Fysieke beveiliging

Het is belangrijk om fysieke beveiliging te bieden aan Equinix Meet-Me Room-locaties en Cisco Dedicated Instance Data Center-faciliteiten. Wanneer de fysieke beveiliging wordt gecompromitteerd, kunnen eenvoudige aanvallen worden gestart, zoals onderbrekingen van de service door de stroom naar de schakelaars van een klant uit te schakelen. Met fysieke toegang konden aanvallers toegang krijgen tot serverapparaten, wachtwoorden resetten en toegang krijgen tot switches. Fysieke toegang vergemakkelijkt ook geavanceerdere aanvallen zoals man-in-the-middle-aanvallen, daarom is de tweede beveiligingslaag, de netwerkbeveiliging, cruciaal.

Zelfcoderende schijven worden gebruikt in datacenters voor toegewezen exemplaren die UC-toepassingen hosten.

Voor meer informatie over algemene beveiligingspraktijken raadpleegt u de documentatie op de volgende locatie: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netwerkbeveiliging

Partners moeten ervoor zorgen dat alle netwerkelementen zijn beveiligd in de infrastructuur van Dedicated Instance (die verbinding maakt via Equinix). Het is de verantwoordelijkheid van de partner om beste praktijken op het gebied van beveiliging te garanderen, zoals:

• Afzonderlijke VLAN voor spraak en gegevens

• Schakel Poortbeveiliging in die het aantal toegestane MAC-adressen per poort beperkt, tegen overstromingen in de CAM-tabel

• IP-bronbeveiliging tegen gespoofde IP-adressen

• Dynamische ARP-inspectie (DAI) onderzoekt adresresolutieprotocol (ARP) en gratuitous ARP (GARP) op overtredingen (tegen ARP-spoofing)

• 802.1x beperkt netwerktoegang tot geverifieerde apparaten op toegewezen VLAN's (telefoons ondersteunen wel 802.1x)

• Configuratie van servicekwaliteit (QoS) voor de juiste markering van spraakpakketten

• Firewallpoortconfiguraties voor het blokkeren van ander verkeer

Beveiliging van eindpunten

Cisco-eindpunten ondersteunen standaard beveiligingsfuncties zoals ondertekende firmware, beveiligde opstarten (geselecteerde modellen), door de fabrikant geïnstalleerd certificaat (MIC) en ondertekende configuratiebestanden, die een bepaald beveiligingsniveau voor eindpunten bieden.

Daarnaast kan een partner of klant extra beveiliging inschakelen, zoals:

• IP-telefoonservices (via HTTPS) coderen voor services zoals Extension Mobility

• Lokaal significante certificaten (LSC's) uitgeven vanuit de proxyfunctie van de certificeringsinstantie (CAPF) of een openbare certificeringsinstantie (CA)

• Configuratiebestanden versleutelen

• Media en signalering coderen

• Schakel deze instellingen uit als ze niet worden gebruikt: PC-poort, PC Voice VLAN Access, Gratuitous ARP, Web Access, knop Instellingen, SSH, console

Het implementeren van beveiligingsmechanismen in het toegewezen exemplaar voorkomt identiteitsdiefstal van de telefoons en de Unified CM-server, gegevensmanipulatie en gesprekssignalering/mediastream-manipulatie.

Toegewezen exemplaar via het netwerk:

• Hiermee worden geverifieerde communicatiestromen opgezet en onderhouden

• Ondertekent bestanden digitaal voordat het bestand naar de telefoon wordt overgebracht

• Hiermee worden mediastromen en gesprekssignalering tussen Cisco Unified IP-telefoons gecodeerd

Beveiliging biedt standaard de volgende automatische beveiligingsfuncties voor Cisco Unified IP-telefoons:

• Ondertekening van de telefoonconfiguratiebestanden

• Ondersteuning voor codering van telefoonconfiguratiebestanden

• HTTPS met Tomcat en andere webservices (MIDlets)

Voor Unified CM versie 8.0 later worden deze beveiligingsfuncties standaard geleverd zonder de CTL-client (Certificate Trust List) uit te voeren.

