Fizička sigurnost

Važno je pružiti fizičku sigurnost lokacijama Equinix Meet-Me Room i objektima Cisco namjenskog podatkovnog centra instance . Kada je fizička sigurnost ugrožena, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja na prekidače kupca. Uz fizički pristup, napadači su mogli dobiti pristup poslužiteljskim uređajima, resetirati lozinke i dobiti pristup prekidačima. Fizički pristup također olakšava sofisticiranije napade kao što su napadi čovjeka u sredini, zbog čega je drugi sigurnosni sloj, mrežna sigurnost, presudan.

Samošifrirajući pogoni koriste se u namjenskim podatkovnim centrima instanci u kojima se nalaze UC aplikacije.

Za više informacija o općim sigurnosnim praksama pogledajte dokumentaciju na sljedećoj lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Sigurnost mreže

Partneri moraju osigurati da su svi mrežni elementi osigurani u infrastrukturi namjenske instance (koja se povezuje putem Equinixa). Odgovornost je partnera osigurati najbolju sigurnosnu praksu kao što su:

• Odvojeni VLAN za glas i podatke

• Omogući sigurnost priključka koja ograničava broj dopuštenih MAC adresa po priključku, u odnosu na poplavu CAM tablice

• IP Source Guard protiv lažnih IP adresa

• Dinamička inspekcija ARP-a (DAI) ispituje protokol za rješavanje adresa (ARP) i besplatni ARP (GARP) zbog kršenja (protiv podmetanja ARP-a)

• 802.1x ograničava pristup mreži uređajima za provjeru autentičnosti na dodijeljenim VLAN-ovima (telefoni podržavaju 802.1x)

• Konfiguracija kvalitete usluge (QoS) za odgovarajuće označavanje glasovnih paketa

• Konfiguracije priključaka vatrozida za blokiranje bilo kojeg drugog prometa

Sigurnost krajnjih točaka

Cisco krajnje točke podržavaju zadane sigurnosne značajke kao što su potpisani firmver, sigurno pokretanje (odabrani modeli), certifikat instaliran od proizvođača (MIC) i potpisane konfiguracijske datoteke koje pružaju određenu razinu sigurnosti krajnjih točaka.

Osim toga, partner ili kupac mogu omogućiti dodatnu sigurnost, kao što su:

• Šifrirajte IP telefonske usluge (putem HTTPS-a) za usluge kao što je proširena mobilnost

• Izdavanje lokalno značajnih certifikata (LSC-ova) iz proxy funkcije ustanove za izdavanje certifikata (CAPF) ili ustanove za javne certifikate (CA)

• Šifriraj konfiguracijske datoteke

• Šifriraj medije i signalizaciju

• Onemogućite ove postavke ako se ne koriste: PC priključak, PC Voice VLAN Access, Besplatni ARP, Web Access, Gumb Postavke, SSH, konzola

Implementacija sigurnosnih mehanizama u namjenskoj instanci sprječava krađu identiteta telefona i jedinstvenog CM poslužitelja, neovlašteno mijenjanje podataka i neovlašteno uplitanje u signalizaciju poziva / medijski tok.

Namjenska instanca putem mreže:

• Uspostavlja i održava provjerene komunikacijske tokove

• Digitalno potpisuje datoteke prije prijenosa datoteke na telefon

• Šifrira medijske tokove i signalizaciju poziva između Cisco Unified IP telefona

Sigurnost prema zadanim postavkama pruža sljedeće značajke automatske sigurnosti za Cisco objedinjene IP telefone:

• Potpisivanje datoteka za konfiguraciju telefona

• Podrška za šifriranje telefonske konfiguracijske datoteke

• HTTPS s Tomcatom i drugim web uslugama (MIDlets)

Za objedinjeno CM izdanje 8.0 kasnije, ove sigurnosne značajke pružaju se prema zadanim postavkama bez pokretanja klijenta popisa pouzdanih certifikata (CTL).

