Физическая безопасность

Важно обеспечить физическую безопасность помещений Equinix Meet-Me Room и Cisco. Выделенный экземпляр Услуги дата-центра. Когда физическая безопасность скомпрометирована, могут быть инициированы простые атаки, такие как прерывание обслуживания путем отключения питания коммутаторов клиента. Имея физический доступ, злоумышленники могут получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также способствует более изощренным атакам, таким как атаки типа "злоумышленник в середине", поэтому второй уровень безопасности, сетевая безопасность, имеет решающее значение.

Диски с самошифрованием используются в Выделенный экземпляр Центры обработки данных, в которых размещаются приложения UC.

Дополнительную информацию об общих методах обеспечения безопасности см. В документации по следующему адресу: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Безопасность сети

Партнерам необходимо обеспечить безопасность всех сетевых элементов. Выделенный экземпляр инфраструктура (которая подключается через Equinix). В обязанности партнера входит обеспечение таких рекомендации безопасности, как:

• Отдельная виртуальная локальная сеть для голоса и данных

• Включить защиту порта, которая ограничивает количество MAC -адресов, разрешенных для каждого порта, от переполнения таблицы CAM

• Защита источника IP от подделки IP -адресов

• Dynamic ARP Inspection (DAI) проверяет протокол разрешения адресов (ARP) и бесплатный ARP (GARP) на предмет нарушений (от спуфинга ARP)

• 802.1x ограничивает доступ к сети для аутентификации устройств в назначенных VLAN (телефоны поддерживают 802.1x )

• Настройка качества обслуживания (QoS) для соответствующей маркировки голосовых пакетов

• Конфигурация портов брандмауэра для блокировки любого другого трафика

Безопасность оконечных устройств

Конечные точки Cisco поддерживают функции безопасности по умолчанию, такие как подписанное микропрограммное обеспечение, безопасная загрузка (выбранные модели), установленный производителем сертификат (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для конечных точек.

Кроме того, партнер или заказчик могут включить дополнительную безопасность, например:

• Шифрование служб IP-телефон (через HTTPS) для таких служб, как Extension Mobility

• Выдача локально значимых сертификатов (LSC) с помощью функция прокси центра сертификации (CAPF) или общедоступного центра сертификации (CA)

• Шифровать файлы конфигурации

• Шифрование мультимедиа и сигналов

• Отключите эти настройки, если они не используются: порт ПК ПК , голосовой доступ к виртуальная локальная сеть с ПК, бесплатный ARP, веб доступ, кнопка настроек, SSH, консоль

Внедрение механизмов безопасности в Выделенный экземпляр предотвращает кражу идентификационных данных телефонов и сервер Unified CM, фальсификацию данных и фальсификацию сигналов вызова / медиа-потока.

Выделенный экземпляр по сети:

• Устанавливает и поддерживает аутентифицированные потоки связи

• Цифровая подпись файлов перед передачей файла на телефон

• Шифрование медиапотоков и сигнализации вызовов между IP -телефонами Cisco Unified

Безопасность по умолчанию обеспечивает следующие автоматические функции безопасности для IP -телефонов Cisco Unified:

• Подписание файлов конфигурация телефона

• Поддержка шифрования файла конфигурация телефона

• HTTPS с Tomcat и другими веб службами (мидлеты)

Для Unified CM Release 8.0 эти функции безопасности предоставляются по умолчанию без запуска клиента списка доверенных сертификатов (CTL).

Поскольку в сети имеется большое количество телефонов, а память IP -телефонов ограничена, Cisco Unified CM действует как удаленное хранилище доверенных сертификатов через службу проверки доверия (TVS), поэтому хранилище доверенных сертификатов не требуется размещать на каждом телефоне. Телефоны Cisco IP связываются с сервером TVS для проверки, поскольку они не могут проверить подпись или сертификат через файлы CTL или ITL. Управлять центральным хранилищем доверенных сертификатов проще, чем иметь хранилище доверенных сертификатов на каждом IP-телефон Cisco Unified.

TVS позволяет унифицированным IP -телефонам Cisco аутентифицировать серверы приложений, такие как службы EM , каталог и MIDlet, во время установления HTTPS.

Файл начального списка доверия (ITL) используется для начальной безопасности, чтобы конечные точки могли доверять Cisco Unified CM. ITL не требует явного включения каких-либо функций безопасности. Файл ITL создается автоматически при установке кластера. Для подписи файла ITL используется закрытый ключ сервера Unified CM Trivial File Transfer Protocol (TFTP).

Когда кластер или сервер Cisco Unified CM находится в безопасный режим , файл ITL загружается на каждый поддерживаемый IP-телефон Cisco . Партнер может просматривать содержимое файла ITL с помощью команды команда CLI admin: show itl.

IP -телефонам Cisco необходим файл ITL для выполнения следующих задач:

• Безопасное взаимодействие с CAPF, необходимое условие для поддержки шифрования файл конфигурации

• Проверка подписи файл конфигурации

• Аутентификация серверов приложений, таких как службы EM , каталог и мидлет, во время установления HTTPS с помощью TVS

Аутентификация устройств, файлов и сигналов основывается на создании файла списка доверенных сертификатов (CTL), который создается, когда партнер или клиент устанавливает и настраивает клиент списка доверия сертификатов Cisco .

