Требования к сети и безопасности выделенных экземпляров

Физическая безопасность

Важно обеспечить физическую безопасность для расположения комнаты Meet-Me Equinix и средств центра обработки данных Cisco , выделенных для экземпляров . В случае нарушения физической безопасности могут инициироваться простые атаки, такие как нарушение обслуживания путем отключения питания коммутаторов клиента. При физическом доступе злоумышленники могут получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также облегчает более сложные атаки, например атаки с человека с середины сети, поэтому второй уровень безопасности критически важен.

Диски самозашифрования используются в выделенных центрах обработки данных экземпляров , где находятся приложения UC.

Дополнительную информацию об общих методах обеспечения безопасности см. в документации по следующему адресу: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Безопасность сети

Партнерам необходимо обеспечить безопасность всех элементов сети в инфраструктуре Dedicated Instance (которая соединяется с Equinix). Ответственность партнера за обеспечение передовой практики обеспечения безопасности:

• Отдельная VLAN для передачи голоса и данных

• В этой области можно включить режим безопасности для портов, ограничивающий число MAC-адресов, разрешенных для одного порта, по отношению к нагромоя таблицы CAM

• Защиты источника IP от подмены IP-адресов

• Динамический анализ ARP (DAI) анализирует протокол разрешения адресов (ARP) и нательное ARP (GARP) на факт нарушения (по отношению к подмене ARP)

• 802. Ограничение1x доступа к сети для аутентификации устройств в присвоенных сетях VLA (телефоны поддерживают 802.1x)

• Настройка качества обслуживания (QoS) для соответствующей маркировки голосовых пакетов

• Конфигурации портов брандмауэра для блокирования любого другого трафика

Безопасность оконечных устройств

Конечные точки Cisco поддерживают функции безопасности по умолчанию, такие как подписанное микропрограммное обеспечение, защищенная загрузка (выбранные модели), сертификат изготовителя (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для конечных точек.

Кроме того, партнер или клиент может обеспечить дополнительную безопасность, в том числе:

• Шифровать телефонные IP-услуги (посредством HTTPS) для таких услуг, как мобильность телефонных номеров

• Выдают сертификаты местного качества (LSC) с функции прокси-сервера службы сертификации (CAPF) или публичного ЦС

• Шифровать файлы конфигурации

• Шифрование данных мультимедиа и сигнального канала

• Отключать указанные настройки, если они не используются. порт ПК, доступ к голосовой сети VLAN для ПК, gratuitous ARP, web-доступ, кнопка настроек, SSH, консоль

Реализация механизмов безопасности в выделенном экземпляре предотвращает хищение личных данных телефонов и сервера Unified CM, не фальсификацию данных и ненамерение медиапотока.

Выделенный экземпляр сети:

• Устанавливает и поддерживает потоки связи с аутентификацией

• Перед передачей файла на телефон необходимо цифровой подписи

• Шифрует потоки мультимедиа и сигнальные данные о вызовах между унифицированная (служба) Cisco IP-телефонами

По умолчанию система безопасности обеспечивает следующие функции автоматической защиты унифицированная (служба) Cisco IP-телефонов.

• Подписание файлов конфигурации телефона

• Поддержка шифрования файлов конфигурации телефона

• HTTPS с Tomcat и другими веб-службами (MDlets)

Для Unified CM выпуска 8.0 и последующих выпусков эти функции безопасности предоставляются по умолчанию без запуска клиента CTL.

Поскольку в сети большое количество телефонов и IP-телефоны имеют ограниченный объем памяти, унифицированная (служба) Cisco CM действует как удаленное хранилище доверия через службу проверки доверия (TVS), поэтому для каждого телефона не нужно размещать хранилище доверия сертификата. IP-телефоны Cisco для проверки обратились к серверу TVS, поскольку они не могут проверить подпись или сертификат посредством файлов CTL или ITL. Централизованное хранилище доверия проще в управлении, чем управление этим хранилищем в каждом из унифицированная (служба) Cisco IP-телефона.

Компания TVS позволяет унифицированная (служба) Cisco IP-телефонам аутентификацию серверов приложений, таких как услуги EM, каталог и MIDlet, во время установления HTTPS.

Файл исходного списка доверия (ITL) используется для начальной безопасности, чтобы конечные точки могли доверять унифицированная (служба) Cisco CM. ITL не требует явного включения функций безопасности. Файл ITL создается автоматически после установки кластера. Закрытый ключ сервера Trivial File Transfer Protocol (TFTP) Unified CM используется для подписи файла ITL.

Если кластер унифицированная (служба) Cisco CM или сервер находится в незабезопасном режиме, файл ITL скачивается на каждый поддерживаемый IP-телефон Cisco. Партнер может просматривать содержание файла ITL с помощью команды CLI admin:show itl.

IP-телефоны Cisco нуждаются в файле ITL для выполнения следующих задач:

• Безопасная связь с CAPF – предварительным условием для поддержки шифрования файлов конфигурации

• Аутентификация подписи файла конфигурации

• Аутентификация серверов приложений, таких как службы EM, каталог и MIDlet во время установления HTTPS с помощью TVS

Аутентификация устройства, файла и сигнального сигнала зависит от создания файла CTL, который создается после установки партнером или клиентом клиента и настройки клиента списка доверия сертификата Cisco.

