Bezpieczeństwo fizyczne

Ważne jest, aby zapewnić fizyczne bezpieczeństwo lokalizacji Equinix Meet-Me Room i Cisco Dedykowane wystąpienie Obiekty centrum danych. Gdy bezpieczeństwo fizyczne zostanie naruszone, można zainicjować proste ataki, takie jak przerwanie usług przez wyłączenie zasilania przełączników klienta. Dzięki dostępowi fizycznemu osoby atakujące mogą uzyskać dostęp do urządzeń serwerowych, zresetować hasła i uzyskać dostęp do przełączników. Fizyczny dostęp ułatwia również bardziej wyrafinowane ataki, takie jak ataki typu man-in-the-middle, dlatego druga warstwa zabezpieczeń, bezpieczeństwo sieci, ma kluczowe znaczenie.

Dyski samoszyfrujące są używane w Dedykowane wystąpienie Centra danych obsługujące aplikacje UC.

Aby uzyskać więcej informacji na temat ogólnych zasad bezpieczeństwa, zapoznaj się z dokumentacją w następującej lokalizacji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Bezpieczeństwo sieci

Partnerzy muszą upewnić się, że wszystkie elementy sieci są zabezpieczone w Dedykowane wystąpienie infrastruktury (która łączy się przez Equinix). Obowiązkiem partnera jest zapewnienie najlepszych praktyk w zakresie bezpieczeństwa, takich jak:

• Oddzielna VLAN do przesyłania głosu i danych

• Włącz zabezpieczenia portów, które ograniczają liczbę dozwolonych adresów MAC na port, aby zapobiec zalewaniu tabel CAM

• Ochrona źródła IP przed fałszywymi adresami IP

• Dynamic ARP Inspection (DAI) sprawdza protokół rozpoznawania adresów (ARP) i nieuzasadniony protokół ARP (GARP) pod kątem naruszeń (przeciwko fałszowaniu ARP)

• 802.1x ogranicza dostęp do sieci w celu uwierzytelniania urządzeń w przypisanych sieciach VLAN (telefony obsługują 802.1x )

• Konfiguracja jakości usługi (QoS) w celu odpowiedniego oznaczania pakietów głosowych

• Konfiguracje portów zapory do blokowania wszelkiego innego ruchu

Bezpieczeństwo punktów końcowych

Punkty końcowe Cisco obsługują domyślne funkcje zabezpieczeń, takie jak podpisane oprogramowanie sprzętowe, bezpieczny rozruch (wybrane modele), certyfikat zainstalowany przez producenta (MIC) i podpisane pliki konfiguracyjne, które zapewniają określony poziom bezpieczeństwa punktów końcowych.

Ponadto partner lub klient może włączyć dodatkowe zabezpieczenia, takie jak:

• Szyfrowanie usług telefonicznych IP (przez HTTPS) dla usług, takich jak Extension Mobility

• Wydaj certyfikaty o znaczeniu lokalnym (LSC) za pomocą funkcji serwera proxy urzędu certyfikacji (CAPF) lub publicznego urzędu certyfikacji (CA)

• Zaszyfruj pliki konfiguracyjne

• Zaszyfruj multimedia i sygnalizację

• Wyłącz te ustawienia, jeśli nie są używane: Port PC, dostęp do VLAN PC Voice, Gratuitous ARP, dostęp do sieci Web, przycisk Ustawienia, SSH, konsola

Wdrożenie mechanizmów bezpieczeństwa w Dedykowane wystąpienie zapobiega kradzieży tożsamości telefonów i serwera Unified CM , manipulowaniu danymi oraz manipulowaniem sygnalizacją połączenia/strumieniem multimediów.

Dedykowane wystąpienie przez sieć:

• Ustanawia i utrzymuje uwierzytelnione strumienie komunikacji

• Podpisuje cyfrowo pliki przed przesłaniem ich do telefonu

• Szyfruje strumienie multimediów i sygnalizację połączeń między telefonami IP Cisco Unified

Zabezpieczenia domyślnie zapewniają następujące automatyczne funkcje zabezpieczeń dla telefonów IP Cisco Unified:

• Podpisywanie plików konfiguracyjnych telefonu

• Obsługa szyfrowania plików konfiguracyjnych telefonu

• HTTPS z Tomcat i innymi usługami internetowymi (MIDlety)

W przypadku wersji Unified CM w wersji 8.0 te funkcje zabezpieczeń są domyślnie udostępniane bez uruchamiania klienta listy zaufanych certyfikatów (CTL).

