Fyysinen turvallisuus

On tärkeää tarjota fyysinen suojaus Equinix Meet-Me -huoneiden sijainneille ja Cisco Dedicated Instance Data Center -palveluille. Kun fyysinen turvallisuus vaarantuu, voidaan käynnistää yksinkertaisia hyökkäyksiä, kuten palvelukatkoksia katkaisemalla asiakkaan kytkimien virta. Fyysisellä pääsyllä hyökkääjät voivat päästä käsiksi palvelinlaitteisiin, nollata salasanat ja päästä kytkimiin. Fyysinen pääsy mahdollistaa myös kehittyneempiä hyökkäyksiä, kuten man-in-the-middle -hyökkäyksiä, minkä vuoksi toinen suojakerros, verkon suojaus, on kriittinen.

Itsesalautuvia asemia käytetään erillisissä palvelinkeskuksissa, jotka isännöivät UC-sovelluksia.

Lisätietoja yleisistä suojauskäytännöistä on dokumentaatiossa seuraavassa osoitteessa: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Verkkoturvallisuus

Kumppanien on varmistettava, että kaikki verkkoelementit on suojattu Dedicated Instance -infrastruktuurissa (joka yhdistää Equinixin kautta). Kumppanin vastuulla on varmistaa turvallisuuden parhaat käytännöt, kuten:

• Erillinen VLAN puheelle ja datalle

• Ota käyttöön Port Security, joka rajoittaa sallittujen MAC-osoitteiden määrää porttia kohden CAM-taulukon tulvimisen estämiseksi

• IP-lähdesuoja väärennetyiltä IP-osoitteilta

• Dynamic ARP Inspection (DAI) tutkii osoitteenselvitysprotokollan (ARP) ja vastineen ARP:n (GARP) rikkomusten varalta (ARP-huijausta vastaan)

• 802.1x rajoittaa pääsyä verkkoon osoitettujen VLAN-verkkojen laitteiden todentamiseksi (puhelimet tukevat 802:ta.1x)

• Palvelun laadun (QoS) konfigurointi äänipakettien asianmukaista merkitsemistä varten

• Palomuuri porttien kokoonpanot estävät kaiken muun liikenteen

Päätepisteiden turvallisuus

Ciscon päätepisteet tukevat oletussuojausominaisuuksia, kuten allekirjoitettua laiteohjelmistoa, suojattua käynnistystä (valitut mallit), valmistajan asentamaa varmennetta (MIC) ja allekirjoitettuja konfiguraatiotiedostoja, jotka tarjoavat tietyn suojan päätepisteille.

Lisäksi kumppani tai asiakas voi ottaa käyttöön lisäturvaa, kuten:

• Salaa IP-puhelinpalvelut (HTTPS:n kautta) palveluille, kuten Extension Mobility

• Myönnä paikallisesti merkittäviä varmenteita (LSC) sertifikaatin myöntäjän välityspalvelimelta (CAPF) tai julkiselta varmentajalta (CA)

• Salaa määritystiedostot

• Salaa media ja signalointi

• Poista nämä asetukset käytöstä, jos niitä ei käytetä: PC-portti, PC Voice VLAN Access, Ilmainen ARP, Web Access, Asetukset-painike, SSH, konsoli

Suojausmekanismien käyttöönotto erillisessä ilmentymässä estää puhelimien ja Unified CM -palvelimen identiteettivarkauden, tietojen peukaloinnin ja soittosignaloinnin/mediavirran peukaloinnin.

Dedikoitu esiintymä verkossa:

• Perustaa ja ylläpitää todennettuja viestintävirtoja

• Allekirjoittaa tiedostot digitaalisesti ennen tiedoston siirtämistä puhelimeen

• Salaa mediavirrat ja puhelusignaloinnin Cisco Unified IP -puhelimien välillä

Suojaus tarjoaa oletusarvoisesti seuraavat automaattiset suojausominaisuudet Cisco Unified IP -puhelimille:

• Puhelimen asetustiedostojen allekirjoitus

• Tuki puhelimen asetustiedostojen salaukselle

• HTTPS Tomcatin ja muiden verkkopalvelujen (MIDlet) kanssa

Myöhemmässä versiossa Unified CM Release 8.0 nämä suojausominaisuudet ovat oletusarvoisesti käytössä ilman CTL (Certificate Trust List) -asiakasohjelmaa.

