Requisiti di sicurezza e di rete per istanza dedicata

Sicurezza fisica

È importante fornire sicurezza fisica alle ubicazioni di sala Meet-Me Equinix e alle infrastrutture dei centri dati di istanza dedicata Cisco . Quando la sicurezza fisica è compromessa, è possibile attacco semplice, come interruzione del servizio mediante l'arresto dell'alimentazione agli switch di un cliente. Con l'accesso fisico, si potrebbero ottenere accesso ai dispositivi server, reimpostare le password e ottenere l'accesso agli switch. L'accesso fisico facilita anche attacchi più sofisticati, quali attacchi man-in-the-middle, per cui è fondamentale il secondo livello di sicurezza, la sicurezza di rete.

Le unità di auto-crittografia vengono utilizzate in centri dati ad istanza dedicati che ospitano applicazioni UC.

Per ulteriori informazioni sulle pratiche generali di sicurezza, consultare la documentazione al seguente indirizzo: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Sicurezza di rete

I partner devono assicurarsi che tutti gli elementi di rete siano protetti nell'infrastruttura dell'istanza dedicata (che si connette tramite Equinix). È responsabilità del partner garantire best practice di sicurezza quali:

• VLAN separata per voce e dati

• Abilitare la sicurezza delle porte che limita il numero di indirizzi MAC consentiti per porta, in base alla tabella CAM

• Protezione dell'origine IP per indirizzi IP spoofed

• Il controllo ARP dinamico (DAI) esamina il protocollo ARP (Address Resolution Protocol) e l'ARP gratuito per violazioni (contro spoofing ARP)

• 802. limita l'accesso1x di rete per l'autenticazione dei dispositivi sulle VLAN assegnate (i telefoni supportano 802).1x

• Configurazione della qualità del servizio (QoS) per il contrassegno appropriato dei pacchetti vocali

• Configurazioni delle porte del firewall per il blocco di qualsiasi altro traffico

Sicurezza endpoint

Gli endpoint Cisco supportano funzioni di sicurezza predefinite come firmware firmato, avvio sicuro (modelli selezionati), certificato installato dal produttore (MIC) e file di configurazione firmati, che forniscono un determinato livello di sicurezza per gli endpoint.

Inoltre, un partner o un cliente può abilitare ulteriore sicurezza come:

• Crittografare i servizi telefonici IP (tramite HTTPS) per servizi come Extension Mobility

• Emettere certificati significativi in locale (LCS) dalla funzione proxy dell'autorità di certificazione (CAPF) o da un'autorità di certificazione pubblica (CA)

• Crittografa file di configurazione

• Crittografare contenuto multimediale e segnalazione

• Disabilitare queste impostazioni se non vengono utilizzate: Porta PC, accesso PC VLAN vocale, ARP gratuito, accesso Web, pulsante Impostazioni, SSH, console

L'implementazione di meccanismi di sicurezza nell'istanza dedicata impedisce il furto di identità dei telefoni e del server Unified CM, la manomissione dei dati e la segnalazione di chiamate/la manomissione di flussi multimediali.

Istanza dedicata sulla rete:

• Stabilisce e gestisce flussi di comunicazione autenticati

• Firma in digitale dei file prima di trasferirsi al telefono

• Esegue la crittografia di flussi multimediali e segnali di chiamata tra Cisco Unified IP Phone

La sicurezza per impostazione predefinita fornisce le seguenti funzioni di sicurezza automatiche Cisco Unified IP phone:

• Firma dei file di configurazione del telefono

• Supporto per la crittografia del file di configurazione del telefono

• HTTPS con Tomcat e altri servizi Web (MIDlet)

Per Unified CM Release 8.0 successivo, queste funzioni di sicurezza sono fornite per impostazione predefinita senza eseguire il client CTL (Certificate Trust List).