Omdat er een groot aantal telefoons in een netwerk is en IP-telefoons een beperkt geheugen hebben, fungeert Cisco Unified CM als een externe vertrouwensopslag via de Trust Verification Service (TVS), zodat er geen vertrouwensarchief voor certificaten op elke telefoon hoeft te worden geplaatst. De Cisco IP-telefoons nemen contact op met de TVS-server voor verificatie omdat ze geen handtekening of certificaat kunnen verifiëren via CTL- of ITL-bestanden. Het hebben van een centrale vertrouwensarchief is eenvoudiger te beheren dan het vertrouwensarchief op elke Cisco Unified IP-telefoon.

Met TVS kunnen Cisco Unified IP-telefoons toepassingsservers, zoals EM-services, directory en MIDlet, verifiëren tijdens het instellen van HTTPS.

Het ITL-bestand (Initial Trust List) wordt gebruikt voor de eerste beveiliging, zodat de eindpunten Cisco Unified CM kunnen vertrouwen. ITL hoeft geen beveiligingsfuncties expliciet in te schakelen. Het ITL-bestand wordt automatisch gemaakt wanneer het cluster is geïnstalleerd. De privésleutel van de Unified CM Trivial File Transfer Protocol-server (TFTP) wordt gebruikt om het ITL-bestand te ondertekenen.

Wanneer de Cisco Unified CM-cluster of -server zich in een niet-veilige modus bevindt, wordt het ITL-bestand gedownload op elke ondersteunde Cisco IP-telefoon. Een partner kan de inhoud van een ITL-bestand weergeven met de CLI-opdracht admin:show itl.

Cisco IP-telefoons hebben het ITL-bestand nodig om de volgende taken uit te voeren:

• Veilig communiceren met CAPF, een voorwaarde om de codering van het configuratiebestand te ondersteunen

• De handtekening van het configuratiebestand verifiëren

• Applicatieservers verifiëren, zoals EM-services, directory en MIDlet tijdens het opzetten van HTTPS met TVS

Apparaat-, bestand- en signaleringsverificatie is afhankelijk van het maken van het CTL-bestand (Certificate Trust List) dat wordt gemaakt wanneer de partner of klant de Cisco Certificate Trust List-client installeert en configureert.

Het CTL-bestand bevat vermeldingen voor de volgende servers of beveiligingstokens:

• Beveiligingstoken systeembeheerder (SAST)

• Cisco CallManager- en Cisco TFTP-services die op dezelfde server worden uitgevoerd

• Proxyfunctie certificeringsinstantie (CAPF)

• TFTP-server(s)

• ASA-firewall

Het CTL-bestand bevat een servercertificaat, openbare sleutel, serienummer, handtekening, naam van de uitgever, naam van het onderwerp, serverfunctie, DNS-naam en IP-adres voor elke server.

Telefoonbeveiliging met CTL biedt de volgende functies:

• Verificatie van TFTP-gedownloade bestanden (configuratie, landinstelling, bellijst, enzovoort) met behulp van een ondertekeningssleutel

• Codering van TFTP-configuratiebestanden met een ondertekeningssleutel

• Gecodeerde gesprekssignalering voor IP-telefoons

• Gecodeerde gespreksaudio (media) voor IP-telefoons

Dedicated Instance biedt eindpuntregistratie en gespreksverwerking. De signalering tussen Cisco Unified CM en eindpunten is gebaseerd op Secure Skinny Client Control Protocol (SCCP) of Session Initiation Protocol (SIP) en kan worden gecodeerd met Transport Layer Security (TLS). De media van/naar de eindpunten is gebaseerd op Real-time Transport Protocol (RTP) en kan ook worden gecodeerd met Secure RTP (SRTP).

Als u de gemengde modus inschakelt op Unified CM, wordt codering van het signalerings- en mediaverkeer van en naar de Cisco-eindpunten ingeschakeld.

Veilige UC-toepassingen

De gemengde modus is standaard ingeschakeld in Dedicated Instance.

Als u de gemengde modus inschakelt in Dedicated Instance, kunt u de codering van het signalerings- en mediaverkeer van en naar de Cisco-eindpunten uitvoeren.

