Požiadavky na sieť a bezpečnosť vyhradenej inštancie

Fyzická bezpečnosť

Je dôležité zabezpečiť fyzické zabezpečenie miest Equinix Meet-Me Room a zariadení Cisco Dedicated Instance Data Center. Keď je ohrozená fyzická bezpečnosť, môžu byť iniciované jednoduché útoky, ako je prerušenie služby vypnutím napájania prepínačov zákazníka. S fyzickým prístupom by útočníci mohli získať prístup k serverovým zariadeniam, resetovať heslá a získať prístup k prepínačom. Fyzický prístup tiež uľahčuje sofistikovanejšie útoky, ako sú útoky typu man-in-the-middle, a preto je dôležitá druhá vrstva zabezpečenia, bezpečnosť siete.

Samošifrovacie jednotky sa používajú v dátových centrách vyhradených inštancií, ktoré sú hostiteľmi aplikácií UC.

Ďalšie informácie o všeobecných bezpečnostných postupoch nájdete v dokumentácii na nasledujúcej adrese: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečenie siete

Partneri musia zabezpečiť, aby boli všetky sieťové prvky zabezpečené v infraštruktúre vyhradenej inštancie (ktorá sa pripája cez Equinix). Je zodpovednosťou partnera zabezpečiť najlepšie bezpečnostné postupy, ako napríklad:

• Samostatná VLAN pre hlas a dáta

• Povoľte zabezpečenie portov, ktoré obmedzuje počet povolených adries MAC na port, aby nedošlo k zahlteniu tabuľky CAM

• Ochrana zdroja IP pred falošnými adresami IP

• Dynamická kontrola ARP (DAI) skúma porušenie protokolu na riešenie adresy (ARP) a bezodplatného ARP (GARP) (proti spoofingu ARP)

• 802.1x obmedzuje prístup k sieti na overenie zariadení v priradených VLAN (telefóny podporujú 802.1x)

• Konfigurácia kvality služby (QoS) pre vhodné označovanie hlasových paketov

• Konfigurácie portov brány firewall na blokovanie akejkoľvek inej prevádzky

Zabezpečenie koncových bodov

Koncové body Cisco podporujú predvolené funkcie zabezpečenia, ako je podpísaný firmvér, bezpečné spustenie (vybrané modely), certifikát nainštalovaný výrobcom (MIC) a podpísané konfiguračné súbory, ktoré poskytujú určitú úroveň zabezpečenia koncovým bodom.

Okrem toho môže partner alebo zákazník povoliť dodatočné zabezpečenie, ako napríklad:

• Šifrovanie IP telefónnych služieb (cez HTTPS) pre služby ako Extension Mobility

• Vydávanie lokálne významných certifikátov (LSC) z funkcie proxy certifikačnej autority (CAPF) alebo verejnej certifikačnej autority (CA)

• Šifrovanie konfiguračných súborov

• Šifrovanie médií a signalizácie

• Zakážte tieto nastavenia, ak sa nepoužívajú: PC port, PC Voice VLAN Access, bezplatné ARP, webový prístup, tlačidlo Nastavenia, SSH, konzola

Implementácia bezpečnostných mechanizmov vo vyhradenej inštancii zabraňuje krádeži identity telefónov a servera Unified CM, manipulácii s údajmi a manipulácii so signalizáciou hovorov / toku médií.

Vyhradená inštancia cez sieť:

• Vytvára a udržiava overené komunikačné toky

• Digitálne podpíše súbory pred prenosom súboru do telefónu

• Šifruje toky médií a signalizáciu hovorov medzi telefónmi Cisco Unified IP

Zabezpečenie v predvolenom nastavení poskytuje nasledujúce funkcie automatického zabezpečenia pre telefóny Cisco Unified IP:

• Podpisovanie konfiguračných súborov telefónu

• Podpora pre šifrovanie konfiguračných súborov telefónu

• HTTPS s Tomcatom a ďalšími webovými službami (MIDlety)

Pre Unified CM Release 8.0 neskôr sú tieto bezpečnostné funkcie poskytované štandardne bez spustenia klienta Certificate Trust List (CTL).

