Fysisk sikkerhet

Det er viktig å gi fysisk sikkerhet til steder i Equinix Meet-Me-rommet og Ciscos dedikerte forekomstdatasenter-anlegg. Når den fysiske sikkerheten er kompromittert, kan enkle angrep som tjenesteavbrudd ved å slå av strømmen til en kundes svitsjer. Med fysisk tilgang kunne angriperne få tilgang til serverenheter, tilbakestille passord og få tilgang til svitsjer. Fysisk tilgang muliggjør også mer sofistikerte angrep som mellommannsangrep, og derfor er det andre sikkerhetslaget, nettverkssikkerheten, kritisk.

Selvkrypterende stasjoner brukes i dedikerte forekomstdatasentre som er vert for UC-programmer.

Hvis du vil ha mer informasjon om generelle sikkerhetstiltak, kan du se dokumentasjonen på følgende sted: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Nettverkssikkerhet

Partnere må sørge for at alle nettverkselementene er sikret i infrastruktur for dedikert forekomst (som kobles til via Equinix). Det er partnerens ansvar å sikre beste praksis for sikkerhet, for eksempel:

• Separat VLAN for tale og data

• Aktiver portsikkerhet som begrenser antall tillatte MAC-adresser per port, mot CAM-bordoversvømmelser

• IP-kildebeskyttelse mot forfalskede IP-adresser

• Dynamic ARP Inspection (DAI) undersøker adresseoppløsningsprotokoll (ARP) og gratuitous ARP (GARP) for brudd (mot ARP-forfalskning)

• 802.1x begrenser nettverkstilgangen til å godkjenne enheter på tilordnede VLAN-er (telefoner støtter 802.1x)

• Konfigurasjon av tjenestekvalitet (QoS) for riktig merking av talepakker

• Konfigurasjoner for brannmurporter for blokkering av annen trafikk

Sikkerhet for endepunkter

Cisco-endepunkter støtter standard sikkerhetsfunksjoner som signert fastvare, sikker oppstart (valgte modeller), produsentinstallert sertifikat (MIC) og signerte konfigurasjonsfiler, som gir et visst sikkerhetsnivå for endepunkter.

I tillegg kan en partner eller kunde aktivere ytterligere sikkerhet, for eksempel:

• Krypter IP-telefontjenester (via HTTPS) for tjenester som Extension Mobility

• Utstede lokalt viktige sertifikater (LSC-er) fra sertifiseringsinstansens proxy-funksjon (CAPF) eller en offentlig sertifiseringsinstans (CA)

• Krypter konfigurasjonsfiler

• Krypter medier og signalisering

• Deaktiver disse innstillingene hvis de ikke brukes: PC-port, PC Voice VLAN Access, Gratuitous ARP, Webtilgang, Innstillinger-knapp, SSH, konsoll

Implementering av sikkerhetsmekanismer i den dedikerte forekomsten hindrer identitetstyveri av telefonene og Unified CM-serveren, manipulering av data og manipulering av samtalesignalisering/mediestrøm.

Dedikert forekomst over nettverket:

• Etablerer og vedlikeholder godkjente kommunikasjonsstrømmer

• Signer filer digitalt før du overfører filen til telefonen

• Krypterer mediestrømmer og samtalesignalisering mellom Cisco Unified IP-telefoner

Sikkerhet gir som standard følgende automatiske sikkerhetsfunksjoner for Cisco Unified IP-telefoner:

• Signering av telefonkonfigurasjonsfiler

• Støtte for kryptering av telefonkonfigurasjonsfil

• HTTPS med Tomcat og andre webtjenester (MIDlets)

For Unified CM versjon 8.0 senere leveres disse sikkerhetsfunksjonene som standard uten å kjøre CTL-klienten (Certificate Trust List).

Fordi det er et stort antall telefoner i et nettverk og IP-telefoner har begrenset minne, fungerer Cisco Unified CM som et eksternt klareringslager gjennom Trust Verification Service (TVS), slik at det ikke er nødvendig å plassere et sertifikatklareringslager på hver telefon. Cisco IP-telefonene kontakter TVS-serveren for bekreftelse fordi de ikke kan bekrefte en signatur eller sertifikat gjennom CTL- eller ITL-filer. Det er enklere å administrere å ha et sentralt klareringslager enn å ha klareringslageret på hver Cisco Unified IP-telefon.

TVS gjør det mulig for Cisco Unified IP-telefoner å godkjenne programservere, for eksempel EM-tjenester, katalog og MIDlet, under HTTPS-opprettingen.

ITL-filen (Initial Trust List) brukes for den første sikkerheten, slik at endepunktene kan stole på Cisco Unified CM. ITL trenger ikke å aktivere noen sikkerhetsfunksjoner eksplisitt. ITL-filen opprettes automatisk når klyngen er installert. Den private nøkkelen til Unified CM Trivial File Transfer Protocol (TFTP)-serveren brukes til å signere ITL-filen.

Når Cisco Unified CM-klyngen eller -serveren er i usikker modus, lastes ITL-filen ned på alle støttede Cisco IP-telefoner. En partner kan vise innholdet i en ITL-fil ved hjelp av kommandoen CLI, admin:show itl.

Cisco IP-telefoner trenger ITL-filen for å utføre følgende oppgaver:

• Kommuniser sikkert til CAPF, en forutsetning for å støtte konfigurasjonsfilkryptering

• Godkjenne signaturen til konfigurasjonsfilen

• Godkjenn programservere, for eksempel EM-tjenester, katalog og MIDlet under etablering av HTTPS ved bruk av TVS

Enhet-, fil- og signaliseringsgodkjenning er avhengig av opprettelsen av CTL-filen (Certificate Trust List), som opprettes når partneren eller kunden installerer og konfigurerer Cisco Certificate Trust List Client.

