אבטחה פיזית

חשוב לספק אבטחה פיזית למיקומי Equinix Meet-Me ולמתקני מרכז הנתונים של המופע הייעודי של Cisco. כאשר האבטחה הפיזית נפגעת, מתקפות פשוטות כגון שיבוש שירות על-ידי כיבוי החשמל למתגים של הלקוח יכולות להיות מופעלות. עם גישה פיזית, התוקפים יכולים לקבל גישה למכשירי שרת, לאפס סיסמאות ולקבל גישה למתגים. גישה פיזית גם מאפשרת התקפות מתוחכמות יותר כמו התקפות אדם באמצע, ולכן שכבת האבטחה השנייה, אבטחת הרשת, היא קריטית.

כונני הצפנה עצמית משמשים במרכזי נתונים של מופע ייעודי שמארחים יישומי UC.

לקבלת מידע נוסף על נוהלי אבטחה כלליים, עיין בתיעוד במיקום הבא: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

אבטחת רשת

שותפים צריכים לוודא שכל רכיבי הרשת מאובטחים בתשתית מופע ייעודי (המתחברת דרך Equinix). האחריות של השותף להבטיח שיטות מומלצות לאבטחה כגון:

• הפרד VLAN עבור קול ונתונים

• הפעל אבטחת יציאה המגבילה את מספר כתובות ה-MAC המורשות ליציאה, נגד הצפת טבלת CAM

• הגנת מקור IP מפני כתובות IP מזויפות

• בדיקת ARP דינמית (DAI) בוחנת פרוטוקול פתרון כתובת (ARP) ו-ARP ללא תשלום (GARP) עבור הפרות (נגד זיוף ARP)

• 802.⁦1x⁩ מגביל את הגישה לרשת למכשירים לאימות במכשירי VLAN מוקצים (טלפונים תומכים ב-802.⁦1x⁩)

• הגדרת איכות שירות (QoS) לסימון מתאים של מנות קוליות

• תצורות יציאות של חומת אש לחסימת תעבורה אחרת

אבטחת נקודות קצה

נקודות קצה של Cisco תומכות בתכונות אבטחה של ברירת מחדל כגון קושחה חתומה, אתחול מאובטח (דגמים נבחרים), תעודה מותקנת (MIC) של היצרן וקובצי תצורה חתומים, המספקים רמת אבטחה מסוימת עבור נקודות קצה.

בנוסף, שותף או לקוח יכולים להפעיל אבטחה נוספת, כגון:

• הצפן שירותי טלפון IP (באמצעות HTTPS) עבור שירותים כגון ניידות השלוחה

• הנפקת אישורים משמעותיים באופן מקומי (LSCs) מפונקציית ה-Certificate Authority Proxy (CAPF) או רשות אישורים ציבורית (CA)

• הצפן קובצי תצורה

• הצפן מדיה ואיתות

• השבת הגדרות אלה אם אינן בשימוש: יציאת PC, גישת VLAN קולי של PC, ARP חינם, גישה לאינטרנט, לחצן הגדרות, SSH, מסוף

יישום מנגנוני אבטחה במופע הייעודי מונע גניבת זהות של הטלפונים ושל שרת Unified CM, עיבוד נתונים ועיבוד איתות שיחות / הזרמת מדיה.

מופע ייעודי דרך הרשת:

• יוצר ומתחזק זרמי תקשורת מאומתים

• חותם קבצים באופן דיגיטלי לפני העברת הקובץ לטלפון

• מצפין זרמי מדיה ואיתות שיחות בין טלפוני Cisco Unified IP

אבטחה כברירת מחדל מספקת את תכונות האבטחה האוטומטיות הבאות עבור טלפוני Cisco Unified IP:

• חתימה על קובצי התצורה של הטלפון

• תמיכה בהצפנת קובץ תצורת טלפון

• HTTPS עם Tomcat ושירותי אינטרנט אחרים (MIDlets)

עבור מהדורת Unified CM 8.0 ואילך, תכונות אבטחה אלה מסופקות כברירת מחדל מבלי להפעיל את הלקוח של רשימת אמון בתעודות (CTL).

