Segurança física

É importante fornecer segurança física para os locais de Salas MeetMe da Equinix e Instância dedicada Instalações do data center. Quando a segurança física é comprometida, ataques simples, como a interrupção do serviço ao desligar a energia dos comutadores de um cliente, podem ser iniciados. Com acesso físico, os invasores podem obter acesso a dispositivos de servidor, redefinir senhas e obter acesso a comutadores. O acesso físico também facilita ataques mais sofisticados, como ataques man-in-the-middle, e é por isso que a segunda camada de segurança, a segurança de rede, é essencial.

As unidades com criptografia automática são usadas em Instância dedicada Centros de dados que hospedam aplicativos UC.

Para obter mais informações sobre práticas gerais de segurança, consulte a documentação no seguinte local: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Segurança da rede

Os parceiros precisam garantir que todos os elementos da rede estejam protegidos Instância dedicada infraestrutura (que se conecta via Equinix). É responsabilidade do parceiro garantir as práticas recomendadas de segurança, tais como:

• VLAN separada para voz e dados

• Habilite a segurança de porta, que limita o número de endereços MAC permitidos por porta, contra inundações de tabela CAM

• Proteção de origem de IP contra endereços de IP falsificados

• A inspeção de ARP dinâmico (DAI) examina o protocolo de resolução de endereços (ARP) e o ARP gratuito (GARP) em busca de violações (contra falsificação de ARP)

• 802.1x limita o acesso à rede para dispositivos de autenticação em VLANs atribuídas (os telefones suportam 802.1x )

• Configuração de qualidade de serviço (QoS) para marcação apropriada de pacotes de voz

• Configurações de portas de firewall para bloquear qualquer outro tráfego

Segurança de endpoints

Os terminais da Cisco suportam recursos de segurança padrão, como firmware assinado, inicialização segura (modelos selecionados), certificado instalado pelo fabricante (MIC) e arquivos de configuração assinados, que fornecem um certo nível de segurança para os terminais.

Além disso, um parceiro ou cliente pode ativar segurança adicional, como:

• Criptografar serviços de telefone IP (via HTTPS) para serviços como a Extension Mobility

• Emitir certificados localmente significativos (LSCs) da função de proxy de autoridade de certificação (CAPF) ou de uma autoridade de certificação pública (CA)

• Criptografar arquivos de configuração

• Criptografar mídia e sinalização

• Desative estas configurações se elas não forem usadas: porta do PC PC, Acesso à VLAN do PC Voice, ARP gratuito, Acesso Web, botão Configurações, SSH, console

Implementando mecanismos de segurança na Instância dedicada impede o roubo de identidade dos telefones e do servidor do Unified CM, a adulteração de dados e a adulteração de sinalização de chamada/fluxo de mídia.

Instância dedicada através da rede:

• Estabelece e mantém fluxos de comunicação autenticados

• Assina os arquivos digitalmente antes de transferi-los para o telefone

• Criptografa os fluxos de mídia e a sinalização de chamadas entre os Telefones IP Cisco Unified

A segurança por padrão fornece os seguintes recursos de segurança automática para os Telefones IP Cisco Unified:

• Assinatura dos arquivos de configuração do telefone

• Suporte para criptografia de arquivos de configuração do telefone

• HTTPS com Tomcat e outros serviços Web (MIDlets)

Para o Unified CM versão 8.0 posterior, esses recursos de segurança são fornecidos por padrão sem executar o cliente de lista de certificados confiáveis (CTL).

Como há um grande número de telefones em uma rede e os telefones IP têm memória limitada, o Cisco Unified CM atua como um armazenamento confiável remoto por meio do serviço de verificação de confiança (TVS), para que um armazenamento confiável de certificados não tenha que ser colocado em cada telefone. Os Telefones IP Cisco entram em contato com o servidor TVS para verificação porque não podem verificar uma assinatura ou certificado por meio de arquivos CTL ou ITL. Ter um armazenamento confiável central é mais fácil de gerenciar do que ter o armazenamento confiável em cada telefone IP Cisco Unified.

O TVS permite que os Telefones IP Cisco Unified autentiquem servidores de aplicativos, como serviços EM, diretório e MIDlet, durante o estabelecimento de HTTPS.

O arquivo de lista de confiança inicial (ITL) é usado para a segurança inicial, para que os terminais possam confiar no Cisco Unified CM. A ITL não precisa que nenhum recurso de segurança seja ativado explicitamente. O arquivo ITL é criado automaticamente quando o cluster é instalado. A chave privada do servidor TFTP ( Unified CM Trivial File Transfer Protocol) é usada para assinar o arquivo ITL.

Quando o servidor ou grupo do Cisco Unified CM estiver em modo seguro, o arquivo ITL será baixado em cada Cisco telefone IP suportado. Um parceiro pode visualizar o conteúdo de um arquivo ITL usando o comando de CLI, admin:show itl.

Os Telefones IP Cisco precisam do arquivo ITL para executar as seguintes tarefas:

• Comunique-se com segurança com a CAPF, um pré-requisito para oferecer suporte à criptografia do arquivo de configuração

• Autenticar a assinatura do arquivo de configuração

• Autenticar servidores de aplicativos, como serviços EM, diretório e MIDlet durante o estabelecimento de HTTPS usando TVS

A autenticação de dispositivo, de arquivo e de sinalização depende da criação do arquivo de lista de certificados confiáveis (CTL), que é criado quando o parceiro ou cliente instala e configura o cliente de lista de certificados confiáveis da Cisco.

