Dedykowana sieć instancji i wymagania dotyczące bezpieczeństwa

Bezpieczeństwo fizyczne

Ważne jest, aby zapewnić fizyczne bezpieczeństwo lokalizacjom Equinix Meet-Me Room i obiektom Cisco Dedicated Instance Data Center. Gdy zabezpieczenia fizyczne zostaną naruszone, można zainicjować proste ataki, takie jak zakłócenie usługi poprzez wyłączenie zasilania przełączników klienta. Dzięki fizycznemu dostępowi osoby atakujące mogą uzyskać dostęp do urządzeń serwerowych, zresetować hasła i uzyskać dostęp do przełączników. Dostęp fizyczny ułatwia również bardziej wyrafinowane ataki, takie jak ataki typu man-in-the-middle, dlatego druga warstwa bezpieczeństwa, bezpieczeństwo sieci, ma kluczowe znaczenie.

Dyski samoszyfrujące są używane w centrach danych dedykowanych instancji , które obsługują aplikacje UC.

Więcej informacji na temat ogólnych praktyk bezpieczeństwa można znaleźć w dokumentacji w następującej lokalizacji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Bezpieczeństwo sieci

Partnerzy muszą upewnić się, że wszystkie elementy sieci są zabezpieczone w infrastrukturze dedykowanej instancji (która łączy się za pośrednictwem Equinix). Obowiązkiem partnera jest zapewnienie najlepszych praktyk w zakresie bezpieczeństwa, takich jak:

• Oddzielna sieć VLAN dla głosu i danych

• Włącz zabezpieczenia portów, które ograniczają liczbę adresów MAC dozwolonych na port, przed zalaniem tabeli CAM

• Ochrona źródła IP przed sfałszowanymi adresami IP

• Dynamiczna inspekcja ARP (DAI) bada protokół rozpoznawania adresów (ARP) i nieuzasadniony ARP (GARP) pod kątem naruszeń (przed fałszowaniem ARP)

• 802.1x ogranicza dostęp do sieci w celu uwierzytelniania urządzeń w przypisanych sieciach VLAN (telefony obsługują standard 8021x).

• Konfiguracja jakości usług (QoS) dla odpowiedniego oznaczania pakietów głosowych

• Konfiguracje portów zapory sieciowej do blokowania innego ruchu

Bezpieczeństwo punktów końcowych

Punkty końcowe Cisco obsługują domyślne funkcje zabezpieczeń, takie jak podpisane oprogramowanie układowe, bezpieczny rozruch (wybrane modele), certyfikat zainstalowany przez producenta (MIC) i podpisane pliki konfiguracyjne, które zapewniają określony poziom bezpieczeństwa punktów końcowych.

Ponadto partner lub klient może włączyć dodatkowe zabezpieczenia, takie jak:

• Szyfrowanie usług telefonii IP (przez HTTPS) dla usług takich jak Extension Mobility

• Wystawianie certyfikatów istotnych lokalnie (LSC) z funkcji serwera proxy urzędu certyfikacji (CAPF) lub publicznego urzędu certyfikacji (CA)

• Szyfrowanie plików konfiguracyjnych

• Szyfrowanie multimediów i sygnalizacji

• Wyłącz te ustawienia, jeśli nie są używane: Port PC, PC Voice VLAN Access, Bezpłatny ARP, Web Access, Przycisk Ustawienia, SSH, konsola

Implementacja mechanizmów bezpieczeństwa w Dedykowanej Instancji zapobiega kradzieży tożsamości telefonów i serwera Unified CM, manipulowaniu danymi oraz sygnalizacji połączeń / manipulowaniu strumieniem multimediów.

Dedykowana instancja przez sieć:

• Ustanawia i utrzymuje uwierzytelnione strumienie komunikacji

• Cyfrowe podpisywanie plików przed przesłaniem pliku do telefonu

• Szyfruje strumienie multimediów i sygnalizację połączeń między telefonami IP Cisco Unified

Zabezpieczenia domyślnie zapewniają następujące automatyczne funkcje zabezpieczeń dla telefonów IP Cisco Unified:

• Podpisywanie plików konfiguracyjnych telefonu

• Obsługa szyfrowania plików konfiguracyjnych telefonu

• HTTPS z Tomcat i innymi usługami internetowymi (MIDlets)

W przypadku unified CM Release 8.0 nowsze te funkcje zabezpieczeń są domyślnie dostępne bez uruchamiania klienta listy zaufania certyfikatów (CTL).

