITL-Dateien verifizieren können. Ein zentrales Trust Store ist einfacher zu verwalten als das Speichern von Trust Store auf Cisco Unified IP-Telefon.

TVS ermöglicht es Cisco Unified IP-Telefonen, Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Erstellung zu authentifizieren.

Die Initial Trust List (ITL)-Datei wird für die anfängliche Sicherheit verwendet, damit die Endpunkte Cisco Unified CM vertrauen können. ITL benötigt keine ausdrücklich aktivierten Sicherheitsfunktionen. Die ITL-Datei wird bei der Installation des Clusters automatisch erstellt. Der private Schlüssel des Unified CM Trivial File Transfer Protocol (TFTP) wird für die Anmeldung der ITL-Datei verwendet.

Wenn sich Cisco Unified CM-Cluster oder -Server in einem nicht sicheren Modus befindet, wird die ITL-Datei auf jedes unterstützte Cisco IP-Telefon heruntergeladen. Ein Partner kann den Inhalt einer ITL-Datei mit dem CLI-Befehl admin:show itl anzeigen.

Cisco IP-Telefone benötigen die ITL-Datei, um die folgenden Aufgaben auszuführen:

• Kommunizieren Sie sicher mit CAPF, einer Voraussetzung für die Unterstützung der Konfigurationsdateiverschlüsselung

• Konfigurationsdateisignatur authentifizieren

• Authentifizieren Sie Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Erstellung mit TVS

Die Geräte-, Datei- und Signalisierungsauthentifizierung ist auf der Erstellung der Certificate Trust List (CTL)-Datei angewiesen, die erstellt wird, wenn der Partner oder Kunde den Cisco Certificate Trust List Client installiert und konfiguriert.

Die CTL-Datei enthält Einträge für die folgenden Server oder Sicherheitstokens:

• SAST (System Administrator Security Token)

• Cisco CallManager und Cisco TFTP-Dienste, die auf demselben Server ausgeführt werden

• Proxy-Funktion der Zertifizierungsstelle (Certificate Authority Proxy Function, CAPF)

• TFTP-Server

• ASA-Firewall

Die CTL-Datei enthält für jeden Server ein Serverzertifikat, einen öffentlichen Schlüssel, eine Seriennummer, Signatur, den Ausstellernamen, den Betreffnamen, die Serverfunktion, den DNS-Namen und die IP-Adresse.

Die Telefonsicherheit mit CTL bietet folgende Funktionen:

• Authentifizierung von heruntergeladenen TFTP-Dateien (Konfiguration, Land, Klingelliste, so weiter) mit einem Signierschlüssel

• Verschlüsselung von TFTP-Konfigurationsdateien mit einem Signierschlüssel

• Verschlüsselte Anrufsignalisierung für IP-Telefone

• Verschlüsseltes Anrufaudio (Medien) für IP-Telefone

Dedizierte Instanz ermöglicht Endpunktregistrierung und Anrufverarbeitung. Die Signalisierung zwischen Cisco Unified CM und Endpunkten basiert auf Secure Skinny Client Control Protocol (SCCP) oder Session Initiation Protocol (SIP) und kann mit Transport Layer Security (TLS) verschlüsselt werden. Die Medien von/zu den Endpunkten basieren auf RtP (Real-Time Transport Protocol) und können auch mit Secure RTP (SRTP) verschlüsselt werden.

Das Aktivieren des gemischten Modus in Unified CM ermöglicht die Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.

Sichere UC-Anwendungen

Der gemischte Modus ist standardmäßig in der dedizierten Instanz aktiviert.

Das Aktivieren des gemischten Modus in dedizierter Instanz ermöglicht die Durchführung einer Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.

In Cisco Unified CM Version 12.5(1) wurde für Jabber und Webex-Clients eine neue Option zur Aktivierung der Signalisierung und Medien basierend auf SIP OAuth anstelle des gemischten Modus/CTL hinzugefügt. Daher können in Unified CM Version 12.5(1) SIP OAuth und SRTP zum Aktivieren der Verschlüsselung für Signalisierung und Medien für Jabber- oder Webex-Clients verwendet werden. Die Aktivierung des gemischten Modus ist zu diesem Zeitpunkt für Cisco IP-Telefone und andere Cisco-Endpunkte weiterhin erforderlich. Es gibt einen Plan, um die Unterstützung für SIP OAuth in einer zukünftigen Version bei den Endpunkten 7800/8800 hinzuzufügen.