файл CTL содержит записи для следующих серверов или токенов безопасности:

• Токен безопасности системного администратора (SAST)

• Службы Cisco CallManager и Cisco TFTP , работающие на одном сервере

• Функция прокси центр сертификации (CAPF)

• Сервер (ы) TFTP

• брандмауэр ASA

файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя эмитента, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.

Защита телефона с помощью CTL обеспечивает следующие функции:

• Аутентификация загруженных файлов TFTP (конфигурация, локаль, список звонков и т. Д.) С помощью ключа подписи

• Шифрование файлов конфигурации TFTP с помощью ключа подписи

• Зашифрованная сигнализация вызова для IP -телефонов

• Зашифрованный звук вызова (мультимедиа) для IP -телефонов

Выделенный экземпляр обеспечивает регистрацию конечной точки и обработка вызова. Передача сигналов между Cisco Unified CM и конечными точками основана на протоколе Secure Skinny Client Control Protocol (SCCP) или протокол установления сеанса (SIP) и может быть зашифрована с использованием Transport Layer Security TLS. Медиафайлы от / до конечных точек основаны на транспортном протоколе в реальном времени (RTP) и также могут быть зашифрованы с использованием безопасного RTP (SRTP).

Включение смешанного режима в Unified CM обеспечивает шифрование трафик мультимедиа от конечных точек Cisco и к ним.

Безопасные приложения UC

Смешанный режим включено по умолчанию в Выделенный экземпляр .

Включение смешанного режима в Выделенный экземпляр позволяет выполнять шифрование сигнального и трафик мультимедиа от конечных точек Cisco и к ним.

В выпуске Cisco Unified CM 12.5 (1) для клиентов Jabber и Webex был добавлен новый параметр, позволяющий включить шифрование сигналов и мультимедиа на основе SIP OAuth вместо смешанного режима / CTL . Таким образом, в Unified CM Release 12.5 (1) SIP OAuth и SRTP могут использоваться для включения шифрования сигналов и мультимедиа для клиентов Jabber или Webex . В настоящее время для IP -телефонов Cisco и других оконечных Cisco по-прежнему требуется включение смешанного режима. В следующем выпуске планируется добавить поддержку SIP OAuth в конечных точках 7800/8800.

Cisco Unity Connection подключается к Unified CM через порт TLS . Когда режим безопасности устройства небезопасен, Cisco Unity Connection подключается к Unified CM через порт SCCP .

Чтобы настроить безопасность для портов передачи голосовых сообщений Unified CM и устройств Cisco Unity , на которых работает SCCP , или устройств Cisco Unity Connection , на которых работает SCCP, партнер может выбрать для порта безопасный режим безопасности устройства. Если вы выберете порт голосовой почты с аутентификацией, откроется соединение TLS , которое аутентифицирует устройства с помощью взаимного обмена сертификатами (каждое устройство принимает сертификат другого устройства). Если вы выбираете зашифрованный порт голосовой почты, система сначала аутентифицирует устройства, а затем отправляет зашифрованные голосовые потоки между устройствами.

Дополнительную информацию о портах передачи голосовых сообщений безопасности см. В следующих разделах: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Защита связи между Cisco Unified CM и CUBE

Для безопасного обмена данными между Cisco Unified CM и CUBE партнеры / клиенты должны использовать либо самоподписанный сертификат, либо сертификаты, подписанные ЦС.

Для самоподписанных сертификатов:

1. CUBE и Cisco Unified CM генерируют самоподписанные сертификаты

2. CUBE экспортирует сертификат в Cisco Unified CM

3. Cisco Unified CM экспортирует сертификат в CUBE

Для сертификатов, подписанных ЦС:

1. Клиент генерирует пару ключей и отправляет запрос на подпись сертификата (CSR) в центр центр сертификации (CA)

2. ЦС подписывает его своим закрытым ключом, создавая удостоверение личности.

3. Клиент устанавливает список доверенных корневых и промежуточных сертификатов ЦС, а также удостоверение личности.

Сводная информация протокола

В следующей таблице показаны протоколы и связанные службы, используемые в решении Unified CM .

Дополнительные сведения о настройке MRA см. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Защита Jabber и Webex с помощью SIP OAuth

Клиенты Jabber и Webex аутентифицируются с помощью маркера OAuth вместо локально значимый сертификат (LSC), который не требует включения функция прокси центра сертификации -сервера (CAPF) (в том числе для MRA). SIP OAuth, работающий со смешанным режимом или без него, был представлен в Cisco Unified CM 12.5 (1), Jabber 12.5 и Expressway X12.5.

В Cisco Unified CM 12.5 у нас есть новый параметр в профиле безопасности телефона, который включает шифрование без LSC/ CAPF с использованием единого маркера Transport Layer Security (TLS) + OAuth в SIP REGISTER. Узлы Expressway-C используют API административной веб -службы XML ( AXL ) для информирования Cisco Unified CM о SN / SAN в своем сертификате. Cisco Unified CM использует эту информацию для проверки сертификата Exp-C при установке взаимного соединения TLS .

SIP OAuth обеспечивает шифрование мультимедиа и сигналов без сертификата конечной точки (LSC).

Cisco Jabber использует временные порты и защищенные порты 6971 и 6972 через соединение HTTPS с сервером TFTP для загрузки файлов конфигурации. Порт 6970 - это незащищенный порт для загрузки через HTTP.

Подробнее о настройке SIP OAuth: Режим SIP OAuth .