Seguridad física

Es importante proporcionar seguridad física a las ubicaciones de la sala de Reunirse conmigo de Equinix y a las instalaciones del Centro de datos de instancia exclusiva de Cisco . Cuando la seguridad física está en riesgo, se pueden iniciar ataques simples, como la interrupción del servicio, al apagar el suministro de energía a los interruptores del cliente. Con el acceso físico, los atacantes podían obtener acceso a los dispositivos del servidor, restablecer las contraseñas y obtener acceso a los interruptores. El acceso físico también facilita ataques más sofisticados, como los ataques intermedios, razón por la cual la segunda capa de seguridad, la seguridad de la red, es fundamental.

Las unidades de cifrado propio se utilizan en los centros de datos de instancia de uso dedicado que alojan aplicaciones de UC.

Para obtener más información sobre las prácticas de seguridad generales, consulte la documentación en la siguiente ubicación: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Seguridad de la red

Los socios deben asegurarse de que todos los elementos de red estén asegurados en la infraestructura de la instancia dedicada (que se conecta a través de Equinix). Es responsabilidad del socio garantizar las mejores prácticas de seguridad, como:

• VLAN independiente para voz y datos

• Habilitar seguridad del puerto, que limita la cantidad de direcciones MAC permitidas por puerto, contra el desbordamiento de la tabla CAM

• Protección de fuente IP contra direcciones IP mié.

• La inspección ARP dinámica (ARP) analiza el protocolo de resolución de direcciones (ARP) y elutilUTILUTIL (GARP) por infracciones (contra la información de ARP)

• 802. limita el acceso1x de la red a los dispositivos de autenticación en las VLAN asignadas (los teléfonos admiten 802.1x

• Configuración de la calidad de servicio (QoS) para el marcado adecuado de los paquetes de voz

• Configuraciones de puertos de firewall para bloquear cualquier otro tráfico

Seguridad de endpoints

Los extremos de Cisco admiten características de seguridad predeterminadas, como el firmware firmado, el inicio seguro (modelos seleccionados), el certificado instalado por el fabricante (MIC) y los archivos de configuración firmados, que proporcionan un cierto nivel de seguridad para los extremos.

Además, un socio o cliente puede habilitar seguridad adicional, por ejemplo:

• Cifrar servicios de teléfono IP (a través de HTTPS) para servicios como Extension Mobility

• Emitir certificados localmente significativos (LSCs) desde la función de proxy de autoridades de emisión de certificados (CAPF) o desde una autoridad de certificación pública (CA)

• Cifrar archivos de configuración

• Cifrar medios y señalización

• Deshabilite estas configuraciones si no se utilizan: Puerto de PC, Acceso a VLAN de voz de pc, GratuitoUTIL, Acceso web, botón Configuración, SSH, consola

La implementación de mecanismos de seguridad en la instancia de uso exclusivo evita el robo de identidad de los teléfonos y del servidor de Unified CM, la falsificación de datos y la manipulación de señales de llamadas/transmisión de medios.

Instancia dedicada a través de la red:

• Establece y mantiene transmisiones de comunicación autenticadas

• Firma digitalmente los archivos antes de transferir el archivo al teléfono

• Cifra las transmisiones multimedia y la señalización de llamadas entre Cisco Unified teléfonos IP

La seguridad ofrece las siguientes características de seguridad automática para Cisco Unified teléfonos IP:

• Firma de los archivos de configuración del teléfono

• Compatibilidad con el cifrado de archivos de configuración telefónica

• HTTPS con Tomcat y otros servicios web (MIDlets)

Para la versión 8.0 de Unified CM posterior, estas características de seguridad se proporcionan de manera predeterminada sin ejecutar el cliente de la Lista de confianza de certificados (CTL).

Debido a que hay una gran cantidad de teléfonos en una red y los teléfonos IP tienen memoria limitada, Cisco Unified CM actúa como un almacén de confianza remoto a través del Servicio de verificación de confianza (TVS), de modo que no debe colocarse un almacén de confianza de certificados en cada teléfono. Los teléfonos Cisco IP phone se pondrán en contacto con el servidor DE TVS para su verificación ya que no pueden verificar una firma o certificado a través de archivos CTL o ITL. Tener una tienda de confianza central es más fácil de administrar que tener la tienda de confianza en cada Cisco Unified teléfono IP.

TVS permite Cisco Unified teléfonos IP para autenticar los servidores de aplicaciones, como los servicios EM, directorio y MIDlet, durante https de apoyo.

El archivo de lista de confianza inicial (ITL) se utiliza para la seguridad inicial, para que los extremos puedan confiar Cisco Unified CM. ITL no necesita habilitar explícitamente ninguna característica de seguridad. El archivo ITL se crea automáticamente cuando se instala el grupo. La clave privada del servidor del Protocolo trivial de transferencia de archivos (TFTP) de Unified CM se utiliza para firmar el archivo ITL.

Cuando el Cisco Unified o servidor de CISCO UNIFIED CM está en modo no seguro, el archivo ITL se descarga en todos los teléfonos IP de Cisco compatibles. Un socio puede ver el contenido de un archivo ITL mediante el comando de CLI admin:show itl.

Los teléfonos Cisco IP necesitan el archivo ITL para realizar las siguientes tareas:

• Comuníquese de forma segura con CAPF, un requisito previo para admitir el cifrado de archivos de configuración

• Autentique la firma del archivo de configuración

• Autentique servidores de aplicaciones, como los servicios EM, el directorio y MIDlet durante https utilizando TVS.

La autenticación de dispositivos, archivos y señales depende de la creación del archivo de lista de confianza del certificado (CTL), que se crea cuando el socio o cliente instala y configura el cliente de lista de confianza del certificado de Cisco.

