Fyysinen turvallisuus

Equinix Meet-Me Room -paikkojen ja Cisco Dedicated Instance Data Center -tilojen fyysinen turvallisuus on tärkeää. Kun fyysinen turvallisuus vaarantuu, voidaan käynnistää yksinkertaisia hyökkäyksiä, kuten palvelun keskeytyminen katkaisemalla virta asiakkaan kytkimistä. Fyysisen pääsyn avulla hyökkääjät voivat päästä palvelinlaitteisiin, nollata salasanoja ja päästä käsiksi kytkimiin. Fyysinen pääsy helpottaa myös kehittyneempiä hyökkäyksiä, kuten mies välissä -hyökkäyksiä, minkä vuoksi toinen suojauskerros, verkon turvallisuus, on kriittinen.

Itsesalaavia asemia käytetään yhdistetyn viestinnän sovelluksia isännöivissä erillisissä instanssipalvelinkeskuksissa.

Lisätietoja yleisistä tietoturvakäytännöistä on seuraavassa sijainnissa olevissa ohjeissa: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Verkon turvallisuus

Kumppaneiden on varmistettava, että kaikki verkkoelementit on suojattu Dedicated Instance -infrastruktuurissa (joka muodostaa yhteyden Equinixin kautta). Kumppanin vastuulla on varmistaa turvallisuuden parhaat käytännöt, kuten:

• Erillinen VLAN äänelle ja datalle

• Ota käyttöön porttisuojaus, joka rajoittaa porttia kohden sallittujen MAC-osoitteiden määrää CAM-taulukon tulvimista vastaan

• IP-lähteiden suojaus väärennetyiltä IP-osoitteilta

• Dynaaminen ARP-tarkastus (DAI) tutkii osoitteenratkaisuprotokollan (ARP) ja maksuttoman ARP: n (GARP) rikkomusten varalta (ARP-huijausta vastaan)

• 802.1x rajoittaa verkon käyttöä määritettyjen VLAN-verkkojen laitteiden todentamiseen (puhelimet tukevat 802.1x-versiota)

• Palvelun laadun (QoS) konfigurointi äänipakettien asianmukaista merkitsemistä varten

• Palomuuriporttimääritykset muun liikenteen estämiseksi

Päätepisteiden suojaus

Ciscon päätepisteet tukevat oletussuojausominaisuuksia, kuten allekirjoitettua laiteohjelmistoa, suojattua käynnistystä (tietyt mallit), valmistajan asentamaa varmennetta (MIC) ja allekirjoitettuja määritystiedostoja, jotka tarjoavat päätepisteille tietyn suojaustason.

Lisäksi kumppani tai asiakas voi ottaa käyttöön lisäsuojausta, kuten:

• Salaa IP-puhelinpalvelut (HTTPS:n kautta) palveluille, kuten Extension Mobility

• Paikallisesti merkittävien varmenteiden myöntäminen varmenteen myöntäjän välityspalvelimelta (CAPF) tai julkiselta varmenteiden myöntäjältä (CA)

• Salaa määritystiedostot

• Salaa media ja signalointi

• Poista nämä asetukset käytöstä, jos niitä ei käytetä: PC-portti, PC Voice VLAN -käyttö, maksuton ARP, Web-yhteys, Asetukset-painike, SSH, konsoli

Suojausmekanismien käyttöönotto erillisessä instanssissa estää puhelimien ja Unified CM -palvelimen identiteettivarkaudet, tietojen peukaloinnin ja puhelusignaloinnin / mediavirran peukaloinnin .

Dedikoitu instanssi verkon kautta:

• Luo ja ylläpitää todennettuja viestintävirtoja

• Allekirjoittaa tiedostot digitaalisesti ennen tiedoston siirtämistä puhelimeen

• Salaa mediavirrat ja puhelusignaloinnin Cisco Unified IP -puhelimien välillä

Suojaus sisältää oletusarvoisesti seuraavat automaattiset suojausominaisuudet Cisco Unified IP -puhelimille:

• Puhelimen määritystiedostojen allekirjoittaminen

• Puhelimen määritystiedostojen salauksen tuki

• HTTPS Tomcatin ja muiden Web-palveluiden kanssa (MIDlets)

Unified CM Release 8.0:ssa nämä suojausominaisuudet ovat oletusarvoisesti käytettävissä suorittamatta CTL (Certificate Trust List) -asiakasta.

