Fizikai biztonság

Fontos, hogy fizikai biztonságot nyújtsunk az Equinix Meet-Me Room helyszíneknek és a Cisco Dedicated Instance Data Center létesítményeknek. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások kezdeményezhetők, például a szolgáltatás megszakadása az ügyfél kapcsolóinak áramellátásának leállításával. A fizikai hozzáféréssel a támadók hozzáférhetnek a kiszolgálóeszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés megkönnyíti a kifinomultabb támadásokat is, például a közbeékelődéses támadásokat, ezért kritikus fontosságú a második biztonsági réteg, a hálózati biztonság.

Az öntitkosító meghajtókat az UC-alkalmazásokat üzemeltető dedikált példány-adatközpontokban használják.

Az általános biztonsági gyakorlatokról bővebben lásd a dokumentációt a következő helyen: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Hálózatbiztonság

A partnereknek gondoskodniuk kell arról, hogy az összes hálózati elem biztonságban legyen a dedikált példány infrastruktúrájában (amely az Equinixen keresztül csatlakozik). A partner felelőssége, hogy biztosítsa az ajánlott biztonsági eljárásokat, például:

• Külön VLAN a hanghoz és az adatokhoz

• Portbiztonság engedélyezése, amely korlátozza a portonként engedélyezett MAC-címek számát a CAM-táblák elárasztása ellen

• IP-forrásvédelem a hamisított IP-címek ellen

• A dinamikus ARP-ellenőrzés (DAI) megvizsgálja a címfeloldási protokollt (ARP) és az ingyenes ARP-t (GARP) a szabálysértések szempontjából (az ARP-hamisítás ellen)

• 802.1x korlátozza a hálózati hozzáférést az eszközök hitelesítéséhez a hozzárendelt VLAN-okon (a telefonok támogatják a 802-es verziót.)1x

• A szolgáltatásminőség (QoS) konfigurálása a hangcsomagok megfelelő jelöléséhez

• Tűzfalport-konfigurációk a többi forgalom blokkolásához

Végpontok biztonsága

A Cisco végpontjai támogatják az olyan alapértelmezett biztonsági funkciókat, mint az aláírt belső vezérlőprogram, a biztonságos rendszerindítás (egyes modellek), a gyártó által telepített tanúsítvány (MIC) és az aláírt konfigurációs fájlok, amelyek bizonyos szintű biztonságot nyújtanak a végpontok számára.

Emellett egy partner vagy ügyfél további biztonságot is engedélyezhet, például:

• IP-telefonszolgáltatások titkosítása (HTTPS-en keresztül) olyan szolgáltatásokhoz, mint az Extension Mobility

• Helyileg jelentős tanúsítványok (LSC-k) kiállítása a hitelesítésszolgáltató proxy funkciójából (CAPF) vagy egy nyilvános hitelesítésszolgáltatótól (CA)

• Konfigurációs fájlok titkosítása

• Média és jelzés titkosítása

• Tiltsa le ezeket a beállításokat, ha nem használja őket: PC port, PC Voice VLAN hozzáférés, Ingyenes ARP, Web Access, Beállítások gomb, SSH, konzol

A dedikált példány biztonsági mechanizmusainak megvalósítása megakadályozza a telefonok és az egyesített CM-kiszolgáló személyazonosság-lopását, az adatok manipulálását és a hívásjelzés / médiafolyam manipulálását.

Dedikált példány a hálózaton keresztül:

• Hitelesített kommunikációs streameket hoz létre és tart karban

• Digitálisan aláírja a fájlokat, mielőtt átviszi a fájlt a telefonra

• Titkosítja a médiafolyamokat és a hívásjelzést a Cisco Unified IP-telefonok között

A biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco Unified IP-telefonokhoz:

• A telefon konfigurációs fájljainak aláírása

• A telefonkonfigurációs fájl titkosításának támogatása

• HTTPS a Tomcattel és más webszolgáltatásokkal (MIDlets)

A Unified CM 8.0 újabb kiadásában ezek a biztonsági funkciók alapértelmezés szerint a Tanúsítványmegbízhatósági lista (CTL) ügyfél futtatása nélkül érhetők el.

