Rețeaua de instanță dedicată și cerințele de securitate

Securitate fizică

Este important să oferiți securitate fizică locațiilor Equinix Meet-Me Room și facilităților Cisco Dedicated Instance Data Center. Atunci când securitatea fizică este compromisă, pot fi inițiate atacuri simple, cum ar fi întreruperea serviciului prin închiderea alimentării cu energie electrică a comutatoarelor unui client. Cu acces fizic, atacatorii ar putea avea acces la dispozitivele serverului, ar putea reseta parolele și ar putea avea acces la comutatoare. Accesul fizic facilitează, de asemenea, atacuri mai sofisticate, cum ar fi atacurile man-in-the-middle, motiv pentru care al doilea nivel de securitate, securitatea rețelei, este esențial.

Unitățile cu autocriptare sunt utilizate în centrele de date de instanță dedicate care găzduiesc aplicații UC.

Pentru mai multe informații despre practicile generale de securitate, consultați documentația de la următoarea locație: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

securitate Rețea

Partenerii trebuie să se asigure că toate elementele de rețea sunt securizate în infrastructura instanței dedicate (care se conectează prin Equinix). Este responsabilitatea partenerului să asigure cele mai bune practici de securitate, cum ar fi:

• VLAN separat pentru voce și date

• Activați Port Security, care limitează numărul de adrese MAC permise per port, împotriva inundării tabelului CAM

• Protecție sursă IP împotriva adreselor IP falsificate

• Dynamic ARP Inspection (DAI) examinează protocolul de rezolvare a adreselor (ARP) și ARP gratuit (GARP) pentru încălcări (împotriva falsificării ARP)

• 802.1x limitează accesul la rețea pentru autentificarea dispozitivelor pe VLAN-urile atribuite (telefoanele acceptă 802.1x)

• Configurarea calității serviciului (QoS) pentru marcarea corespunzătoare a pachetelor de voce

• Configurații de porturi firewall pentru blocarea oricărui alt trafic

securitate puncte finale

Punctele finale Cisco acceptă caracteristici de securitate implicite, cum ar fi firmware-ul semnat, încărcarea securizată (modelele selectate), certificatul instalat de producător (MIC) și fișierele de configurare semnate, care oferă un anumit nivel de securitate pentru stațiile de lucru.

În plus, un partener sau un client poate activa o securitate suplimentară, cum ar fi:

• Criptarea serviciilor de telefonie IP (prin HTTPS) pentru servicii precum Mobilitatea prin extensie

• Eliberarea certificatelor semnificative la nivel local (LSC) de la funcția proxy a autorității de certificare (CAPF) sau de la o autoritate publică de certificare (CA)

• Criptarea fișierelor de configurare

• Criptarea suporturilor media și semnalizarea

• Dezactivați aceste setări dacă nu sunt utilizate: Port PC, PC Voice VLAN Access, ARP gratuit, Acces Web, buton Setări, SSH, consolă

Implementarea mecanismelor de securitate în instanța dedicată previne furtul de identitate al telefoanelor și al serverului CM unificat, manipularea datelor și semnalizarea apelurilor / manipularea fluxului media.

Instanță dedicată prin rețea:

• Stabilește și menține fluxurile de comunicare autentificate

• Semnează digital fișierele înainte de a transfera fișierul pe telefon

• Criptează fluxurile media și semnalizarea apelurilor între telefoanele IP unificate Cisco

Securitatea în mod implicit oferă următoarele caracteristici de securitate automată pentru telefoanele IP Cisco Unified:

• Semnarea fișierelor de configurare a telefonului

• Suport pentru criptarea fișierelor de configurare a telefonului

• HTTPS cu Tomcat și alte servicii Web (MIDlets)

Pentru Unified CM Release 8.0 mai târziu, aceste caracteristici de securitate sunt furnizate în mod implicit fără a executa clientul Listă de încredere certificat (CTL).