Koska verkossa on suuri määrä puhelimia ja IP-puhelimissa on rajoitetusti muistia, Cisco Unified CM toimii etäluottamussäilönä Trust Verification Service (TVS) -palvelun kautta, joten varmenteiden luottamussäilöä ei tarvitse sijoittaa jokaiseen puhelimeen. Ciscon IP-puhelimet ottavat yhteyttä TVS-palvelimeen vahvistusta varten, koska ne eivät voi vahvistaa allekirjoitusta tai varmennetta CTL- tai ITL-tiedostojen kautta. Keskitettyä luottamussäilöä on helpompi hallita kuin luottamussäilöä jokaisessa Cisco Unified IP -puhelimessa.

TVS:n avulla Cisco Unified IP -puhelimet voivat todentaa sovelluspalvelimia, kuten EM-palveluita, hakemistoja ja MIDlet-komentoja, HTTPS:n perustamisen aikana.

ITL (Initial Trust List) -tiedostoa käytetään ensimmäiseen suojaukseen, jotta päätepisteet voivat luottaa Cisco Unified CM:ään. ITL ei tarvitse mitään suojausominaisuuksia ottaakseen ne nimenomaisesti käyttöön. ITL-tiedosto luodaan automaattisesti, kun klusteri asennetaan. Unified CM Trivial File Transfer Protocol (TFTP) -palvelimen yksityistä avainta käytetään ITL-tiedoston allekirjoittamiseen.

Kun Cisco Unified CM -klusteri tai -palvelin on suojaamattomassa tilassa, ITL-tiedosto ladataan kaikkiin tuettuihin Cisco IP -puhelimiin. Kumppani voi tarkastella ITL-tiedoston sisältöä CLI-komennolla admin:show itl.

Ciscon IP-puhelimet tarvitsevat ITL-tiedoston seuraavien tehtävien suorittamiseen:

• Kommunikoi turvallisesti CAPF:n kanssa, mikä on edellytys määritystiedostojen salauksen tukemiselle

• Todenna määritystiedoston allekirjoitus

• Todenna sovelluspalvelimet, kuten EM-palvelut, hakemistot ja MIDlet, HTTPS:n muodostamisen aikana TVS:n avulla

Laite-, tiedosto- ja signalointitodennus perustuu CTL (Certificate Trust List) -tiedoston luontiin, joka luodaan, kun kumppani tai asiakas asentaa ja määrittää Cisco Certificate Trust List -asiakkaan.

CTL-tiedosto sisältää merkinnät seuraaville palvelimille tai suojaustunnuksille:

• Järjestelmänvalvojan suojaustunnus (SAST)

• Cisco CallManager- ja Cisco TFTP -palvelut, jotka toimivat samassa palvelimessa

• Varmenteen myöntäjän välityspalvelintoiminto (CAPF)

• TFTP-palvelime(t)

• ASA-palomuuri

CTL-tiedosto sisältää palvelinvarmenteen, julkisen avaimen, sarjanumeron, allekirjoituksen, myöntäjän nimen, aiheen nimen, palvelintoiminnon, DNS-nimen ja IP-osoitteen kullekin palvelimelle.

Puhelimen suojaus CTL: llä tarjoaa seuraavat toiminnot:

• TFTP-ladattujen tiedostojen (konfiguraatio, alue, soittolista jne.) autentikointi allekirjoitusavaimella

• TFTP-konfiguraatiotiedostojen salaus allekirjoitusavaimella

• Salattu puhelusignalointi IP-puhelimille

• Salattu puheluääni (media) IP-puhelimille

Dedikoitu instanssi tarjoaa päätepisteiden rekisteröinnin ja puhelujen käsittelyn. Cisco Unified CM:n ja päätepisteiden välinen signalointi perustuu SCCP (Secure Skinny Client Control Protocol)- tai SIP (Session Initiation Protocol) -protokollaan, ja se voidaan salata TLS (Transport Layer Security) -salauksella. Media päätepisteistä/päätepisteisiin perustuu RTP (Real-time Transport Protocol) -protokollaan, ja se voidaan myös salata SRTP:llä (Secure RTP).

Yhdistelmätilan ottaminen käyttöön Unified CM:ssä mahdollistaa Ciscon päätepisteistä lähtevän ja niihin saapuvan signaloinnin ja medialiikenteen salauksen.

Suojatut yhdistetyn viestinnän sovellukset

Yhdistelmätila on oletusarvoisesti käytössä Dedicated Instancessa.

Kun yhdistelmätila otetaan käyttöön Dedicated Instance -toiminnossa, Ciscon päätepisteistä lähtevä ja niihin saapuva signalointi- ja medialiikenne voidaan salata.

