Physische Sicherheit

Es ist wichtig, die Standorte von Equinix Meet-Me-Raum und Cisco . physisch zu schützen Dedizierte Instanz Rechenzentrumseinrichtungen. Wenn die physische Sicherheit gefährdet ist, können einfache Angriffe wie Dienstunterbrechungen durch Herunterfahren der Switches eines Kunden initiiert werden. Mit dem physischen Zugriff könnten Angreifer Zugang zu Servergeräten erhalten, Passwörter zurücksetzen und Zugang zu Switches erhalten. Der physische Zugriff ermöglicht auch raffiniertere Angriffe wie Man-in-the-Middle-Angriffe, weshalb die zweite Sicherheitsebene, die Netzwerksicherheit, von entscheidender Bedeutung ist.

Selbstverschlüsselnde Laufwerke werden verwendet in Dedizierte Instanz Rechenzentren, die UC-Anwendungen Gastgeber .

Weitere Informationen zu allgemeinen Sicherheitspraktiken finden Sie in der Dokumentation an der folgenden Stelle: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netzwerksicherheit

Partner müssen sicherstellen, dass alle Netzwerkelemente geschützt sind Dedizierte Instanz Infrastruktur (die über Equinix verbunden ist). Es liegt in der Verantwortung des Partners, bewährte Verfahren Sicherheitspraktiken zu gewährleisten, wie z. B.:

• Separates VLAN für Sprache und Daten

• Aktivieren Sie die Port-Sicherheit, um die Anzahl der pro Port zulässigen MAC -Adressen zu beschränken, um eine Überlastung der CAP-Tabellen zu verhindern

• IP Source Guard gegen gefälschte IP -Adressen

• Dynamische ARP-Inspektion (DAI) untersucht Address Resolution Protocol (ARP) und Gratuitous ARP (GARP) auf Verstöße (gegen ARP-Spoofing)

• 802.1x schränkt den Netzwerkzugriff ein, um Geräte in zugewiesenen VLANs zu authentifizieren (Telefone unterstützen 802.1x )

• Konfiguration der Servicequalität (QoS) für die entsprechende Markierung von Sprachpaketen

• Konfiguration der Firewall-Ports zum Ausblenden jeglichen anderen Datenverkehrs

Endpunkte-Sicherheit

Cisco Endpunkte unterstützen standardmäßige Sicherheitsfunktionen wie signierte Firmware, Secure Boot (ausgewählte Modelle), vom Hersteller installiertes Zertifikat (MIC) und signierte Konfigurationsdateien, die ein bestimmtes Maß an Sicherheit für Endpunkte bieten.

Darüber hinaus kann ein Partner oder Kunde zusätzliche Sicherheit aktivieren, wie z. B.:

• Verschlüsseln von IP-Telefon (über HTTPS) für Dienste wie Extension Mobility

• Stellen Sie LSCs (Locally Significant Certificate) über die CAPF (Certificate Authority Proxy Function) (CAPF) oder eine öffentliche Zertifizierungsstelle (CA) aus.

• Konfigurationsdateien verschlüsseln

• Medien und Signale verschlüsseln

• Deaktivieren Sie diese Einstellungen, wenn sie nicht verwendet werden: PC-Port, PC -Sprach- VLAN -Zugriff, Gratuitous ARP, Webzugriff, Schaltfläche „Einstellungen“, SSH, Konsole

Implementierung von Sicherheitsmechanismen im Dedizierte Instanz Verhindert Identitätsdiebstahl der Telefone und des Unified CM-Server, Datenmanipulationen und Manipulationen der Anrufsignalisierung/Medien-Streams.

Dedizierte Instanz über das Netzwerk:

• Erstellt und verwaltet authentifizierte Kommunikationsströme

• Signiert Dateien digital, bevor die Datei auf das Telefon übertragen wird

• Verschlüsselt Medienstreams und Anrufsignale zwischen Cisco Unified IP -Telefonen

Sicherheit standardmäßig bietet die folgenden automatischen Sicherheitsfunktionen für Cisco Unified IP -Telefone:

• Signierung der Telefonkonfiguration

• Unterstützung für die Verschlüsselung der Telefonkonfiguration

• HTTPS mit Tomcat und anderen Webdiensten (MIDlets)

Für Unified CM Version 8.0 werden diese Sicherheitsfunktionen standardmäßig bereitgestellt, ohne dass der CTL-Client (Certificate Trust List) ausgeführt wird.

