Securitate fizică

Este important să se asigure securitatea fizică a locațiilor Equinix Meet-Me Room și a facilităților Cisco Dedicated Instance Data Center. Atunci când securitatea fizică este compromisă, pot fi inițiate atacuri simple, cum ar fi întreruperea serviciului prin oprirea alimentării la comutatoarele unui client. Cu acces fizic, atacatorii pot avea acces la dispozitivele serverului, pot reseta parolele și pot obține acces la comutatoare. Accesul fizic facilitează, de asemenea, atacuri mai sofisticate, cum ar fi atacurile man-in-the-middle, motiv pentru care al doilea nivel de securitate, securitatea rețelei, este critic.

Unitățile de autocriptare sunt utilizate în centrele de date ale instanței dedicate care găzduiesc aplicații UC.

Pentru mai multe informații despre practicile generale de securitate, consultați documentația de la următoarea locație: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

securitate Rețea

Partenerii trebuie să se asigure că toate elementele de rețea sunt securizate în infrastructura Instance Dedicated (care se conectează prin Equinix). Este responsabilitatea partenerului să asigure cele mai bune practici de securitate, cum ar fi:

• Separați VLAN pentru voce și date

• Activați securitatea portului, care limitează numărul de adrese MAC permise per port, împotriva inundării tabelului CAM

• Garda sursă IP împotriva adreselor IP spoofed

• Inspecția dinamică ARP (DAI) examinează protocolul de rezoluție a adreselor (ARP) și ARP gratuit (GARP) pentru încălcări (împotriva spoofing ARP)

• 802.1x limitează accesul la rețea al dispozitivelor de autentificare pe VLAN-urile atribuite (telefoanele acceptă 802.1x)

• Configurarea calității serviciului (QoS) pentru marcarea corespunzătoare a pachetelor vocale

• Configurațiile porturilor de firewall pentru blocarea oricărui alt trafic

securitate puncte finale

Punctele finale Cisco acceptă caracteristici de securitate implicite, cum ar fi firmware semnat, boot securizat (modele selectate), certificat instalat de producător (MIC) și fișiere de configurare semnate, care oferă un anumit nivel de securitate pentru punctele finale.

În plus, un partener sau un client poate activa securitate suplimentară, cum ar fi:

• Criptați serviciile de telefonie IP (prin HTTPS) pentru servicii precum Extension Mobility

• Eliberați certificate semnificative la nivel local (LCS) de la funcția de delegare a autorității certificatului (CAPF) sau de la o autoritate publică de certificare (CA)

• Criptați fișierele de configurare

• Criptați media și semnalizarea

• Dezactivați aceste setări dacă nu sunt utilizate: port PC, PC Voice VLAN Acces, ARP gratuit, Acces web, buton de setări, SSH, consola

Implementarea mecanismelor de securitate în instanța dedicată previne furtul de identitate al telefoanelor și al serverului Unified CM, tamperarea datelor și tamperarea semnalizării apelurilor / fluxului media.

Instanță dedicată în rețea:

• Stabilește și menține fluxuri de comunicare autentificate

• Semnează digital fișierele înainte de a transfera fișierul la telefon

• Criptați fluxurile media și semnalizarea apelurilor între telefoanele Cisco Unified IP

Securitatea oferă în mod implicit următoarele caracteristici de securitate automată pentru telefoanele Cisco Unified IP:

• Semnarea fișierelor de configurare a telefonului

• Asistență pentru criptarea fișierelor de configurare a telefonului

• HTTPS cu Tomcat și alte servicii web (MIDlets)

Pentru versiunea Unified CM 8.0 ulterioară, aceste caracteristici de securitate sunt furnizate în mod implicit fără a rula clientul Certificate Trust List (CTL).