Cisco Unified CM -julkaisussa 12.5(1) Jabber- ja Webex-asiakkaille lisättiin uusi vaihtoehto, joka mahdollistaa SIP OAuth -pohjaisen signaloinnin ja median salauksen sekatilan / CTL: n sijaan. Tämän vuoksi Unified CM:n versiossa 12.5(1) SIP OAuthia ja SRTP:tä voidaan käyttää signaloinnin ja median salauksen käyttöönottoon Jabber- tai Webex-asiakkaille. Sekatilan käyttöönotto on edelleen tarpeen Cisco IP -puhelimissa ja muissa Ciscon päätepisteissä tällä hetkellä. SIP OAuth -tuki on tarkoitus lisätä 7800/8800-päätepisteisiin tulevassa versiossa.

Cisco Unity Connection muodostaa yhteyden Unified CM:ään TLS-portin kautta. Kun laitteen suojaustila ei ole turvallinen, Cisco Unity Connection muodostaa yhteyden Unified CM:ään SCCP-portin kautta.

Jos haluat määrittää suojauksen Unified CM -ääniviestiporteille ja Cisco Unity -laitteille, joissa on käytössä SCCP- tai Cisco Unity Connection -laitteita, joissa on käytössä SCCP, kumppani voi valita portille suojatun laitteen suojaustilan. Jos valitset todennetun vastaajaportin, avautuu TLS-yhteys, joka todentaa laitteet keskinäisen varmenteiden vaihdon avulla (kumpikin laite hyväksyy toisen laitteen varmenteen). Jos valitset salatun vastaajaportin, järjestelmä todentaa ensin laitteet ja lähettää sitten salattuja äänivirtoja laitteiden välillä.

Lisätietoja äänen suojausporteista on seuraavissa artikkeleissa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Cisco Unified CM:n ja CUBE:n välisen tietoliikenteen suojaaminen

Cisco Unified CM:n ja CUBE:n välisessä suojatussa viestinnässä kumppaneiden/asiakkaiden on käytettävä joko itse allekirjoitettua varmennetta tai CA:n allekirjoittamia varmenteita.

Itse allekirjoitetut varmenteet:

1. CUBE ja Cisco Unified CM luovat itse allekirjoitettuja varmenteita

2. CUBE vie sertifikaatin Cisco Unified CM:ään

3. Cisco Unified CM vie sertifikaatin CUBEen

Varmenteet, joiden myöntäjä on allekirjoittanut:

1. Asiakas luo avainparin ja lähettää varmenteen allekirjoituspyynnön (CSR) varmenteen myöntäjälle (CA)

2. Varmentaja allekirjoittaa sen yksityisellä avaimellaan ja luo henkilöllisyysvarmenteen

3. Asiakas asentaa luotettujen CA-pää- ja välittäjävarmenteiden luettelon sekä identiteettivarmenteen

Protokollan yhteenveto

Seuraavassa taulukossa esitetään Unified CM -ratkaisussa käytetyt protokollat ja niihin liittyvät palvelut.

Lisätietoja MRA-määrityksestä: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Jabberin ja Webexin turvaaminen SIP OAuthilla

Jabber- ja Webex-asiakkaat todennetaan OAuth-tunnuksella paikallisesti merkittävän varmenteen (LSC) sijaan, mikä ei vaadi varmenteen myöntäjän välityspalvelintoiminnon (CAPF) käyttöönottoa (myös MRA:lle). SIP OAuth, joka toimii sekatilassa tai ilman, otettiin käyttöön Cisco Unified CM 12.5(1)-, Jabber 12.5- ja Expressway X12.5 -versioissa.

Cisco Unified CM 12.5:ssä meillä on uusi vaihtoehto puhelimen suojausprofiilissa, joka mahdollistaa salauksen ilman LSC/CAPF:ää käyttämällä yhtä Transport Layer Security (TLS) + OAuth -tunnusta SIP REGISTERissä. Expressway-C-solmut käyttävät AXL (Administrative XML Web Service) -ohjelmointirajapintaa ilmoittaakseen Cisco Unified CM:lle varmenteessaan olevan SN/SAN:n. Cisco Unified CM käyttää näitä tietoja Exp-C-varmenteen vahvistamiseen muodostaessaan molemminpuolista TLS-yhteyttä.

SIP OAuth mahdollistaa median ja signaloinnin salauksen ilman päätepistevarmennetta (LSC).

Cisco Jabber käyttää tilapäisiä portteja ja suojattuja portteja 6971 ja 6972 HTTPS-yhteyden kautta TFTP-palvelimeen asetustiedostojen lataamiseen. Portti 6970 on suojaamaton portti, joka voi ladata HTTP:n kautta.

Lisätietoja SIP OAuth -määrityksistä: SIP OAuth -tila.