Physische Sicherheit

Es ist wichtig, physischen Schutz für Standorte von Equinix Meet-Me-Räumen und Cisco Dedicated Instance Data Center-Einrichtungen zu bieten. Wenn die physische Sicherheit gefährdet ist, können einfache Angriffe wie Dienstunterbrechungen durch das Herunterfahren der Stromversorgung zu den Schaltern eines Kunden initiiert werden. Mit physischem Zugriff könnten Angreifer Zugriff auf Servergeräte erhalten, Passwörter zurücksetzen und Zugang zu Switches erhalten. Physischer Zugriff ermöglicht auch komplexere Angriffe wie Man-in-the-Middle-Angriffe, weshalb die zweite Sicherheitsschicht, die Netzwerksicherheit, entscheidend ist.

Selbstverschlüsselnde Laufwerke werden in Rechenzentren der dedizierten Instanz verwendet, die UC-Anwendungen hosten.

Weitere Informationen zu allgemeinen Sicherheitspraktiken finden Sie in der Dokumentation an folgendem Speicherort: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html .

Netzwerksicherheit

Partner müssen sicherstellen, dass alle Netzwerkelemente in der Infrastruktur der dedizierten Instanz (die über Equinix verbunden wird) gesichert sind. Es liegt in der Verantwortung des Partners, bewährte Vorgehensweisen für die Sicherheit sicherzustellen, z. B.:

• Separates VLAN für Sprache und Daten

• Aktivieren Sie Port-Sicherheit, wodurch die Anzahl der pro Port zulässigen MAC-Adressen begrenzt wird, gegen CAM-Tabellenüberflutung

• IP Source Guard gegen gefälschte IP-Adressen

• Dynamic ARP Inspection (DAI) untersucht das Adress Resolution Protocol (ARP) und das kostenlose ARP (GARP) bei Verstößen (gegen ARP Spoofing).

• 802.1x beschränkt den Netzwerkzugriff, um Geräte auf zugewiesenen VLANs zu authentifizieren (Telefone unterstützen 802.1x)

• Konfiguration von Quality of Service (QoS) für entsprechende Markierung von Sprachpaketen

• Firewall-Port-Konfigurationen zum Blockieren von anderem Datenverkehr

Endpunkte-Sicherheit

Cisco-Endpunkte unterstützen standardmäßige Sicherheitsfunktionen wie signierte Firmware, Secure Boot (ausgewählte Modelle), vom Hersteller installiertes Zertifikat (MIC) und signierte Konfigurationsdateien, die ein gewisses Maß an Sicherheit für Endpunkte bieten.

Darüber hinaus kann ein Partner oder Kunde zusätzliche Sicherheit aktivieren, z. B.:

• IP-Telefondienste (über HTTPS) für Dienste wie Extension Mobility verschlüsseln

• Vergeben von lokal signifikanten Zertifikaten (LSCs) über die Proxy-Funktion der Zertifizierungsstelle (CAPF) oder eine öffentliche Zertifizierungsstelle (CA)

• Konfigurationsdateien verschlüsseln

• Medien und Signalisierung verschlüsseln

• Deaktivieren Sie diese Einstellungen, wenn sie nicht verwendet werden: PC-Port, PC-Sprach-VLAN-Zugriff, Gratuitous ARP, Webzugriff, Einstellungsschaltfläche, SSH, Konsole

Die Implementierung von Sicherheitsmechanismen in der dedizierten Instanz verhindert Identitätsdiebstahl der Telefone und des Unified CM-Servers, Datenmanipulationen und Manipulationen der Anrufsignalisierung/des Medienstreams.

Dedizierte Instanz über das Netzwerk:

• Etabliert und verwaltet authentifizierte Kommunikationsströme

• Signiert Dateien digital, bevor die Datei auf das Telefon übertragen wird

• Verschlüsselt Medienstreams und Anrufsignalisierung zwischen Cisco Unified IP-Telefonen

Die Sicherheit bietet standardmäßig die folgenden automatischen Sicherheitsfunktionen für Cisco Unified IP-Telefone:

• Signierung der Telefonkonfigurationsdateien

• Unterstützung für die Verschlüsselung der Telefonkonfigurationsdatei

• HTTPS mit Tomcat und anderen Webdiensten (MIDlets)

Ab Unified CM Version 8.0 sind diese Sicherheitsfunktionen standardmäßig verfügbar, ohne den CTL-Client (Certificate Trust List) auszuführen.

