Физическая безопасность

Важно обеспечить физическую безопасность местоположений комнат Equinix Meet-Me и объектов центра обработки данных выделенного экземпляра Cisco. Когда нарушена физическая безопасность, могут быть инициированы простые атаки, такие как нарушение работы служб при отключении питания на коммутаторы клиента. При физическом доступе злоумышленники могли получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также облегчает более сложные атаки, такие как атаки "человек в центре", поэтому второй уровень безопасности, сетевая безопасность, имеет решающее значение.

Диски самошифрования используются в центрах обработки данных выделенного экземпляра, в которых размещены приложения UC.

Дополнительную информацию об общих методах обеспечения безопасности см. в документации по следующему адресу: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Безопасность сети

Партнеры должны убедиться, что все сетевые элементы защищены в инфраструктуре выделенного экземпляра (которая подключается через Equinix). Ответственность за обеспечение безопасности лежит на партнере, например:

• Отдельная VLAN для передачи голоса и данных

• Включить защиту портов, которая ограничивает количество MAC-адресов, разрешенных на один порт, в случае затопления таблицы CAM

• Защита источника IP от ложных IP-адресов

• Dynamic ARP Inspection (DAI) проверяет протокол разрешения адресов (ARP) и безвозмездный ARP (GARP) на предмет нарушений (против подделки ARP)

• применение стандарта 802.1x, который ограничивает доступ к сети для аутентификации устройств в назначенных сетях VLAN (телефоны поддерживают стандарт 802.1x);

• Настройка качества обслуживания (QoS) для соответствующей маркировки голосовых пакетов

• Конфигурации портов брандмауэра для блокировки любого другого трафика

Безопасность оконечных устройств

Конечные точки Cisco поддерживают функции безопасности по умолчанию, такие как подписанное микропрограммное обеспечение, безопасная загрузка (выбранные модели), установленный производителем сертификат (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для конечных точек.

Кроме того, партнер или клиент может включить дополнительную безопасность, например:

• Шифрование служб IP-телефонии (через HTTPS) для таких служб, как Extension Mobility

• Выпуск локально значимых сертификатов (LSC) с помощью функции прокси центра сертификации (CAPF) или публичного центра сертификации (CA)

• Шифрование файлов конфигурации

• Шифрование мультимедиа и сигналов

• Отключите эти настройки, если они не используются. Порт ПК, доступ к голосовой VLAN ПК, безвозмездный ARP, веб-доступ, кнопка настроек, SSH, консоль

Реализация механизмов безопасности в выделенном экземпляре предотвращает кражу удостоверений телефонов и сервера Unified CM, фальсификацию данных, а также подтасовку сигналов вызовов и медиапотоков.

Выделенный экземпляр в сети:

• Устанавливает и поддерживает аутентифицированные каналы связи

• Цифровые подписи файлов перед их передачей на телефон

• Шифрование потоков мультимедиа и сигналов вызовов между телефонами Cisco Unified IP

Безопасность по умолчанию обеспечивает следующие функции автоматической безопасности для телефонов Cisco Unified IP.

• Подписание файлов конфигурации телефона

• Поддержка шифрования файлов конфигурации телефона

• HTTPS с Tomcat и другими веб-службами (MIDlets)

Для Unified CM версии 8.0 более поздней эти функции безопасности предоставляются по умолчанию без запуска клиента списка доверенных сертификатов (CTL).

Поскольку в сети имеется большое количество телефонов, а IP-телефоны имеют ограниченную память, Cisco Unified CM выступает в качестве удаленного доверенного хранилища через службу проверки доверия (TVS), чтобы на каждом телефоне не было необходимости размещать доверенное хранилище сертификатов. Телефоны Cisco IP обращаются к серверу TVS для проверки, поскольку они не могут проверить подпись или сертификат с помощью файлов CTL или ITL. Управлять центральным доверенным хранилищем проще, чем иметь доверенное хранилище на каждом телефоне Cisco Unified IP.

TVS позволяет телефонам Cisco Unified IP аутентифицировать серверы приложений, такие как службы EM, каталог и MIDlet, во время установки HTTPS.

Файл первоначального списка доверия (ITL) используется для начальной безопасности, чтобы конечные точки могли доверять Cisco Unified CM. ITL не нуждается в явной включении каких-либо функций безопасности. Файл ITL создается автоматически при установке кластера. Закрытый ключ сервера Unified CM Trivial File Transfer Protocol (TFTP) используется для подписи файла ITL.

Если кластер или сервер Cisco Unified CM находится в небезопасном режиме, файл ITL скачивается на каждый поддерживаемый телефон Cisco IP. Партнер может просматривать содержимое файла ITL с помощью команды CLI, admin:show itl.

Телефонам Cisco IP необходим файл ITL для выполнения следующих задач.

• Безопасное взаимодействие с CAPF, необходимое условие для поддержки шифрования файла конфигурации

• Аутентификация подписи файла конфигурации

• Аутентификация серверов приложений, таких как службы EM, каталог и MIDlet во время установки HTTPS с помощью TVS

Аутентификация устройства, файла и сигналов зависит от создания файла списка доверенных сертификатов (CTL), который создается при установке и настройке партнером или клиентом списка доверенных сертификатов Cisco.

