Fyzická bezpečnosť

Je dôležité zabezpečiť fyzickú bezpečnosť miest Equinix Meet-Me Room a zariadení Cisco Dedicated Instance Data Center. Ak je ohrozená fyzická bezpečnosť, môžu sa spustiť jednoduché útoky, ako je prerušenie služby vypnutím napájania prepínačov zákazníka. S fyzickým prístupom by útočníci mohli získať prístup k serverovým zariadeniam, resetovať heslá a získať prístup k prepínačom. Fyzický prístup tiež uľahčuje sofistikovanejšie útoky, ako sú útoky typu man-in-the-middle, a preto je druhá vrstva zabezpečenia, sieťová bezpečnosť, kritická.

Samošifrovacie jednotky sa používajú v dátových centrách vyhradených inštancií, ktoré hosťujú aplikácie UC.

Ďalšie informácie o všeobecných postupoch zabezpečenia nájdete v dokumentácii na nasledujúcom mieste: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečenie siete

Partneri musia zabezpečiť, aby boli všetky prvky siete zabezpečené v infraštruktúre vyhradenej inštancie (ktorá sa pripája cez Equinix). Je zodpovednosťou partnera zabezpečiť osvedčené postupy zabezpečenia, ako sú:

• Samostatná sieť VLAN pre hlas a dáta

• Zapnite zabezpečenie portov, ktoré obmedzuje počet povolených adries MAC na port, proti zahlteniu tabuľky CAM

• Ochrana zdroja IP pred sfalšovanými IP adresami

• Dynamická kontrola ARP (DAI) skúma protokol riešenia adries (ARP) a bezdôvodné ARP (GARP) z hľadiska porušení (proti ARP spoofingu)

• 802.1x obmedzuje prístup k sieti na overovanie zariadení na priradených sieťach VLAN (telefóny podporujú 802.1x)

• Konfigurácia kvality služieb (QoS) pre vhodné označenie hlasových paketov

• Konfigurácie portov brány firewall na blokovanie akejkoľvek inej prevádzky

Zabezpečenie koncových bodov

Koncové body Cisco podporujú predvolené funkcie zabezpečenia, ako je podpísaný firmvér, zabezpečené spustenie (vybrané modely), certifikát nainštalovaný výrobcom (MIC) a podpísané konfiguračné súbory, ktoré poskytujú určitú úroveň zabezpečenia koncových bodov.

Okrem toho môže partner alebo zákazník povoliť dodatočné zabezpečenie, ako napríklad:

• Šifrovanie IP telefónnych služieb (cez HTTPS) pre služby, ako je Extension Mobility

• Vydávanie lokálne významných certifikátov (LSC) z funkcie proxy certifikačnej autority (CAPF) alebo verejnej certifikačnej autority (CA)

• Šifrovanie konfiguračných súborov

• Šifrovanie médií a signalizácie

• Ak sa tieto nastavenia nepoužívajú, vypnite ich: PC port, PC Voice VLAN Access, bezplatný ARP, Web prístup, tlačidlo Nastavenia, SSH, konzola

Implementácia bezpečnostných mechanizmov vo vyhradenej inštancii zabraňuje krádeži identity telefónov a servera Unified CM, manipulácii s údajmi a manipulácii so signalizáciou hovorov / mediálnym streamom.

Vyhradená inštancia cez sieť:

• Vytvára a udržiava overené komunikačné toky

• Digitálne podpíše súbory pred prenosom súboru do telefónu

• Šifruje mediálne streamy a signalizáciu hovorov medzi telefónmi Cisco Unified IP

Zabezpečenie predvolene poskytuje nasledujúce funkcie automatického zabezpečenia pre telefóny Cisco Unified IP:

• Podpisovanie konfiguračných súborov telefónu

• Podpora šifrovania konfiguračných súborov telefónu

• HTTPS s Tomcat a inými webovými službami (MIDlets)

Pre Unified CM Release 8.0 neskôr sú tieto funkcie zabezpečenia štandardne poskytované bez spustenia klienta Certificate Trust List (CTL).