Poiché esistono un grande numero di telefoni in una rete e i telefoni IP hanno memoria limitata, Cisco Unified CM agisce come un archivio di attendibilità remoto attraverso il servizio di verifica dell'attendibilità (TVS) in modo che non sia necessario inserire un archivio di certificati attendibili su ciascun telefono. I telefoni Cisco IP phone contattano il server TVS per la verifica poiché non possono verificare una firma o un certificato attraverso file CTL o ITL. L'avere di un archivio di attendibilità centrale è più facile da gestire rispetto all'archiviazione della relazione di trust su Cisco Unified IP phone.

Il TVS consente Cisco Unified IP phone per autenticare i server applicazioni, quali servizi EM, directory e MIDlet, durante https https.

Il file ITL (Initial Trust List) viene utilizzato per la sicurezza iniziale, in modo che gli endpoint possano considerarsi affidabili Cisco Unified CM. ITL non richiede l'a attivazione esplicita di funzioni di sicurezza. Il file ITL viene creato automaticamente quando viene installato il cluster. La chiave privata del server Unified CM Trivial File Transfer Protocol (TFTP) viene utilizzata per firmare il file ITL.

Quando il cluster Cisco Unified CM o il server è in modalità non protetta, il file ITL viene scaricato su ogni telefono IP Cisco supportato. Un partner può visualizzare il contenuto di un file ITL utilizzando il comando CLI admin:show itl.

I telefoni Cisco IP phone devono disporre del file ITL per eseguire le seguenti attività:

• Comunicare in modo sicuro a CAPF, un prerequisito per supportare la crittografia del file di configurazione

• Autentica firma file di configurazione

• Autenticare i server applicazioni, come i servizi EM, la rubrica e MIDlet durante HTTPS https utilizzando TVS

L'autenticazione di dispositivo, file e segnalazione si basa sulla creazione del file dell'elenco dei certificati attendibili (CTL), creato quando il partner o il cliente installa e configura il client dell'elenco dei certificati attendibili di Cisco.

Il file CTL contiene le voci per i seguenti server o token di sicurezza:

• Token di sicurezza amministratore sistema (SAST)

• Servizi Cisco CallManager e Cisco TFTP in esecuzione sullo stesso server

• Funzione proxy autorità di certificazione (CAPF)

• Server TFTP

• Firewall ASA

Il file CTL contiene un certificato server, chiave pubblica, numero di serie, firma, nome emittente, nome del soggetto, funzione del server, nome DNS e indirizzo IP per ciascun server.

La sicurezza del telefono con CTL fornisce le seguenti funzioni:

• Autenticazione dei file scaricati TFTP (configurazione, impostazioni internazionali, elenco delle suonerie e così via) tramite una chiave di firma

• Crittografia dei file di configurazione TFTP tramite una chiave di firma

• Segnalazione di chiamata crittografata per telefoni IP

• Audio delle chiamate crittografate (multimediali) per telefoni IP

L'istanza dedicata fornisce la registrazione dell'endpoint e l'elaborazione delle chiamate. Il segnale tra Cisco Unified CM ed endpoint si basa su SCCP (Secure Skinny Client Control Protocol) o SIP (Secure Skinny Client Control Protocol) o SIP (Session Initiation Protocol) (SIP) e può essere crittografato utilizzando il protocollo TLS (Transport Layer Security). Il contenuto multimediale da/verso gli endpoint si basa su RTP (Real-Time Transport Protocol) e può anche essere crittografato utilizzando SRTP (Secure RTP).

L'abilitazione della modalità mista su Unified CM consente la crittografia del segnale e del traffico multimediale da e verso gli endpoint Cisco.

Applicazioni UC sicure

La modalità mista è abilitata per impostazione predefinita in Istanza dedicata.

L'abilitazione della modalità mista in istanza dedicata consente di eseguire la crittografia dei segnali e del traffico multimediale da e verso gli endpoint Cisco.

