Fysisk sikkerhet

Det er viktig å sørge for fysisk sikkerhet for Equinix Meet-Me Room-lokasjoner og Cisco Dedicated Instance Data Center-fasiliteter. Når fysisk sikkerhet er kompromittert, kan enkle angrep, som tjenesteavbrudd ved å slå av strømmen til en kundes svitsjer, iverksettes. Med fysisk tilgang kunne angripere få tilgang til serverenheter, tilbakestille passord og få tilgang til svitsjer. Fysisk tilgang legger også til rette for mer sofistikerte angrep som «mann-i-middle»-angrep, og det er derfor det andre sikkerhetslaget, nettverkssikkerheten, er kritisk.

Selvkrypterende disker brukes i dedikerte instansdatasentre som er vert for UC-applikasjoner.

Hvis du vil ha mer informasjon om generelle sikkerhetsrutiner, kan du se dokumentasjonen på følgende sted: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Nettverkssikkerhet

Partnere må sørge for at alle nettverkselementene er sikret i en dedikert instansinfrastruktur (som kobles til via Equinix). Det er partnerens ansvar å sikre beste sikkerhetspraksis, som for eksempel:

• Separat VLAN for tale og data

• Aktiver portsikkerhet, som begrenser antall tillatte MAC-adresser per port, mot oversvømmelse av CAM-tabeller

• IP-kilde Beskyttelse mot forfalskede IP-adresser

• Dynamisk ARP-inspeksjon (DAI) undersøker adresseoppløsningsprotokollen (ARP) og unødvendig ARP (GARP) for brudd (mot ARP-forfalskning)

• 802.1x begrenser nettverkstilgang til autentisering av enheter på tildelte VLAN-er (telefoner støtter 802.1x)

• Konfigurasjon av tjenestekvalitet (QoS) for riktig merking av talepakker

• Konfigurasjoner av brannmurporter for å blokkere annen trafikk

Endepunktsikkerhet

Cisco-endepunkter støtter standard sikkerhetsfunksjoner som signert fastvare, sikker oppstart (utvalgte modeller), produsentinstallert sertifikat (MIC) og signerte konfigurasjonsfiler, som gir et visst sikkerhetsnivå for endepunkter.

I tillegg kan en partner eller kunde aktivere ekstra sikkerhet, for eksempel:

• Krypter IP-telefontjenester (via HTTPS) for tjenester som Extension Mobility

• Utstede lokalt viktige sertifikater (LSC-er) fra sertifiseringsinstansens proxyfunksjon (CAPF) eller en offentlig sertifiseringsinstans (CA)

• Krypter konfigurasjonsfiler

• Krypter media og signalering

• Deaktiver disse innstillingene hvis de ikke brukes: PC-port, PC Voice VLAN-tilgang, gratis ARP, nettilgang, innstillingsknapp, SSH, konsoll

Implementering av sikkerhetsmekanismer i den dedikerte instansen forhindrer identitetstyveri av telefonene og Unified CM-serveren, datamanipulering og anropssignalering. / manipulering av mediestrømmer.

Dedikert instans over nettverket:

• Etablerer og vedlikeholder autentiserte kommunikasjonsstrømmer

• Signerer filer digitalt før overføring til telefonen

• Krypterer mediestrømmer og anropssignalering mellom Cisco Unified IP-telefoner

Sikkerhet tilbyr som standard følgende automatiske sikkerhetsfunksjoner for Cisco Unified IP-telefoner:

• Signering av telefonens konfigurasjonsfiler

• Støtte for kryptering av telefonkonfigurasjonsfiler

• HTTPS med Tomcat og andre webtjenester (MIDlets)

For Unified CM Release 8.0 senere leveres disse sikkerhetsfunksjonene som standard uten at sertifikatklareringslisten (CTL) kjøres.

