Bezpieczeństwo fizyczne

Ważne jest zapewnienie fizycznego bezpieczeństwa lokalizacjom Equinix Meet-Me Room i obiektom Cisco Dedicated Instance Data Center. Gdy bezpieczeństwo fizyczne jest zagrożone, można zainicjować proste ataki, takie jak zakłócenie obsługi poprzez wyłączenie zasilania przełączników klienta. Dzięki fizycznemu dostępowi atakujący mogli uzyskać dostęp do urządzeń serwera, zresetować hasła i uzyskać dostęp do przełączników. Fizyczny dostęp ułatwia również bardziej wyrafinowane ataki, takie jak ataki man-in-the-middle, dlatego druga warstwa bezpieczeństwa, bezpieczeństwo sieci, jest krytyczna.

Napędy Self-Encrypting są używane w dedykowanych centrach danych wystąpień, które obsługują aplikacje UC.

Więcej informacji na temat ogólnych praktyk bezpieczeństwa można znaleźć w dokumentacji w następującej lokalizacji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Bezpieczeństwo sieci

Partnerzy muszą zapewnić, że wszystkie elementy sieci są zabezpieczone w infrastrukturze dedykowanego wystąpienia (która łączy się poprzez Equinix). Do obowiązków partnera należy zapewnienie najlepszych praktyk w zakresie bezpieczeństwa, takich jak:

• Oddzielna sieć VLAN dla połączeń głosowych i danych

• Włącz Zabezpieczenia portów, które ograniczają liczbę dozwolonych adresów MAC na port, przed zalaniem tabeli CAM

• Osłona źródła IP przed zepsutymi adresami IP

• Dynamiczna Inspekcja ARP (DAI) bada protokół rozwiązywania problemów (ARP) i bezinteresowny ARP (GARP) w przypadku naruszeń (w przypadku ARP spoofing)

• 802.1x ogranicza dostęp do sieci do uwierzytelniania urządzeń w przypisanych sieciach VLAN (telefony obsługują protokół 802.1x)

• Konfiguracja jakości usług (QoS) w celu odpowiedniego oznakowania pakietów głosowych

• Konfiguracje portów zapory w celu zablokowania innego ruchu

Bezpieczeństwo punktów końcowych

Punkty końcowe Cisco obsługują domyślne funkcje zabezpieczeń, takie jak podpisane oprogramowanie sprzętowe, bezpieczne rozruch (wybrane modele), certyfikat instalowany przez producenta (MIC) oraz podpisane pliki konfiguracyjne, które zapewniają określony poziom bezpieczeństwa punktów końcowych.

Dodatkowo partner lub klient może włączyć dodatkowe zabezpieczenia, takie jak:

• Szyfrowanie usług telefonicznych IP (za pośrednictwem HTTPS) dla usług takich jak Extension Mobility

• Wydawanie certyfikatów o znaczeniu lokalnym (LSC) z funkcji proxy urzędu certyfikacji (CAPF) lub publicznego urzędu certyfikacji (CA)

• Szyfrowanie plików konfiguracyjnych

• Szyfrowanie multimediów i sygnalizacji

• Wyłącz te ustawienia, jeśli nie są używane: port komputera, dostęp do sieci VLAN głosowej komputera, dostęp do sieci WWW, przycisk ustawień, SSH, konsola

Wdrożenie mechanizmów zabezpieczeń w dedykowanym wystąpieniu zapobiega kradzieży tożsamości telefonów i serwera Unified CM, manipulowaniu danymi oraz manipulowaniu sygnalizacją połączeń / strumieniem multimedialnym.

Dedykowane wystąpienie w sieci:

• Ustanawia i utrzymuje uwierzytelnione strumienie komunikacji

• Digitalnie podpisuje pliki przed przeniesieniem pliku do telefonu

• Szyfruje strumienie multimediów i sygnalizację połączeń między telefonami IP Cisco Unified

Domyślnie zabezpieczenia zapewniają następujące automatyczne funkcje zabezpieczeń telefonów IP Cisco Unified:

• Podpisanie plików konfiguracyjnych telefonu

• Obsługa szyfrowania plików konfiguracji telefonu

• HTTPS z Tomcat i innymi usługami sieciowymi (MIDlets)

W przypadku wersji 8.0 Unified CM później te funkcje zabezpieczeń są domyślnie dostarczane bez uruchamiania klienta listy zaufanych certyfikatów (CTL).

