Fyzická bezpečnosť

Je dôležité zabezpečiť fyzické zabezpečenie miestností Equinix Meet-Me Room a zariadení dátového centra Cisco Dedicated Instance. Keď je ohrozená fyzická bezpečnosť, môžu sa spustiť jednoduché útoky, ako napríklad prerušenie služby vypnutím napájania zákazníckych prepínačov. S fyzickým prístupom by útočníci mohli získať prístup k serverovým zariadeniam, obnoviť heslá a získať prístup k prepínačom. Fyzický prístup tiež uľahčuje sofistikovanejšie útoky, ako sú útoky typu „man-in-the-middle“, a preto je druhá bezpečnostná vrstva, teda zabezpečenie siete, kritická.

Samošifrovacie disky sa používajú v dátových centrách vyhradených inštancií, ktoré hostujú aplikácie UC.

Ďalšie informácie o všeobecných bezpečnostných postupoch nájdete v dokumentácii na nasledujúcom mieste: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečenie siete

Partneri musia zabezpečiť, aby všetky sieťové prvky boli zabezpečené v infraštruktúre vyhradených inštancií (ktorá sa pripája cez Equinix). Je zodpovednosťou partnera zabezpečiť osvedčené bezpečnostné postupy, ako napríklad:

• Samostatná VLAN pre hlas a dáta

• Povoliť zabezpečenie portov, ktoré obmedzuje počet povolených MAC adries na port, aby sa zabránilo zahlteniu tabuľky CAM.

• Ochrana IP Source pred falošnými IP adresami

• Dynamická inšpekcia ARP (DAI) skúma protokol pre rozlíšenie adries (ARP) a samovoľný ARP (GARP) na porušenia (proti ARP spoofingu)

• 802.1x obmedzuje prístup k sieti na overenie zariadení na pridelených VLAN (telefóny podporujú 802.1x)

• Konfigurácia kvality služieb (QoS) pre vhodné označenie hlasových paketov

• Konfigurácie portov firewallu na blokovanie akejkoľvek inej prevádzky

Zabezpečenie koncových bodov

Koncové body Cisco podporujú predvolené bezpečnostné funkcie, ako je podpísaný firmvér, zabezpečené spustenie (vybrané modely), certifikát nainštalovaný výrobcom (MIC) a podpísané konfiguračné súbory, ktoré poskytujú určitú úroveň zabezpečenia pre koncové body.

Okrem toho môže partner alebo zákazník povoliť dodatočné zabezpečenie, ako napríklad:

• Šifrovanie IP telefónnych služieb (prostredníctvom HTTPS) pre služby, ako je Extension Mobility

• Vydávanie lokálne významných certifikátov (LSC) z funkcie proxy certifikačnej autority (CAPF) alebo verejnej certifikačnej autority (CA)

• Šifrovanie konfiguračných súborov

• Šifrovanie médií a signalizácie

• Ak sa tieto nastavenia nepoužívajú, vypnite ich: PC port, prístup k PC Voice VLAN, bezplatný ARP, webový prístup, tlačidlo Nastavenia, SSH, konzola

Implementácia bezpečnostných mechanizmov vo vyhradenej inštancii zabraňuje krádeži identity telefónov a servera Unified CM, manipulácii s údajmi a signalizácii hovorov. / manipulácia s mediálnym streamom.

Vyhradená inštancia v sieti:

• Vytvára a udržiava overené komunikačné toky

• Digitálne podpíše súbory pred ich prenosom do telefónu

• Šifruje mediálne streamy a signalizáciu hovorov medzi telefónmi Cisco Unified IP

Zabezpečenie štandardne poskytuje nasledujúce automatické bezpečnostné funkcie pre telefóny Cisco Unified IP:

• Podpisovanie konfiguračných súborov telefónu

• Podpora šifrovania konfiguračných súborov telefónu

• HTTPS s Tomcatom a ďalšími webovými službami (MIDletmi)

Pre Unified CM verzie 8.0 a novšie sú tieto bezpečnostné funkcie poskytované štandardne bez spustenia klienta Certificate Trust List (CTL).