In Cisco Unified CM-versie 12.5(1) is een nieuwe optie toegevoegd voor Jabber- en Webex-clients om codering van signalering en media op basis van SIP OAuth in plaats van gemengde modus/CTL in te schakelen. Daarom kunnen SIP OAuth en SRTP in Unified CM-versie 12.5(1) worden gebruikt om codering voor signalering en media voor Jabber- of Webex-clients in te schakelen. Het inschakelen van de gemengde modus blijft op dit moment vereist voor Cisco IP-telefoons en andere Cisco-eindpunten. Er is een plan om ondersteuning voor SIP OAuth in 7800/8800-eindpunten toe te voegen in een toekomstige versie.

Cisco Unity Connection maakt verbinding met Unified CM via de TLS-poort. Wanneer de beveiligingsmodus van het apparaat niet veilig is, maakt Cisco Unity Connection verbinding met Unified CM via de SCCP-poort.

Als u beveiliging wilt configureren voor Unified CM-poorten voor spraakberichten en Cisco Unity-apparaten waarop SCCP- of Cisco Unity Connection-apparaten worden uitgevoerd waarop SCCP wordt uitgevoerd, kan een partner een beveiligde apparaatbeveiligingsmodus voor de poort kiezen. Als u een geverifieerde voicemailpoort kiest, wordt een TLS-verbinding geopend die de apparaten verifieert via een gemeenschappelijke certificaatuitwisseling (elk apparaat accepteert het certificaat van het andere apparaat). Als u een gecodeerde voicemailpoort kiest, verifieert het systeem eerst de apparaten en verzendt het vervolgens gecodeerde spraakstromen tussen de apparaten.

Voor meer informatie over de poorten voor Beveiliging spraakberichten raadpleegt u: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Communicatie tussen Cisco Unified CM en CUBE beveiligen

Voor veilige communicatie tussen Cisco Unified CM en CUBE moeten partners/klanten zelfondertekende certificaten of certificaten met CA-ondertekening gebruiken.

Voor zelfondertekende certificaten:

1. CUBE en Cisco Unified CM genereren zelfondertekende certificaten

2. CUBE exporteert certificaat naar Cisco Unified CM

3. Cisco Unified CM exporteert het certificaat naar CUBE

Voor door een certificeringsinstantie ondertekende certificaten:

1. De client genereert een sleutelpaar en verzendt een CSR (Certificate Signing Request) naar de certificeringsinstantie (CA)

2. De CA ondertekent deze met zijn privésleutel en maakt een identiteitscertificaat

3. De client installeert de lijst met vertrouwde CA-hoofdcertificaten en bemiddelaarscertificaten en het identiteitscertificaat

Samenvatting van het protocol

In de volgende tabel worden de protocollen en bijbehorende services weergegeven die worden gebruikt in de Unified CM-oplossing.

Zie voor meer informatie over de MRA-configuratie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Jabber en Webex beveiligen met SIP OAuth

Jabber- en Webex-clients worden geverifieerd via een OAuth-token in plaats van een lokaal significant certificaat (LSC), waarvoor de proxyfunctie van de certificeringsinstantie (CAPF) niet moet worden ingeschakeld (ook voor MRA). SIP OAuth werkt met of zonder gemengde modus is geïntroduceerd in Cisco Unified CM 12.5(1), Jabber 12.5 en Expressway X12.5.

In Cisco Unified CM 12.5 hebben we een nieuwe optie in het telefoonbeveiligingsprofiel waarmee codering zonder LSC/CAPF wordt ingeschakeld met één TLS-token (Transport Layer Security) + OAuth in SIP REGISTER. Expressway-C-knooppunten gebruiken de API (Administrative XML Web Service) om Cisco Unified CM te informeren over de SN/SAN in hun certificaat. Cisco Unified CM gebruikt deze informatie om het Exp-C-certificaat te valideren bij het tot stand brengen van een gemeenschappelijke TLS-verbinding.

SIP OAuth schakelt media- en signaleringscodering in zonder eindpuntcertificaat (LSC).

Cisco Jabber gebruikt Ephemeral-poorten en beveiligt de poorten 6971 en 6972 via HTTPS-verbinding met de TFTP-server om de configuratiebestanden te downloaden. Poort 6970 is een niet-beveiligde poort die kan worden gedownload via HTTP.

Meer informatie over SIP OAuth-configuratie: SIP OAuth-modus.