Deoarece există un număr mare de telefoane într-o rețea și telefoanele IP au memorie limitată, Cisco Unified CM acționează ca un magazin de încredere la distanță prin serviciul de verificare a încrederii (TVS), astfel încât un magazin de încredere certificat nu trebuie să fie plasat pe fiecare telefon. Telefoanele IP Cisco contactează serverul TVS pentru verificare, deoarece nu pot verifica o semnătură sau un certificat prin fișiere CTL sau ITL. Având un magazin central de încredere este mai ușor de gestionat decât având magazin de încredere pe fiecare telefon Cisco Unified IP.

TVS permite telefoanelor CISCO Unified IP să autentifice serverele de aplicații, cum ar fi serviciile EM, directorul și MIDlet, în timpul înființării HTTPS.

Fișierul Listă de încredere inițială (ITL) este utilizat pentru securitatea inițială, astfel încât punctele finale să poată avea încredere în Cisco Unified CM. ITL nu are nevoie de caracteristici de securitate pentru a fi activat în mod explicit. Fișierul ITL este creat automat atunci când clusterul este instalat. Cheia privată a serverului Unified CM Trivial File Transfer Protocol (TFTP) este utilizată pentru a semna fișierul ITL.

Când clusterul sau serverul Cisco Unified CM este în modul non-securizat, fișierul ITL este descărcat pe fiecare telefon CISCO IP acceptat. Un partener poate vizualiza conținutul unui fișier ITL utilizând comanda CLI, admin:show itl.

Telefoanele IP Cisco au nevoie de fișierul ITL pentru a efectua următoarele sarcini:

• Comunicați în siguranță la CAPF, o condiție prealabilă pentru a sprijini criptarea fișierelor de configurare

• Autentificarea semnăturii fișierului de configurare

• Autentificarea serverelor de aplicații, cum ar fi serviciile EM, directorul și MIDlet în timpul înființării HTTPS utilizând TVS

Autentificarea dispozitivului, a fișierelor și a semnalizării se bazează pe crearea fișierului Listă de autorizare a certificatelor (CTL), care este creat atunci când partenerul sau clientul instalează și configurează Clientul Listă de încredere a certificatelor Cisco.

Fișierul CTL conține intrări pentru următoarele servere sau simboluri de securitate:

• Simbol de securitate administrator de sistem (SAST)

• Cisco CallManager și Cisco TFTP servicii care se execută pe același server

• Funcția proxy a autorității de certificare (CAPF)

• Server(e) TFTP

• Firewall ASA

Fișierul CTL conține un certificat de server, cheie publică, număr de serie, semnătură, numele emitentului, numele subiectului, funcția serverului, numele DNS și adresa IP pentru fiecare server.

Securitatea telefonului cu CTL oferă următoarele funcții:

• Autentificarea fișierelor descărcate TFTP (configurare, setări regionale, listă de apel și așa mai departe) utilizând o cheie de semnare

• Criptarea fișierelor de configurare TFTP utilizând o cheie de semnare

• Semnalizarea criptată a apelurilor pentru telefoanele IP

• Sunet criptat de apel (media) pentru telefoane IP

Instanța dedicată oferă înregistrarea punctelor finale și procesarea apelurilor. Semnalizarea dintre Cisco Unified CM și endpoint-urile se bazează pe Secure Skinny Client Control Protocol (SCCP) sau Session Initiation Protocol (SIP) și poate fi criptată utilizând Transport Layer Security (TLS). Suportul media de la/la punctele finale se bazează pe Protocolul de transport în timp real (RTP) și poate fi, de asemenea, criptat folosind Secure RTP (SRTP).

Activarea modului mixt pe Unified CM permite criptarea semnalizării și a traficului media de la și către punctele finale Cisco.

Aplicații UC securizate

Modul mixt este activat în mod implicit în instanță dedicată.

Activarea modului mixt în instanță dedicată permite capacitatea de a efectua criptarea semnalizării și a traficului media de la și către punctele finale Cisco.