Keďže v sieti je veľký počet telefónov a IP telefóny majú obmedzenú pamäť, Cisco Unified CM funguje ako vzdialený úložisko dôveryhodných certifikátov prostredníctvom služby Trust Verification Service (TVS), takže úložisko dôveryhodných certifikátov nemusí byť umiestnené na každom telefóne. IP telefóny Cisco kontaktujú server TVS kvôli overeniu, pretože nedokážu overiť podpis alebo certifikát prostredníctvom súborov CTL alebo ITL. Centrálne úložisko dôveryhodných údajov sa spravuje jednoduchšie ako mať úložisko dôveryhodných údajov na každom telefóne Cisco Unified IP.

TVS umožňuje telefónom Cisco Unified IP overovať aplikačné servery, ako sú služby EM, adresár a MIDlet, počas nadväzovania HTTPS.

Súbor Initial Trust List (ITL) sa používa na počiatočné zabezpečenie, aby koncové body mohli dôverovať Cisco Unified CM. ITL nevyžaduje explicitné povolenie žiadnych bezpečnostných funkcií. Súbor ITL sa automaticky vytvorí pri inštalácii klastra. Súkromný kľúč servera Unified CM Trivial File Transfer Protocol (TFTP) sa používa na podpisovanie súboru ITL.

Keď je klaster alebo server Cisco Unified CM v nezabezpečenom režime, súbor ITL sa stiahne na každý podporovaný IP telefón Cisco. Partner si môže zobraziť obsah súboru ITL pomocou príkazu CLI, admin:show taliančina

IP telefóny Cisco potrebujú súbor ITL na vykonávanie nasledujúcich úloh:

• Bezpečná komunikácia s CAPF, čo je predpokladom pre podporu šifrovania konfiguračného súboru

• Overte podpis konfiguračného súboru

• Autentifikácia aplikačných serverov, ako sú EM služby, adresár a MIDlet, počas nadväzovania HTTPS pomocou TVS

Autentifikácia zariadení, súborov a signalizácie sa spolieha na vytvorenie súboru so zoznamom dôveryhodných certifikátov (CTL), ktorý sa vytvorí, keď partner alebo zákazník nainštaluje a nakonfiguruje klienta Cisco Certificate Trust List.

Súbor CTL obsahuje položky pre nasledujúce servery alebo bezpečnostné tokeny:

• Bezpečnostný token správcu systému (SAST)

• Služby Cisco CallManager a Cisco TFTP spustené na rovnakom serveri

• Funkcia proxy certifikačnej autority (CAPF)

• TFTP server(y)

• Firewall ASA

Súbor CTL obsahuje certifikát servera, verejný kľúč, sériové číslo, podpis, názov vydavateľa, názov subjektu, funkciu servera, názov DNS a IP adresu pre každý server.

Zabezpečenie telefónu s CTL poskytuje nasledujúce funkcie:

• Autentifikácia stiahnutých súborov cez TFTP (konfigurácia, lokalizácia, zoznam zvonení atď.) pomocou podpisového kľúča

• Šifrovanie konfiguračných súborov TFTP pomocou podpisového kľúča

• Šifrovaná signalizácia hovorov pre IP telefóny

• Šifrovaný zvuk (médiá) hovorov pre IP telefóny

Vyhradená inštancia poskytuje registráciu koncových bodov a spracovanie hovorov. Signalizácia medzi riešením Cisco Unified CM a koncovými bodmi je založená na protokole SCCP (Secure Skinny Client Control Protocol) alebo SIP (Session Initiation Protocol) a môže byť šifrovaná pomocou protokolu TLS (Transport Layer Security). Médiá from/to Koncové body sú založené na protokole Real-time Transport Protocol (RTP) a možno ich šifrovať aj pomocou protokolu Secure RTP (SRTP).

Povolenie zmiešaného režimu na Unified CM umožňuje šifrovanie signalizačnej a mediálnej prevádzky z a do koncových bodov Cisco.

Bezpečné aplikácie UC

Zmiešaný režim je v dedikovanej inštancii predvolene povolený.

Povolenie zmiešaného režimu vo vyhradenej inštancii umožňuje šifrovanie signalizačnej a mediálnej prevádzky z a do koncových bodov Cisco.

