Omistetun instanssin verkko- ja turvallisuusvaatimukset

Fyysinen turvallisuus

Equinix Meet-Me Room -tilojen ja Ciscon Dedicated Instance -tietokeskusten fyysisen turvallisuuden varmistaminen on tärkeää. Kun fyysinen turvallisuus vaarantuu, voidaan käynnistää yksinkertaisia hyökkäyksiä, kuten palvelun keskeyttäminen katkaisemalla asiakkaan kytkimien virta. Fyysisen pääsyn avulla hyökkääjät voivat päästä käsiksi palvelinlaitteisiin, nollata salasanoja ja päästä käsiksi kytkimiin. Fyysinen pääsy helpottaa myös kehittyneempiä hyökkäyksiä, kuten välikäsien välityksellä tapahtuvia hyökkäyksiä, minkä vuoksi toinen turvakerros, verkkoturvallisuus, on ratkaisevan tärkeä.

Itsekoodaavia asemia käytetään Dedicated Instance -tietokeskuksissa, joissa on UC-sovelluksia.

Lisätietoja yleisistä turvallisuuskäytännöistä on dokumentaatiossa seuraavassa osoitteessa: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Verkon turvallisuus

Yhteistyökumppaneiden on varmistettava, että kaikki verkkoelementit on suojattu Dedicated Instance -infrastruktuurissa (joka on yhteydessä Equinixin kautta). Kumppanin vastuulla on varmistaa parhaat turvallisuuskäytännöt, kuten:

• Erillinen VLAN puheelle ja datalle

• Ota käyttöön porttisuojaus, joka rajoittaa porttikohtaisesti sallittujen MAC-osoitteiden määrää CAM-taulukon tulvimisen estämiseksi.

• IP Source Guard väärennettyjä IP-osoitteita vastaan

• Dynaaminen ARP-tarkastus (DAI) tutkii osoitteenmääritysprotokollan (ARP) ja tarpeettoman ARP:n (GARP) rikkomukset (ARP-väärennöksiä vastaan).

• 802.1x rajoittaa verkkoon pääsyn vain niille laitteille, jotka ovat tunnistautuneet määritettyihin VLAN-verkkotunnuksiin (puhelimet tukevat 802.1x).

• Palvelun laadun (QoS) määrittäminen puhepakettien asianmukaista merkitsemistä varten.

• Palomuurin porttimääritykset muun liikenteen estämiseksi.

Loppupisteiden turvallisuus

Ciscon päätelaitteet tukevat oletusarvoisia suojausominaisuuksia, kuten allekirjoitettua laiteohjelmistoa, suojattua käynnistystä (tietyt mallit), valmistajan asentamaa varmentetta (MIC) ja allekirjoitettuja konfiguraatiotiedostoja, jotka tarjoavat tietyn turvallisuustason päätelaitteille.

Lisäksi yhteistyökumppani tai asiakas voi ottaa käyttöön lisäturvaa, kuten:

• IP-puhelinpalveluiden salaus (HTTPS:n kautta) esimerkiksi Extension Mobility -palveluiden osalta

• Paikallisesti merkittävien varmenteiden (LSC) myöntäminen CAPF-toiminnosta (Certificate Authority Proxy Function) tai julkisesta varmentajasta (CA).

• Konfiguraatiotiedostojen salaus

• Median ja viestinnän salaus

• Poista nämä asetukset käytöstä, jos niitä ei käytetä: PC-portti, PC Voice VLAN Access, Gratuitous ARP, Web Access, Asetukset-painike, SSH, konsoli.

Suojausmekanismien toteuttaminen dedikoidussa instanssissa estää puhelinten ja Unified CM -palvelimen identiteetin varastamisen, tietojen peukaloinnin ja puheluiden signaloinnin / mediavirran peukaloinnin.

Dedicated Instance verkon kautta:

• Luo ja ylläpitää todennettuja tietoliikennevirtoja.

• Allekirjoittaa tiedostot digitaalisesti ennen tiedoston siirtämistä puhelimeen.

• Salaa mediavirrat ja puheluiden signaloinnin Cisco Unified IP -puhelinten välillä.

Security by default tarjoaa seuraavat automaattiset suojausominaisuudet Cisco Unified IP -puhelimille:

• Puhelimen asetustiedostojen allekirjoittaminen

• Tuki puhelimen asetustiedoston salaukselle

• HTTPS Tomcatin ja muiden verkkopalvelujen kanssa (MIDlets)

Unified CM Release 8.0:n ja sitä uudempien versioiden osalta nämä suojausominaisuudet tarjotaan oletusarvoisesti ilman CTL-asiakkaan (Certificate Trust List) suorittamista.