Da in einem Netzwerk eine große Anzahl von Telefonen vorhanden ist und IP-Telefone nur über begrenzten Speicher verfügen, fungiert Cisco Unified CM als Remote-Vertrauensspeicher über den TVS (Trust Verification Service), sodass kein Vertrauensspeicher für Zertifikate auf jedem Telefon platziert werden muss. Die Cisco IP-Telefone kontaktieren den TVS-Server zur Überprüfung, da sie eine Signatur oder ein Zertifikat nicht über CTL- oder ITL-Dateien verifizieren können. Ein zentraler Vertrauensspeicher ist einfacher zu verwalten als der Vertrauensspeicher auf jedem Cisco Unified IP-Telefon.

TVS ermöglicht es Cisco Unified IP-Telefonen, Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Einrichtung zu authentifizieren.

Die ITL-Datei (Initial Trust List) wird für die anfängliche Sicherheit verwendet, damit die Endpunkte Cisco Unified CM vertrauen können. ITL benötigt keine Sicherheitsfunktionen, die explizit aktiviert werden müssen. Die ITL-Datei wird automatisch erstellt, wenn der Cluster installiert wird. Der private Schlüssel des Unified CM Trivial File Transfer Protocol (TFTP)-Servers wird zum Signieren der ITL-Datei verwendet.

Wenn sich das Cisco Unified CM-Cluster oder der Cisco Unified CM-Server im nicht sicheren Modus befindet, wird die ITL-Datei auf jedes unterstützte Cisco IP-Telefon heruntergeladen. Ein Partner kann den Inhalt einer ITL-Datei mit dem CLI-Befehl admin:show itl anzeigen.

Cisco IP-Telefone benötigen die ITL-Datei, um die folgenden Aufgaben ausführen zu können:

• Sichere Kommunikation mit CAPF – eine Voraussetzung für die Unterstützung der Verschlüsselung der Konfigurationsdatei

• Authentifizierung der Konfigurationsdateisignatur

• Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Einrichtung mit TVS authentifizieren

Geräte-, Datei- und Signalisierungsauthentifizierung hängen von der Erstellung der CTL-Datei (Certificate Trust List) ab, die erstellt wird, wenn der Partner oder Kunde den Cisco Certificate Trust List-Client installiert und konfiguriert.

Die CTL-Datei enthält Einträge für die folgenden Server oder Sicherheitstoken:

• Systemadministrator-Sicherheitstoken (SAST)

• Cisco CallManager- und Cisco TFTP-Dienste, die auf demselben Server ausgeführt werden

• CAPF (Certificate Authority Proxy Function)

• TFTP-Server

• ASA-Firewall

Die CTL-Datei enthält für jeden Server ein Serverzertifikat, einen öffentlichen Schlüssel, eine Seriennummer, eine Signatur, den Namen des Aussteller, den Subjektnamen, die Serverfunktion, den DNS-Namen und die IP-Adresse.

Die Telefonsicherheit mit CTL bietet folgende Funktionen:

• Authentifizierung von heruntergeladenen TFTP-Dateien (Konfiguration, Gebietsschema, Klingelliste usw.) mit einem Signierungsschlüssel

• Verschlüsselung von TFTP-Konfigurationsdateien mit einem Signaturschlüssel

• Verschlüsselte Anrufsignalisierung für IP-Telefone

• Verschlüsseltes Anrufaudio (Medien) für IP-Telefone

Dedizierte Instanz bietet Endpunkt-Registrierung und Anrufverarbeitung. Die Signalisierung zwischen Cisco Unified CM und Endpunkten basiert auf Secure Skinny Client Control Protocol (SCCP) oder Session Initiation Protocol (SIP) und kann mit Transport Layer Security (TLS) verschlüsselt werden. Die Medien von/zu den Endpunkten basieren auf RTP (Real-time Transport Protocol) und können auch mit Secure RTP (SRTP) verschlüsselt werden.

Die Aktivierung des gemischten Modus auf Unified CM ermöglicht die Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.

Sichere UC-Anwendungen

Der gemischte Modus ist standardmäßig in der dedizierten Instanz aktiviert.

Das Aktivieren des gemischten Modus in der dedizierten Instanz ermöglicht die Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.