Koska verkossa on suuri määrä puhelimia ja IP-puhelimien muisti on rajallinen, Cisco Unified CM toimii etäluottamussäilönä Trust Verification Servicen (TVS) kautta, joten varmenteiden luottamussäilöä ei tarvitse sijoittaa jokaiseen puhelimeen. Ciscon IP-puhelimet ottavat yhteyttä TVS-palvelimeen vahvistusta varten, koska ne eivät voi vahvistaa allekirjoitusta tai varmennetta CTL- tai ITL-tiedostojen kautta. Keskitettyä luottamussäilöä on helpompi hallita kuin luottamussäilöä jokaisessa Cisco Unified IP -puhelimessa.

TVS:n avulla Cisco Unified IP -puhelimet voivat todentaa sovelluspalvelimia, kuten EM-palvelut, hakemistot ja MIDlet-palvelimet HTTPS-muodostuksen aikana.

Initial Trust List (ITL) -tiedostoa käytetään alkuperäisessä suojauksessa, jotta päätepisteet voivat luottaa Cisco Unified CM:ään. ITL:n ei tarvitse olla erikseen käytössä mitään suojausominaisuuksia. ITL-tiedosto luodaan automaattisesti, kun klusteri asennetaan. Unified CM Trivial File Transfer Protocol (TFTP) -palvelimen yksityistä avainta käytetään ITL-tiedoston allekirjoittamiseen.

Kun Cisco Unified CM -klusteri tai -palvelin on suojaamattomassa tilassa, ITL-tiedosto ladataan jokaiseen tuettuun Cisco IP -puhelimeen. Kumppani voi tarkastella ITL-tiedoston sisältöä CLI-komennolla admin:show itl.

Cisco IP -puhelimet tarvitsevat ITL-tiedoston suorittaakseen seuraavat tehtävät:

• Kommunikoi turvallisesti CAPF:n kanssa, joka on määritystiedoston salauksen tukemisen edellytys

• Todenna määritystiedoston allekirjoitus

• Todentaa sovelluspalvelimet, kuten EM-palvelut, hakemisto ja MIDlet HTTPS-muodostuksen aikana TVS:n avulla

Laitteen, tiedoston ja signaloinnin todennus perustuu Certificate Trust List (CTL) -tiedoston luomiseen, joka luodaan, kun kumppani tai asiakas asentaa ja määrittää Cisco Certificate Trust List Client -ohjelman.

CTL-tiedosto sisältää merkintöjä seuraaville palvelimille tai suojaustunnuksille:

• System Administrator Security Token (SAST)

• Cisco CallManager- ja Ciscon TFTP-palvelut, jotka toimivat samalla palvelimella

• Varmenteen myöntäjän välityspalvelintoiminto (CAPF)

• TFTP-palvelimet

• ASA palomuuri

CTL-tiedosto sisältää kunkin palvelimen palvelinvarmenteen, julkisen avaimen, sarjanumeron, allekirjoituksen, myöntäjän nimen, aiheen nimen, palvelimen toiminnon, DNS-nimen ja IP-osoitteen.

Puhelimen suojaus CTL:llä tarjoaa seuraavat toiminnot:

• TFTP-ladattujen tiedostojen (määritykset, kieliasetukset, soittolista ja niin edelleen) todennus allekirjoitusavaimella

• TFTP-määritystiedostojen salaus allekirjoitusavaimella

• Salattu puhelumerkinanto IP-puhelimille

• Salattu puheluääni (media) IP-puhelimille

Dedicated Instance tarjoaa päätepisteiden rekisteröinnin ja puhelujen käsittelyn. Cisco Unified CM:n ja päätepisteiden välinen signalointi perustuu Secure Skinny Client Control Protocol (SCCP)- tai SIP (Session Initiation Protocol) -protokollaan, ja se voidaan salata Transport Layer Securityn (TLS) avulla. Media päätepisteistä/päätepisteisiin perustuu Real-time Transport Protocol (RTP) -protokollaan, ja se voidaan myös salata käyttämällä Secure RTP:tä (SRTP).

Sekatilan käyttöönotto Unified CM:ssä mahdollistaa signaloinnin ja medialiikenteen salauksen Ciscon päätepisteistä ja niihin.

Suojatut UC-sovellukset

Mixed-tila on oletuksena käytössä erillisessä ilmentymässä.

Sekatilan ottaminen käyttöön erillisessä ilmentymässä mahdollistaa merkinanto- ja medialiikenteen salauksen Ciscon päätepisteistä ja niihin.

