전용 인스턴스 네트워크 및 보안 요구 사항

물리적 보안

Equinix Meet-Me Room 위치 및 Cisco 전용 인스턴스 데이터 센터 시설에 물리적 보안을 제공하는 것은 중요합니다. 물리적 보안이 저하되면 고객의 스위치에 전원을 종료하여 서비스 중단과 같은 간단한 공격을 개시할 수 있습니다. 물리적인 액세스를 사용하여, 공격자는 서버 장치에 액세스하고 비밀번호를 재설정하며, 스위치에 액세스할 수 있습니다. 또한 물리적인 액세스는 중간자 공격 등 보다 정교한 공격을 용이하게 합니다. 따라서 네트워크 보안 계층인 두 번째 보안 계층이 매우 중요한 이유입니다.

셀프 암호화 드라이브는 UC 응용프로그램을 호스트하는 전용 인스턴스 데이터 센터에서 사용됩니다.

일반 보안 관행에 대한 자세한 내용은 다음 위치에 있는 문서를 참조하십시오. https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html

네트워크 보안

파트너는 전용 인스턴스 인프라(Equinix를 통해 연결되는)에서 모든 네트워크 구성 요소가 안전하게 유지되도록 해야 합니다. 다음 보안 모범 사례를 보장하는 것은 파트너의 책임입니다.

• 음성 및 데이터에 대해 개별 VLAN

• CAM 표 제한에 대해 포트당 허용되는 MAC 주소의 수를 제한하는 포트 보안 활성화

• IP 소스 스푸핑 IP 주소에 대한 보호

• 동적 ARP 검사(DAI)는 위반에 대한 주소 해상도 프로토콜(ARP) 및 Gratratratous ARP(GARP)를 검사합니다(ARP 스푸핑에 대해).

• 802.1x 지정된 VLA에서 장치 인증을 위해 네트워크 액세스를 제한합니다(전화는 802를 지원하지 않습니다.1x)

• 음성 패킷의 적합한 마킹을 위한 서비스 품질(QoS) 구성

• 다른 트래픽 차단을 위한 방화벽 포트 구성

엔드포인트 보안

Cisco 엔드포인트는 서명된 펌웨어, 보안 부팅(선택된 모델), 제조 업체가 설치한 인증서(MIC) 및 서명된 구성 파일 등 기본 보안 기능을 지원하며, 이는 엔드포인트에 대해 특정 수준의 보안을 제공합니다.

또한 파트너 또는 고객은 다음 추가 보안을 활성화할 수 있습니다.

• 내선 모빌리티 등 서비스에 대한 IP 전화 서비스 암호화 (HTTPS를 통해)

• 인증서 기관 프록시 기능(CAPF) 또는 공용 인증 기관(CA)에서 로컬로 중요한 인증서(LSC)를 발행합니다.

• 구성 파일 암호화

• 미디어 및 시그널링 암호화

• 다음 설정이 사용되지 않는 경우, 해당 설정을 비활성화합니다. PC 포트, PC Voice VLAN Access, Gratratous ARP, 웹 액세스, 설정 버튼, SSH, 콘솔

전용 인스턴스에서 보안 메커니즘 을 실행하면 전화 및 Unified CM 서버의 아이덴티티 도용, 데이터 무단 변경 및 통화-시그널링 / 미디어 스트림 변경을 방지합니다.

네트워크의 전용 인스턴스:

• 인증된 통신 스트림의 구축 및 유지

• 파일을 전화로 전송하기 전에 파일을 디지털로 서명

• 모든 IP 전화 간의 미디어 스트림 및 통화 Cisco Unified 암호화

기본값으로 보안은 보안 IP 전화에 대해 Cisco Unified 기능을 제공합니다.

• 전화 구성 파일 서명

• 전화 구성 파일 암호화 지원

• Tomcat 및 기타 웹 서비스(MIDlets) HTTPS

Unified CM 릴리즈 8.0 이후에서 해당 보안 기능은 CTL(Certificate Trust List) 클라이언트를 실행하지 않고 기본적으로 제공됩니다.