מכיוון שיש מספר גדול של טלפונים ברשת ולטלפוני IP יש זיכרון מוגבל, Cisco Unified CM פועל כמאגר אמון מרוחק דרך שירות אימות האמון (TVS) כך שאין צורך למקם מאגר אמון של תעודות בכל טלפון. טלפוני Cisco IP יוצרים קשר עם שרת TVS לצורך אימות מכיוון שהם לא יכולים לאמת חתימה או תעודה באמצעות קובצי CTL או ITL. קל יותר לנהל אחסון אמון מרכזי מאשר אחסון אמון בכל טלפון Cisco Unified IP.

TVS מאפשר לטלפוני Cisco Unified IP לאמת שרתי יישומים, כגון שירותי EM, ספרייה ו-MIDlet, במהלך הקמת HTTPS.

הקובץ 'רשימת אמון ראשונית' (ITL) משמש לאבטחה הראשונית, כך שנקודות הקצה יכולות לתת אמון ב-Cisco Unified CM. ITL לא זקוק לתכונות אבטחה כדי להיות מופעלים במפורש. קובץ ה-ITL נוצר באופן אוטומטי כאשר האשכול מותקן. המפתח הפרטי של שרת Unified CM Trivial File Transfer Protocol (TFTP) משמש לחתימה על קובץ ה-ITL.

כאשר אשכול או שרת Cisco Unified CM נמצא במצב לא מאובטח, הורדת קובץ ITL מתבצעת בכל טלפון Cisco IP נתמך. שותף יכול להציג את התוכן של קובץ ITL באמצעות פקודת CLI, admin:show itl.

טלפוני Cisco IP זקוקים לקובץ ITL כדי לבצע את המשימות הבאות:

• תקשר בצורה מאובטחת ל-CAPF, דרישה מקדימה לתמיכה בהצפנת קובץ התצורה

• אמת את חתימת קובץ התצורה

• אמת שרתי יישומים, כגון שירותי EM, ספרייה ו-MIDlet במהלך הקמת HTTPS באמצעות TVS

אימות מכשיר, קובץ ואיתות מסתמכים על יצירת הקובץ של רשימת האמון בתעודות (CTL), שנוצר כאשר השותף או הלקוח מתקינים וקובעים את התצורה של לקוח רשימת האמון בתעודות של Cisco.

קובץ CTL מכיל ערכים עבור השרתים הבאים או אסימוני האבטחה:

• אסימון אבטחה של מנהל מערכת (SAST)

• שירותי Cisco CallManager ו-Cisco TFTP הפועלים באותו שרת

• פונקציית Certificate Authority Proxy ‏(CAPF)

• שרתי TFTP

• חומת אש של ASA

קובץ ה-CTL מכיל אישור שרת, מפתח ציבורי, מספר סידורי, חתימה, שם מנפיק, שם נושא, פונקציית שרת, שם DNS וכתובת IP עבור כל שרת.

אבטחת הטלפון עם CTL מספקת את הפונקציות הבאות:

• אימות של קבצים שהורדו של TFTP (תצורה, אזור, רשימת צלצול וכן הלאה) באמצעות מקש חתימה

• הצפנה של קובצי תצורת TFTP באמצעות מפתח חתימה

• איתות שיחות מוצפן עבור טלפוני IP

• שמע שיחה מוצפן (מדיה) עבור טלפוני IP

המופע הייעודי מספק רישום נקודת קצה ועיבוד שיחות. האיתות בין Cisco Unified CM לנקודות קצה מבוסס על פרוטוקול בקרת לקוח רזה מאובטח (SCCP) או פרוטוקול התחלת הפעלה (SIP) וניתן להצפין באמצעות אבטחת שכבת תעבורה (TLS). המדיה מנקודות הקצה/אל נקודת הקצה מבוססת על פרוטוקול תעבורה בזמן אמת (RTP) וניתן גם להצפין אותה באמצעות RTP מאובטח (SRTP).

הפעלת מצב מעורב ב-Unified CM מאפשרת הצפנה של תעבורת האיתות והמדיה מנקודות הקצה של Cisco ואליהם.

אפליקציות UC מאובטחות

מצב מעורב מופעל כברירת מחדל במופע ייעודי.

הפעלת מצב מעורב במופע ייעודי מאפשרת לבצע הצפנה של תעבורת האיתות והמדיה מנקודות הקצה של Cisco ואליהם.