Ponieważ w sieci jest duża liczba telefonów, a telefony IP mają ograniczoną pamięć, program Cisco Unified CM działa jako zdalny magazyn zaufania za pośrednictwem usługi Trust Verification Service (TVS), dzięki czemu nie trzeba umieszczać magazynu zaufania certyfikatów na każdym telefonie. Telefony IP Cisco kontaktują się z serwerem TVS w celu weryfikacji, ponieważ nie mogą zweryfikować podpisu ani certyfikatu za pomocą plików CTL lub ITL. Zarządzanie centralnym magazynem zaufania jest łatwiejsze niż posiadanie go w każdym telefonie IP Cisco Unified.

TVS umożliwia telefonom IP Cisco Unified uwierzytelnianie serwerów aplikacji, takich jak usługi EM , katalog i MIDlet, podczas ustanawiania protokołu HTTPS.

Plik początkowej listy zaufania (ITL) jest używany do początkowego zabezpieczenia, dzięki czemu punkty końcowe mogą ufać Cisco Unified CM. ITL nie wymaga jawnego włączenia żadnych funkcji zabezpieczeń. Plik ITL jest tworzony automatycznie podczas instalowania klastra. Klucz prywatny serwera Unified CM Trivial File Transfer Protocol (TFTP) jest używany do podpisywania pliku ITL.

Gdy klaster lub serwer Cisco Unified CM jest w trybie niezabezpieczonym, plik ITL jest pobierany na każdy obsługiwany telefon IP Cisco . Partner może wyświetlać zawartość pliku ITL za pomocą polecenia interfejsu wiersza polecenia admin:show itl.

Telefony IP Cisco potrzebują pliku ITL do wykonywania następujących zadań:

• Bezpieczna komunikacja z CAPF, co jest warunkiem wstępnym obsługi szyfrowania pliku konfiguracyjnego

• Uwierzytelnij podpis pliku konfiguracyjnego

• Uwierzytelnianie serwerów aplikacji, takich jak usługi EM , katalogi i MIDlet podczas ustanawiania protokołu HTTPS za pomocą TVS

Uwierzytelnianie urządzenia, pliku i sygnalizacji polega na utworzeniu pliku listy zaufania certyfikatów (CTL), który jest tworzony podczas instalowania i konfigurowania klienta listy zaufania certyfikatów Cisco przez partnera lub klienta.

Plik CTL zawiera wpisy dla następujących serwerów lub tokenów zabezpieczających:

• Token bezpieczeństwa administratora systemu (SAST)

• Usługi Cisco CallManager i Cisco TFTP , które działają na tym samym serwerze

• Funkcja serwera proxy Certificate Authority (CAPF)

• Serwery TFTP

• Zapora sieciowa ASA

Plik CTL zawiera certyfikat serwera, klucz publiczny, numer seryjny, podpis, nazwę wystawcy, nazwę podmiotu, funkcję serwera, nazwę DNS i adres IP dla każdego serwera.

Zabezpieczenia telefonu za pomocą CTL zapewniają następujące funkcje:

• Uwierzytelnianie pobranych plików TFTP (konfiguracja, ustawienia regionalne, lista dzwonków itd.) za pomocą klucza podpisywania

• Szyfrowanie plików konfiguracyjnych TFTP przy użyciu klucza podpisywania

• Sygnalizacja połączenia szyfrowanego dla telefonów IP

• Dźwięk (media) szyfrowanego połączenia dla telefonów IP

Dedykowane wystąpienie zapewnia rejestrację punktów końcowych i przetwarzanie połączeń. Sygnalizacja między Cisco Unified CM a punktami końcowymi jest oparta na protokole SCCP(Secure Skinny Client Control Protocol) lub Session Initiation Protocol (SIP) i może być szyfrowana przy użyciu protokołu Transport Layer Security (TLS). Media z/do punktów końcowych są oparte na protokole transportu w czasie rzeczywistym (RTP ) i mogą być również szyfrowane przy użyciu protokołu SRTP (Secure RTP ).

Włączenie trybu mieszanego w Unified CM umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego z i do punktów końcowych Cisco .

Bezpieczne aplikacje UC

Tryb mieszany jest domyślnie włączony w Dedykowane wystąpienie .

Włączanie trybu mieszanego w Dedykowane wystąpienie umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego z i do punktów końcowych Cisco .

