物理的なセキュリティ

Equinix Meet-Me Room のロケーションとCiscoに物理セキュリティを提供することが重要です。専用インスタンスデータセンター施設。 物理セキュリティが侵害されると、顧客のスイッチの電源をシャットダウンすることでサービスを中断させるなどの単純な攻撃を開始することができます。 攻撃者は物理的なアクセスを使用して、サーバー デバイスにアクセスしたり、パスワードをリセットしたり、スイッチへのアクセスを取得したりする可能性があります。 また、物理的なアクセスにより、中間者攻撃などの高度な攻撃が促進されます。これが、2 番目のセキュリティ層であるネットワークセキュリティが重要な理由です。

セルフ暗号化ドライブは以下で使用されます。専用インスタンスUC アプリケーションを主催者データセンター。

一般的なセキュリティについて詳しくは、次の場所にあるドキュメントを参照してください。 https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.htmlです。

ネットワークセキュリティ

パートナーは、すべてのネットワーク要素が以下で保護されていることを確認する必要があります。専用インスタンスインフラストラクチャ (Equinix を介して接続)。 パートナーは、次のようなセキュリティのベスト プラクティスを確実に実行する責任を負います。

• 音声とデータ向けの別々の VLAN

• ポートごとに許可されるMACアドレスの数を制限して カム テーブル フラッディングを阻止するため、ポート セキュリティを有効にする

• スプーフィングされたIPアドレスに対するIPソースのガード

• ダイナミック ARP インスペクション (DAI) は (GARP スプーフィングに対して) アドレス解決プロトコル (ARP) と Gratuitous ARP (GARP) 違反について検証する

• 802。1x割り当てられた VLAN 上のデバイスを認証するため、ネットワーク アクセスを制限します (電話機は 802 をサポートしています。1x )

• 音声パケットの適切なマーキングを目的とした Quality of Service (QoS) の設定

• 他のトラフィックをブロックするファイアウォール ポートの設定

エンドポイントのセキュリティ

Ciscoエンドポイントは、署名済みのファームウェア、セキュア ブート (選択モデル)、製造元がインストールした証明書 ( MIC )、署名済みの構成ファイルなどのデフォルトのセキュリティ機能をサポートし、エンドポイントに特定のレベルのセキュリティを提供します。

また、パートナーや顧客は、次のような追加のセキュリティを有効にできます。

• Extension Mobilityなどのサービス向けにIP電話サービスを暗号化する (HTTPS 経由)

• 認証局プロキシ機能 （CAPF） またはパブリック認証局（CA）からローカルで有効な証明書（Locally Significant Certificates）を発行する

• 構成ファイルを暗号化する

• メディアとシグナリングを暗号化する

• 使用しない場合、これらの設定を無効にします: PC ポート、PC 音声 VLAN アクセス、 Gratuitous ARP (GARP)、設定ボタン、SSH、コンソール

セキュリティメカニズムの実装専用インスタンス電話機とUnified CMサーバーの ID の盗難、データの改ざん、および通話シグナリングまたはメディア ストリームの改ざんを防止します。

専用インスタンスをリアルタイムで取得できます。

• 認証済みの通信ストリームを確立、維持する

• ファイルを電話に転送する前にデジタル署名を行う

• Cisco Unified IP Phone 間のメディア ストリームと通話シグナリングを暗号化する

デフォルトのセキュリティ機能により、 Cisco Unified IP Phone には、次の自動セキュリティ機能が提供されます。

• 電話構成ファイルの署名

• 電話設定ファイル暗号化のサポート

• Tomcat およびその他の Web サービス (MIDlet) との HTTPS

Unified CM Release 8.0 以降では、これらのセキュリティ機能はデフォルトで提供され、Certificate Trust List (CTL) クライアントは実行されません。

ネットワーク内には多くの電話が存在し、 IP電話のメモリは限られているため、 Cisco Unified CMは信頼検証サービス (TVS) を通してリモートの信頼ストアとして機能します。証明書信頼ストアを各電話に配置する必要はありません。 Cisco IP Phone はCTLまたは ITL ファイル経由で署名や証明書を検証できないため、 TVSサーバーに連絡して検証を行います。 一元化された信頼ストアがあると、各Cisco Unified IP Phone に信頼ストアを置くより管理が容易になります。

TVSを使用すると、 Cisco Unified IP Phone では HTTPS 確立中にEMサービス、ディレクトリ、MIDlet などのアプリケーションサーバーを認証できるようになります。

初期信頼リスト (ITL) ファイルは最初のセキュリティに使用され、エンドポイントがCisco Unified CMを信頼できるようになります。 ITL では、セキュリティ機能を明示的に有効化する必要はありません。 クラスターがインストールされると自動的に ITL ファイルが作成されます。 Unified CM Trivial ファイル転送プロトコル (TFTP) サーバのプライベート キーが ITL ファイルへの署名に使用されます。

Cisco Unified CMクラスターまたはサーバーが非セキュア モードの場合、ITL ファイルはサポートされている各Cisco IP Phone にダウンロードされます。 パートナーは CLI コマンド「admin:show itl」を使用して ITL ファイルのコンテンツを表示できます。

Cisco IP Phone は、次のタスクを実行するために ITL ファイルを必要とします。

• 構成ファイル暗号化のサポートの前提条件であるCAPFと安全に通信します

• 構成ファイルの署名を認証する

• TVSを使用して HTTPS 確立中にEMサービス、ディレクトリ、MIDlet などのアプリケーションサーバーを認証する

デバイス、ファイル、シグナリング認証は、パートナーまたは顧客がCisco Certificate Trust List Client をインストールして設定するときに作成される Certificate Trust List ( CTL ) ファイルに依存します。

