Seguridad física

Es importante proporcionar seguridad física a las ubicaciones de la sala Meet-Me de Equinix y a las instalaciones del centro de datos de Cisco Dedicated Instance. Cuando la seguridad física está comprometida, pueden iniciarse ataques sencillos, como la interrupción del servicio mediante el corte de la alimentación de los interruptores del cliente. Con el acceso físico, los agresores podían obtener acceso a los dispositivos del servidor, restablecer contraseñas y acceder a los switches. El acceso físico también facilita ataques más sofisticados, como los ataques de intermediario, razón por la cual la segunda capa de seguridad, la seguridad de la red, es esencial.

Las unidades de autocifrado se utilizan en los centros de datos de instancias dedicadas que alojan aplicaciones de UC.

Para obtener más información sobre las prácticas generales de seguridad, consulte la documentación en la siguiente ubicación: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Seguridad de la red

Los socios deben asegurarse de que todos los elementos de red están protegidos en la infraestructura de Dedicated Instance (que se conecta a través de Equinix). Es responsabilidad del partner garantizar las mejores prácticas de seguridad, tales como:

• VLAN independiente para voz y datos

• Habilite la seguridad de puertos que limita la cantidad de direcciones MAC permitidas por puerto, contra la inundación de tablas CAM

• Protección de origen IP frente a direcciones IP falsificadas

• Dynamic ARP Inspection (DAI) examina el protocolo de resolución de direcciones (ARP) y el ARP gratuito (GARP) por infracciones (contra la falsificación de ARP)

• 802.1x limita el acceso a la red para autenticar dispositivos en VLAN asignadas (los teléfonos admiten 802.1x)

• Configuración de la calidad de servicio (QoS) para el marcado adecuado de los paquetes de voz

• Configuraciones de puertos de firewall para bloquear cualquier otro tráfico

Seguridad de endpoints

Los endpoints de Cisco admiten funciones de seguridad predeterminadas, como firmware firmado, arranque seguro (modelos seleccionados), certificado instalado por el fabricante (MIC) y archivos de configuración firmados, que proporcionan un cierto nivel de seguridad para los endpoints.

Además, un partner o cliente puede habilitar seguridad adicional, como:

• Cifrar los servicios telefónicos IP (a través de HTTPS) para servicios como Extension Mobility

• Emitir certificados significativos localmente (LSC) de la función proxy de la autoridad de certificación (CAPF) o de una autoridad de certificación pública (CA)

• Cifrar archivos de configuración

• Cifrar medios y señales

• Deshabilite esta configuración si no se utiliza: Puerto de PC, acceso VLAN de voz de PC, ARP gratuito, acceso web, botón de configuración, SSH, consola

La implementación de mecanismos de seguridad en Dedicated Instance evita el robo de identidad de los teléfonos y del servidor de Unified CM, la alteración de datos y la alteración de la señalización de llamadas/transmisión de medios.

Instancia dedicada a través de la red:

• Establece y mantiene flujos de comunicación autenticados

• Firma digitalmente archivos antes de transferir el archivo al teléfono

• Cifra las transmisiones de medios y la señalización de llamadas entre teléfonos IP de Cisco Unified

La seguridad proporciona de manera predeterminada las siguientes funciones de seguridad automáticas para los teléfonos IP de Cisco Unified:

• Firma de los archivos de configuración del teléfono

• Soporte para el cifrado de archivos de configuración del teléfono

• HTTPS con Tomcat y otros servicios web (MIDlets)

Para la versión 8.0 de Unified CM posterior, estas características de seguridad se proporcionan de manera predeterminada sin ejecutar el cliente de la Lista de certificados de confianza (CTL).

Debido a que hay una gran cantidad de teléfonos en una red y los teléfonos IP tienen memoria limitada, Cisco Unified CM actúa como un almacén de confianza remoto a través del Servicio de verificación de confianza (TVS) para que no sea necesario colocar un almacén de confianza de certificados en cada teléfono. Los teléfonos IP de Cisco se comunican con el servidor TVS para la verificación porque no pueden verificar una firma o un certificado a través de archivos CTL o ITL. Tener un almacén de confianza central es más fácil de administrar que tener el almacén de confianza en cada teléfono IP de Cisco Unified.

TVS permite a los teléfonos IP Cisco Unified autenticar servidores de aplicaciones, como servicios de EM, directorio y MIDlet, durante el establecimiento de HTTPS.

El archivo Lista de confianza inicial (ITL) se utiliza para la seguridad inicial, de modo que los endpoints puedan confiar en Cisco Unified CM. ITL no necesita que se habilite explícitamente ninguna característica de seguridad. El archivo ITL se crea automáticamente cuando se instala el clúster. La clave privada del servidor del Protocolo de transferencia de archivos trivial (TFTP) de Unified CM se utiliza para firmar el archivo ITL.

Cuando el servidor o grupo de Cisco Unified CM está en modo no seguro, el archivo ITL se descarga en todos los teléfonos IP de Cisco compatibles. Un socio puede ver el contenido de un archivo ITL mediante el comando CLI, admin:show itl.

Los teléfonos IP de Cisco necesitan el archivo ITL para realizar las siguientes tareas:

• Comunicarse de forma segura con CAPF, un requisito previo para admitir el cifrado de archivos de configuración

• Autenticar la firma del archivo de configuración

• Autenticar servidores de aplicaciones, como servicios de EM, directorio y MIDlet durante el establecimiento de HTTPS mediante TVS

La autenticación de dispositivos, archivos y señales depende de la creación del archivo de lista de certificados de confianza (CTL), que se crea cuando el socio o cliente instala y configura el cliente de la lista de certificados de confianza de Cisco.