Koska verkossa on suuri määrä puhelimia ja IP-puhelimien muisti on rajallinen, Cisco Unified CM toimii etäluottamussäilönä TVS-palvelun (Trust Verification Service) kautta, jotta varmenteen luottamussäilöä ei tarvitse sijoittaa jokaiseen puhelimeen. Cisco IP -puhelimet ottavat yhteyttä TVS-palvelimeen tarkistusta varten, koska ne eivät voi tarkistaa allekirjoitusta tai varmenteita CTL- tai ITL-tiedostojen avulla. Keskitetyn luottamussäilön hallinta on helpompaa kuin se, että luottamussäilö on jokaisessa Cisco Unified IP -puhelimessa.

TVS:n avulla Cisco Unified IP -puhelimet voivat todentaa sovelluspalvelimet, kuten EM-palvelut, hakemisto ja MIDlet, HTTPS:n perustamisen aikana.

Initial Trust List (ITL) -tiedostoa käytetään alustavaan suojaukseen, jotta päätelaitteet voivat luottaa Cisco Unified CM:ään. ITL:n ei tarvitse ottaa mitään tietoturvaominaisuuksia erikseen käyttöön. ITL-tiedosto luodaan automaattisesti, kun klusteri asennetaan. Unified CM Trivial File Transfer Protocol (TFTP) -palvelimen yksityistä avainta käytetään ITL-tiedoston allekirjoittamiseen.

Kun Cisco Unified CM -klusteri tai -palvelin on suojaamattomassa tilassa, ITL-tiedosto ladataan jokaiseen tuettuun Cisco IP -puhelimeen. Kumppani voi tarkastella ITL-tiedoston sisältöä CLI-komennolla admin:show itl.

Ciscon IP-puhelimet tarvitsevat ITL-tiedoston seuraavien tehtävien suorittamiseen:

• Kommunikoi turvallisesti CAPF:n kanssa, mikä on edellytys konfiguraatiotiedoston salauksen tukemiselle.

• Konfiguraatiotiedoston allekirjoituksen todentaminen

• Sovelluspalvelimien, kuten EM-palvelujen, hakemiston ja MIDletin, todennus HTTPS:n perustamisen aikana TVS:n avulla.

Laitteen, tiedoston ja signaloinnin todennus perustuu CTL-tiedoston (Certificate Trust List) luomiseen. CTL-tiedosto luodaan, kun kumppani tai asiakas asentaa ja konfiguroi Ciscon Certificate Trust List Client -ohjelman.

CTL-tiedosto sisältää merkinnät seuraaville palvelimille tai suojauskoodeille:

• Järjestelmänvalvojan turvakoodi (SAST)

• Cisco CallManager- ja Cisco TFTP-palvelut, jotka toimivat samalla palvelimella.

• Varmenteen välitystoiminto (CAPF)

• TFTP-palvelin(t)

• ASA-palomuuri

CTL-tiedosto sisältää palvelinvarmenteen, julkisen avaimen, sarjanumeron, allekirjoituksen, myöntäjän nimen, kohteen nimen, palvelintoiminnon, DNS-nimen ja IP-osoitteen jokaiselle palvelimelle.

Puhelimen suojaus CTL:llä tarjoaa seuraavat toiminnot:

• TFTP:llä ladattujen tiedostojen (konfiguraatio, paikannus, rengasluettelo jne.) todennus allekirjoitusavaimen avulla.

• TFTP-konfiguraatiotiedostojen salaus allekirjoitusavaimella

• IP-puhelinten salattu puheluiden signalointi

• Salattu puheluääni (media) IP-puhelimissa

Dedicated Instance tarjoaa päätepisteiden rekisteröinnin ja puhelujen käsittelyn. Cisco Unified CM:n ja päätelaitteiden välinen signalointi perustuu Secure Skinny Client Control Protocol (SCCP) tai Session Initiation Protocol (SIP) -protokollaan, ja se voidaan salata TLS:llä (Transport Layer Security). Päätepisteistä ja päätepisteisiin lähtevä media perustuu reaaliaikaiseen RTP-protokollaan (Real-time Transport Protocol), ja se voidaan myös salata käyttämällä SRTP:tä (Secure RTP).

Sekatilan ottaminen käyttöön Unified CM:ssä mahdollistaa Ciscon päätelaitteista ja niihin suuntautuvan signalointi- ja medialiikenteen salauksen.

Turvalliset UC-sovellukset

Sekatila on oletusarvoisesti käytössä Dedicated Instance -tilassa.

Sekatilan ottaminen käyttöön Dedicated Instance -tilassa mahdollistaa Ciscon päätelaitteista ja niihin suuntautuvan signalointi- ja medialiikenteen salauksen.