Файл CTL содержит записи для следующих серверов или маркеров безопасности:

• маркер безопасности системного администратора (SAST)

• Службы Cisco CallManager и Cisco TFTP, запущенные на одном сервере

• Функция прокси центра сертификации (CAPF)

• Серверы TFTP

• брандмауэр ASA

Файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя эмитента, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.

Безопасность телефона с помощью CTL обеспечивает следующие функции:

• Аутентификация скачанных файлов TFTP (конфигурация, региональные параметры, список вызовов и т. д.) с помощью ключа подписи

• Шифрование файлов конфигурации TFTP с помощью ключа подписи

• Зашифрованная передача сигналов вызовов для IP-телефонов

• Зашифрованное аудио вызова (мультимедиа) для IP-телефонов

Выделенный экземпляр обеспечивает регистрацию терминального устройства и обработку вызовов. Передача сигналов между Cisco Unified CM и конечными точками осуществляется на основе протокола Secure Skinny Client Control Protocol (SCCP) или протокола установления сеанса (SIP) и может быть зашифрована с помощью Transport Layer Security (TLS). Передача данных от/к конечным точкам осуществляется по протоколу RTP (Real-time Transport Protocol, RTP), а также может быть зашифрована с помощью безопасного RTP (SRTP).

Включение смешанного режима в Unified CM обеспечивает шифрование сигнального и мультимедийного трафика от конечных точек Cisco и на них.

Безопасные приложения UC

Смешанный режим включен по умолчанию в выделенном экземпляре.

Включение смешанного режима в выделенном экземпляре позволяет выполнять шифрование сигнального и мультимедийного трафика от конечных точек Cisco и на них.

В выпуске 12.5(1) Cisco Unified CM для клиентов Jabber и Webex был добавлен новый параметр для включения шифрования сигналов и мультимедиа на основе SIP OAuth вместо смешанного режима/CTL. Таким образом, в выпуске Unified CM 12.5(1) SIP OAuth и SRTP могут использоваться для включения шифрования сигналов и мультимедиа для клиентов Jabber или Webex. В настоящее время для телефонов Cisco IP и других конечных точек Cisco по-прежнему требуется включение смешанного режима. В будущем выпуске планируется добавить поддержку SIP OAuth в конечных точках 7800/8800.

Cisco Unity Connection подключается к Unified CM через порт TLS. Если режим безопасности устройства небезопасный, Cisco Unity Connection подключается к Unified CM через порт SCCP.

Чтобы настроить безопасность для портов голосовых сообщений Unified CM и устройств Cisco Unity, на которых запущен SCCP или устройства Cisco Unity Connection, на которых запущен SCCP, партнер может выбрать для порта режим безопасности защищенного устройства. При выборе аутентифицированного порта голосовой почты открывается соединение TLS, которое аутентифицирует устройства с помощью обмена взаимными сертификатами (каждое устройство принимает сертификат другого устройства). При выборе зашифрованного порта голосовой почты система сначала аутентифицирует устройства, а затем отправляет зашифрованные голосовые потоки между устройствами.

Дополнительную информацию о портах для обмена голосовыми сообщениями см. в статье https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Защита связи между Cisco Unified CM и CUBE

Для безопасной связи между Cisco Unified CM и CUBE партнеры/клиенты должны использовать либо самоподписанный сертификат, либо сертификаты, подписанные ЦС.

Для самоподписанных сертификатов:

1. CUBE и Cisco Unified CM создают самоподписанные сертификаты

2. CUBE экспортирует сертификат в Cisco Unified CM

3. Cisco Unified CM экспортирует сертификат в CUBE

Для сертификатов, подписанных ЦС:

1. Клиент создает пару ключей и отправляет запрос на подпись сертификата (CSR) в центр сертификации (CA)

2. ЦС подписывает его с помощью закрытого ключа, создавая сертификат удостоверения

3. Клиент устанавливает список доверенных корневых сертификатов ЦС и промежуточных сертификатов, а также сертификат удостоверения

Сводная информация протокола

В следующей таблице показаны протоколы и связанные службы, используемые в решении Unified CM.

Дополнительную информацию о конфигурации MRA см. в статье: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Защита Jabber и Webex с помощью SIP OAuth

Клиенты Jabber и Webex аутентифицируются с помощью маркера OAuth вместо локально значимого сертификата (LSC), который не требует включения функции прокси центра сертификации (CAPF) (также для MRA). В Cisco Unified CM 12.5(1), Jabber 12.5 и Expressway X12.5 добавлена работа со смешанным режимом SIP OAuth.

В Cisco Unified CM 12.5 появился новый параметр в профиле безопасности телефона, который позволяет шифрование без LSC/CAPF с использованием одного маркера Transport Layer Security (TLS) + OAuth в РЕЕСТРЕ SIP. Узлы Expressway-C используют API веб-службы администрирования XML (AXL) для информирования Cisco Unified CM о SN/SAN в своем сертификате. Cisco Unified CM использует эту информацию для проверки сертификата Exp-C при установлении соединения mutual TLS.

SIP OAuth обеспечивает шифрование мультимедиа и сигналов без сертификата конечной точки (LSC).

Для скачивания файлов конфигурации Cisco Jabber использует эфемерные порты и порты безопасности 6971 и 6972 через соединение HTTPS с сервером TFTP. Порт 6970 является небезопасным портом для скачивания через HTTP.

Дополнительные сведения о конфигурации SIP OAuth: Режим SIP OAuth.