Pretože v sieti je veľký počet telefónov a IP telefóny majú obmedzenú pamäť, Cisco Unified CM funguje ako vzdialené úložisko dôveryhodných certifikátov prostredníctvom služby Trust Verification Service (TVS), takže úložisko dôveryhodných certifikátov nemusí byť umiestnené na každom telefóne. IP telefóny Cisco kontaktujú server TVS na overenie, pretože nemôžu overiť podpis alebo certifikát prostredníctvom súborov CTL alebo ITL. Centrálne úložisko dôveryhodných certifikátov je jednoduchšie spravovať ako mať dôveryhodné úložisko na každom telefóne Cisco Unified IP.

TVS umožňuje telefónom Cisco Unified IP overovať aplikačné servery, ako sú služby EM, adresár a MIDlet, počas vytvárania protokolu HTTPS.

Súbor Initial Trust List (ITL) sa používa na počiatočné zabezpečenie, aby koncové body mohli dôverovať Cisco Unified CM. ITL nepotrebuje, aby boli explicitne povolené žiadne bezpečnostné funkcie. Súbor ITL sa automaticky vytvorí pri inštalácii klastra. Na podpísanie súboru ITL sa používa súkromný kľúč servera TFTP (Unified CM Trivial File Transfer Protocol).

Keď je klaster alebo server Cisco Unified CM v nezabezpečenom režime, súbor ITL sa stiahne do každého podporovaného IP telefónu Cisco. Partner môže zobraziť obsah súboru ITL pomocou príkazu CLI, admin:show itl.

IP telefóny Cisco potrebujú súbor ITL na vykonávanie nasledujúcich úloh:

• Bezpečná komunikácia s CAPF, čo je predpoklad na podporu šifrovania konfiguračných súborov

• Overenie podpisu konfiguračného súboru

• Overte aplikačné servery, ako sú EM služby, adresár a MIDlet počas vytvárania HTTPS pomocou TVS

Overovanie zariadení, súborov a signalizácie sa spolieha na vytvorenie súboru CTL (Certificate Trust List), ktorý sa vytvorí, keď partner alebo zákazník nainštaluje a nakonfiguruje klienta Cisco Certificate Trust List.

Súbor CTL obsahuje položky pre nasledujúce servery alebo tokeny zabezpečenia:

• Token zabezpečenia správcu systému (SAST)

• Služby Cisco CallManager a Cisco TFTP, ktoré sú spustené na rovnakom serveri

• Funkcia proxy certifikačnej autority (CAPF)

• TFTP server(y)

• Firewall ASA

Súbor CTL obsahuje certifikát servera, verejný kľúč, sériové číslo, podpis, názov vydavateľa, názov subjektu, funkciu servera, názov DNS a IP adresu pre každý server.

Zabezpečenie telefónu s CTL poskytuje nasledujúce funkcie:

• Autentifikácia súborov stiahnutých cez TFTP (konfigurácia, miestne nastavenie, zoznam zvonení atď.) pomocou podpisového kľúča

• Šifrovanie konfiguračných súborov TFTP pomocou podpisového kľúča

• Šifrovaná signalizácia hovorov pre IP telefóny

• Šifrovaný zvuk hovoru (médiá) pre IP telefóny

Vyhradená inštancia poskytuje registráciu koncových bodov a spracovanie hovorov. Signalizácia medzi Cisco Unified CM a koncovými bodmi je založená na protokole Secure Skinny Client Control Protocol (SCCP) alebo protokole SIP (Session Initiation Protocol) a môže byť šifrovaná pomocou protokolu TLS (Transport Layer Security). Médiá z/do koncových bodov sú založené na protokole RTP (Real-time Transport Protocol) a možno ich šifrovať aj pomocou Secure RTP (SRTP).

Povolenie zmiešaného režimu na Unified CM umožňuje šifrovanie signalizácie a mediálnej prevádzky z a do koncových bodov Cisco.

Zabezpečené aplikácie UC

Zmiešaný režim je predvolene povolený vo vyhradenej inštancii.

Povolenie zmiešaného režimu vo vyhradenej inštancii umožňuje vykonávať šifrovanie signalizácie a mediálnej prevádzky z a do koncových bodov Cisco.

