Fyysinen turvallisuus

On tärkeää tarjota fyysinen turvallisuus Equinixin Meet-Me-huoneissa ja Cisco Dedicated Instance Data Center -tiloissa. Kun fyysinen turvallisuus vaarantuu, voidaan käynnistää yksinkertaisia hyökkäyksiä, kuten palvelun keskeyttäminen katkaisemalla virta asiakkaan kytkimiin. Fyysisen pääsyn avulla hyökkääjät voisivat päästä käsiksi palvelimille, nollata salasanoja ja saada kytkimet. Fyysinen pääsy mahdollistaa myös kehittyneemmät hyökkäykset, kuten välimieshyökkäykset, minkä vuoksi toinen suojauskerros, verkon suojaus, on kriittinen.

Itsesalaavia asemia käytetään Dedicated Instance -datakeskuksissa, jotka isännöivät UC-sovelluksia.

Lisätietoja yleisistä tietoturvakäytännöistä on seuraavassa osoitteessa olevassa dokumentaatiossa: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Verkkoturvallisuus

Kumppaneiden on varmistettava, että kaikki verkkoelementit on suojattu Dedicated Instance -infrastruktuurissa (joka yhdistyy Equinixin kautta). Kumppanin vastuulla on varmistaa turvallisuuskäytännöt, kuten:

• Erillinen VLAN äänelle ja datalle

• Ota käyttöön porttisuojaus, joka rajoittaa porttikohtaisesti sallittujen MAC-osoitteiden määrää CAM-taulukon tulvimisen estämiseksi

• IP Source Protect väärennettyjä IP-osoitteita vastaan

• Dynaaminen ARP-tarkastus (DAI) tutkii osoitteenresoluutioprotokollan (ARP) ja tarpeettoman ARP:n (GARP) rikkomusten varalta (ARP-huijausta vastaan)

• 802.1x rajoittaa verkkoyhteyttä todennettuihin laitteisiin määritetyissä VLAN-verkoissa (puhelimet tukevat 802.1x)

• Palvelun laadun (QoS) konfigurointi äänipakettien asianmukaista merkitsemistä varten

• Palomuurin porttien asetukset muun liikenteen estämiseksi

Päätepisteiden suojaus

Ciscon päätelaitteet tukevat oletusarvoisia suojausominaisuuksia, kuten allekirjoitettua laiteohjelmistoa, suojattua käynnistystä (tietyissä malleissa), valmistajan asentamaa varmennetta (MIC) ja allekirjoitettuja määritystiedostoja, jotka tarjoavat tietyn suojaustason päätepisteille.

Lisäksi kumppani tai asiakas voi ottaa käyttöön lisäsuojausta, kuten:

• Salaa IP-puhelinpalvelut (HTTPS:n kautta) esimerkiksi Extension Mobility -palveluille

• Myönnä paikallisesti merkittäviä varmenteita (LSC) varmenteiden myöntäjän välityspalvelimen (CAPF) tai julkisen varmenteiden myöntäjän (CA) kautta

• Salaa määritystiedostot

• Salaa media ja signaalit

• Poista nämä asetukset käytöstä, jos niitä ei käytetä: PC-portti, PC Voice VLAN -yhteys, ilmainen ARP, verkkoyhteys, asetuspainike, SSH, konsoli

Dedicated Instancen suojausmekanismien käyttöönotto estää puhelimien ja Unified CM -palvelimen identiteettivarkaudet, tietojen manipuloinnin ja puheluiden signaoinnin. / mediavirran peukalointi.

Dedikoitu instanssi verkossa:

• Luo ja ylläpitää todennettuja viestintävirtoja

• Allekirjoittaa tiedostot digitaalisesti ennen niiden siirtämistä puhelimeen

• Salaa mediavirrat ja puhelusignaalit Cisco Unified IP -puhelinten välillä

Oletusarvoinen suojaus tarjoaa seuraavat automaattiset suojausominaisuudet Cisco Unified IP -puhelimille:

• Puhelimen määritystiedostojen allekirjoittaminen

• Tuki puhelimen määritystiedostojen salaukselle

• HTTPS Tomcatin ja muiden verkkopalveluiden (MIDlet) kanssa

Unified CM Release 8.0:ssa ja uudemmissa versioissa nämä suojausominaisuudet ovat oletusarvoisesti käytettävissä ilman Certificate Trust List (CTL) -asiakasohjelman suorittamista.