Ponieważ w sieci jest duża liczba telefonów, a telefony IP mają ograniczoną pamięć, Cisco Unified CM działa jako zdalny sklep zaufania za pośrednictwem usługi weryfikacji zaufania (TVS), dzięki czemu sklep zaufania certyfikatów nie musi być umieszczony na każdym telefonie. Telefony IP Cisco kontaktują się z serwerem TVS w celu weryfikacji, ponieważ nie mogą zweryfikować podpisu ani certyfikatu za pośrednictwem plików CTL lub ITL. Posiadanie centralnego sklepu zaufania jest łatwiejsze do zarządzania niż posiadanie sklepu zaufania na każdym telefonie IP Cisco Unified.

TVS umożliwia telefonom IP Cisco Unified uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet, podczas zakładania protokołu HTTPS.

Plik Initial Trust List (ITL) jest używany do wstępnego zabezpieczenia, dzięki czemu punkty końcowe mogą zaufać Cisco Unified CM. ITL nie wymaga wyraźnego włączenia żadnych funkcji zabezpieczeń. Plik ITL jest automatycznie tworzony po zainstalowaniu klastra. Klucz prywatny serwera Unified CM Trivial File Transfer Protocol (TFTP) służy do podpisania pliku ITL.

Gdy klaster lub serwer Cisco Unified CM jest w trybie niezabezpieczonym, plik ITL jest pobierany na każdym obsługiwanym telefonie IP Cisco. Partner może wyświetlić zawartość pliku ITL za pomocą polecenia CLI admin:show itl.

Telefony IP Cisco potrzebują pliku ITL, aby wykonać następujące zadania:

• Bezpiecznie komunikuj się z CAPF, co jest warunkiem koniecznym do obsługi szyfrowania plików konfiguracyjnych

• Uwierzytelnij podpis pliku konfiguracyjnego

• Uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet podczas zakładania HTTPS za pomocą TVS

Uwierzytelnianie urządzeń, plików i sygnalizacji polega na utworzeniu pliku listy zaufanych certyfikatów (CTL), który jest tworzony, gdy partner lub klient instaluje i konfiguruje klienta listy zaufanych certyfikatów Cisco.

Plik CTL zawiera wpisy dla następujących serwerów lub tokenów zabezpieczeń:

• Token zabezpieczeń administratora systemu (SAST)

• Usługi Cisco CallManager i Cisco TFTP uruchomione na tym samym serwerze

• Funkcja proxy urzędu certyfikacji (CAPF)

• Serwer(y) TFTP

• Zapora sieciowa ASA

Plik CTL zawiera certyfikat serwera, klucz publiczny, numer seryjny, podpis, nazwę emitenta, nazwę podmiotu, funkcję serwera, nazwę DNS i adres IP każdego serwera.

Zabezpieczenia telefonu za pomocą CTL zapewniają następujące funkcje:

• Uwierzytelnianie pobranych plików TFTP (konfiguracja, lokalizacja, lista dzwonków itd.) przy użyciu klucza do podpisania

• Szyfrowanie plików konfiguracyjnych TFTP przy użyciu klucza do podpisania

• Zaszyfrowana sygnalizacja połączeń dla telefonów IP

• Szyfrowany dźwięk połączenia (nośnik) dla telefonów IP

Dedykowane wystąpienie zapewnia rejestrację punktu końcowego i przetwarzanie połączeń. Sygnalizacja między Cisco Unified CM a punktami końcowymi oparta jest na Secure Skinny Client Control Protocol (SCCP) lub Session Initiation Protocol (SIP) i może być szyfrowana przy użyciu Transport Layer Security (TLS). Media z/do punktów końcowych są oparte na protokole RTP (Real-time Transport Protocol) i mogą być również szyfrowane za pomocą Secure RTP (SRTP).

Włączenie trybu mieszanego w systemie Unified CM umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego z punktów końcowych Cisco i do nich.

Bezpieczne aplikacje UC

Tryb mieszany jest domyślnie włączony w dedykowanym wystąpieniu.

Włączenie trybu mieszanego w dedykowanym wystąpieniu umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego z punktów końcowych Cisco i do nich.