O arquivo CTL contém entradas para os seguintes servidores ou tokens de segurança:

• Token de segurança do administrador do sistema (SAST)

• Serviços Cisco CallManager e Cisco TFTP em execução no mesmo servidor

• CAPF (Função de proxy de Autoridade de certificação )

• Servidor(es) TFTP

• firewall ASA

O arquivo CTL contém um certificado de servidor, chave pública, número de série, assinatura, nome do emissor, nome da entidade, função do servidor, nome DNS e endereço IP para cada servidor.

A segurança do telefone com CTL fornece as seguintes funções:

• Autenticação de arquivos TFTP baixados (configuração, localidade, lista de toque, etc.) usando uma chave de assinatura

• Criptografia de arquivos de configuração TFTP usando uma chave de assinatura

• Sinalização de chamada criptografada para telefones IP

• Áudio de chamada criptografado (mídia) para telefones IP

Instância dedicada fornece registro de terminal e processamento de chamadas. A sinalização entre o Cisco Unified CM e os terminais é baseada no Secure protocolo SCCP (SCCP) ou no Protocolo de Iniciação da Sessão (SIP) e pode ser criptografada usando o Segurança da camada de transporte (TLS). A mídia de/para os terminais é baseada no protocolo de transporte em tempo real (RTP) e também pode ser criptografada usando o RTP seguro (SRTP).

A habilitação do modo misto no Unified CM permite a criptografia do tráfego de mídia de e para os terminais da Cisco.

Aplicativos de UC seguros

O modo misto é ativado por padrão em Instância dedicada .

Como ativar o modo misto em Instância dedicada permite a capacidade de executar a criptografia do tráfego de mídia de e para os terminais da Cisco.

No Cisco Unified CM versão 12.5(1), uma nova opção para ativar a criptografia de sinalização e mídia com base no SIP OAuth em vez de modo misto/CTL foi adicionada para clientes Jabber e Webex . Portanto, no Unified CM versão 12.5(1), o SIP OAuth e o SRTP podem ser usados para ativar a criptografia de sinalização e mídia para clientes Jabber ou Webex . A ativação do modo misto continua sendo necessária para os Telefones IP Cisco e outros terminais da Cisco no momento. Há um plano para adicionar suporte para SIP OAuth em terminais 7800/8800 em uma versão futura.

O Cisco Unity Connection se conecta ao Unified CM através da porta TLS. Quando o modo de segurança do dispositivo não é seguro, o Cisco Unity Connection se conecta ao Unified CM através da porta SCCP.

Para configurar a segurança para portas de mensagens de voz Unified CM e dispositivos Cisco Unity que estão executando o SCCP ou dispositivos Cisco Unity Connection que estão executando o SCCP, um parceiro pode escolher um modo de segurança de dispositivo seguro para a porta. Se você escolher uma porta do correio de voz de voz autenticada , uma conexão TLS será aberta, que autenticará os dispositivos usando uma troca de certificados mútuos (cada dispositivo aceita o certificado do outro). Se você escolher uma porta do correio de voz de voz criptografada , o sistema primeiro autentica os dispositivos e, em seguida, envia fluxos de voz criptografados entre os dispositivos.

Para obter mais informações sobre portas de mensagens de voz de segurança, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Protegendo comunicações entre o Cisco Unified CM e o CUBE

Para comunicações seguras entre o Cisco Unified CM e o CUBE, os parceiros/clientes precisam usar um certificado autoassinado pela CA.

Para certificados autoassinados:

1. CUBE e Cisco Unified CM geram certificados autoassinados

2. CUBE exporta certificado para o Cisco Unified CM

3. O Cisco Unified CM exporta o certificado para o CUBE

Para certificados assinados pela CA:

1. O cliente gera um par de chaves e envia uma solicitação de autenticação de certificado (CSR) para a Autoridade de certificação (CA)

2. A CA o assina com sua chave privada, criando um certificado de identidade

3. O cliente instala a lista de certificados de raiz e intermediários de CA confiáveis e o certificado de identidade

Resumo do protocolo

A tabela a seguir mostra os protocolos e serviços associados usados na solução Unified CM .

Para obter mais informações sobre a configuração do MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Protegendo Jabber e Webex com SIP OAuth

Os clientes Jabber e Webex são autenticados por meio de um token OAuth em vez de um certificado localmente significativo (LSC), que não requer a ativação da CAPF ( função de proxy de autoridade de certificação ) (para MRA também). O SIP OAuth que funciona com ou sem modo misto foi introduzido no Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.

No Cisco Unified CM 12.5, temos uma nova opção no Perfil de segurança do telefone que permite criptografia sem LSC/CAPF, usando um único token de Segurança da camada de transporte (TLS) + OAuth no SIP REGISTER. Os nós do Expressway-C usam a API do serviço administrativo XML Web (AXL) para informar ao Cisco Unified CM sobre o SN/SAN em seus certificados. O Cisco Unified CM usa essas informações para validar o certificado Exp-C ao estabelecer uma conexão TLS mútua.

O SIP OAuth permite a criptografia de mídia e sinalização sem um certificado de terminal (LSC).

O Cisco Jabber usa portas efêmeras e portas seguras 6971 e 6972 via conexão HTTPS para o servidor TFTP para baixar os arquivos de configuração. A porta 6970 é uma porta não segura para download via HTTP.

Mais detalhes sobre a configuração do SIP OAuth: Modo de autenticação SIP .