Fordi det er et stort antall telefoner i et nettverk og IP-telefoner har begrenset minne, fungerer Cisco Unified CM som et eksternt klareringslager gjennom Trust Verification Service (TVS), slik at det ikke trenger å plasseres et sertifikatklareringslager på hver telefon. Cisco IP-telefonene kontakter TVS-serveren for bekreftelse fordi de ikke kan bekrefte en signatur eller et sertifikat via CTL- eller ITL-filer. Det er enklere å administrere et sentralt klareringslager enn å ha klareringslageret på hver Cisco Unified IP-telefon.

TVS gjør det mulig for Cisco Unified IP-telefoner å autentisere applikasjonsservere, for eksempel EM-tjenester, katalog og MIDlet, under HTTPS-oppretting.

ITL-filen (Initial Trust List) brukes til den første sikkerheten, slik at endepunktene kan stole på Cisco Unified CM. ITL trenger ikke å aktivere noen sikkerhetsfunksjoner eksplisitt. ITL-filen opprettes automatisk når klyngen installeres. Den private nøkkelen til Unified CM Trivial File Transfer Protocol (TFTP)-serveren brukes til å signere ITL-filen.

Når Cisco Unified CM-klyngen eller -serveren er i usikker modus, lastes ITL-filen ned på alle støttede Cisco IP-telefoner. En partner kan se innholdet i en ITL-fil ved hjelp av CLI-kommandoen, admin:show itl.

Cisco IP-telefoner trenger ITL-filen for å utføre følgende oppgaver:

• Kommuniser sikkert med CAPF, en forutsetning for å støtte kryptering av konfigurasjonsfilen

• Autentiser konfigurasjonsfilens signatur

• Autentiser applikasjonsservere, som EM-tjenester, katalog og MIDlet under HTTPS-oppretting ved hjelp av TVS

Enhets-, fil- og signalgodkjenning er avhengig av opprettelsen av CTL-filen (Certificate Trust List), som opprettes når partneren eller kunden installerer og konfigurerer Cisco Certificate Trust List Client.

CTL-filen inneholder oppføringer for følgende servere eller sikkerhetstokener:

• Sikkerhetstoken for systemadministrator (SAST)

• Cisco CallManager- og Cisco TFTP-tjenester som kjører på samme server

• Proxy-funksjon for sertifiseringsinstans (CAPF)

• TFTP-server(e)

• ASA-brannmur

CTL-filen inneholder et serversertifikat, en offentlig nøkkel, et serienummer, en signatur, et utstedernavn, et emnenavn, en serverfunksjon, et DNS-navn og en IP-adresse for hver server.

Telefonsikkerhet med CTL tilbyr følgende funksjoner:

• Autentisering av TFTP-nedlastede filer (konfigurasjon, språk, ringliste osv.) ved hjelp av en signeringsnøkkel

• Kryptering av TFTP-konfigurasjonsfiler ved hjelp av en signeringsnøkkel

• Kryptert anropssignalering for IP-telefoner

• Kryptert samtalelyd (media) for IP-telefoner

Dedikert instans sørger for registrering av endepunkter og behandling av anrop. Signaleringen mellom Cisco Unified CM og endepunkter er basert på Secure Skinny Client Control Protocol (SCCP) eller Session Initiation Protocol (SIP) og kan krypteres ved hjelp av Transport Layer Security (TLS). Media from/to Endepunktene er basert på Real-time Transport Protocol (RTP) og kan også krypteres ved hjelp av Secure RTP (SRTP).

Aktivering av blandet modus på Unified CM aktiverer kryptering av signalering og medietrafikk fra og til Cisco-endepunktene.

Sikre UC-applikasjoner

Blandet modus er aktivert som standard i Dedikert instans.

Aktivering av blandet modus i Dedikert instans muliggjør kryptering av signalering og medietrafikk fra og til Cisco-endepunktene.