Koska verkossa on suuri määrä puhelimia ja IP-puhelimissa on rajallisesti muistia, Cisco Unified CM toimii etäluottamussäilönä Trust Verification Service (TVS) -palvelun kautta, joten jokaiseen puhelimeen ei tarvitse sijoittaa omaa varmennesäilöä. Ciscon IP-puhelimet ottavat yhteyttä TVS-palvelimeen vahvistusta varten, koska ne eivät pysty vahvistamaan allekirjoitusta tai varmennetta CTL- tai ITL-tiedostojen kautta. Keskitetyn luottamusvaraston hallinta on helpompaa kuin luottamusvaraston käyttäminen jokaisessa Cisco Unified IP -puhelimessa erikseen.

TVS mahdollistaa Cisco Unified IP -puhelimien sovelluspalvelimien, kuten EM-palveluiden, hakemistojen ja MIDlet-let-palvelimien, todentamisen HTTPS-yhteyden muodostamisen aikana.

Initial Trust List (ITL) -tiedostoa käytetään alkusuojaukseen, jotta päätepisteet voivat luottaa Cisco Unified CM:ään. ITL ei vaadi minkäänlaisten suojausominaisuuksien ottamista käyttöön erikseen. ITL-tiedosto luodaan automaattisesti, kun klusteri asennetaan. Unified CM Trivial File Transfer Protocol (TFTP) -palvelimen yksityistä avainta käytetään ITL-tiedoston allekirjoittamiseen.

Kun Cisco Unified CM -klusteri tai -palvelin on suojaamattomassa tilassa, ITL-tiedosto ladataan kaikkiin tuettuihin Cisco IP -puhelimiin. Kumppani voi tarkastella ITL-tiedoston sisältöä CLI-komennolla, admin:show se

Ciscon IP-puhelimet tarvitsevat ITL-tiedoston seuraavien tehtävien suorittamiseen:

• Kommunikoi turvallisesti CAPF:n kanssa, mikä on edellytys määritystiedostojen salauksen tukemiselle.

• Todenna määritystiedoston allekirjoitus

• Todenna sovelluspalvelimet, kuten EM-palvelut, hakemisto ja MIDlet HTTPS-yhteyden muodostamisen aikana TVS:n avulla

Laite-, tiedosto- ja signalointitodennus perustuu Certificate Trust List (CTL) -tiedoston luomiseen, joka luodaan, kun kumppani tai asiakas asentaa ja konfiguroi Cisco Certificate Trust List Client -sovelluksen.

CTL-tiedosto sisältää merkintöjä seuraaville palvelimille tai suojaustunnuksille:

• Järjestelmänvalvojan suojaustunnus (SAST)

• Samalla palvelimella toimivat Cisco CallManager- ja Cisco TFTP -palvelut

• Varmenneviranomaisen välityspalvelintoiminto (CAPF)

• TFTP-palvelin(et)

• ASA-palomuuri

CTL-tiedosto sisältää palvelinvarmenteen, julkisen avaimen, sarjanumeron, allekirjoituksen, myöntäjän nimen, haltijan nimen, palvelimen toiminnon, DNS-nimen ja IP-osoitteen kullekin palvelimelle.

CTL-puhelimen suojaus tarjoaa seuraavat toiminnot:

• TFTP-ladattujen tiedostojen (kokoonpano, kieliasetus, soittolista jne.) todennus allekirjoitusavaimella

• TFTP-määritystiedostojen salaus allekirjoitusavaimella

• Salattu puheluiden signalointi IP-puhelimille

• Salattu puheluiden ääni (media) IP-puhelimille

Dedicated Instance tarjoaa päätepisteiden rekisteröinnin ja puheluiden käsittelyn. Cisco Unified CM:n ja päätelaitteiden välinen signalointi perustuu Secure Skinny Client Control Protocol (SCCP)- tai Session Initiation Protocol (SIP) -protokollaan, ja se voidaan salata Transport Layer Security (TLS) -salauksella. Media from/to Päätepisteet perustuvat reaaliaikaiseen siirtoprotokollaan (RTP) ja ne voidaan myös salata Secure RTP:llä (SRTP).

Sekatilan ottaminen käyttöön Unified CM:ssä mahdollistaa Cisco-päätepisteistä tulevan ja niihin menevän signalointi- ja medialiikenteen salauksen.

Suojatut UC-sovellukset

Sekatila on oletusarvoisesti käytössä Dedicated Instancessa.

Sekatilan ottaminen käyttöön Dedicated Instancessa mahdollistaa Cisco-päätepisteistä tulevan ja niihin menevän signalointi- ja medialiikenteen salaamisen.