네트워크에 많은 전화가 있으며 IP 전화에 제한적인 메모리가 있기 때문에 Cisco Unified CM은 신뢰 확인 서비스(TVS)를 통해 원격 신뢰 스토어의 역할을 합니다. 따라서 인증서 신뢰 스토어는 각 전화에 위치하지 않습니다. Cisco IP Phone은 CTL 또는 ITL 파일을 통해 서명 또는 인증서를 확인할 수 있기 때문에 확인을 위해 TVS 서버에 연락합니다. 각 IP 전화에서 신뢰 스토어를 구축하는 것보다 중앙 신뢰 스토어를 Cisco Unified 수 있습니다.

TVS를 사용하면 Cisco Unified 중 TVS를 통해 EM 서비스, 디렉토리 및 MIDlet 등의 응용 프로그램 서버를 인증할 수 있습니다.

첫 보안에 대해 초기 신뢰 목록(ITL) 파일이 사용 중입니다. 따라서 엔드포인트에서 CM을 신뢰할 Cisco Unified 있습니다. ITL은 보안 기능을 명시적으로 활성화할 필요가 없습니다. 클러스터가 설치되면 ITL 파일이 자동으로 생성됩니다. UNified CM Trivial File Transfer Protocol(TFTP) 서버의 비공개 키가 ITL 파일에 서명하는 데 사용됩니다.

CM Cisco Unified 서버가 비보안 모드에 있는 경우, ITL 파일은 지원되는 모든 Cisco IP 전화에서 다운로드됩니다. 파트너는 CLI 명령어, admin:show itl을 사용하여 ITL 파일의 콘텐츠를 볼 수 있습니다.

다음 작업을 실행하려면 Cisco IP Phone에 ITL 파일이 필요합니다. 다음:

• 구성 파일 암호화를 지원하기 위한 전제제인 CAPF 에 안전하게 통신하십시오.

• 구성 파일 서명 인증

• EM 서비스, 디렉토리 및 MIDlet과 같은 응용 프로그램 서버 인증(HTTPS 중 TVS 사용 중)

장치, 파일 및 시그널링 인증은 파트너 또는 고객이 Cisco 인증서 신뢰 목록 클라이언트를 설치하고 구성할 때 생성되는 CTL(Certificate Trust List) 파일의 생성에 기반합니다.

CTL 파일에는 다음 서버 또는 보안 토큰에 대한 항목이 포함되어 있습니다.

• 시스템 관리자 보안 토큰 (SAST)

• 동일한 서버에서 실행되고 있는 Cisco CallManager 및 Cisco TFTP 서비스

• 인증서 기관 프록시 기능(CAPF)

• TFTP 서버

• ASA 방화벽

CTL 파일에는 서버 인증서, 공개 키, 일련 번호, 서명, 발행인 이름, 주체명, 서버 기능, DNS 이름 및 각 서버의 IP 주소가 포함되어 있습니다.

CTL로 전화 보안은 다음 기능을 제공합니다.

• 서명 키를 사용하여 TFTP 다운로드된 파일(구성, 로메일, 벨소리 목록 등) 인증

• 서명 키를 사용한 TFTP 구성 파일의 암호화

• IP 전화에 대해 암호화된 통화 시그널링

• IP 전화용 암호화된 통화 오디오(미디어)

전용 인스턴스 는 엔드포인트 등록 및 통화 처리를 제공합니다. Cisco Unified CM 및 엔드포인트 간의 시그널링은 SCCP(Secure Skinny Client Control Protocol) 또는 세션 시작 프로토콜(SIP)에 기반하며, TLS(Transport Layer Security)를 사용하여 암호화할 수 있습니다. 엔드포인트에서/까지 미디어는 실시간 전송 프로토콜(RTP)을 기반으로하며, 보안 RTP(SRTP)를 사용하여 암호화될 수도 있습니다.

Unified CM에서 혼합 모드를 활성화하면 시그널링 및 Cisco 엔드포인트에 대한 시그널링 및 미디어 트래픽의 암호화를 활성화합니다.

보안 UC 애플리케이션

혼합 모드는 기본적으로 전용 인스턴스에서 활성화됩니다.

전용 인스턴스에서 혼합 모드를 활성화하면 시그널링 및 Cisco 엔드포인트에서 미디어 트래픽의 암호화를 수행할 수 있습니다.

