Sicurezza fisica

È importante fornire sicurezza fisica alle posizioni della sala riunioni Equinix Meet-Me e alle strutture del centro dati dell'istanza dedicata Cisco. Quando la sicurezza fisica viene compromessa, è possibile avviare semplici attacchi, come l'interruzione del servizio interrompendo l'alimentazione agli switch di un cliente. Con l’accesso fisico, gli aggressori possono accedere ai dispositivi del server, reimpostare le password e accedere agli switch. L'accesso fisico facilita anche attacchi più sofisticati come gli attacchi man-in-the-middle, ed è per questo che il secondo livello di sicurezza, la sicurezza di rete, è fondamentale.

Le unità di auto-crittografia vengono utilizzate nei centri dati dell'istanza dedicata che ospitano applicazioni UC.

Per ulteriori informazioni sulle pratiche generali di sicurezza, consultare la documentazione al seguente indirizzo: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Sicurezza di rete

I partner devono garantire che tutti gli elementi di rete siano protetti nell'infrastruttura di istanza dedicata (che si connette tramite Equinix). È responsabilità del partner garantire le migliori pratiche di sicurezza, quali:

• VLAN separata per voce e dati

• Abilita sicurezza porta che limita il numero di indirizzi MAC consentiti per porta, in caso di inondazione del tavolo CAM

• Protezione origine IP da indirizzi IP spoofed

• Dynamic ARP Inspection (DAI) esamina il protocollo di risoluzione degli indirizzi (ARP) e gratuitous ARP (GARP) per le violazioni (contro spoofing ARP)

• 802.1x limita l'accesso alla rete per l'autenticazione dei dispositivi sulle VLAN assegnate (i telefoni supportano 802.1x)

• Configurazione della qualità del servizio (QoS) per la marcatura appropriata dei pacchetti voce

• Configurazioni delle porte del firewall per bloccare qualsiasi altro traffico

Sicurezza endpoint

Gli endpoint Cisco supportano funzioni di sicurezza predefinite come firmware firmato, avvio protetto (modelli selezionati), certificato installato dal produttore (MIC) e file di configurazione firmati, che forniscono un certo livello di sicurezza per gli endpoint.

Inoltre, un partner o un cliente può abilitare ulteriore sicurezza, ad esempio:

• Crittografare i servizi telefonici IP (tramite HTTPS) per servizi come Extension Mobility

• Rilasciare certificati rilevanti a livello locale (LSC) dalla funzione proxy dell'autorità di certificazione (CAPF) o da un'autorità di certificazione pubblica (CA)

• Crittografare i file di configurazione

• Crittografare contenuto multimediale e segnalazione

• Disabilitare queste impostazioni se non vengono utilizzate: porta PC, accesso VLAN vocale PC, ARP gratuito, accesso Web, pulsante Impostazioni, SSH, console

L'implementazione di meccanismi di sicurezza nell'istanza dedicata impedisce il furto di identità dei telefoni e del server Unified CM, la manomissione dei dati e la segnalazione delle chiamate/la manomissione del flusso multimediale.

Istanza dedicata sulla rete:

• Stabilisce e mantiene flussi di comunicazione autenticati

• Firma digitalmente i file prima di trasferirli sul telefono

• Crittografia dei flussi multimediali e segnalazione delle chiamate tra telefoni IP Cisco Unified

La protezione per impostazione predefinita fornisce le seguenti funzioni di sicurezza automatica per i telefoni IP Cisco Unified:

• Firma dei file di configurazione del telefono

• Supporto per crittografia file di configurazione del telefono

• HTTPS con Tomcat e altri servizi Web (MIDlets)

Per Unified CM Release 8.0 successiva, queste funzioni di sicurezza vengono fornite per impostazione predefinita senza eseguire il client CTL (Certificate Trust List).