CTLファイルには次のサーバーまたはセキュリティトークンのエントリが含まれています。

• システム管理者セキュリティ トークン (SAST)

• 同じサーバー上で実行しているCisco CallManager およびCisco TFTPサービス

• Certificate Authorityプロキシ機能（CAPF）

• TFTPサーバー

• ASA ファイアウォール

CTLファイルには、各サーバーのサーバー証明書、公開鍵、シリアル番号、署名、発行者名、サブジェクト名、サーバー機能、 DNS名、 IPアドレスが含まれています。

CTLを使用した電話のセキュリティでは、次の機能が提供されます。

• 署名キーを使用したTFTPダウンロード ファイル (構成、ロケール、呼び出しリストなど) の認証

• 署名キーを使用したTFTP構成ファイルの暗号化

• IP電話用の暗号化通話シグナリング

• IP電話用の暗号化通話音声 (メディア)

専用インスタンスエンドポイント登録と通話処理を提供します。 Cisco Unified CMとエンドポイント間のシグナリングは、Secure Skinny Client Control Protocol (SCCP) またはセッション開始プロトコル (SIP)に基づき、トランスポート レイヤ セキュリティ(TLS) を使用して暗号化できます。 エンドポイント間のメディアは、リアルタイムトランスポートプロトコル (RTP) に基づき、セキュアRTP (SRTP) を使用して暗号化されます。

Unified CMの混合モードを有効にすると、 Ciscoエンドポイント間のシグナリングおよびメディア トラフィックの暗号化が有効になります。

セキュア UC アプリケーション

混合モードは、デフォルトで有効になっています専用インスタンスを選択します。

以下で混合モードを有効にする専用インスタンスCiscoエンドポイント間のシグナリングおよびメディア トラフィックの暗号化を実行する機能を有効にします。

Cisco Unified CMリリース 12.5(1) で、混合モードまたはCTLではなく SIP OAuth に基づくシグナリングおよびメディアの暗号化を有効にする新しいオプションが、Jabber およびWebexクライアントに追加されました。 したがって、 Unified CMリリース 12.5(1)では、Jabber またはWebexクライアントのシグナリングおよびメディアの暗号化を有効にするために SIP OAuth およびSRTPを使用できます。 現時点で、 Cisco IP Phone と他のCiscoエンドポイントでは、混合モードの有効化が引き続き必要です。 今後のリリースでは、7800/8800 エンドポイントで SIP OAuth のサポートを追加する計画があります。

Cisco Unity ConnectionはTLSポートを通じてUnified CMに接続します。 デバイスのセキュリティモードが非セキュアである場合、 Cisco Unity ConnectionはSCCPポートを通してUnified CMに接続します。

Unified CMボイス メッセージング ポートのセキュリティ設定と、 SCCPを実行しているCisco UnityデバイスまたはSCCPを実行しているCisco Unity Connectionデバイスのセキュリティ設定のため、パートナーはポート用のセキュアなデバイスセキュリティモードを選択できます。 認証済みのボイスメール ポートを選択すると、 TLS接続が開き、相互証明書の交換を使用してデバイスを認証します (各デバイスは他のデバイスの証明書を受け入れます)。 暗号化されたボイスメール ポートを選択すると、システムは最初にデバイスを認証し、デバイス間で暗号化された音声ストリームを送信します。

セキュリティ ボイス メッセージ ポートについて詳しくは、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Cisco Unified CM と CUBE 間の通信の保護

Cisco Unified CMと CUBE 間の通信を安全に行う場合、パートナーまたは顧客は、自己署名証明書あるいは CA 署名証明書のどちらかを使用する必要があります。

自己署名証明書の場合:

1. CUBE およびCisco Unified CMが自己署名証明書を作成する

2. CUBE は証明書をCisco Unified CMにエクスポートする

3. Cisco Unified CMは証明書を CUBE にエクスポートする

CA 署名入りの証明書の場合:

1. クライアントが鍵ペアを作成し、Certificate Signing Request (CSR) をCertificate Authority(CA) に送信する

2. CA はプライベート キーを使用して署名し、ID 証明書を作成する

3. クライアントは信頼できる CA ルートおよびメディア証明書と ID 証明書のリストをインストールする

治験実施計画書の概要

以下の表は、 Unified CMソリューションで使用されるプロトコルと関連サービスを示します。

MRA 統合について詳しくは、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

SIP OAuth で Jabber およびWebexを保護する

Jabber およびWebexクライアントは、ローカルで有効な証明書 (LSC) ではなく Oauth トークンを使って認証されます。この認証は認証局プロキシ機能 (CAPF) の有効化 (MRA 用も含む) を必要としません。 混合モードを使用する、または使用しない SIP Oauth が、 Cisco Unified CM 12.5(1)、Jabber 12.5、Expressway X12.5 に導入されました。

Cisco Unified CM 12.5 では、SIP REGISTER の単一のトランスポート レイヤ セキュリティ (TLS ) + OAuth トークンを使用してLSC/ CAPFなしの暗号化を有効にする、電話セキュリティ プロファイルの新しいオプションが加わります。 Expressway-C ノードは Administrative XML Web Service (AXL) APIを使用して、証明書の SN/SAN についてCisco Unified CMに通知します。 Cisco Unified CMは相互TLS接続を確立する際に、この情報を使用して Expressway-C 証明書を検証します。

SIP OAuth は、エンドポイント証明書 (LSC) なしで、メディアとシグナリングの暗号化を有効にします。

Cisco Jabberは、 TFTPサーバーへの HTTPS 接続経由でエフェメラル ポートとセキュア ポート 6971 および 6972 を使用し、構成ファイルをダウンロードします。 ポート 6970 は、HTTP 経由のダウンロード用の非セキュアなポートです。

SIP Oauth 構成に関する詳細: SIP OAuth モードを選択します。