In Cisco Unified CM Version 12.5(1) wurde eine neue Option zum Aktivieren der Verschlüsselung von Signalisierung und Medien basierend auf SIP OAuth anstelle des gemischten Modus/CTL für Jabber- und Webex-Clients hinzugefügt. Daher können in Unified CM-Version 12.5 (1) SIP OAuth und SRTP verwendet werden, um die Verschlüsselung für Signalisierung und Medien für Jabber- oder Webex-Clients zu aktivieren. Die Aktivierung des gemischten Modus ist weiterhin für Cisco IP-Telefone und andere Cisco-Endpunkte zu diesem Zeitpunkt erforderlich. Es ist geplant, die Unterstützung für SIP OAuth in 7800/8800-Endpunkten in einer zukünftigen Version hinzuzufügen.

Cisco Unity Connection stellt über den TLS-Port eine Verbindung zu Unified CM her. Wenn der Gerätesicherheitsmodus nicht sicher ist, stellt Cisco Unity Connection über den SCCP-Port eine Verbindung zu Unified CM her.

Um die Sicherheit für Unified CM-Sprachnachrichtenports und Cisco Unity-Geräte zu konfigurieren, auf denen SCCP oder Cisco Unity Connection-Geräte ausgeführt werden, auf denen SCCP ausgeführt wird, kann ein Partner einen sicheren Gerätesicherheitsmodus für den Port auswählen. Wenn Sie einen authentifizierten Voicemail-Port auswählen, wird eine TLS-Verbindung geöffnet, die die Geräte über einen gegenseitigen Zertifikataustausch authentifiziert (jedes Gerät akzeptiert das Zertifikat des anderen Geräts). Wenn Sie einen verschlüsselten Voicemail-Port auswählen, authentifiziert das System zunächst die Geräte und sendet dann verschlüsselte Sprachstreams zwischen den Geräten.

Weitere Informationen zu Sicherheits-Sprachnachrichtenports finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sicherung der Kommunikation zwischen Cisco Unified CM und CUBE

Für eine sichere Kommunikation zwischen Cisco Unified CM und CUBE müssen Partner/Kunden entweder selbstsignierte Zertifikate oder CA-signierte Zertifikate verwenden.

Für selbstsignierte Zertifikate:

1. CUBE und Cisco Unified CM generieren selbstsignierte Zertifikate

2. CUBE exportiert Zertifikat nach Cisco Unified CM

3. Cisco Unified CM exportiert Zertifikat nach CUBE

Für CA-signierte Zertifikate:

1. Client generiert ein Schlüsselpaar und sendet eine Zertifikatsanforderung (CSR) an die Zertifizierungsstelle (CA)

2. Die Zertifizierungsstelle signiert sie mit ihrem privaten Schlüssel und erstellt ein Identitätszertifikat.

3. Der Client installiert die Liste der vertrauenswürdigen CA-Stammzertifikate und Zwischenzertifikate sowie das Identitätszertifikat

Protokollzusammenfassung

In der folgenden Tabelle sind die Protokolle und zugehörigen Dienste aufgeführt, die in der Unified CM-Lösung verwendet werden.

Weitere Informationen zur MRA-Konfiguration finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Sicherheit für Jabber und Webex mit SIP OAuth

Jabber- und Webex-Clients werden über ein OAuth-Token anstelle eines lokal signifikanten Zertifikats (LSC) authentifiziert, für das keine Aktivierung der CAPF-Funktion (Certificate Authority Proxy Function) (auch für MRA) erforderlich ist. SIP OAuth, das mit oder ohne gemischten Modus funktioniert, wurde in Cisco Unified CM 12.5(1), Jabber 12.5 und Expressway X12.5 eingeführt.

In Cisco Unified CM 12.5 haben wir eine neue Option im Telefonsicherheitsprofil, die die Verschlüsselung ohne LSC/CAPF mithilfe von Single Transport Layer Security (TLS) + OAuth-Token in der SIP-REGISTRIERUNG ERMÖGLICHT. Expressway-C-Knoten verwenden die Administrative XML Web Service (AXL) API, um Cisco Unified CM über SN/SAN in ihrem Zertifikat zu informieren. Cisco Unified CM verwendet diese Informationen, um das Exp-C-Zertifikat zu validieren, wenn eine Mutual TLS-Verbindung hergestellt wird.

SIP OAuth aktiviert die Medien- und Signalisierungsverschlüsselung ohne Endpunktzertifikat (LSC).

Cisco Jabber verwendet kurzlebige und sichere Ports 6971 und 6972 über eine HTTPS-Verbindung zum TFTP-Server, um die Konfigurationsdateien herunterzuladen. Port 6970 ist ein nicht sicherer Port zum Herunterladen über HTTP.

Weitere Informationen zur SIP OAuth-Konfiguration: SIP-OAuth-Modus – .