Mivel a hálózatban sok telefon van, és az IP-telefonok korlátozott memóriával rendelkeznek, a Cisco Unified CM távoli bizalmi tárolóként működik a megbízhatóság-ellenőrzési szolgáltatáson (TVS) keresztül, így nem kell minden telefonra tanúsítvány-megbízhatósági tárolót helyezni. A Cisco IP-telefonok ellenőrzés céljából kapcsolatba lépnek a TVS-kiszolgálóval, mert nem tudják ellenőrizni az aláírást vagy a tanúsítványt CTL vagy ITL fájlokon keresztül. A központi bizalmi tárolót könnyebb kezelni, mint a bizalmi tárolót minden Cisco Unified IP-telefonon.

A TVS lehetővé teszi a Cisco Unified IP-telefonok számára az alkalmazáskiszolgálók, például az EM-szolgáltatások, a címtár és a MIDlet hitelesítését a HTTPS létrehozása során.

A kezdeti megbízhatósági lista (ITL) fájl a kezdeti biztonsághoz használatos, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkció explicit engedélyezésére. A fürt telepítésekor a rendszer automatikusan létrehozza a ITL-fájlt. A Unified CM Trivial File Transfer Protocol (TFTP) kiszolgáló titkos kulcsa az ITL-fájl aláírására szolgál.

Ha a Cisco Unified CM fürt vagy kiszolgáló nem biztonságos módban van, az ITL fájl minden támogatott Cisco IP-telefonra letöltődik. A partnerek az ITL-fájlok tartalmát az admin:show itl CLI-paranccsal tekinthetik meg.

A Cisco IP-telefonoknak szükségük van az ITL-fájlra a következő feladatok végrehajtásához:

• Biztonságos kommunikáció a CAPF-fel, ami a konfigurációs fájl titkosítása támogatásának előfeltétele

• A konfigurációs fájl aláírásának hitelesítése

• Alkalmazáskiszolgálók, például EM-szolgáltatások, címtár és MIDlet hitelesítése a HTTPS létrehozása során TVS használatával

Az eszköz-, fájl- és jelzéshitelesítés a Tanúsítványmegbízhatósági lista (CTL) fájl létrehozásán alapul, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco tanúsítvány megbízhatósági lista kliensét.

A CTL-fájl a következő kiszolgálók vagy biztonsági jogkivonatok bejegyzéseit tartalmazza:

• Rendszergazdai biztonsági jogkivonat (SAST)

• Cisco CallManager és Cisco TFTP szolgáltatások, amelyek ugyanazon a kiszolgálón futnak

• Hitelesítésszolgáltató proxy funkciója (CAPF)

• TFTP-kiszolgáló(k)

• ASA tűzfal

A CTL-fájl tartalmazza a kiszolgálói tanúsítványt, a nyilvános kulcsot, a sorozatszámot, az aláírást, a kiállító nevét, a tulajdonos nevét, a kiszolgáló funkcióját, a DNS-nevet és az egyes kiszolgálók IP-címét.

A telefon biztonsága a CTL-lel a következő funkciókat biztosítja:

• A TFTP által letöltött fájlok (konfiguráció, területi beállítás, ringlist stb.) hitelesítése aláírókulccsal

• TFTP konfigurációs fájlok titkosítása aláírókulccsal

• Titkosított hívásjelzés IP-telefonokhoz

• Titkosított híváshang (média) IP-telefonokhoz

A dedikált példány végpontregisztrációt és hívásfeldolgozást biztosít. A Cisco Unified CM és a végpontok közötti jelzés a Secure Skinny Client Control Protocol (SCCP) vagy a Session Initiation Protocol (SIP) protokollon alapul, és a Transport Layer Security (TLS) használatával titkosítható. A végpontokról vagy végpontokra irányuló adathordozók a Real-Time Transport Protocol (RTP) protokollon alapulnak, és a Secure RTP (SRTP) használatával is titkosíthatók.

A vegyes mód engedélyezése a Unified CM-en lehetővé teszi a Cisco végpontokról és a Cisco végpontokra irányuló jelátviteli és médiaforgalom titkosítását.

Biztonságos UC-alkalmazások

A vegyes mód alapértelmezés szerint engedélyezve van a Dedikált példányban.

A vegyes mód engedélyezése a dedikált példányban lehetővé teszi a Cisco végpontokról és a Cisco végpontokra irányuló jelátviteli és médiaforgalom titkosítását.