V Cisco Unified CM verzii 12.5(1) je nová možnosť povoliť šifrovanie signalizácie a médií na základe SIP OAuth namiesto zmiešaného režimu. / Pre klientov Jabber a Webex bol pridaný CTL. Preto je možné v Unified CM verzii 12.5(1) použiť SIP OAuth a SRTP na povolenie šifrovania signalizácie a médií pre klientov Jabber alebo Webex. Povolenie zmiešaného režimu je v súčasnosti naďalej povinné pre IP telefóny Cisco a iné koncové zariadenia Cisco. V pláne je pridať podporu pre SIP OAuth v 7800/8800 koncové body v budúcej verzii.

Cisco Unity Connection sa pripája k Unified CM cez port TLS. Keď je režim zabezpečenia zariadenia nezabezpečený, Cisco Unity Connection sa pripája k Unified CM prostredníctvom portu SCCP.

Ak chcete nakonfigurovať zabezpečenie pre porty hlasových správ Unified CM a zariadenia Cisco Unity, ktoré používajú protokol SCCP, alebo zariadenia Cisco Unity Connection, ktoré používajú protokol SCCP, partner si môže pre port vybrať bezpečný režim zabezpečenia zariadenia. Ak vyberiete overený port hlasovej schránky, otvorí sa pripojenie TLS, ktoré overí zariadenia pomocou vzájomnej výmeny certifikátov (každé zariadenie akceptuje certifikát druhého zariadenia). Ak vyberiete šifrovaný port hlasovej schránky, systém najprv overí zariadenia a potom medzi zariadeniami odošle šifrované hlasové streamy.

Viac informácií o portoch Security Voice Messaging nájdete v časti: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpečenie komunikácie medzi Cisco Unified CM a CUBE

Pre bezpečnú komunikáciu medzi Cisco Unified CM a CUBE, partners/customers je potrebné použiť buď certifikát s vlastným podpisom, alebo certifikáty podpísané certifikačnou autoritou.

Pre certifikáty s vlastným podpisom:

1. CUBE a Cisco Unified CM generujú certifikáty s vlastným podpisom

2. CUBE exportuje certifikát do Cisco Unified CM

3. Cisco Unified CM exportuje certifikát do CUBE

Pre certifikáty podpísané certifikačnou autoritou:

1. Klient vygeneruje pár kľúčov a odošle žiadosť o podpísanie certifikátu (CSR) certifikačnej autorite (CA).

2. CA ho podpíše svojím súkromným kľúčom, čím vytvorí certifikát identity.

3. Klient nainštaluje zoznam dôveryhodných koreňových a sprostredkovateľských certifikátov CA a certifikát identity.

Zhrnutie protokolu

Nasledujúca tabuľka zobrazuje protokoly a súvisiace služby používané v riešení Unified CM.

Viac informácií o konfigurácii MRA nájdete v týchto častiach: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zabezpečenie Jabberu a Webexu pomocou SIP OAuth

Klienti Jabber a Webex sú autentifikovaní pomocou tokenu OAuth namiesto lokálne významného certifikátu (LSC), ktorý nevyžaduje povolenie funkcie proxy certifikačnej autority (CAPF) (aj pre MRA). SIP OAuth pracujúci so zmiešaným režimom alebo bez neho bol zavedený v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V Cisco Unified CM 12.5 máme v profile zabezpečenia telefónu novú možnosť, ktorá umožňuje šifrovanie bez LSC/CAPF, pomocou jedného protokolu TLS (Transport Layer Security) + Token OAuth v registri SIP. Uzly Expressway-C používajú rozhranie Administrative XML Web Service (AXL) API na informovanie systému Cisco Unified CM o SN/SAN v ich certifikáte. Cisco Unified CM používa tieto informácie na overenie certifikátu Exp-C pri nadväzovaní vzájomného pripojenia TLS.

SIP OAuth umožňuje šifrovanie médií a signalizácie bez certifikátu koncového bodu (LSC).

Cisco Jabber používa na sťahovanie konfiguračných súborov dočasné porty a zabezpečené porty 6971 a 6972 prostredníctvom HTTPS pripojenia k TFTP serveru. Port 6970 je nezabezpečený port na sťahovanie cez HTTP.

Viac podrobností o konfigurácii SIP OAuth: Režim SIP OAuth.