Cisco Unified CM:n versiossa 12.5(1) lisättiin Jabber- ja Webex-asiakkaille uusi vaihtoehto, jolla voidaan ottaa käyttöön signaloinnin ja median salaus, joka perustuu SIP OAuthiin sekatilan / CTL:n sijaan. Siksi Unified CM:n julkaisussa 12.5(1) voidaan käyttää SIP OAuthia ja SRTP:tä signaalin ja median salauksen käyttöön ottamiseksi Jabber- tai Webex-asiakkaille. Sekatilan ottaminen käyttöön on edelleen tarpeen Ciscon IP-puhelimissa ja muissa Ciscon päätelaitteissa tällä hetkellä. SIP OAuth -tuki on tarkoitus lisätä 7800/8800-päätelaitteisiin tulevassa versiossa.

Cisco Unity Connection muodostaa yhteyden Unified CM:ään TLS-portin kautta. Kun laitteen suojaustila on ei-turvallinen, Cisco Unity Connection muodostaa yhteyden Unified CM:ään SCCP-portin kautta.

Jos haluat määrittää suojauksen Unified CM:n puheviestiportteihin ja Cisco Unity -laitteisiin, joissa on SCCP, tai Cisco Unity Connection -laitteisiin, joissa on SCCP, kumppani voi valita portille suojatun laiteturvatilan. Jos valitset todennetun vastaajaportin, avautuu TLS-yhteys, jossa laitteet todennetaan keskinäisen varmenteiden vaihdon avulla (kumpikin laite hyväksyy toisen laitteen varmenteen). Jos valitset salatun puheportin, järjestelmä todentaa ensin laitteet ja lähettää sitten salattuja puhevirtoja laitteiden välillä.

Lisätietoja Security Voice -viestiportista on osoitteessa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Cisco Unified CM:n ja CUBE:n välisen viestinnän suojaaminen

Cisco Unified CM:n ja CUBE:n välisessä suojatussa viestinnässä kumppaneiden/asiakkaiden on käytettävä joko itse allekirjoitettuja varmenteita tai CA:n allekirjoittamia varmenteita.

Itse allekirjoitettujen varmenteiden osalta:

1. CUBE ja Cisco Unified CM luovat itse allekirjoitettuja varmenteita.

2. CUBE vie varmenteen Cisco Unified CM:ään

3. Cisco Unified CM vie varmenteen CUBEen

CA:n allekirjoittamat varmenteet:

1. Asiakas luo avainparin ja lähettää varmenteen allekirjoituspyynnön (CSR) varmentajalle.

2. Varmentaja allekirjoittaa sen yksityisellä avaimellaan, jolloin syntyy identiteettivarmenne.

3. Asiakas asentaa luettelon luotettavien CA:n juuri- ja välivarmenteista sekä identiteettivarmenteen.

Yhteenveto pöytäkirjasta

Seuraavassa taulukossa esitetään Unified CM -ratkaisussa käytetyt protokollat ja niihin liittyvät palvelut.

Lisätietoja MRA-konfiguraatiosta on osoitteessa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Jabberin ja Webexin suojaaminen SIP OAuthin avulla

Jabber- ja Webex-asiakkaat todennetaan OAuth-tunnisteen avulla paikallisesti merkittävän varmenteen (LSC) sijaan, mikä ei edellytä CAPF-toiminnon (Certificate Authority Proxy Function) käyttöönottoa (myös MRA:n osalta). SIP OAuth toimii sekatilassa tai ilman sitä, ja se otettiin käyttöön Cisco Unified CM 12.5(1):ssä, Jabber 12.5:ssä ja Expressway X12.5:ssä.

Cisco Unified CM 12.5:ssä puhelimen turvallisuusprofiilissa on uusi vaihtoehto, joka mahdollistaa salauksen ilman LSC/CAPF:ää käyttämällä TLS:ää (Transport Layer Security) + OAuth-tunnusta SIP REGISTERissä. Expressway-C-solmut käyttävät Administrative XML Web Service (AXL) -rajapintapalvelua (AXL) ilmoittaakseen Cisco Unified CM:lle varmenteensa SN/SAN-tiedot. Cisco Unified CM käyttää näitä tietoja Exp-C-sertifikaatin vahvistamiseen, kun se luo keskinäistä TLS-yhteyttä.

SIP OAuth mahdollistaa median ja viestinnän salauksen ilman päätelaitesertifikaattia (LSC).

Cisco Jabber käyttää TFTP-palvelimelle HTTPS-yhteyden kautta TFTP-palvelimelle asetustiedostojen lataamiseen Ephemeral-portteja ja suojattuja portteja 6971 ja 6972. Portti 6970 on suojaamaton portti HTTP-latausta varten.

Lisätietoja SIP OAuth -määrityksestä: SIP OAuth -tila.