Ponieważ w sieci znajduje się duża liczba telefonów, a telefony IP mają ograniczoną pamięć, Cisco Unified CM działa jako zdalny magazyn zaufania za pośrednictwem usługi weryfikacji zaufania (TRUST Verification Service), dzięki czemu magazyn zaufania certyfikatów nie musi być umieszczany na każdym telefonie. Telefony IP Cisco kontaktują się z serwerem TVS w celu weryfikacji, ponieważ nie mogą zweryfikować podpisu lub certyfikatu za pomocą plików CTL lub ITL. Posiadanie centralnego magazynu zaufania jest łatwiejsze w zarządzaniu niż posiadanie magazynu zaufania na każdym telefonie IP Cisco Unified.

TVS umożliwia telefonom IP Cisco Unified uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet, podczas ustanawiania protokołu HTTPS.

Plik początkowej listy zaufania (ITL) jest używany do początkowego zabezpieczenia, dzięki czemu punkty końcowe mogą ufać Cisco Unified CM. ITL nie wymaga jawnego włączenia żadnych funkcji zabezpieczeń. Plik ITL jest tworzony automatycznie po zainstalowaniu klastra. Klucz prywatny serwera TFTP (Unified CM Trivial File Transfer Protocol) jest używany do podpisywania pliku ITL.

Gdy klaster lub serwer Cisco Unified CM jest w trybie niezabezpieczonym, plik ITL jest pobierany na każdy obsługiwany telefon IP Cisco. Partner może wyświetlić zawartość pliku ITL za pomocą polecenia interfejsu wiersza polecenia admin:show itl.

Telefony IP Cisco potrzebują pliku ITL do wykonywania następujących zadań:

• Bezpieczna komunikacja z CAPF, co jest warunkiem wstępnym obsługi szyfrowania plików konfiguracyjnych

• Uwierzytelnianie podpisu pliku konfiguracyjnego

• Uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet podczas ustanawiania protokołu HTTPS przy użyciu TVS

Uwierzytelnianie urządzeń, plików i sygnalizacji opiera się na utworzeniu pliku listy zaufania certyfikatów (CTL), który jest tworzony, gdy partner lub klient instaluje i konfiguruje klienta listy zaufania certyfikatów Cisco.

Plik CTL zawiera wpisy dla następujących serwerów lub tokenów zabezpieczających:

• Token zabezpieczający Administratora systemu (SAST)

• Usługi Cisco CallManager i Cisco TFTP uruchomione na tym samym serwerze

• Funkcja proxy urzędu certyfikacji (CAPF)

• Serwery TFTP

• Zapora sieciowa ASA

Plik CTL zawiera certyfikat serwera, klucz publiczny, numer seryjny, podpis, nazwę wystawcy, nazwę podmiotu, funkcję serwera, nazwę DNS i adres IP dla każdego serwera.

Zabezpieczenia telefonu z CTL zapewniają następujące funkcje:

• Uwierzytelnianie pobranych plików TFTP (konfiguracja, ustawienia regionalne, lista pierścieni itd.) przy użyciu klucza podpisywania

• Szyfrowanie plików konfiguracyjnych TFTP przy użyciu klucza podpisywania

• Szyfrowana sygnalizacja połączeń dla telefonów IP

• Szyfrowane połączenie audio (media) dla telefonów IP

Dedykowana instancja zapewnia rejestrację punktów końcowych i przetwarzanie połączeń. Sygnalizacja między Cisco Unified CM a punktami końcowymi jest oparta na protokole ScCP (Secure Skinny Client Control Protocol) lub SIP (Session Initiation Protocol) i może być szyfrowana przy użyciu protokołu TLS (Transport Layer Security). Nośnik z/do punktów końcowych jest oparty na protokole RTP (Real-time Transport Protocol) i może być również szyfrowany przy użyciu protokołu Secure RTP (SRTP).

Włączenie trybu mieszanego w Unified CM umożliwia szyfrowanie ruchu sygnalizacyjnego i medialnego z i do punktów końcowych Cisco.

Bezpieczne aplikacje UC

Tryb mieszany jest domyślnie włączony w dedykowanym wystąpieniu.

Włączenie trybu mieszanego w dedykowanej instancji umożliwia szyfrowanie sygnalizacji i ruchu multimedialnego z i do punktów końcowych Cisco.