Keďže v sieti je veľký počet telefónov a IP telefóny majú obmedzenú pamäť, Cisco Unified CM funguje ako vzdialené úložisko dôveryhodnosti prostredníctvom služby Trust Verification Service (TVS), takže úložisko dôveryhodnosti certifikátov nemusí byť umiestnené na každom telefóne. IP telefóny Cisco kontaktujú server TVS kvôli overeniu, pretože nemôžu overiť podpis alebo certifikát prostredníctvom súborov CTL alebo ITL. S centrálnym úložiskom dôveryhodnosti je jednoduchšie spravovať ako s úložiskom dôveryhodnosti v každom telefóne Cisco Unified IP.

TVS umožňuje telefónom Cisco Unified IP overovať aplikačné servery, ako sú EM služby, adresár a MIDlet, počas vytvárania HTTPS.

Súbor Initial Trust List (ITL) sa používa na počiatočné zabezpečenie, aby koncové body mohli dôverovať Cisco Unified CM. ITL nepotrebuje explicitne aktivovať žiadne bezpečnostné funkcie. Súbor ITL sa automaticky vytvorí pri inštalácii klastra. Na podpísanie súboru ITL sa používa súkromný kľúč servera Unified CM Trivial File Transfer Protocol (TFTP).

Keď je klaster alebo server Cisco Unified CM v nezabezpečenom režime, súbor ITL sa stiahne do každého podporovaného IP telefónu Cisco. Partner môže zobraziť obsah súboru ITL pomocou príkazu CLI, admin:show itl.

Telefóny Cisco IP potrebujú súbor ITL na vykonávanie nasledujúcich úloh:

• Bezpečná komunikácia s CAPF, predpoklad na podporu šifrovania konfiguračného súboru

• Overte podpis konfiguračného súboru

• Autentifikácia aplikačných serverov, ako sú EM služby, adresár a MIDlet počas vytvárania HTTPS pomocou TVS

Overenie zariadenia, súboru a signalizácie závisí od vytvorenia súboru zoznamu dôveryhodných certifikátov (CTL), ktorý sa vytvorí, keď partner alebo zákazník nainštaluje a nakonfiguruje klienta zoznamu dôveryhodných certifikátov Cisco.

Súbor CTL obsahuje položky pre nasledujúce servery alebo bezpečnostné tokeny:

• Token zabezpečenia správcu systému (SAST)

• Služby Cisco CallManager a Cisco TFTP, ktoré sú spustené na rovnakom serveri

• Funkcia proxy certifikačnej autority (CAPF)

• TFTP servery

• ASA firewall

Súbor CTL obsahuje certifikát servera, verejný kľúč, sériové číslo, podpis, názov vydavateľa, názov subjektu, funkciu servera, názov DNS a adresu IP pre každý server.

Zabezpečenie telefónu pomocou CTL poskytuje nasledujúce funkcie:

• Autentifikácia TFTP stiahnutých súborov (konfigurácia, miestne nastavenie, zoznam zvonení atď.) pomocou podpisového kľúča

• Šifrovanie konfiguračných súborov TFTP pomocou podpisového kľúča

• Šifrovaná signalizácia hovoru pre IP telefóny

• Šifrovaný zvuk hovoru (médiá) pre IP telefóny

Vyhradená inštancia poskytuje registráciu koncových bodov a spracovanie hovorov. Signalizácia medzi Cisco Unified CM a koncovými bodmi je založená na protokole Secure Skinny Client Control Protocol (SCCP) alebo Session Initiation Protocol (SIP) a môže byť šifrovaná pomocou Transport Layer Security (TLS). Médiá z/do koncových bodov sú založené na protokole Real-time Transport Protocol (RTP) a môžu byť tiež šifrované pomocou Secure RTP (SRTP).

Povolenie zmiešaného režimu na Unified CM umožňuje šifrovanie signalizácie a mediálneho prenosu z a do koncových bodov Cisco.

Bezpečné aplikácie UC

Zmiešaný režim je predvolene povolený vo vyhradenej inštancii.

Povolenie zmiešaného režimu vo vyhradenej inštancii umožňuje vykonávať šifrovanie signalizácie a mediálneho prenosu z a do koncových bodov Cisco.