CTL-filen inneholder oppføringer for følgende servere eller sikkerhetstokener:

• Sikkerhetstoken for systemansvarlig (SAST)

• Cisco CallManager og Cisco TFTP-tjenester som kjører på samme server

• CAPF (Certificate Authority Proxy Function)

• TFTP-server(er)

• ASA brannmur

CTL-filen inneholder serversertifikat, offentlig nøkkel, serienummer, signatur, utstedernavn, emnenavn, serverfunksjon, DNS-navn og IP-adresse for hver server.

Telefonsikkerhet med CTL gir følgende funksjoner:

• Godkjenning av TFTP-nedlastede filer (konfigurasjon, nasjonale innstillinger, ringeliste osv.) ved hjelp av en signeringsnøkkel

• Kryptering av TFTP-konfigurasjonsfiler ved hjelp av en signeringsnøkkel

• Kryptert anropssignalisering for IP-telefoner

• Kryptert samtalelyd (media) for IP-telefoner

Dedikert forekomst gir endepunktregistrering og samtalebehandling. Signaliseringen mellom Cisco Unified CM og endepunkter er basert på Secure Skinny Client Control Protocol (SCCP) eller Session Initiation Protocol (SIP) og kan krypteres ved hjelp av Transport Layer Security (TLS). Mediene fra/til endepunktene er basert på Real-Time Transport Protocol (RTP) og kan også krypteres ved hjelp av Secure RTP (SRTP).

Aktivering av blandet modus på Unified CM muliggjør kryptering av signal- og medietrafikk fra og til Cisco-endepunktene.

Sikre UC-programmer

Blandet modus er aktivert som standard i dedikert forekomst.

Aktivering av blandet modus i dedikert forekomst gjør det mulig å utføre kryptering av signaliserings- og medietrafikk fra og til Cisco-endepunktene.

I Cisco Unified CM versjon 12.5(1) ble et nytt alternativ for å aktivere kryptering av signalisering og medier basert på SIP OAuth i stedet for blandet modus / CTL lagt til for Jabber- og Webex-klienter. I Unified CM versjon 12.5(1) kan derfor SIP OAuth og SRTP brukes til å aktivere kryptering for signalisering og medier for Jabber- eller Webex-klienter. Aktivering av blandet modus er fortsatt nødvendig for Cisco IP-telefoner og andre Cisco-endepunkter på dette tidspunktet. Det er en plan om å legge til støtte for SIP OAuth i 7800/8800 endepunkter i en fremtidig utgivelse.

Cisco Unity Connection kobles til Unified CM via TLS-porten. Når sikkerhetsmodusen for enheten ikke er sikker, kobles Cisco Unity Connection til Unified CM via SCCP-porten.

Hvis du vil konfigurere sikkerhet for Unified CM-talemeldingsporter og Cisco Unity-enheter som kjører SCCP eller Cisco Unity Connection-enheter som kjører SCCP, kan en partner velge en sikker enhetssikkerhetsmodus for porten. Hvis du velger en godkjent talepostport, åpnes en TLS-tilkobling som godkjenner enhetene ved hjelp av en gjensidig sertifikatutveksling (hver enhet godtar sertifikatet for den andre enheten). Hvis du velger en kryptert talepostport, godkjenner systemet først enhetene og sender deretter krypterte talestrømmer mellom enhetene.

Hvis du vil ha mer informasjon om porter for sikkerhetstalemeldinger, kan du se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sikre kommunikasjonen mellom Cisco Unified CM og CUBE

For sikker kommunikasjon mellom Cisco Unified CM og CUBE må partnere/kunder bruke enten selvsignerte sertifikater eller CA-signerte sertifikater.

For selvsignerte sertifikater:

1. CUBE og Cisco Unified CM genererer egensignerte sertifikater

2. CUBE eksporterer sertifikat til Cisco Unified CM

3. Cisco Unified CM eksporterer sertifikat til CUBE

For CA-signerte sertifikater:

1. Klienten genererer et nøkkelpar og sender en sertifikatsigneringsforespørsel (CSR) til sertifikatmyndigheten (CA)

2. CA signerer den med sin private nøkkel, og oppretter et identitetssertifikat

3. Klienten installerer listen over klarerte CA Root- og Intermediary-sertifikater og identitetssertifikatet

Protokollsammendrag

Tabellen nedenfor viser protokollene og tilknyttede tjenester som brukes i Unified CM-løsningen.

Hvis du vil ha mer informasjon om MRA-konfigurasjon, kan du se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Sikre Jabber og Webex med SIP OAuth

Jabber- og Webex-klienter godkjennes via et OAuth-token i stedet for et lokalt signifikant sertifikat (LSC), som ikke krever aktivering av sertifiseringsinstans proxy-funksjon (CAPF) (også for MRA). SIP OAuth som fungerer med eller uten blandet modus ble introdusert i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.

I Cisco Unified CM 12.5 har vi et nytt alternativ i telefonsikkerhetsprofilen som muliggjør kryptering uten LSC/CAPF, ved hjelp av ett enkelt Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder bruker API Administrative XML Web Service (AXL) TIL å informere Cisco Unified CM om SN/SAN i sertifikatet. Cisco Unified CM bruker denne informasjonen til å validere Exp-C-sertifikatet når det opprettes en felles TLS-tilkobling.

SIP OAuth muliggjør kryptering av medier og signalisering uten endepunktsertifikat (LSC).

Cisco Jabber bruker flyktige porter og sikre porter 6971 og 6972 via HTTPS-tilkobling til TFTP-serveren for å laste ned konfigurasjonsfilene. Port 6970 er en usikret port for nedlasting via HTTP.

Mer informasjon om SIP OAuth-konfigurasjon: SIP OAuth-modus.