El archivo CTL contiene registros de los siguientes servidores o tokens de seguridad:

• Token de seguridad para el administrador del sistema (SAST)

• Cisco CallManager y los servicios TFTP de Cisco que se están ejecutando en el mismo servidor

• Función de proxy de autoridad de certificación (CAPF)

• Servidor(es) TFTP

• Firewall ASA

El archivo CTL contiene un certificado de servidor, una clave pública, un número de serie, una firma, un nombre de emisor, un nombre de sujeto, una función de servidor, un nombre DNS y una dirección IP para cada servidor.

La seguridad telefónica con CTL proporciona las siguientes funciones:

• Autenticación de archivos descargados de TFTP (configuración, configuración, lista de timbres, y así sucesivamente) mediante el uso de una clave de firma

• Cifrado de archivos de configuración de TFTP mediante el uso de una clave de firma

• Señalización de llamadas cifradas para teléfonos IP

• Audio de llamada cifrado (multimedia) para teléfonos IP

La instancia dedicada proporciona el registro de extremos y el procesamiento de llamadas. La señalización entre Cisco Unified CM y los extremos se basa en el Protocolo de control de clientes seguros skinny (SCCP) o Protocolo de iniciación de sesión (SIP) y se puede cifrar mediante el protocolo de Seguridad de capa de transporte (TLS). Los medios que se utilizan desde/hacia los extremos se basan en el Protocolo de transporte en tiempo real (Real-time Transport Protocol, RTP) y también se pueden cifrar mediante RTP seguro (SRTP).

La habilitación del modo mixto en Unified CM permite el cifrado del tráfico de señales y medios desde y hacia los extremos de Cisco.

Aplicaciones de UC seguras

El modo mixto está habilitado de forma predeterminada en la instancia exclusiva.

La habilitación del modo mixto en la instancia de uso exclusivo permite la capacidad de cifrado del tráfico de señales y medios desde y hacia los extremos de Cisco.

En Cisco Unified CM versión 12.5(1), se agregó una nueva opción para habilitar el cifrado de señales y medios basado en autenticación O SIP en lugar del modo mixto/CTL para clientes Jabber y Webex. Por lo tanto, en Unified CM versión 12.5(1), la autenticación O SIP y SRTP se pueden utilizar para habilitar el cifrado para señales y medios para clientes de Jabber o Webex. La habilitación del modo mixto sigue siendo necesaria para los teléfonos Ip de Cisco y otros extremos de Cisco en este momento. Hay un plan para agregar soporte para la autenticación abierta de SIP en extremos 7800/8800 en una versión futura.

Cisco Unity Connection se conecta a Unified CM a través del puerto TLS. Cuando el modo de seguridad del dispositivo no es seguro, los Cisco Unity Connection se conectan a Unified CM a través del puerto SCCP.

Para configurar la seguridad para los puertos de mensajería de voz de Unified CM y los dispositivos de Cisco Unity que ejecutan SCCP o Cisco Unity Connection que ejecutan SCCP, un socio puede elegir un modo de seguridad de dispositivos seguro para el puerto. Si elige un puerto de correo de voz autenticado, se abre una conexión TLS, que autentica los dispositivos mediante un intercambio de certificados mutuos (cada dispositivo acepta el certificado del otro dispositivo). Si elige un puerto de correo de voz cifrado, el sistema primero autentica los dispositivos y luego envía transmisiones de voz cifradas entre los dispositivos.

Para obtener más información sobre los puertos de mensajería de voz de seguridad, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Asegurar las comunicaciones entre Cisco Unified CM y CUBE

Para lograr comunicaciones seguras entre Cisco Unified CM y CUBE, los socios/clientes tienen que utilizar certificados de firma propia o certificados firmados por una CA.

Para certificados de firma propia:

1. CUBE y Cisco Unified CM generan certificados de firma propia

2. CUBE exporta certificados a Cisco Unified CM

3. Cisco Unified CM exporta certificados a CUBE

Para certificados firmados por una CA:

1. El cliente genera un par de claves y envía una Solicitud de firma de certificado (CSR) a la Autoridad de certificados (CA)

2. La CA lo firma con su clave privada, creando un certificado de identidad

3. El cliente instala la lista de certificados raíz e intermedios de CA de confianza y el certificado de identidad

Resumen del protocolo

La siguiente tabla muestra los protocolos y los servicios asociados utilizados en la solución de Unified CM.

Para obtener más información sobre la configuración de MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Proteger Jabber y Webex con autenticación O SIP

Los clientes Jabber y Webex se autentican a través de un token de autenticación OAuth en lugar de un certificado localmente significativo (LSC), que no requiere la habilitación de la función de proxy de autoridades de certificación (CAPF) (también para MRA). Se introdujo la autenticación O SIP que funciona con o sin modo mixto en Cisco Unified CM 12.5(1), Jabber 12.5 y Expressway X12.5.

En Cisco Unified CM 12.5, tenemos una nueva opción en Perfil de seguridad telefónica que permite el cifrado sin LSC/CAPF, mediante el uso del token de seguridad de capa de transporte único (TLS) + autenticación automática en el registro de SIP. Expressway-C utilizan la API del servicio web de XML administrativo (AXL) para informar a Cisco Unified CM del SN/SAN en su certificado. Cisco Unified CM utiliza esta información para validar el certificado exp-C al establecer una conexión TLS mutuo cliente.

La autenticación OS SIP habilita el cifrado de medios y señales sin un certificado de extremo (LSC).

Cisco Jabber utiliza puertos efímeros y puertos seguros 6971 y 6972 a través de una conexión HTTPS al servidor TFTP para descargar los archivos de configuración. El puerto 6970 es un puerto no seguro para descargar a través de HTTP.

Más detalles acerca de la configuración de autenticación O DE SIP: Modo SIP OAuth.