Poiché in una rete è presente un numero elevato di telefoni e i telefoni IP dispongono di memoria limitata, Cisco Unified CM funge da archivio attendibilità remoto attraverso il servizio di verifica attendibilità (TVS) in modo che non sia necessario inserire un archivio attendibilità del certificato su ciascun telefono. I telefoni IP Cisco contattano il server TVS per la verifica poiché non possono verificare una firma o un certificato tramite file CTL o ITL. Avere un archivio attendibilità centrale è più facile da gestire che avere l'archivio attendibilità su ciascun telefono IP Cisco Unified.

TVS consente ai telefoni IP Cisco Unified di autenticare i server delle applicazioni, come i servizi EM, la rubrica e MIDlet, durante la creazione HTTPS.

Il file ITL (Initial Trust List) viene utilizzato per la sicurezza iniziale, in modo che gli endpoint possano fidarsi di Cisco Unified CM. ITL non richiede l'abilitazione esplicita delle funzioni di sicurezza. Il file ITL viene creato automaticamente quando viene installato il cluster. La chiave privata del server TFTP (Trivial File Transfer Protocol) di Unified CM viene utilizzata per firmare il file ITL.

Quando il cluster o il server Cisco Unified CM è in modalità non protetta, il file ITL viene scaricato su ogni telefono IP Cisco supportato. Un partner può visualizzare il contenuto di un file ITL utilizzando il comando CLI, admin:show itl.

I telefoni IP Cisco necessitano del file ITL per eseguire le seguenti attività:

• Comunica in modo sicuro a CAPF, un prerequisito per supportare la crittografia dei file di configurazione

• Autentica la firma del file di configurazione

• Autenticare i server applicazioni, come i servizi EM, la directory e MIDlet durante la creazione HTTPS utilizzando TVS

L'autenticazione di dispositivi, file e segnali si basa sulla creazione del file CTL (Certificate Trust List), che viene creato quando il partner o il cliente installa e configura il client Cisco Certificate Trust List.

Il file CTL contiene le voci per i seguenti server o token di sicurezza:

• Token di sicurezza amministratore di sistema (SAST)

• Servizi Cisco CallManager e TFTP Cisco in esecuzione sullo stesso server

• Funzione proxy autorità di certificazione (CAPF)

• Server TFTP

• Firewall ASA

Il file CTL contiene un certificato del server, chiave pubblica, numero di serie, firma, nome dell'emittente, nome dell'oggetto, funzione del server, nome DNS e indirizzo IP per ciascun server.

La sicurezza del telefono con CTL fornisce le seguenti funzioni:

• Autenticazione dei file scaricati da TFTP (configurazione, impostazioni internazionali, elenco chiamate e così via) utilizzando un tasto di firma

• Crittografia dei file di configurazione TFTP tramite una chiave di firma

• Segnalazione chiamata crittografata per telefoni IP

• Audio chiamata crittografato (multimediale) per telefoni IP

L'istanza dedicata fornisce registrazione degli endpoint ed elaborazione delle chiamate. La segnalazione tra Cisco Unified CM e gli endpoint si basa su SCCP (Secure Skinny Client Control Protocol) o SIP (Session Initiation Protocol) e può essere crittografata utilizzando TLS (Transport Layer Security). Il contenuto multimediale da/agli endpoint si basa sul protocollo RTP (Real-time Transport Protocol) e può anche essere crittografato utilizzando SRTP (Secure RTP).

L'abilitazione della modalità mista su Unified CM consente la crittografia del traffico multimediale e di segnalazione da e verso gli endpoint Cisco.

Applicazioni UC sicure

La modalità mista è abilitata per impostazione predefinita in Istanza dedicata.

L'abilitazione della modalità mista in Istanza dedicata consente di eseguire la crittografia del traffico multimediale e di segnalazione da e verso gli endpoint Cisco.