Vo vydaní Cisco Unified CM 12.5(1) bola pre klientov Jabber a Webex pridaná nová možnosť povoliť šifrovanie signalizácie a médií na základe SIP OAuth namiesto zmiešaného režimu / CTL. Preto vo verzii Unified CM 12.5(1) možno použiť SIP OAuth a SRTP na umožnenie šifrovania pre signalizáciu a médiá pre klientov Jabber alebo Webex. V súčasnosti je pre telefóny Cisco IP a ďalšie koncové body Cisco naďalej potrebné povoliť zmiešaný režim. V budúcom vydaní sa plánuje pridať podporu pre SIP OAuth v koncových bodoch 7800/8800.

Cisco Unity Connection sa pripája k Unified CM cez port TLS. Keď je režim zabezpečenia zariadenia nezabezpečený, Cisco Unity Connection sa pripojí k Unified CM cez port SCCP.

Ak chcete nakonfigurovať zabezpečenie pre porty hlasových správ Unified CM a zariadenia Cisco Unity, ktoré používajú SCCP alebo zariadenia Cisco Unity Connection, ktoré používajú SCCP, partner si môže vybrať režim zabezpečenia zariadenia pre port. Ak vyberiete overený port hlasovej schránky, otvorí sa pripojenie TLS, ktoré overí zariadenia pomocou vzájomnej výmeny certifikátov (každé zariadenie akceptuje certifikát druhého zariadenia). Ak zvolíte šifrovaný port hlasovej schránky, systém najprv overí zariadenia a potom medzi zariadeniami odošle šifrované hlasové toky.

Ďalšie informácie o portoch zabezpečenia hlasových správ nájdete v časti: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpečenie komunikácie medzi Cisco Unified CM a CUBE

Na zabezpečenú komunikáciu medzi Cisco Unified CM a CUBE musia partneri/zákazníci používať certifikát s vlastným podpisom alebo certifikáty podpísané CA.

Pre certifikáty s vlastným podpisom:

1. CUBE a Cisco Unified CM generujú certifikáty s vlastným podpisom

2. CUBE exportuje certifikát do Cisco Unified CM

3. Cisco Unified CM exportuje certifikát do CUBE

Pre certifikáty podpísané CA:

1. Klient vygeneruje pár kľúčov a odošle žiadosť o podpis certifikátu (CSR) certifikačnej autorite (CA).

2. CA ho podpíše svojím súkromným kľúčom, čím vytvorí certifikát totožnosti

3. Klient nainštaluje zoznam dôveryhodných koreňových a sprostredkovateľských certifikátov CA a Certifikát identity

Zhrnutie protokolu

Nasledujúca tabuľka zobrazuje protokoly a súvisiace služby používané v riešení Unified CM.

Viac informácií o konfigurácii MRA nájdete na: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zabezpečenie Jabber a Webex pomocou SIP OAuth

Klienti Jabber a Webex sa autentifikujú prostredníctvom tokenu OAuth namiesto lokálne významného certifikátu (LSC), ktorý nevyžaduje aktiváciu funkcie proxy certifikačnej autority (CAPF) (aj pre MRA). SIP OAuth pracujúci so zmiešaným režimom alebo bez neho bol predstavený v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V Cisco Unified CM 12.5 máme novú možnosť v profile zabezpečenia telefónu, ktorá umožňuje šifrovanie bez LSC/CAPF pomocou jediného tokenu Transport Layer Security (TLS) + OAuth v SIP REGISTER. Uzly Expressway-C používajú rozhranie Administrative XML Web Service (AXL) na informovanie Cisco Unified CM o SN/SAN vo svojom certifikáte. Cisco Unified CM používa tieto informácie na overenie certifikátu Exp-C pri vytváraní vzájomného pripojenia TLS.

SIP OAuth umožňuje šifrovanie médií a signalizácie bez certifikátu koncového bodu (LSC).

Cisco Jabber používa dočasné porty a zabezpečené porty 6971 a 6972 prostredníctvom pripojenia HTTPS k serveru TFTP na stiahnutie konfiguračných súborov. Port 6970 je nezabezpečený port na sťahovanie cez HTTP.

Viac podrobností o konfigurácii SIP OAuth: Režim SIP OAuth.