V Cisco Unified CM release 12.5(1) bola pre klientov Jabber a Webex pridaná nová možnosť povoliť šifrovanie signalizácie a médií na základe SIP OAuth namiesto zmiešaného režimu / CTL. Preto vo verzii Unified CM 12.5(1) možno SIP OAuth a SRTP použiť na povolenie šifrovania signalizácie a médií pre klientov Jabber alebo Webex. Povolenie zmiešaného režimu sa v súčasnosti naďalej vyžaduje pre IP telefóny Cisco a ďalšie koncové body Cisco. V budúcom vydaní sa plánuje pridať podporu pre SIP OAuth v koncových bodoch 7800/8800.

Cisco Unity Connection sa pripája k Unified CM cez port TLS. Keď režim zabezpečenia zariadenia nie je zabezpečený, Cisco Unity Connection sa pripojí k Unified CM cez port SCCP.

Ak chcete nakonfigurovať zabezpečenie pre porty hlasových správ Unified CM a zariadenia Cisco Unity, na ktorých beží SCCP alebo zariadenia Cisco Unity Connection, na ktorých beží SCCP, môže partner zvoliť režim zabezpečenia zabezpečeného zariadenia pre port. Ak vyberiete overený port odkazovača, otvorí sa pripojenie TLS, ktoré overí zariadenia pomocou vzájomnej výmeny certifikátov (každé zariadenie akceptuje certifikát druhého zariadenia). Ak vyberiete port šifrovanej hlasovej schránky, systém najprv overí zariadenia a potom medzi nimi odošle šifrované hlasové streamy.

Ďalšie informácie o portoch Security Voice Messaging nájdete v téme: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpečenie komunikácie medzi Cisco Unified CM a CUBE

Na bezpečnú komunikáciu medzi Cisco Unified CM a CUBE musia partneri/zákazníci používať buď certifikát s vlastným podpisom, alebo certifikáty podpísané certifikačnou autoritou.

V prípade certifikátov s vlastným podpisom:

1. CUBE a Cisco Unified CM generujú certifikáty s vlastným podpisom

2. CUBE exportuje certifikát do Cisco Unified CM

3. Cisco Unified CM exportuje certifikát do CUBE

V prípade certifikátov podpísaných certifikačnou autoritou:

1. Klient vygeneruje pár kľúčov a odošle certifikačnej autorite (CA) žiadosť o podpísanie certifikátu (CSR)

2. Certifikačná autorita ho podpíše svojím súkromným kľúčom a vytvorí certifikát totožnosti

3. Klient nainštaluje zoznam dôveryhodných koreňových a sprostredkovateľských certifikátov certifikačnej autority a certifikát identity

Zhrnutie protokolu

V nasledujúcej tabuľke sú uvedené protokoly a súvisiace služby používané v riešení Unified CM.

Ďalšie informácie o konfigurácii MRA nájdete v téme: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zabezpečenie Jabberu a Webexu pomocou SIP OAuth

Klienti Jabber a Webex sa overujú prostredníctvom tokenu OAuth namiesto lokálne významného certifikátu (LSC), ktorý nevyžaduje povolenie funkcie proxy certifikačnej autority (CAPF) (aj pre MRA). SIP OAuth pracujúci so zmiešaným režimom alebo bez neho bol predstavený v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V Cisco Unified CM 12.5 máme novú možnosť v profile zabezpečenia telefónu, ktorá umožňuje šifrovanie bez LSC/CAPF pomocou jedného tokenu Transport Layer Security (TLS) + OAuth v SIP REGISTER. Uzly Expressway-C používajú rozhranie API Administrative XML Web Service (AXL) na informovanie Cisco Unified CM o SN/SAN vo svojom certifikáte. Cisco Unified CM používa tieto informácie na overenie certifikátu Exp-C pri vytváraní vzájomného pripojenia TLS.

SIP OAuth umožňuje šifrovanie médií a signalizácie bez certifikátu koncového bodu (LSC).

Cisco Jabber používa na stiahnutie konfiguračných súborov dočasné porty a zabezpečené porty 6971 a 6972 prostredníctvom pripojenia HTTPS k serveru TFTP. Port 6970 je nezabezpečený port na stiahnutie cez HTTP.

Viac podrobností o konfigurácii SIP OAuth: RežimSIP OAuth.