Cisco Unity Connection über den TLS-Port eine Verbindung zu Unified CM. Wenn der Gerätesicherheitsmodus nicht sicher ist, Cisco Unity Connection über den SCCP-Port eine Verbindung zu Unified CM.

Um die Sicherheit für Unified CM Voice-Messaging-Ports und Cisco Unity-Geräte zu konfigurieren, auf denen SCCP oder Cisco Unity Connection-Geräte ausgeführt werden, kann ein Partner einen sicheren Gerätesicherheitsmodus für den Port auswählen. Wenn Sie einen authentifizierten Voicemail-Port auswählen, wird eine TLS-Verbindung geöffnet, die die Geräte über einen Mutual Certificate Exchange authentifiziert (jedes Gerät akzeptiert das Zertifikat des anderen Geräts). Wenn Sie einen verschlüsselten Voicemail-Port wählen, authentifiziert das System zunächst die Geräte und sendet dann verschlüsselte Sprachstreams zwischen den Geräten.

Weitere Informationen zu Den Security Voice Messaging-Ports finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sicherung der Kommunikation zwischen Cisco Unified CM und CUBE

Für eine sichere Kommunikation zwischen Cisco Unified CM und CUBE müssen Partner/Kunden entweder selbstsignierte oder CA-signierte Zertifikate verwenden.

Für selbstsignierte Zertifikate:

1. CUBE und Cisco Unified CM erzeugen selbstsignierte Zertifikate

2. CUBE exportiert Zertifikat in Cisco Unified CM

3. Cisco Unified CM exportiert Zertifikat an CUBE

Für CA-signierte Zertifikate:

1. Client generiert ein Schlüsselpaar und sendet eine Zertifikatsignieranforderung (CSR) an die Zertifizierungsstelle (CA).

2. Die ZERTIFIZIERUNGsstelle signiert sie mit ihrem privaten Schlüssel und erstellt ein Identitätszertifikat.

3. Der Client installiert die Liste der vertrauenswürdigen CA-Stamm- und Vertrauenswürdigkeitszertifikate sowie das Identitätszertifikat

Protokollzusammenfassung

In der folgenden Tabelle werden die Protokolle und die zugehörigen Dienste aufgeführt, die in der Unified CM-Lösung verwendet werden.

Weitere Informationen zur MRA-Konfiguration finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Sichern von Jabber und Webex mit SIP OAuth

Jabber- und Webex-Clients werden über ein OAuth-Token anstatt über ein lokal bedeutendes Zertifikat (LSC) authentifiziert, das keine Proxyfunktion der Zertifizierungsstelle (CAPF) erfordert (auch für MRA). Sip OAuth arbeiten mit oder ohne gemischten Modus wurde in Cisco Unified CM 12.5(1), Jabber 12.5 und Expressway X12.5 eingeführt.

In Cisco Unified CM 12.5 verfügen wir über eine neue Option im Telefonsicherheitsprofil, mit der die Verschlüsselung ohne LSC/CAPF unter Verwendung von single Transport Layer Security (TLS) + OAuth Token in SIP REGISTER ermöglicht wird. Expressway-C-Knoten verwenden die ADMINISTRATIVE XML Web Service (AXL)-API, um den Cisco Unified CM über den SN/SAN in ihrem Zertifikat zu informieren. Cisco Unified CM verwendet diese Informationen, um das Exp-C-Zertifikat zu validieren, wenn eine Verbindung Mutual TLS wird.

SIP OAuth ermöglicht Medien- und Signalisierungsverschlüsselung ohne ein Endpunktzertifikat (LSC).

Cisco Jabber verwendet kurzlebige Ports und sichere Ports 6971 und 6972 über HTTPS-Verbindung zum TFTP-Server, um die Konfigurationsdateien herunterzuladen. Port 6970 ist ein nicht sicherer Port für den Download über HTTP.

Weitere Details zur Konfiguration der SIP OAuth: SIP-OAuth-Modus .