Da in einem Netzwerk eine große Anzahl von Telefonen vorhanden ist und IP -Telefone nur über einen begrenzten Speicher verfügen, fungiert Cisco Unified CM über den Trust Verification Service (TVS) als Remote-Truststore, sodass nicht auf jedem Telefon ein Zertifikat-Truststore erstellt werden muss. Die Cisco IP -Telefone kontaktieren den TVS -Server zur Verifizierung, da sie eine Signatur oder ein Zertifikat über CTL oder ITL-Dateien nicht verifizieren können. Die Verwaltung eines zentralen Vertrauensspeichers ist einfacher als die Einrichtung eines Vertrauensspeichers auf jedem Cisco Unified IP-Telefon.

TVS ermöglicht Cisco Unified IP -Telefonen die Authentifizierung von Anwendungsservern, z. B. EM -Dienste, Verzeichnisse und MIDlet, während der HTTPS-Einrichtung.

Die Initial Trust List (ITL)-Datei wird für die anfängliche Sicherheit verwendet, damit die Endpunkte Cisco Unified CM vertrauen können. Für ITL müssen keine Sicherheitsfunktionen explizit aktiviert werden. Die ITL-Datei wird automatisch erstellt, wenn der Cluster installiert wird. Der private Schlüssel des TFTP -Servers ( Unified CM Trivial File Transfer Protocol) wird zum Signieren der ITL-Datei verwendet.

Wenn sich der Cisco Unified CM -Cluster oder -Server im nicht sicheren Modus befindet, wird die ITL-Datei auf jedes unterstützte Cisco IP-Telefon heruntergeladen. Ein Partner kann den Inhalt einer ITL-Datei mit dem CLI-Befehl admin:show itl anzeigen.

Cisco IP -Telefone benötigen die ITL-Datei, um die folgenden Aufgaben auszuführen:

• Sichere Kommunikation mit CAPF, eine Voraussetzung für die Unterstützung der Verschlüsselung der Konfigurationsdatei

• Signatur der Konfigurationsdatei authentifizieren

• Authentifizieren von Anwendungsservern wie EM -Diensten, Verzeichnissen und MIDlet während der HTTPS-Einrichtung mit TVS

Die Geräte-, Datei- und Signalauthentifizierung basiert auf der Erstellung der CTL-Datei (Certificate Trust List), die erstellt wird, wenn der Partner oder Kunde den Cisco Certificate Trust List-Client installiert und konfiguriert.

Die CTL-Datei enthält Einträge für die folgenden Server oder Sicherheitstoken:

• Systemadministrator-Sicherheits-Token (SAST)

• Cisco CallManager und Cisco TFTP -Dienste, die auf demselben Server ausgeführt werden

• Certificate Authority Proxy-Funktion (CAPF)

• TFTP -Server

• ASA-Firewall

Die CTL-Datei enthält ein Serverzertifikat, einen öffentlichen Schlüssel, eine Seriennummer, eine Signatur, einen Ausstellernamen, einen Antragstellernamen, eine Serverfunktion, einen DNS -Namen und eine IP-Adresse für jeden Server.

Die Telefonsicherheit mit CTL bietet folgende Funktionen:

• Authentifizierung von heruntergeladenen TFTP -Dateien (Konfiguration, Sprache, Klingelliste usw.) mithilfe eines Signaturschlüssels

• Verschlüsselung von TFTP Konfigurationsdateien mit einem Signaturschlüssel

• Verschlüsselte Anrufsignalisierung für IP -Telefone

• Verschlüsseltes Anrufaudio (Medien) für IP -Telefone

Dedizierte Instanz bietet Endpunktregistrierung und Anrufverarbeitung. Die Signalisierung zwischen Cisco Unified CM und Endpunkten basiert auf SCCP (Secure Skinny Client Control Protocol ) oder Session Initiation Protocol (SIP) und kann mit TLS ( Transport Layer Security ) verschlüsselt werden. Die Medien von/zu den Endpunkten basieren auf RTP(Real-Time Transport Protocol) und können auch mit Secure RTP (SRTP) verschlüsselt werden.

Wenn Sie den gemischten Modus in Unified CM aktivieren, wird die Verschlüsselung des Signal- und Mediendatenverkehr von und zu den Cisco -Endpunkten aktiviert.

Sichere UC-Anwendungen

Der gemischte Modus ist standardmäßig aktiviert in Dedizierte Instanz .

Aktivieren des gemischten Modus in Dedizierte Instanz ermöglicht die Verschlüsselung des Signal- und Mediendatenverkehr von und zu den Cisco -Endpunkten.