Cisco Unified CM:n versiossa 12.5(1) Jabber- ja Webex-asiakkaille lisättiin uusi vaihtoehto, joka mahdollistaa signaloinnin ja median salauksen SIP OAuth -pohjaisen sekatilan / CTL:n sijaan. Siksi Unified CM:n versiossa 12.5(1) SIP OAuthia ja SRTP:tä voidaan käyttää mahdollistamaan signaloinnin ja median salaus Jabber- tai Webex-asiakkaille. Sekoitettu tila on otettava käyttöön Ciscon IP-puhelimissa ja muissa Ciscon päätepisteissä tällä hetkellä. Tulevassa julkaisussa on tarkoitus lisätä tuki SIP OAuthille 7800/8800-päätepisteissä.

Cisco Unity Connection muodostaa yhteyden Unified CM:ään TLS-portin kautta. Kun laitteen suojaustila ei ole suojattu, Cisco Unity Connection muodostaa yhteyden Unified CM:ään SCCP-portin kautta.

Jos haluat määrittää suojauksen Unified CM -ääniviestiporteille ja Cisco Unity -laitteille, jotka käyttävät SCCP:tä tai Cisco Unity Connection -laitteita, joissa on käytössä SCCP, kumppani voi valita suojatun laitteen suojaustilan portille. Jos valitset autentikoidun puhepostiportin, avautuu TLS-yhteys, joka todentaa laitteet keskinäisen varmenteenvaihdon avulla (jokainen laite hyväksyy toisen laitteen varmenteen). Jos valitset salatun puhepostiportin, järjestelmä ensin todentaa laitteet ja lähettää sitten salattuja äänivirtoja laitteiden välillä.

Lisätietoja Security Voice -viestiporteista on osoitteessa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Tietoliikenteen suojaaminen Cisco Unified CM:n ja CUBE:n välillä

Cisco Unified CM:n ja CUBE:n välistä suojattua viestintää varten kumppaneiden/asiakkaiden on käytettävä joko itse allekirjoitettua varmennetta tai CA:n allekirjoittamia varmenteita.

Itseallekirjoitetut sertifikaatit:

1. CUBE ja Cisco Unified CM luovat itse allekirjoitettuja varmenteita

2. CUBE vie sertifikaatin Cisco Unified CM:ään

3. Cisco Unified CM vie varmenteen CUBE:hen

CA-allekirjoitetut sertifikaatit:

1. Asiakas luo avainparin ja lähettää varmenteen allekirjoituspyynnön (CSR) varmenteen myöntäjälle (CA)

2. Varmentaja allekirjoittaa sen yksityisellä avaimellaan ja luo tunnistusvarmenteen

3. Asiakas asentaa luettelon luotetuista CA-juuri- ja välivarmenteista sekä henkilöllisyysvarmenteen

Yhteenveto pöytäkirjasta

Seuraavassa taulukossa näkyvät Unified CM -ratkaisussa käytetyt protokollat ja niihin liittyvät palvelut.

Katso lisätietoja MRA-määrityksestä: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Jabberin ja Webexin suojaaminen SIP OAuthilla

Jabber- ja Webex-asiakkaat todennetaan OAuth-tunnuksella paikallisesti merkittävän varmenteen (LSC) sijaan, mikä ei edellytä sertifikaatin myöntäjän välityspalvelimen (CAPF) käyttöönottoa (myös MRA:lle). SIP OAuth, joka toimii sekatilassa tai ilman sitä, otettiin käyttöön Cisco Unified CM 12.5(1), Jabber 12.5:ssä ja Expressway X12.5:ssä.

Cisco Unified CM 12.5:ssä meillä on uusi vaihtoehto Phone Security Profile -profiilissa, joka mahdollistaa salauksen ilman LSC/CAPF:ää käyttämällä yhtä Transport Layer Security (TLS) + OAuth-tunnusta SIP-REKISTERISSÄ. Expressway-C-solmut käyttävät Administrative XML Web Service (AXL) API:ta ilmoittaakseen Cisco Unified CM:lle SN/SAN:n varmenteessa. Cisco Unified CM käyttää näitä tietoja Exp-C-sertifikaatin vahvistamiseen, kun se muodostaa keskinäisen TLS-yhteyden.

SIP OAuth mahdollistaa median ja signaloinnin salauksen ilman päätepistevarmennetta (LSC).

Cisco Jabber käyttää lyhytaikaisia portteja ja suojattuja portteja 6971 ja 6972 HTTPS-yhteyden kautta TFTP-palvelimeen määritystiedostojen lataamiseen. Portti 6970 on suojaamaton portti, joka voidaan ladata HTTP:n kautta.

Lisätietoja SIP OAuth -määrityksestä: SIP OAuth -tila.