In Cisco Unified CM release 12.5(1), è stata aggiunta una nuova opzione per abilitare la crittografia dei segnali e dei supporti in base a SIP OAuth anziché alla modalità mista/CTL per i client Jabber e Webex. Pertanto, in Unified CM release 12.5(1), è possibile utilizzare SIP OAuth e SRTP per abilitare la crittografia per i segnali e i supporti per i client Jabber o Webex. L'abilitazione della modalità mista continua a essere richiesta per i telefoni Cisco IP Phone e altri endpoint Cisco in questo momento. Esiste un piano per aggiungere il supporto per SIP OAuth negli endpoint 7800/8800 in una release futura.

Cisco Unity Connection si collega a Unified CM attraverso la porta TLS. Se la modalità di sicurezza del dispositivo non è sicura, Cisco Unity Connection si collega a Unified CM attraverso la porta SCCP.

Per configurare la sicurezza per le porte di messaggistica vocale Unified CM e per i dispositivi Cisco Unity che eseguono SCCP o Cisco Unity Connection con SCCP, un partner può scegliere una modalità di sicurezza per il dispositivo sicuro per la porta. Se si sceglie una porta della segreteria telefonica autenticata, viene aperta una connessione TLS che autentica i dispositivi utilizzando uno scambio di certificati reciproci (ciascun dispositivo accetta il certificato dell'altro dispositivo). Se si sceglie una porta della segreteria telefonica crittografata, il sistema prima autentica i dispositivi, quindi invia flussi vocali crittografati tra i dispositivi.

Per ulteriori informazioni sulle porte di messaggistica vocale di sicurezza, vedere: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Protezione delle comunicazioni tra Cisco Unified CM e CUBE

Per comunicazioni sicure tra Cisco Unified CM e CUBE, partner/clienti devono utilizzare un certificato autofirmato o certificati firmati da CA.

Per certificati autofirmati:

1. CUBE e Cisco Unified CM generano certificati autofirmati

2. CUBE esporta il certificato Cisco Unified CM

3. Cisco Unified CM esporta certificato in CUBE

Per certificati firmati da CA:

1. Il client genera una coppia di chiavi e invia una richiesta di firma del certificato (CSR) all'autorità di certificazione (CA)

2. La CA la firma con la propria chiave privata, creando un certificato di identità

3. Il client installa l'elenco di certificati radice CA e intermedie attendibili e il certificato di identità

Riepilogo del protocollo

La tabella seguente mostra i protocolli e i servizi associati utilizzati nella soluzione Unified CM.

Per ulteriori informazioni sulla configurazione MRA, vedere: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Protezione di Jabber e Webex con OAuth SIP

I client Jabber e Webex vengono autenticati tramite un token OAuth anziché un certificato significativo in locale (LSC), che non richiede l'abilitazione della funzione proxy dell'autorità di certificazione (CAPF) (anche per MRA). È stata introdotta la modalità OAuth SIP con o senza la modalità mista in Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.

In Cisco Unified CM 12.5, è disponibile una nuova opzione nel Profilo di sicurezza telefono che consente la crittografia senza LSC/CAPF, utilizzando il token Single Transport Layer Security (TLS) + OAuth in SIP REGISTER. Expressway-C utilizzano l'API amministrativa del servizio Web XML (AXL) per informare Cisco Unified CM del server SN/SAN nel certificato. Cisco Unified CM utilizza queste informazioni per convalidare il certificato Exp-C quando si stabilisce (autenticazione) TLS reciproca connessione sicura.

L'autenticazione OAUTH SIP abilita la crittografia multimediale e dei segnali senza un certificato endpoint (LSC).

Cisco Jabber utilizza porte ephemeral e porte sicure 6971 e 6972 porte tramite connessione HTTPS al server TFTP per scaricare i file di configurazione. La porta 6970 è una porta non sicura per il download tramite HTTP.

Ulteriori dettagli sulla configurazione OAuth SIP: Modalità SIP OAuth.