I Cisco Unified CM versjon 12.5(1), et nytt alternativ for å aktivere kryptering av signalering og media basert på SIP OAuth i stedet for blandet modus / CTL ble lagt til for Jabber- og Webex-klienter. Derfor kan SIP OAuth og SRTP i Unified CM versjon 12.5(1) brukes til å aktivere kryptering for signalering og media for Jabber- eller Webex-klienter. Aktivering av blandet modus er fortsatt nødvendig for Cisco IP-telefoner og andre Cisco-endepunkter for øyeblikket. Det er en plan om å legge til støtte for SIP OAuth i 7800/8800 endepunkter i en fremtidig utgivelse.

Cisco Unity Connection kobles til Unified CM via TLS-porten. Når enhetens sikkerhetsmodus er usikker, kobler Cisco Unity Connection seg til Unified CM via SCCP-porten.

For å konfigurere sikkerhet for Unified CM-talemeldingsporter og Cisco Unity-enheter som kjører SCCP, eller Cisco Unity Connection-enheter som kjører SCCP, kan en partner velge en sikkerhetsmodus for sikker enhet for porten. Hvis du velger en autentisert talepostport, åpnes en TLS-tilkobling, som autentiserer enhetene ved hjelp av en gjensidig sertifikatutveksling (hver enhet godtar sertifikatet til den andre enheten). Hvis du velger en kryptert talepostport, autentiserer systemet først enhetene og sender deretter krypterte talestrømmer mellom enhetene.

Hvis du vil ha mer informasjon om sikkerhetsporter for talemeldinger, kan du se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sikring av kommunikasjon mellom Cisco Unified CM og CUBE

For sikker kommunikasjon mellom Cisco Unified CM og CUBE, partners/customers må bruke enten selvsignert sertifikat eller CA-signerte sertifikater.

For selvsignerte sertifikater:

1. CUBE og Cisco Unified CM genererer selvsignerte sertifikater

2. CUBE eksporterer sertifikat til Cisco Unified CM

3. Cisco Unified CM eksporterer sertifikat til CUBE

For CA-signerte sertifikater:

1. Klienten genererer et nøkkelpar og sender en sertifikatsigneringsforespørsel (CSR) til sertifiseringsinstansen (CA)

2. CA-en signerer den med sin private nøkkel, og oppretter dermed et identitetssertifikat

3. Klienten installerer listen over klarerte CA-rot- og mellomsertifikater og identitetssertifikatet

Protokollsammendrag

Tabellen nedenfor viser protokollene og tilhørende tjenester som brukes i Unified CM-løsningen.

Hvis du vil ha mer informasjon om MRA-konfigurasjon, kan du se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Sikring av Jabber og Webex med SIP OAuth

Jabber- og Webex-klienter autentiseres via et OAuth-token i stedet for et lokalt signifikant sertifikat (LSC), som ikke krever aktivering av sertifiseringsinstansens proxyfunksjon (CAPF) (også for MRA). SIP OAuth som fungerer med eller uten blandet modus ble introdusert i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.

I Cisco Unified CM 12.5 har vi et nytt alternativ i Telefonsikkerhetsprofil som aktiverer kryptering uten LSC/CAPF, bruker enkelt transportlagssikkerhet (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder bruker AXL-API-et (Administrative XML Web Service) til å informere Cisco Unified CM om SN/SAN i sertifikatet sitt. Cisco Unified CM bruker denne informasjonen til å validere Exp-C-sertifikatet når det opprettes en gjensidig TLS-tilkobling.

SIP OAuth muliggjør medie- og signalkryptering uten et endepunktsertifikat (LSC).

Cisco Jabber bruker flyktige porter og sikre porter 6971 og 6972 via HTTPS-tilkobling til TFTP-serveren for å laste ned konfigurasjonsfilene. Port 6970 er en usikker port for nedlasting via HTTP.

Mer informasjon om SIP OAuth-konfigurasjon: SIP OAuth-modus.