Файл CTL содержит записи для следующих серверов или маркеров безопасности:

• Маркер безопасности (SAST) для системного администратора

• Службы Cisco CallManager и Cisco TFTP, работающие на одном сервере

• Функция прокси-сервера для органов сертификации (CAPF)

• Серверы TFTP

• Межсетевой экран ASA

Файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя эмитента, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.

Функции защиты телефона с помощью CTL:

• Аутентификация скачаемых файлов TFTP (конфигурация, региональные настройки, список мелодий и т. г.) с помощью ключа подписи

• Шифрование файлов конфигурации TFTP с помощью подписи

• Шифрование сигналов вызова для IP-телефонов

• Шифрование аудио вызовов (медиа) для IP-телефонов

Выделенный экземпляр обеспечивает регистрацию оконечной точки и обработку вызовов. Сигнальные данные между унифицированная (служба) Cisco CM и конечными точками основаны на протоколе управления secure Skinny Client Control Protocol (SCCP) или протокол установления сеанса (SIP) и могут быть зашифрованы с помощью протокола TLS (Transport Layer Security). Мультимедиа от/до конечных точек основывается на транспортных протоколах реального времени (RTP), а также может быть зашифровано с помощью безопасного протокола RTP (SRTP).

Включение смешанного режима в Unified CM позволяет шифрование сигнального и медиа трафика от и до конечных точек Cisco.

Безопасные приложения UC

Смешанный режим включен по умолчанию в выделенном экземпляре.

Включение смешанного режима в выделенном экземпляре позволяет выполнять шифрование сигнального и медиа трафика от и до оконечного устройства Cisco.

В унифицированная (служба) Cisco CM 12.5(1) для клиентов Jabber и Webex был добавлен новый параметр шифрования сигнального и медиасигналов на основе OAuth SIP вместо смешанного режима / CTL. Таким образом, в выпуске Unified CM 12.5(1) SIP OAuth и SRTP можно использовать для шифрования сигналов и мультимедиа для клиентов Jabber или Webex. В настоящее время для IP-телефонов Cisco и других конечных точек Cisco по-прежнему требуется включение смешанного режима. В будущем выпуске планируется добавить поддержку SIP OAuth для оконечного тока 7800/8800.

Cisco Unity Connection Unified CM через порт TLS. Если режим безопасности устройства не является защищенным, Cisco Unity Connection к Unified CM через порт SCCP.

Для настройки безопасности портов голосовых сообщений Unified CM и устройств Cisco Unity с устройствами SCCP или Cisco Unity Connection с SCCP партнер может выбрать для порта режим защиты устройств. При выборе порта голосовой почты с аутентификацией открывается соединение TLS, которое аутентификация устройств с помощью mutual certificate exchange (каждое устройство принимает сертификат другого устройства). При выборе порта голосовой почты с шифрованием система сначала аутентификация устройств, а затем отправляет между устройствами зашифрованные голосовые потоки.

Дополнительные сведения о портах голосовых сообщений системы безопасности можно найти на сайте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Защита связи между Cisco Unified CM и CUBE

Для безопасного взаимодействия между унифицированная (служба) Cisco CM и CUBE партнеры/клиенты должны использовать либо самозаверяют сертификаты, либо сертификаты, подписанные ЦС.

Для самозаверяных сертификатов:

1. CUBE и унифицированная (служба) Cisco CM создают самозаверяют сертификаты

2. CUBE экспортирует сертификат в унифицированная (служба) Cisco CM

3. унифицированная (служба) Cisco CM экспортирует сертификат в CUBE

Для сертификатов, подписанных ЦС:

1. Клиент создает пару ключей и отправляет запрос на подпись сертификата (CSR) в центр сертификации (CA).

2. ЦС подписывает его с помощью закрытого ключа, создавая сертификат удостоверения

3. Клиент устанавливает список доверенных корневых и посредникных сертификатов ca и сертификата идентификации

Сводная информация протокола

В таблице ниже показаны протоколы и связанные с ними службы, используемые в решении Unified CM.

Более подробную информацию о конфигурации MRA см. в: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Защита Jabber и Webex с помощью SIP OAuth

Аутентификация клиентов Jabber и Webex обеспечивается посредством маркера OAuth вместо локального сертификата (LSC), что не требует возможности аутентификации прокси-сервера сертификации (CAPF) (для MRA). В унифицированная (служба) Cisco CM 12.5(1), Jabber 12.5 и Expressway X12.5 был введен SIP OAuth и без него.

В унифицированная (служба) Cisco CM 12.5 в профиле безопасности телефона есть новый параметр, позволяющий шифрование без использования LSC/CAPF с использованием маркера OAuth + single Transport Layer Security (TLS) + OAuth в SIP REGISTER. Expressway-C узлы используют API административной веб-службы XML (AXL) для информирования унифицированная (служба) Cisco CM о SN/SAN в своем сертификате. унифицированная (служба) Cisco CM использует эту информацию для проверки сертификата Exp-C при установлении mutual TLS соединения.

SIP OAuth включает шифрование мультимедиа и сигнального трафика без сертификата конечной точки (LSC).

Для скачивания файлов конфигурации Cisco Jabber через подключение HTTPS к серверу TFTP использует ненамеренный порт и защищенные порты 6971 и 6972. Порт 6970 является неза защищенным портом для загрузки посредством HTTP.

Дополнительные сведения о конфигурации SIP OAuth: Режим SIP OAuth.