W Cisco Unified CM release 12.5(1) dodano nową opcję włączania szyfrowania sygnalizacji i multimediów w oparciu o SIP OAuth zamiast trybu mieszanego / CTL dla klientów Jabber i Webex. Dlatego w Unified CM w wersji 12.5(1) SIP OAuth i SRTP mogą być używane do włączania szyfrowania sygnalizacji i multimediów dla klientów Jabber lub Webex. Włączenie trybu mieszanego jest nadal wymagane dla telefonów IP Cisco i innych punktów końcowych Cisco w tym czasie. Istnieje plan dodania obsługi SIP OAuth w punktach końcowych 7800/8800 w przyszłej wersji.

Cisco Unity Connection łączy się z Unified CM przez port TLS. Gdy tryb zabezpieczeń urządzenia nie jest bezpieczny, Cisco Unity Connection łączy się z Unified CM przez port SCCP.

Aby skonfigurować zabezpieczenia portów wiadomości głosowych Unified CM i urządzeń Cisco Unity z uruchomionym SCCP lub Cisco Unity Connection, na których jest uruchomiony SCCP, partner może wybrać tryb zabezpieczeń bezpiecznego urządzenia dla portu. Jeśli wybierzesz port uwierzytelnionej poczty głosowej, zostanie otwarte połączenie TLS, które uwierzytelnia urządzenia przy użyciu wzajemnej wymiany certyfikatów (każde urządzenie akceptuje certyfikat drugiego urządzenia). Jeśli wybierzesz zaszyfrowany port poczty głosowej, system najpierw uwierzytelni urządzenia, a następnie wysyła zaszyfrowane strumienie głosu między urządzeniami.

Aby uzyskać więcej informacji na temat portów wiadomości Security Voice, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpieczenie komunikacji między Cisco Unified CM a CUBE

Aby zapewnić bezpieczną komunikację między Cisco Unified CM i CUBE, partnerzy/klienci muszą używać certyfikatów z podpisem własnym lub certyfikatów podpisanych przez urząd certyfikacji.

W przypadku certyfikatów z podpisem własnym:

1. CUBE i Cisco Unified CM generują certyfikaty z podpisem własnym

2. CUBE eksportuje certyfikat do Cisco Unified CM

3. Cisco Unified CM eksportuje certyfikat do modułu CUBE

W przypadku certyfikatów podpisanych przez urząd certyfikacji:

1. Klient generuje parę kluczy i wysyła żądanie podpisania certyfikatu (CSR) do urzędu certyfikacji (CA)

2. Urząd certyfikacji podpisuje go swoim kluczem prywatnym, tworząc certyfikat tożsamości

3. Klient instaluje listę zaufanych certyfikatów głównych i pośredniczących urzędów certyfikacji oraz certyfikat tożsamości

Podsumowanie protokołu

W poniższej tabeli przedstawiono protokoły i skojarzone usługi używane w rozwiązaniu Unified CM.

Aby uzyskać więcej informacji na temat konfiguracji MRA, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zabezpieczanie Jabber i Webex za pomocą SIP OAuth

Klienci Jabber i Webex są uwierzytelniani za pomocą tokenu OAuth zamiast lokalnie istotnego certyfikatu (LSC), który nie wymaga włączenia funkcji proxy urzędu certyfikacji (CAPF) (również dla MRA). SIP OAuth pracujący z trybem mieszanym lub bez niego został wprowadzony w Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

W Cisco Unified CM 12.5 mamy nową opcję w Profilu zabezpieczeń telefonu, która umożliwia szyfrowanie bez LSC/CAPF, przy użyciu pojedynczego protokołu Transport Layer Security (TLS) + OAuth token w SIP REGISTER. Węzły Expressway-C używają interfejsu API Administrative XML Web Service (AXL) do informowania Cisco Unified CM o SN/SAN w swoim certyfikacie. Cisco Unified CM używa tych informacji do sprawdzania poprawności certyfikatu Exp-C podczas ustanawiania wzajemnego połączenia TLS.

SIP OAuth umożliwia szyfrowanie nośników i sygnalizacji bez certyfikatu punktu końcowego (LSC).

Cisco Jabber używa portów efemerycznych i bezpiecznych portów 6971 i 6972 za pośrednictwem połączenia HTTPS z serwerem TFTP do pobierania plików konfiguracyjnych. Port 6970 jest niezabezpieczonym portem do pobrania przez HTTP.

Więcej szczegółów na temat konfiguracji SIP OAuth: Tryb SIP OAuth.