El archivo CTL contiene entradas para los siguientes servidores o tokens de seguridad:

• Token de seguridad del administrador del sistema (SAST)

• Servicios de Cisco CallManager y Cisco TFTP que se ejecutan en el mismo servidor

• Función de proxy de la autoridad de certificación (CAPF)

• Servidor(es) TFTP

• Firewall ASA

El archivo CTL contiene un certificado de servidor, una clave pública, un número de serie, una firma, un nombre del emisor, un nombre de asunto, una función del servidor, un nombre DNS y una dirección IP para cada servidor.

La seguridad del teléfono con CTL proporciona las siguientes funciones:

• Autenticación de archivos descargados TFTP (configuración, configuración regional, lista de timbres, etc.) mediante una clave de firma

• Cifrado de archivos de configuración TFTP mediante una clave de firma

• Señalización de llamadas cifrada para teléfonos IP

• Audio (medios) de llamada cifrada para teléfonos IP

Dedicated Instance proporciona registro de extremos y procesamiento de llamadas. La señalización entre Cisco Unified CM y los extremos se basa en Secure Skinny Client Control Protocol (SCCP) o Session Initiation Protocol (SIP) y se puede cifrar mediante Transport Layer Security (TLS). Los medios desde/hacia los extremos se basan en el protocolo de transporte en tiempo real (RTP) y también se pueden cifrar mediante RTP seguro (SRTP).

La habilitación del modo mixto en Unified CM permite el cifrado del tráfico de señales y medios desde y hacia los extremos de Cisco.

Proteger las aplicaciones de UC

El modo mixto está habilitado de manera predeterminada en Dedicated Instance.

La habilitación del modo mixto en Dedicated Instance permite realizar el cifrado del tráfico de señales y medios desde y hacia los extremos de Cisco.

En Cisco Unified CM versión 12.5(1), se agregó una nueva opción para habilitar el cifrado de señales y medios basados en SIP OAuth en lugar del modo mixto/CTL para los clientes de Jabber y Webex. Por lo tanto, en la versión 12.5(1) de Unified CM, se pueden utilizar SIP OAuth y SRTP para habilitar el cifrado de señales y medios para los clientes de Jabber o Webex. En este momento sigue siendo necesario habilitar el modo mixto para los teléfonos IP de Cisco y otros extremos de Cisco. Existe un plan para agregar compatibilidad con SIP OAuth en extremos 7800/8800 en una versión futura.

Cisco Unity Connection se conecta a Unified CM a través del puerto TLS. Cuando el modo de seguridad del dispositivo no es seguro, Cisco Unity Connection se conecta a Unified CM a través del puerto SCCP.

Para configurar la seguridad para los puertos de mensajería de voz de Unified CM y los dispositivos de Cisco Unity que ejecutan SCCP o dispositivos de Cisco Unity Connection que ejecutan SCCP, un socio puede elegir un modo de seguridad de dispositivo seguro para el puerto. Si elige un puerto de correo de voz autenticado, se abre una conexión TLS, que autentica los dispositivos mediante un intercambio de certificados mutuos (cada dispositivo acepta el certificado del otro dispositivo). Si elige un puerto de correo de voz cifrado, el sistema primero autentica los dispositivos y luego envía flujos de voz cifrados entre los dispositivos.

Para obtener más información sobre los puertos de mensajería de voz de seguridad, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Protección de las comunicaciones entre Cisco Unified CM y CUBE

Para que las comunicaciones sean seguras entre Cisco Unified CM y CUBE, los socios/clientes deben utilizar certificados de firma automática o certificados firmados por una CA.

Para certificados de firma automática:

1. CUBE y Cisco Unified CM generan certificados de firma automática

2. CUBE exporta certificado a Cisco Unified CM

3. Cisco Unified CM exporta certificado a CUBE

Para certificados firmados por una autoridad de certificación:

1. El cliente genera un par de claves y envía una solicitud de firma de certificado (CSR) a la autoridad de certificación (CA)

2. La CA lo firma con su clave privada, creando un certificado de identidad

3. El cliente instala la lista de certificados raíz e intermediario de CA de confianza y el certificado de identidad

Resumen del protocolo

En la siguiente tabla, se muestran los protocolos y los servicios asociados utilizados en la solución de Unified CM.

Para obtener más información sobre la configuración de MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Protección de Jabber y Webex con SIP OAuth

Los clientes de Jabber y Webex se autentican a través de un token de autenticación abierta (OAuth) en lugar de un certificado significativo localmente (LSC), que no requiere habilitación de la función de proxy de autoridad de certificación (CAPF) (también para MRA). Se introdujo SIP OAuth que funciona con o sin modo mixto en Cisco Unified CM 12.5(1), Jabber 12.5 y Expressway X12.5.

En Cisco Unified CM 12.5, tenemos una nueva opción en el perfil de seguridad del teléfono que habilita el cifrado sin LSC/CAPF mediante el uso de una sola Seguridad de la capa de transporte (TLS) + OAuth token en SIP REGISTER. Los nodos de Expressway-C utilizan la API del servicio web XML administrativo (AXL) para informar a Cisco Unified CM del SN/SAN en su certificado. Cisco Unified CM utiliza esta información para validar el certificado Exp-C al establecer una conexión de TLS mutuo.

SIP OAuth habilita el cifrado de señales y medios sin un certificado de extremo (LSC).

Cisco Jabber utiliza puertos efímeros y puertos seguros 6971 y 6972 a través de conexión HTTPS al servidor TFTP para descargar los archivos de configuración. El puerto 6970 es un puerto no seguro para descargar a través de HTTP.

Más detalles sobre la configuración de SIP OAuth: Modo SIP OAuth.