Nella versione 12.5(1) di Cisco Unified CM, è stata aggiunta una nuova opzione per abilitare la crittografia di segnali e contenuti multimediali basati su SIP OAuth anziché in modalità mista/CTL per i client Jabber e Webex. Pertanto, in Unified CM release 12.5(1), è possibile utilizzare SIP OAuth e SRTP per abilitare la crittografia per segnalazione e contenuto multimediale per client Jabber o Webex. L'abilitazione della modalità mista continua a essere richiesta per i telefoni IP Cisco e altri endpoint Cisco in questo momento. È previsto l'aggiunta del supporto per gli endpoint SIP OAuth in 7800/8800 in una release futura.

Cisco Unity Connection si connette a Unified CM attraverso la porta TLS. Quando la modalità di protezione del dispositivo non è protetta, Cisco Unity Connection si connette a Unified CM attraverso la porta SCCP.

Per configurare la sicurezza per le porte di messaggistica vocale Unified CM e per i dispositivi Cisco Unity con SCCP in esecuzione o per i dispositivi Cisco Unity Connection con SCCP in esecuzione, un partner può scegliere una modalità di sicurezza del dispositivo sicura per la porta. Se si sceglie una porta della casella vocale autenticata, viene visualizzata una connessione TLS che consente di autenticare i dispositivi utilizzando uno scambio di certificati reciproco (ciascun dispositivo accetta il certificato dell'altro dispositivo). Se si sceglie una porta della casella vocale crittografata, il sistema prima esegue l'autenticazione dei dispositivi, quindi invia flussi vocali crittografati tra i dispositivi.

Per ulteriori informazioni sulle porte di messaggistica vocale di sicurezza, fare riferimento a: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Protezione delle comunicazioni tra Cisco Unified CM e CUBE

Per le comunicazioni sicure tra Cisco Unified CM e CUBE, i partner/clienti devono utilizzare certificati autofirmati o certificati firmati da CA.

Per i certificati autofirmati:

1. CUBE e Cisco Unified CM generano certificati autofirmati

2. CUBE esporta il certificato in Cisco Unified CM

3. Certificato di esportazione di Cisco Unified CM in CUBE

Per i certificati firmati da CA:

1. Il client genera una coppia di chiavi e invia una richiesta di firma del certificato (CSR) all'autorità di certificazione (CA)

2. Il CA lo firma con la sua chiave privata, creando un certificato di identità

3. Il client installa l'elenco di certificati radice e intermediari CA attendibili e il certificato di identità

Riepilogo del protocollo

Nella tabella seguente vengono mostrati i protocolli e i servizi associati utilizzati nella soluzione Unified CM.

Per ulteriori informazioni sulla configurazione MRA, vedere: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Protezione di Jabber e Webex con SIP OAuth

I client Jabber e Webex vengono autenticati attraverso un token OAuth anziché un certificato importante localmente (LSC), che non richiede l'abilitazione della funzione proxy dell'autorità di certificazione (CAPF) (anche per MRA). La funzione SIP OAuth con o senza modalità mista è stata introdotta in Cisco Unified CM 12.5(1), Jabber 12.5 ed Expressway X12.5.

In Cisco Unified CM 12.5, è disponibile una nuova opzione nel profilo di sicurezza del telefono che consente la crittografia senza LSC/CAPF, utilizzando il token TLS (Transport Layer Security) + OAuth in SIP REGISTER. I nodi Expressway-C utilizzano l'API AXL (Administrative XML Web Service) per informare Cisco Unified CM del SN/SAN nel relativo certificato. Cisco Unified CM utilizza queste informazioni per convalidare il certificato Exp-C quando si stabilisce una connessione TLS reciproca.

SIP OAuth consente la crittografia multimediale e di segnalazione senza un certificato endpoint (LSC).

Per scaricare i file di configurazione, Cisco Jabber utilizza le porte temporanee e le porte protette 6971 e 6972 tramite la connessione HTTPS al server TFTP. La porta 6970 non è sicura per il download tramite HTTP.

Ulteriori dettagli sulla configurazione SIP OAuth: Modalità SIP OAuth.