במהדורה 12.5(1) של Cisco Unified CM, נוספה אפשרות חדשה להפעלת הצפנה של איתות ומדיה בהתבסס על SIP OAuth במקום מצב מעורב / CTL עבור לקוחות Jabber ו-Webex. לכן, במהדורה 12.5(1) של Unified CM, ניתן להשתמש ב-SIP OAuth ו-SRTP כדי לאפשר הצפנה לאיתות ולמדיה עבור לקוחות Jabber או Webex. הפעלת מצב מעורב ממשיכה להידרש עבור טלפוני Cisco IP ונקודות קצה אחרות של Cisco בשלב זה. ישנה תוכנית להוספת תמיכה ב-SIP OAuth ב-7800/8800 נקודות קצה במהדורה עתידית.

Cisco Unity Connection מתחבר ל-Unified CM דרך יציאת TLS. כאשר מצב אבטחת המכשיר אינו מאובטח, Cisco Unity Connection מתחבר ל-Unified CM דרך יציאת SCCP.

כדי להגדיר אבטחה עבור יציאות העברת הודעות קוליות של Unified CM ומכשירי Cisco Unity שמפעילים SCCP או מכשירי Cisco Unity Connection שמפעילים SCCP, שותף יכול לבחור מצב אבטחת מכשיר מאובטח עבור היציאה. אם תבחר יציאת תא קולי מאומתת, נפתח חיבור TLS, שמאמת את המכשירים באמצעות חילופי אישורים הדדיים (כל מכשיר מקבל את האישור של המכשיר השני). אם תבחר יציאת תא קולי מוצפנת, המערכת מאמתת תחילה את המכשירים ולאחר מכן שולחת זרמי קול מוצפנים בין המכשירים.

לקבלת מידע נוסף על יציאות העברת הודעות קוליות של אבטחה, עיין ב: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

אבטחת תקשורת בין Cisco Unified CM ל-CUBE

עבור תקשורת מאובטחת בין Cisco Unified CM ל-CUBE, שותפים/לקוחות צריכים להשתמש בתעודה בחתימה עצמית או בתעודות בחתימה CA.

עבור תעודות בחתימה עצמית:

1. CUBE ו-Cisco Unified CM מייצרים תעודות בחתימה עצמית

2. אישור ייצוא CUBE ל-Cisco Unified CM

3. Cisco Unified CM יוצא אישור ל-CUBE

עבור תעודות חתומות על-ידי CA:

1. הלקוח יוצר זוג מפתחות ושולח בקשה לחתימת אישור (CSR) לרשות האישורים (CA)

2. ה-CA חותם אותו במפתח הפרטי שלו, יוצר תעודת זהות

3. הלקוח מתקין את רשימת אישורי הבסיס והמתווך של CA ואת תעודת הזהות

סיכום פרוטוקול

הטבלה הבאה מציגה את הפרוטוקולים והשירותים המשויכים המשמשים בפתרון Unified CM.

לקבלת מידע נוסף על תצורת MRA, ראה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

אבטחת Jabber ו-Webex עם SIP OAuth

לקוחות Jabber ו-Webex מאומתים באמצעות אסימון OAuth במקום אישור משמעותי מקומי (LSC), שאינו דורש הפעלת פונקציית אישור רשות PROXY (CAPF) (גם עבור MRA). SIP OAuth שעובד עם או בלי מצב מעורב הוצג ב-Cisco Unified CM 12.5(1), Jabber 12.5 ו-Expressway X12.5.

ב-Cisco Unified CM 12.5, יש לנו אפשרות חדשה בפרופיל אבטחת הטלפון המאפשרת הצפנה ללא LSC/CAPF, באמצעות אבטחת שכבת תעבורה יחידה (TLS) + אסימון OAuth ב-SIP REGISTER. צומתי Expressway-C משתמשים ב-API של שירות האינטרנט של XML (AXL) לניהול כדי להודיע ל-CISCO Unified CM על ה-SN/SAN בתעודה שלהם. Cisco Unified CM משתמש במידע זה כדי לאמת את אישור ה-EXP-C בעת יצירת חיבור TLS הדדי.

SIP OAuth מאפשר הצפנת מדיה ואיתות ללא תעודת נקודת קצה (LSC).

Cisco Jabber משתמש ביציאות ארעיות ויציאות מאובטחות 6971 ו-6972 דרך חיבור HTTPS לשרת TFTP כדי להוריד את קובצי התצורה. יציאה 6970 היא יציאה לא מאובטחת להורדה דרך HTTP.

פרטים נוספים על תצורת SIP OAuth: מצב SIP OAuth.