Deoarece există un număr mare de telefoane într-o rețea și telefoanele IP au o memorie limitată, Cisco Unified CM acționează ca un magazin de încredere la distanță prin Serviciul de verificare a încrederii (TVS), astfel încât un magazin de încredere certificat nu trebuie plasat pe fiecare telefon. Telefoanele Cisco IP contactează serverul TVS pentru verificare, deoarece nu pot verifica o semnătură sau un certificat prin fișiere CTL sau ITL. Având un magazin central de încredere este mai ușor de gestionat decât având magazinul de încredere pe fiecare telefon Cisco Unified IP.

TVS permite telefoanelor Cisco Unified IP să autentifice serverele de aplicații, cum ar fi serviciile EM, directorul și MIDlet, în timpul setării HTTPS.

Fișierul Listă de încredere inițială (ITL) este utilizat pentru securitatea inițială, astfel încât punctele finale să poată avea încredere în Cisco Unified CM. ITL nu are nevoie de nicio caracteristică de securitate pentru a fi activată în mod explicit. Fișierul ITL este creat automat atunci când este instalat clusterul. Cheia privată a serverului Unified CM Trivial File Transfer Protocol (TFTP) este utilizată pentru a semna fișierul ITL.

Când clusterul sau serverul Cisco Unified CM este în modul nesigur, fișierul ITL este descărcat pe fiecare telefon Cisco IP acceptat. Un partener poate vizualiza conținutul unui fișier ITL utilizând comanda CLI, admin: arată itl.

Telefoanele Cisco IP au nevoie de fișierul ITL pentru a efectua următoarele sarcini:

• Comunicați în siguranță la CAPF, o condiție prealabilă pentru susținerea criptării fișierului de configurare

• Autentificați semnătura fișierului de configurare

• Autentificați serverele de aplicații, cum ar fi serviciile EM, directorul și MIDlet în timpul setării HTTPS utilizând TVS

Autentificarea dispozitivului, a fișierului și a semnalizării se bazează pe crearea fișierului Certificate Trust List (CTL), care este creat atunci când partenerul sau clientul instalează și configurează Cisco Certificate Trust List Client.

Fișierul CTL conține intrări pentru următoarele servere sau tokenuri de securitate:

• Token de securitate al administratorului de sistem (SAST)

• Servicii Cisco CallManager și Cisco TFTP care rulează pe același server

• Funcția delegată a autorității certificatului (CAPF)

• server(i) TFTP

• firewall ASA

Fișierul CTL conține un certificat de server, o cheie publică, număr de serie, semnătura, numele emitentului, numele subiectului, funcția serverului, numele DNS și adresa IP pentru fiecare server.

Securitatea telefonului cu CTL oferă următoarele funcții:

• Autentificarea fișierelor TFTP descărcate (configurație, listă locală, ringlist și așa mai departe) utilizând o cheie de conectare

• Criptarea fișierelor de configurare TFTP utilizând o cheie de conectare

• Semnalizare apel criptat pentru telefoanele IP

• Audio de apel criptat (media) pentru telefoanele IP

Instanța dedicată oferă înregistrarea punctului final și procesarea apelurilor. Semnalizarea dintre Cisco Unified CM și punctele finale se bazează pe protocolul de control securizat al clienților Skinny (SCCP) sau protocolul de inițiere sesiuni (SIP) și poate fi criptată folosind securitatea stratului de transport (TLS). Mass-media de la/la punctele finale se bazează pe Protocolul de transport în timp real (RTP) și poate fi, de asemenea, criptat folosind Secure RTP (SRTP).

Activarea modului mixt pe Unified CM permite criptarea traficului de semnalizare și media de la și până la punctele finale Cisco.

Aplicații UC securizate

Modul mixt este activat în mod implicit în instanță dedicată.

Activarea modului mixt în instanță dedicată permite capacitatea de a efectua criptarea traficului de semnalizare și media de la și până la punctele finale Cisco.