Cisco Unified CM 릴리즈 12.5(1)에서 Jabber 및 Webex 클라이언트에 대해 혼합 모드 / CTL 대신 SIP OAuth에 기반하여 시그널링 및 미디어의 암호화를 활성화하는 새로운 옵션이 추가되었습니다. 따라서 Unified CM 릴리즈 12.5(1)에서 Jabber 또는 Webex 클라이언트에 대한 시그널링 및 미디어에 대해 SIP OAuth 및 SRTP가 사용될 수 있습니다. 현재 혼합 모드를 활성화하는 데는 Cisco IP 폰 및 기타 Cisco 엔드포인트에 대해 계속 요구됩니다. 향후 릴리즈에서 7800/8800 엔드포인트에서 SIP OAuth에 대한 지원을 추가할 계획입니다.

Cisco Unity 연결 TLS 포트를 통해 Unified CM에 연결합니다. 장치 보안 모드가 안전하지 않은 경우, Cisco Unity 연결 SCCP 포트를 통해 Unified CM에 연결됩니다.

SCCP 또는 SCCP를 실행하고 있는 Cisco Unity 연결 장치를 실행하는 Unified CM 음성 메시징 포트 및 Cisco Unity 장치에 대한 보안을 구성하기 위해 파트너는 포트에 대한 보안 장치 보안 모드를 선택할 수 있습니다. 인증된 보이스메일 포트를 선택하는 경우, TLS 연결이 열립니다. 이는 상호 인증서 교환을 사용하여 장치를 인증합니다(각 장치는 다른 장치의 인증서를 수락). 암호화된 보이스메일 포트를 선택하는 경우, 시스템은 먼저 장치를 인증한 후 장치 간에 암호화된 음성 스트림을 전송합니다.

보안 음성 메시징 포트에 대한 자세한 정보는 다음을 참조하십시오. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Cisco Unified CM 및 CUBE 간의 통신 보안

CM 및 CUBE Cisco Unified 통신을 위해 파트너/고객은 셀프 서명한 인증서 또는 CA 서명된 인증서를 사용해야 합니다.

셀프 서명한 인증서:

1. CUBE 및 Cisco Unified CM은 셀프 서명한 인증서를 생성합니다.

2. CUBE에서 인증서를 CCM으로 Cisco Unified

3. Cisco Unified CM이 인증서를 CUBE로 내보낼 때

CA 서명된 인증서:

1. 클라이언트는 키 페어를 생성하고 인증서 서명 요청(CSR)을 인증 기관(CA)으로 보내기

2. CA는 비공개 키로 서명하고, 아이덴티티 인증서를 생성합니다.

3. 클라이언트는 신뢰할 수 있는 CA 루트 및 인터미디어 인증서의 목록 및 아이덴티티 인증서를 설치합니다.

임상시험 계획서 요약

다음 표는 Unified CM 솔루션에서 사용되는 프로토콜 및 연계된 서비스를 보여줍니다.

MRA 구성에 대한 자세한 정보는 다음을 참조하십시오. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

SIP OAuth에서 Jabber 및 Webex 보안하기

Jabber 및 Webex 클라이언트는 로컬에서 유의한 인증서(LSC) 대신 OAuth 토큰을 통해 인증됩니다. 이는 인증 기관 프록시 기능(CAPF) 활성화(MRA의 경우)가 필요하지 않습니다. 혼합 모드 또는 혼합 모드 없이 작업하는 SIP OAuth가 Cisco Unified CM 12.5(1), Jabber 12.5 및 Expressway X12.5에 소개됩니다.

Cisco Unified CM 12.5에서 SIP 등록에서 싱글 전송 계층 보안(TLS) + OAuth 토큰을 사용하여 LSC/CAPF를 사용하지 않고 암호화를 활성화하는 새로운 옵션이 전화 보안 프로필에 있습니다. Expressway-C 노드는 관리 XML 웹 서비스(AXL) API를 사용하여 인증서에서 Cisco Unified/SAN의 CM에게 알릴 수 있습니다. Cisco Unified CM은 이 정보를 사용하여 상호 TLS 설정할 때 Exp-C 인증서의 유효성을 검증합니다.

SIP OAuth는 엔드포인트 인증서(LSC)가 없는 미디어 및 시그널링 암호화를 가능하게 합니다.

Cisco Jabber는 TFTP 서버로의 HTTPS 연결을 통한 사용 하부 포트 및 보안 포트 6971 및 6972 포트를 사용하여 구성 파일을 다운로드합니다. 포트 6970은 HTTP를 통해 다운로드할 수 있는 비보안 포트입니다.

SIP OAuth 구성에 대한 추가 세부 사항: SIP OAuth 모드.