Cisco Unified CM -versiossa 12.5(1) on uusi asetus, jolla signaalien ja median salaus voidaan ottaa käyttöön SIP OAuth -protokollan perusteella sekatilan sijaan. / CTL lisättiin Jabber- ja Webex-asiakasohjelmille. Siksi Unified CM -versiossa 12.5(1) SIP OAuth- ja SRTP-protokollia voidaan käyttää Jabber- tai Webex-asiakasohjelmien signaloinnin ja median salauksen käyttöönottoon. Sekatilan käyttöönotto on edelleen pakollista Ciscon IP-puhelimille ja muille Ciscon päätepisteille. SIP OAuth -tuen lisäämistä suunnitellaan. 7800/8800 päätepisteitä tulevassa julkaisussa.

Cisco Unity Connection muodostaa yhteyden Unified CM:ään TLS-portin kautta. Kun laitteen suojaustila on suojaamaton, Cisco Unity Connection muodostaa yhteyden Unified CM:ään SCCP-portin kautta.

Kumppani voi valita portille suojatun laitteen suojaustilan määrittääkseen Unified CM -ääniviestiporttien ja SCCP:tä käyttävien Cisco Unity -laitteiden tai SCCP:tä käyttävien Cisco Unity Connection -laitteiden suojauksen. Jos valitset todennetun vastaajaan käytettävän portin, TLS-yhteys avautuu. Yhteys todennetaan laitteiden välillä käyttämällä keskinäistä varmenteiden vaihtoa (jokainen laite hyväksyy toisen laitteen varmenteen). Jos valitset salatun vastaajaviestin portin, järjestelmä ensin todentaa laitteet ja lähettää sitten salattuja äänivirtoja laitteiden välillä.

Lisätietoja suojausääniviestien porteista on kohdassa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Cisco Unified CM:n ja CUBE:n välisen viestinnän suojaaminen

Cisco Unified CM:n ja CUBE:n välisen suojatun tiedonsiirron varmistamiseksi partners/customers tarvitsee käyttää joko itse allekirjoitettua varmennetta tai varmentajan allekirjoittamia varmenteita.

Itse allekirjoitetut varmenteet:

1. CUBE ja Cisco Unified CM luovat itse allekirjoitettuja varmenteita

2. CUBE vie varmenteen Cisco Unified CM:ään

3. Cisco Unified CM vie varmenteen CUBEen

CA:n allekirjoittamat varmenteet:

1. Asiakasohjelma luo avainparin ja lähettää varmenteen allekirjoituspyynnön (CSR) varmenteen myöntäjälle (CA).

2. Varmentaja allekirjoittaa sen yksityisellä avaimellaan, jolloin syntyy henkilöllisyystodistus.

3. Asiakas asentaa luotettujen CA-juuri- ja välittäjävarmenteiden luettelon sekä henkilöllisyystodistuksen.

Protokollan yhteenveto

Seuraavassa taulukossa on esitetty Unified CM -ratkaisussa käytetyt protokollat ja niihin liittyvät palvelut.

Lisätietoja MRA-konfiguraatiosta on osoitteessa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Jabberin ja Webexin suojaaminen SIP OAuthilla

Jabber- ja Webex-asiakasohjelmat todennetaan OAuth-tunnuksella paikallisesti merkittävän varmenteen (LSC) sijaan, mikä ei vaadi varmenneviranomaisen välityspalvelintoiminnon (CAPF) käyttöönottoa (eikä MRA:ta varten). SIP OAuth, joka toimii sekatilassa tai ilman, esiteltiin Cisco Unified CM 12.5(1):ssä, Jabber 12.5:ssä ja Expressway X12.5:ssä.

Cisco Unified CM 12.5:ssä on uusi puhelimen suojausprofiilin asetus, joka mahdollistaa salauksen ilman LSC/CAPF, käyttäen yhtä TLS-protokollaa (Transport Layer Security) + OAuth-tunnus SIP-rekisterissä. Expressway-C-solmut käyttävät Administrative XML Web Service (AXL) -rajapintaa ilmoittaakseen Cisco Unified CM:lle SN/SAN heidän todistuksessaan. Cisco Unified CM käyttää näitä tietoja Exp-C-varmenteen validointiin muodostaessaan keskinäisen TLS-yhteyden.

SIP OAuth mahdollistaa median ja signaloinnin salauksen ilman päätepisteen varmennetta (LSC).

Cisco Jabber käyttää lyhytaikaisia portteja ja suojattuja portteja 6971 ja 6972 HTTPS-yhteyden kautta TFTP-palvelimelle määritystiedostojen lataamiseen. Portti 6970 on suojaamaton portti HTTP:n kautta tapahtuvaa lataamista varten.

Lisätietoja SIP OAuth -määrityksestä: SIP OAuth -tila.