Budući da u mreži postoji veliki broj telefona, a IP telefoni imaju ograničenu memoriju, Cisco Unified CM djeluje kao udaljena pohrana povjerenja putem Usluge provjere pouzdanosti (TVS) tako da spremište pouzdanih certifikata ne mora biti postavljeno na svaki telefon. Cisco IP telefoni kontaktiraju TVS poslužitelj radi provjere jer ne mogu potvrditi potpis ili certifikat putem CTL ili ITL datoteka. Lakše je upravljati središnjom trgovinom povjerenja nego imati trgovinu povjerenja na svakom Cisco Unified IP telefonu.

TVS omogućuje Cisco Unified IP telefonima autentifikaciju aplikacijskih poslužitelja, kao što su EM usluge, direktorij i MIDlet, tijekom HTTPS uspostavljanja.

Datoteka inicijalnog popisa pouzdanosti (ITL) koristi se za početnu sigurnost, tako da krajnje točke mogu vjerovati Cisco Objedinjenom CM-u. ITL-u nisu potrebne nikakve sigurnosne značajke da bi se eksplicitno omogućile. ITL datoteka se automatski stvara prilikom instalacije klastera. Za potpisivanje ITL datoteke koristi se privatni ključ poslužitelja Unified CM Trivial File Transfer Protocol (TFTP).

Kada je Cisco Unified CM klaster ili poslužitelj u nesigurnom načinu rada, ITL datoteka se preuzima na svaki podržani Cisco IP telefon. Partner može pregledavati sadržaj ITL datoteke pomoću naredbe CLI, admin:show itl.

Cisco IP telefoni trebaju ITL datoteku za obavljanje sljedećih zadataka:

• Sigurno komunicirajte s CAPF-om, preduvjetom za podršku šifriranju konfiguracijske datoteke

• Provjera autentičnosti potpisa konfiguracijske datoteke

• Provjera autentičnosti poslužitelja aplikacija, kao što su EM servisi, direktorij i MIDlet tijekom HTTPS ustanove pomoću TVS-a

Provjera autentičnosti uređaja, datoteke i signalizacije oslanja se na stvaranje CTL datoteke popisa pouzdanih certifikata (Certificate Trust List), koja se stvara kada partner ili kupac instalira i konfigurira klijent cisco certifikata s popisa pouzdanih certifikata.

CTL datoteka sadrži unose za sljedeće poslužitelje ili sigurnosne tokene:

• Sigurnosni token administratora sustava (SAST)

• Cisco CallManager i Cisco TFTP usluge koje se izvode na istom poslužitelju

• Proxy funkcija ustanove za izdavanje certifikata (CAPF)

• TFTP poslužitelji

• ASA vatrozid

CTL datoteka sadrži certifikat poslužitelja, javni ključ, serijski broj, potpis, naziv izdavatelja, naziv predmeta, funkciju poslužitelja, DNS naziv i IP adresu za svaki poslužitelj.

Telefonska sigurnost s CTL-om pruža sljedeće funkcije:

• Provjera autentičnosti datoteka preuzetih putem TFTP-a (konfiguracija, regionalna shema, prstenasti popis itd.) pomoću ključa za potpisivanje

• Šifriranje TFTP konfiguracijskih datoteka pomoću ključa za potpisivanje

• Šifrirana signalizacija poziva za IP telefone

• Zvuk šifriranog poziva (medija) za IP telefone

Namjenska instanca omogućuje registraciju krajnjih točaka i obradu poziva. Signalizacija između Cisco Unified CM-a i krajnjih točaka temelji se na Protokolu kontrole sigurnog mršavog klijenta (SCCP) ili Protokolu za iniciranje sesije (SIP) i može se šifrirati pomoću transportne sigurnosti slojeva (TLS). Mediji od/do krajnjih točaka temelje se na transportnom protokolu u stvarnom vremenu (RTP), a mogu se šifrirati i pomoću Secure RTP-a (SRTP).

Omogućavanje mješovitog načina rada na Objedinjenom CM-u omogućuje šifriranje signalnog i medijskog prometa od i do Krajnjih točaka Cisca.

Sigurne UC aplikacije

Mješoviti način rada omogućen je prema zadanim postavkama u namjenskoj instanci.

Omogućavanje mješovitog načina rada u namjenskoj instanci omogućuje šifriranje signalnog i medijskog prometa od i do Krajnjih točaka Cisca.