În Cisco Unified CM lansarea 12.5 (1), o nouă opțiune pentru a permite criptarea de semnalizare și mass-media bazate pe SIP OAuth în loc de modul mixt / CTL a fost adăugat pentru clienții Jabber și Webex. De aceea, în versiunea UNIFICAT CM 12.5(1), SIP OAuth și SRTP pot fi utilizate pentru a permite criptarea pentru semnalizare și media pentru clienții Jabber sau Webex. Activarea modului mixt continuă să fie necesară pentru telefoanele IP Cisco și alte puncte finale Cisco în acest moment. Există un plan pentru a adăuga suport pentru SIP OAuth în 7800/8800 puncte finale într-o versiune viitoare.

Cisco Unity Connection se conectează la Unified CM prin portul TLS. Când modul de securitate al dispozitivului nu este securizat, Cisco Unity Connection se conectează la Unified CM prin portul SCCP.

Pentru a configura securitatea pentru porturile de mesagerie vocală Unified CM și dispozitivele Cisco Unity care execută sccp sau Cisco Unity Connection dispozitive care execută SCCP, un partener poate alege un mod de securitate dispozitiv securizat pentru port. Dacă alegeți un port de poștă vocală autentificat, se deschide o conexiune TLS, care autentifică dispozitivele utilizând un schimb de certificate reciproce (fiecare dispozitiv acceptă certificatul celuilalt dispozitiv). Dacă alegeți un port de poștă vocală criptat, sistemul autentifică mai întâi dispozitivele și apoi trimite fluxuri vocale criptate între dispozitive.

Pentru mai multe informații despre porturile de mesagerie vocală de securitate, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Securizarea comunicațiilor între Cisco Unified CM și CUBE

Pentru comunicații securizate între Cisco Unified CM și CUBE, partenerii/clienții trebuie să utilizeze certificate autosemnate sau certificate semnate CA.

Pentru certificatele autosemnate:

1. CUBE și Cisco Unified CM generează certificate auto-semnate

2. CUBE exportă certificatul către Cisco Unified CM

3. Cisco Unified CM exportă certificat la CUBE

Pentru certificatele semnate CA:

1. Clientul generează o pereche de chei și trimite o solicitare de semnare a certificatului (CSR) la autoritatea de certificare (CA)

2. CA îl semnează cu cheia sa privată, creând un certificat de identitate

3. Clientul instalează lista de certificate rădăcină și intermediar CA de încredere și certificatul de identitate

Sinteza protocolului

Următorul tabel afișează protocoalele și serviciile asociate utilizate în soluția CM unificat.

Pentru mai multe informații despre configurația MRA, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Securizarea Jabber și Webex cu SIP OAuth

Clienții Jabber și Webex sunt autentificați printr-un simbol OAuth în loc de un certificat semnificativ local (LSC), care nu necesită activarea funcției proxy de autoritate certificat (CAPF) (și pentru MRA). SIP OAuth de lucru cu sau fără modul mixt a fost introdus în Cisco Unified CM 12.5 (1), Jabber 12.5, și Expressway X12.5.

În Cisco Unified CM 12.5, avem o nouă opțiune în profilul de securitate telefon care permite criptarea fără LSC / CAPF, folosind un singur transport layer security (TLS) + OAuth token în SIP REGISTER. Nodurile Expressway-C utilizează API-ul Administrative XML Web Service (AXL) pentru a informa Cisco Unified CM despre SN/SAN în certificatul lor. Cisco Unified CM utilizează aceste informații pentru a valida cert Exp-C atunci când se stabilește o conexiune TLS reciprocă.

SIP OAuth permite criptarea media și semnalizare fără un certificat de punct final (LSC).

Cisco Jabber utilizează porturi Efemere și porturi securizate 6971 și 6972 porturi prin conexiune HTTPS la serverul TFTP pentru a descărca fișierele de configurare. Portul 6970 este un port non-securizat pentru descărcare prin HTTP.

Mai multe detalii despre configurația SIP OAuth: Modul SIP OAuth.