W wersji 12.5(1) programu Cisco Unified CM dodano nową opcję włączania szyfrowania sygnalizacji i multimediów w oparciu o protokół SIP OAuth zamiast trybu mieszanego / CTL dla klientów Jabber i Webex . Dlatego w wersji Unified CM 12.5(1) SIP OAuth i SRTP mogą być używane do włączania szyfrowania sygnalizacji i mediów dla klientów Jabber lub Webex . Włączenie trybu mieszanego jest obecnie wymagane dla telefonów IP Cisco i innych punktów końcowych Cisco . W przyszłej wersji planowane jest dodanie obsługi protokołu SIP OAuth w punktach końcowych 7800/8800.

Cisco Unity Connection łączy się z systemem Unified CM przez port TLS . Gdy tryb zabezpieczeń urządzenia jest niezabezpieczony, program Cisco Unity Connection łączy się z systemem Unified CM przez port SCCP .

Aby skonfigurować zabezpieczenia portów komunikacji głosowej Unified CM i urządzeń Cisco Unity z systemem SCCP lub urządzeń Cisco Unity Connection z systemem SCCP, partner może wybrać dla portu bezpieczny tryb zabezpieczeń urządzenia. Jeśli wybierzesz uwierzytelniony port poczty głosowej, zostanie otwarte połączenie TLS , które uwierzytelnia urządzenia przy użyciu wzajemnej wymiany certyfikatów (każde urządzenie akceptuje certyfikat drugiego urządzenia). Jeśli wybierzesz szyfrowany port poczty głosowej, system najpierw uwierzytelni urządzenia, a następnie wyśle zaszyfrowane strumienie głosowe między urządzeniami.

Aby uzyskać więcej informacji na temat portów wiadomości Security Voice, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpieczenie komunikacji między Cisco Unified CM a CUBE

Aby zapewnić bezpieczną komunikację między Cisco Unified CM i CUBE, partnerzy/klienci muszą używać certyfikatu z podpisem własnym lub certyfikatu z podpisem urzędu certyfikacji.

W przypadku certyfikatów z podpisem własnym:

1. CUBE i Cisco Unified CM generują certyfikaty z podpisem własnym

2. CUBE eksportuje certyfikat do Cisco Unified CM

3. Cisco Unified CM eksportuje certyfikat do CUBE

W przypadku certyfikatów podpisanych przez urząd certyfikacji:

1. Klient generuje parę kluczy i wysyła żądanie podpisania certyfikatu (CSR) do urzędu Certificate Authority (CA)

2. Urząd certyfikacji podpisuje go swoim kluczem prywatnym, tworząc certyfikat tożsamości

3. Klient instaluje listę zaufanych certyfikatów głównych i pośrednich urzędu certyfikacji oraz certyfikat tożsamości

Podsumowanie protokołu

W poniższej tabeli przedstawiono protokoły i powiązane usługi używane w rozwiązaniu Unified CM .

Aby uzyskać więcej informacji na temat konfiguracji MRA, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zabezpieczanie Jabbera i Webex za pomocą protokołu SIP OAuth

Klienci Jabber i Webex są uwierzytelniani za pomocą tokenu OAuth zamiast certyfikatu ważnego lokalnie (LSC), który nie wymaga włączenia funkcji serwera proxy urzędu certyfikacji (CAPF) (również dla MRA). Protokół SIP OAuth działający w trybie mieszanym lub bez niego został wprowadzony w Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

W Cisco Unified CM 12.5 dostępna jest nowa opcja w profilu zabezpieczeń telefonu, która umożliwia szyfrowanie bez użycia algorytmu LSC/ CAPF przy użyciu pojedynczego tokenu Transport Layer Security (TLS) + tokenu OAuth w protokole SIP REGISTER. Węzły Expressway-C używają API AXL (Administracyjne XML Web Service) do informowania systemu Cisco Unified CM o SN/SAN w ich certyfikacie. Cisco Unified CM wykorzystuje te informacje do sprawdzania poprawności certyfikatu Exp-C podczas nawiązywania wzajemnego połączenia TLS .

SIP OAuth umożliwia szyfrowanie multimediów i sygnalizacji bez certyfikatu punktu końcowego (LSC).

Cisco Jabber używa portów efemerycznych i bezpiecznych portów 6971 i 6972 za pośrednictwem połączenia HTTPS z serwerem TFTP w celu pobrania plików konfiguracyjnych. Port 6970 to niezabezpieczony port do pobierania za pośrednictwem protokołu HTTP.

Więcej informacji o konfiguracji protokołu SIP OAuth: Tryb SIP OAuth .