În versiunea Cisco Unified CM 12.5(1), pentru clienții Jabber și Webex a fost adăugată o nouă opțiune pentru a permite criptarea semnalizării și a mass-mediei pe baza SIP OAuth în loc de modul mixt / CTL. Prin urmare, în versiunea Unified CM 12.5(1), SIP OAuth și SRTP pot fi utilizate pentru a activa criptarea pentru semnalizare și media pentru clienții Jabber sau Webex. Activarea modului mixt este în continuare necesară pentru telefoanele Cisco IP și pentru alte puncte finale Cisco în acest moment. Există un plan de a adăuga suport pentru SIP OAuth în 7800/8800 puncte finale într-o versiune viitoare.

Cisco Unity Connection se conectează la Unified CM prin portul TLS. Atunci când modul de securitate al dispozitivului nu este securizat, Cisco Unity Connection se conectează la Unified CM prin portul SCCP.

Pentru a configura securitatea pentru porturile de mesagerie vocală Unified CM și dispozitivele Cisco Unity care rulează SCCP sau dispozitivele Cisco Unity Connection care rulează SCCP, un partener poate alege un mod securizat de securitate a dispozitivului pentru port. Dacă alegeți un port de mesagerie vocală autentificat, se deschide o conexiune TLS, care autentifică dispozitivele utilizând un schimb de certificate reciproce (fiecare dispozitiv acceptă certificatul celuilalt dispozitiv). Dacă alegeți un port de mesagerie vocală criptat, sistemul autentifică mai întâi dispozitivele și apoi trimite fluxuri vocale criptate între dispozitive.

Pentru mai multe informații despre porturile de mesagerie vocală de securitate, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified⁺ SU1_chapter_010001.html

Securizarea comunicațiilor între Cisco Unified CM și CUBE

Pentru comunicări securizate între Cisco Unified CM și CUBE, partenerii/clienții trebuie să utilizeze fie certificate semnate automat, fie certificate semnate CA.

Pentru certificatele autosemnate:

1. CUBE și Cisco Unified CM generează certificate autosemnate

2. Certificat de export CUBE la Cisco Unified CM

3. Certificatul de export Cisco Unified CM către CUBE

Pentru certificatele semnate CA:

1. Clientul generează o pereche de chei și trimite o cerere de semnare a certificatului (CSR) Autorității certificatului (CA)

2. CA-ul semnează cu cheia sa privată, creând un certificat de identitate

3. Clientul instalează lista certificatelor de origine și intermediare CA de încredere și certificatul de identitate

Sinteza protocolului

Următorul tabel prezintă protocoalele și serviciile asociate utilizate în soluția Unified CM.

Pentru mai multe informații despre configurația MRA, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Securizarea Jabber și Webex cu SIP OAuth

Clienții Jabber și Webex sunt autentificați printr-un token OAuth în loc de un certificat semnificativ local (LSC), care nu necesită funcția de delegare a autorității certificatului (CAPF) activată (și pentru MRA). SIP OAuth care lucrează cu sau fără mod mixt a fost introdus în Cisco Unified CM 12.5(1), Jabber 12.5 și Expressway X12.5.

În Cisco Unified CM 12.5, avem o nouă opțiune în profilul de securitate a telefonului care permite criptarea fără LSC/CAPF, utilizând un singur nivel de securitate a stratului de transport (TLS) + token-ul OAuth în SIP REGISTER. Nodurile Expressway-C utilizează API-ul Administrativ XML Web Service (AXL) pentru a informa Cisco Unified CM despre SN/SAN în certificatul lor. Cisco Unified CM utilizează aceste informații pentru a valida certitudinea Exp-C la stabilirea unei conexiuni TLS reciproce.

SIP OAuth permite criptarea media și semnalizarea fără un certificat de punct final (LSC).

Cisco Jabber utilizează porturile Ephemeral și porturile securizate 6971 și 6972 prin conexiunea HTTPS la serverul TFTP pentru a descărca fișierele de configurare. Port 6970 este un port non-securizat pentru descărcare prin HTTP.

Mai multe detalii despre configurația SIP OAuth: Modul SIP OAuth.