A Cisco Unified CM 12.5(1) kiadásában a Jabber és a Webex ügyfelek számára új lehetőség került hozzáadásra a SIP OAuth alapú jelzések és adathordozók titkosításának engedélyezésére vegyes mód / CTL helyett. Ezért a Unified CM 12.5(1) kiadásában a SIP OAuth és az SRTP használható a Jabber vagy Webex ügyfelek jelzésének és adathordozójának titkosításának engedélyezésére. A vegyes mód engedélyezése jelenleg is szükséges a Cisco IP-telefonokhoz és más Cisco végpontokhoz. Egy jövőbeli kiadásban a SIP OAuth támogatását 7800/8800-as végpontokon is hozzá lehet adni.

A Cisco Unity Connection a TLS-porton keresztül csatlakozik a Unified CM-hez. Ha az eszközbiztonsági mód nem biztonságos, a Cisco Unity Connection az SCCP-porton keresztül csatlakozik a Unified CM-hez.

A Unified CM hangüzenet-portok és az SCCP-t futtató Cisco Unity-eszközök vagy SCCP-t futtató Cisco Unity-eszközök biztonságának konfigurálásához a partner biztonságos eszközbiztonsági módot választhat a porthoz. Ha hitelesített hangpostaportot választ, megnyílik egy TLS-kapcsolat, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (minden eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangpostaportot választ, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamokat küld az eszközök között.

A biztonsági hangüzenet-portokkal kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Kommunikáció biztosítása a Cisco Unified CM és a CUBE között

A Cisco Unified CM és a CUBE közötti biztonságos kommunikációhoz a partnereknek/ügyfeleknek önaláírt tanúsítványt vagy hitelesítésszolgáltató által aláírt tanúsítványokat kell használniuk.

Önaláírt tanúsítványok esetén:

1. A CUBE és a Cisco Unified CM önaláírt tanúsítványokat hoz létre

2. A CUBE tanúsítványt exportál a Cisco Unified CM-be

3. A Cisco Unified CM tanúsítványt exportál a CUBE-ba

Hitelesítésszolgáltató által aláírt tanúsítványok esetén:

1. Az ügyfél létrehoz egy kulcspárt, és elküld egy tanúsítvány-aláírási kérelmet (CSR) a hitelesítésszolgáltatónak (CA)

2. A hitelesítésszolgáltató aláírja a titkos kulcsával, és létrehoz egy identitástanúsítványt

3. Az ügyfél telepíti a megbízható hitelesítésszolgáltató legfelső szintű és köztes tanúsítványainak listáját, valamint az identitástanúsítványt

Protokoll összefoglalója

Az alábbi táblázat a Unified CM megoldásban használt protokollokat és társított szolgáltatásokat mutatja be.

Az MRA konfigurációjával kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

A Jabber és a Webex biztonságossá tétele a SIP OAuth segítségével

A Jabber és a Webex ügyfelek hitelesítése OAuth-jogkivonaton keresztül történik helyileg jelentős tanúsítvány (LSC) helyett, amely nem igényel hitelesítésszolgáltatói proxy funkció (CAPF) engedélyezését (az MRA esetében is). A SIP OAuth vegyes móddal vagy anélkül történő működését a Cisco Unified CM 12.5 (1), a Jabber 12.5 és az Expressway X12.5 vezette be.

A Cisco Unified CM 12.5-ben van egy új lehetőségünk a Telefonbiztonsági profilban, amely lehetővé teszi az LSC/CAPF nélküli titkosítást, egyetlen Transport Layer Security (TLS) + OAuth token használatával a SIP REGISTER-ben. Az Expressway-C csomópontok az Administrative XML Web Service (AXL) API-t használják a Cisco Unified CM tájékoztatására az SN/SAN-ról a tanúsítványukban. A Cisco Unified CM ezeket az információkat használja az Exp-C tanúsítvány érvényesítésére kölcsönös TLS-kapcsolat létrehozásakor.

A SIP OAuth lehetővé teszi az adathordozók és a jelek titkosítását végponti tanúsítvány (LSC) nélkül.

A Cisco Jabber efemer portokat, valamint biztonságos 6971-es és 6972-es portokat használ HTTPS-kapcsolaton keresztül a TFTP-kiszolgálóhoz a konfigurációs fájlok letöltéséhez. A 6970-es port egy nem biztonságos port a HTTP-n keresztüli letöltéshez.

További részletek a SIP OAuth konfigurációról: SIP OAuth mód.