W wersji 12.5(1) Cisco Unified CM dodano nową opcję włączania szyfrowania sygnalizacji i multimediów w oparciu o protokół SIP OAuth zamiast trybu mieszanego / CTL dla klientów Jabber i Webex. Dlatego w wersji Unified CM 12.5(1), SIP OAuth i SRTP mogą być używane do włączania szyfrowania sygnalizacji i multimediów dla klientów Jabber lub Webex. Włączenie trybu mieszanego jest nadal wymagane w przypadku telefonów IP Cisco i innych punktów końcowych Cisco. Istnieje plan dodania wsparcia dla SIP OAuth w punktach końcowych 7800/8800 w przyszłej wersji.

Cisco Unity Connection łączy się z Unified CM za pośrednictwem portu TLS. Gdy tryb zabezpieczeń urządzenia nie jest zabezpieczony, system Cisco Unity Connection łączy się z systemem Unified CM za pośrednictwem portu SCCP.

Aby skonfigurować zabezpieczenia dla portów wiadomości głosowych Unified CM i urządzeń Cisco Unity z systemem SCCP lub urządzeń Cisco Unity Connection z systemem SCCP, partner może wybrać tryb zabezpieczeń bezpiecznego urządzenia dla portu. Jeśli wybierzesz uwierzytelniony port poczty głosowej, otworzy się połączenie TLS, które uwierzytelnia urządzenia za pomocą wzajemnej wymiany certyfikatów (każde urządzenie akceptuje certyfikat innego urządzenia). Jeśli wybierzesz zaszyfrowany port poczty głosowej, system najpierw uwierzytelnia urządzenia, a następnie wysyła zaszyfrowane strumienie głosowe między urządzeniami.

Więcej informacji na temat bezpiecznych portów wiadomości głosowych można znaleźć na stronie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified SU1_chapter_010001.html

Zabezpieczenie komunikacji między Cisco Unified CM a CUBE

W celu zapewnienia bezpiecznej komunikacji między Cisco Unified CM a CUBE partnerzy/klienci muszą używać certyfikatów podpisanych samodzielnie lub certyfikatów podpisanych przez urząd certyfikacji.

W przypadku certyfikatów podpisanych samodzielnie:

1. CUBE i Cisco Unified CM generują samodzielnie podpisane certyfikaty

2. Certyfikat eksportu CUBE do Cisco Unified CM

3. Certyfikat eksportu Cisco Unified CM do CUBE

W przypadku certyfikatów podpisanych przez CA:

1. Klient generuje parę kluczy i wysyła żądanie podpisania certyfikatu (CSR) do urzędu certyfikacji (CA)

2. CA podpisuje go kluczem prywatnym, tworząc certyfikat tożsamości

3. Klient instaluje listę zaufanych certyfikatów głównych i pośrednich urzędu certyfikacji oraz certyfikat tożsamości

Podsumowanie protokołu

W poniższej tabeli przedstawiono protokoły i powiązane usługi stosowane w rozwiązaniu Unified CM.

Aby uzyskać więcej informacji na temat konfiguracji MRA, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zabezpieczenie Jabber i Webex za pomocą protokołu SIP OAuth

Klienci Jabber i Webex są uwierzytelniani za pomocą tokena OAuth zamiast certyfikatu o znaczeniu lokalnym (LSC), który nie wymaga włączenia funkcji proxy urzędu certyfikatu (CAPF) (również dla MRA). Protokół SIP OAuth pracujący z trybem mieszanym lub bez został wprowadzony w Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

W Cisco Unified CM 12.5 mamy nową opcję w profilu bezpieczeństwa telefonu, która umożliwia szyfrowanie bez LSC/CAPF za pomocą pojedynczego tokena Transport Layer Security (TLS) + OAuth w SIP REGISTER. Węzły Expressway-C używają interfejsu API administracyjnej usługi sieciowej XML (AXL) do informowania Cisco Unified CM o SN/SAN w ich certyfikacie. Firma Cisco Unified CM wykorzystuje te informacje do sprawdzania poprawności certyfikatu Exp-C podczas nawiązywania połączenia TLS.

Protokół SIP OAuth umożliwia szyfrowanie multimediów i sygnalizacji bez certyfikatu punktu końcowego (LSC).

Cisco Jabber korzysta z portów Ephemeral i bezpiecznych portów 6971 i 6972 poprzez połączenie HTTPS z serwerem TFTP w celu pobrania plików konfiguracyjnych. Port 6970 jest niezabezpieczonym portem do pobrania za pośrednictwem protokołu HTTP.

Więcej szczegółów na temat konfiguracji SIP OAuth: Tryb SIP OAuth.