U Cisco Unified CM izdanju 12.5(1) dodana je nova opcija za omogućavanje šifriranja signalizacije i medija temeljenih na SIP OAuth umjesto mješovitog načina rada / CTL-a za Jabber i Webex klijente. Stoga se u Objedinjenom CM izdanju 12.5(1) SIP OAuth i SRTP mogu koristiti za omogućavanje šifriranja signalizacije i medija za Jabber ili Webex klijente. Omogućavanje mješovitog načina rada i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje točke u ovom trenutku. Postoji plan za dodavanje podrške za SIP OAuth u krajnjim točkama 7800/8800 u budućem izdanju.

Cisco Unity Connection povezuje se s jedinstvenim CM-om putem TLS priključka. Kada sigurnosni način rada uređaja nije siguran, Cisco Unity Connection povezuje se s jedinstvenim CM-om putem SCCP priključka.

Da bi konfigurirao sigurnost za objedinjene CM priključke za glasovnu razmjenu poruka i Cisco Unity uređaje sa sustavom SCCP ili Cisco Unity Connection uređajima sa sustavom SCCP, partner može odabrati siguran način sigurnosti uređaja za priključak. Ako odaberete priključak govorne pošte čija je autentičnost provjerena, otvara se TLS veza koja provjerava autentičnost uređaja pomoću međusobne razmjene certifikata (svaki uređaj prihvaća certifikat drugog uređaja). Ako odaberete šifrirani priključak govorne pošte, sustav najprije provjerava autentičnost uređaja, a zatim šalje šifrirane glasovne tokove između uređaja.

Dodatne informacije o sigurnosnim priključcima za razmjenu poruka potražite u sljedećim člancima: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Osiguravanje komunikacije između Cisco Unified CM-a i CUBE-a

Za sigurnu komunikaciju između Cisco Unified CM-a i CUBE-a partneri/kupci moraju koristiti ili samopotpisani certifikat ili CA-potpisane certifikate.

Za samopotpisane certifikate:

1. CUBE i Cisco Jedinstveni CM generiraju samopotpisane certifikate

2. CUBE izvozi certifikat u Cisco Jedinstveni CM

3. Cisco jedinstveni CM izvozi certifikat u CUBE

Za ca-potpisane certifikate:

1. Klijent generira par ključeva i šalje zahtjev za potpisivanje certifikata (CSR) ustanovi za izdavanje certifikata (CA)

2. CA ga potpisuje svojim privatnim ključem, stvarajući certifikat o identitetu

3. Klijent instalira popis pouzdanih CA korijenskih i posredničkih certifikata i certifikata identiteta

Sažetak protokola

U sljedećoj su tablici prikazani protokoli i pridruženi servisi koji se koriste u objedinjenom CM rješenju.

Dodatne informacije o KONFIGURACIJI MRA potražite u sljedećim člancima: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Osiguravanje Jabbera i Webexa sa SIP OAuthom

Klijenti Jabbera i Webexa autentificiraju se putem OAuth tokena umjesto lokalno značajnog certifikata (LSC), za što nije potrebno omogućiti proxy funkciju ustanove za izdavanje certifikata (CAPF) (i za MRA). SIP OAuth koji radi sa ili bez mješovitog načina rada uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u Profilu telefonske sigurnosti koja omogućuje šifriranje bez LSC/CAPF-a, koristeći jedan Transport Layer Security (TLS) + OAuth token u SIP REGISTER-u. Čvorovi brze ceste-C koriste API administrativne XML web usluge (AXL) kako bi obavijestili Cisco Unified CM o SN/SAN-u u svom certifikatu. Cisco Unified CM koristi ove podatke za provjeru Exp-C certifikata prilikom uspostavljanja uzajamne TLS veze.

SIP OAuth omogućuje šifriranje medija i signalizacije bez certifikata krajnje točke (LSC).

Cisco Jabber koristi efemerne priključke i sigurne priključke 6971 i 6972 priključke putem HTTPS veze s TFTP poslužiteljem za preuzimanje konfiguracijskih datoteka. Port 6970 je nesiguran priključak za preuzimanje putem HTTP-a.

Više detalja o konfiguraciji SIP OAuth: SIP OAuth način rada.