In Cisco Unified CM Version 12.5(1) wurde eine neue Option für Jabber- und Webex -Clients hinzugefügt, um die Verschlüsselung von Signalen und Medien basierend auf SIP OAuth anstelle von gemischtem Modus/ CTL zu aktivieren. Daher können in der Unified CM -Version 12.5(1) SIP OAuth und SRTP verwendet werden, um die Verschlüsselung für Signalisierung und Medien für Jabber- oder Webex -Clients zu aktivieren. Die Aktivierung des gemischten Modus für Cisco IP -Telefone und andere Cisco -Endpunkte ist zu diesem Zeitpunkt weiterhin erforderlich. Es gibt einen Plan, die Unterstützung für SIP OAuth in 7800/8800-Endpunkten in einer zukünftigen Version hinzuzufügen.

Cisco Unity Connection stellt über den TLS Port eine Verbindung mit Unified CM her. Wenn der Gerätesicherheitsmodus nicht „sicher“ ist, stellt Cisco Unity Connection über den SCCP -Port eine Verbindung mit Unified CM her.

Um die Sicherheit für Unified CM -Voicemail-Ports und Cisco Unity -Geräte, auf denen SCCP ausgeführt wird, oder Cisco Unity Connection -Geräte, auf denen SCCP ausgeführt wird, zu konfigurieren, kann ein Partner einen sicheren Gerätesicherheitsmodus für den Port auswählen. Wenn Sie einen authentifizierten Sprachspeicher-Port auswählen, wird eine TLS -Verbindung geöffnet, die die Geräte über einen gegenseitigen Zertifikatsaustausch authentifiziert (jedes Gerät akzeptiert das Zertifikat des anderen Geräts). Wenn Sie einen verschlüsselten Sprachspeicher-Port auswählen, authentifiziert das System zuerst die Geräte und sendet dann verschlüsselte Voicestreams zwischen den Geräten.

Weitere Informationen zu Sicherheit Ports für Sprachnachrichten finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sicherung der Kommunikation zwischen Cisco Unified CM und CUBE

Für eine sichere Kommunikation zwischen Cisco Unified CM und CUBE müssen Partner/Kunden entweder selbstsignierte Zertifikate oder CA-signierte Zertifikate verwenden.

Für selbstsignierte Zertifikate:

1. CUBE und Cisco Unified CM generieren selbstsignierte Zertifikate

2. CUBE exportiert das Zertifikat in Cisco Unified CM

3. Cisco Unified CM exportiert Zertifikat in CUBE

Für CA-signierte Zertifikate:

1. Client generiert ein Schlüsselpaar und sendet eine Zertifikatsignieranforderung (CSR) an die Certificate Authority (CA)

2. Die CA signiert es mit ihrem privaten Schlüssel und erstellt ein Identitätszertifikat

3. Der Client installiert die Liste der vertrauenswürdigen CA-Stamm- und Zwischenzertifikate sowie das Identitätszertifikat

Protokollzusammenfassung

In der folgenden Tabelle sind die Protokolle und die zugehörigen Dienste aufgeführt, die in der Unified CM -Lösung verwendet werden.

Weitere Informationen zur MRA-Konfiguration finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Sicherung von Jabber und Webex mit SIP OAuth

Jabber- und Webex -Clients werden über ein OAuth-Token anstelle eines Locally Significant Certificate (LSC) authentifiziert, das keine Aktivierung der CAPF (Certificate Authority Proxy Function) (CAPF) erfordert (auch für MRA). SIP OAuth, das mit oder ohne gemischten Modus funktioniert, wurde in Cisco Unified CM 12.5(1), Jabber 12.5 und Expressway X12.5 eingeführt.

In Cisco Unified CM 12.5 gibt es eine neue Option im Telefonsicherheitsprofil, die eine Verschlüsselung ohne LSC/ CAPF mit einem einzelnen Transport Layer Security (TLS) + OAuth-Token im SIP REGISTER ermöglicht. Expressway-C-Knoten verwenden die Administrative XML Web Service (AXL) API , um Cisco Unified CM über den SN/SAN in ihrem Zertifikat zu informieren. Cisco Unified CM verwendet diese Informationen, um das Exp-C-Zertifikat beim Einrichten einer Mutual TLS -Verbindung zu validieren.

SIP OAuth ermöglicht die Verschlüsselung von Medien und Signalen ohne Endpunktzertifikat (LSC).

Cisco Jabber verwendet kurzlebige Ports und sichere Ports 6971 und 6972 über eine HTTPS-Verbindung zum TFTP -Server, um die Konfigurationsdateien herunterzuladen. Port 6970 ist ein nicht sicherer Port für Downloads über HTTP.

Weitere Details zur SIP -OAuth-Konfiguration: SIP -OAuth-Modus .