Fizična varnost

Pomembno je zagotoviti fizično varnost lokacijah sobe Equinix Meet-Me in zmogljivostim podatkovnega centra Cisco za namenske primerke. Ko je fizična varnost ogrožena, se lahko sprožijo preprosti napadi, kot so motnje storitve z izklopom moči na stikala stranke. S fizičnim dostopom lahko napadalci dobijo dostop do naprav strežnika, ponastavitev gesel in dostop do stikal. Fizični dostop omogoča tudi bolj prefinjene napade, kot so napadi človeka na sredino, zato je druga varnostna plast, varnost omrežja, kritična.

Samošifrirni pogoni se uporabljajo v namenskih podatkovnih središčih primerkov, ki gostijo aplikacije UC.

Za več informacij o splošnih varnostnih praksah si oglejte dokumentacijo na naslednji lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Varnost omrežja

Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v namenski infrastrukturi primerka (ki se povezuje prek sistema Equinix). Odgovornost partnerja je, da zagotovi najboljše varnostne prakse, kot so:

• Ločeno omrežje VLAN za glas in podatke

• Omogoči varnost vrat, ki omejuje število dovoljenih naslovov MAC na vrata, proti poplavam tabele CAM

• Zaščita vira IP pred zlomljenimi naslovi IP

• Dinamični pregled ARP (DAI) pregleda protokol za reševanje naslovov (ARP) in brezplačen ARP (GARP) za kršitve (proti spoofing ARP)

• 802.1x omeji dostop do omrežja za preverjanje pristnosti naprav na dodeljenih omrežjih VLAN (telefoni podpirajo 802.1x)

• Konfiguracija kakovosti storitve (QoS) za ustrezno označevanje glasovnih paketov

• Konfiguracije vrat požarnega zidu za blokiranje katerega koli drugega prometa

Varnost končnih točk

Končne točke Cisco podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varni zagon (izbrani modeli), potrdilo proizvajalca (MIC) in podpisane konfiguracijske datoteke, ki zagotavljajo določeno raven varnosti za končne točke.

Poleg tega lahko partner ali stranka omogoči dodatno varnost, na primer:

• Šifriraj telefonske storitve IP (prek HTTPS) za storitve, kot je Extension Mobility

• Izdaja lokalno pomembna potrdila (LSC) iz funkcije posredniškega organa za potrdila (CAPF) ali javnega organa za potrdila (CA)

• Šifriraj konfiguracijske datoteke

• Šifriraj predstavnost in signaliziranje

• Onemogočite te nastavitve, če niso uporabljene: PC vrata, PC Voice VLAN dostop, brezplačni ARP, spletni dostop, gumb za nastavitve, SSH, konzola

Izvajanje varnostnih mehanizmov v namenskem primerku prepreči krajo identitete telefonov in strežnika Unified CM, nedovoljeno spreminjanje podatkov in nedovoljeno spreminjanje klica/medijskega toka.

Namenski primerek prek omrežja:

• Vzpostavi in vzdržuje pretoke preverjenih komunikacij

• Digitalno podpiše datoteke, preden prenesete datoteko na telefon

• Šifrira pretoke predstavnosti in signaliziranje klicev med telefoni Cisco Unified IP

Varnost privzeto zagotavlja naslednje samodejne varnostne funkcije za telefone Cisco Unified IP:

• Podpisovanje konfiguracijskih datotek telefona

• Podpora za šifriranje konfiguracijske datoteke telefona

• HTTPS z Tomcat in drugimi spletnimi storitvami (MIDlets)

Za izdajo Unified CM 8.0 pozneje so te varnostne funkcije privzeto zagotovljene brez poganjanja odjemalca Seznama zaupanja vrednih potrdil (CTL).

Ker je v omrežju veliko število telefonov in imajo telefoni IP omejen pomnilnik, Cisco Unified CM deluje kot oddaljena shramba zaupanja prek storitve preverjanja zaupanja (TVS), tako da shrambe zaupanja s potrdili ni treba namestiti na vsak telefon. Telefoni Cisco IP stopijo v stik s strežnikom TVS za preverjanje, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Centralno shrambo zaupanja je lažje upravljati kot shrambo zaupanja na vsakem telefonu Cisco Unified IP.

TVS omogoča telefonom Cisco Unified IP, da med vzpostavitvijo HTTPS preverijo pristnost aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet.

Datoteka začetnega seznama zaupanja (ITL) se uporablja za začetno varnost, tako da lahko končne točke zaupajo Cisco Unified CM. ITL ne zahteva, da so nobene varnostne funkcije izrecno omogočene. Datoteka ITL se samodejno ustvari, ko je gruča nameščena. Zasebni ključ strežnika za protokol prenosa trivialne datoteke Unified CM (TFTP) se uporablja za podpis datoteke ITL.

Ko je gruča ali strežnik Cisco Unified CM v nevarnem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko ogleda vsebino datoteke ITL z ukazom CLI, admin:show itl.

Telefoni Cisco IP potrebujejo datoteko ITL za opravljanje naslednjih nalog:

• Varno komunicirajte s CAPF, predpogoj za podporo šifriranja konfiguracijske datoteke

• Preveri veljavnost podpisa konfiguracijske datoteke

• Med vzpostavitvijo HTTPS s pomočjo TVS preverite pristnost aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet

Naprava, datoteka in preverjanje pristnosti signaliziranja so odvisni od ustvarjanja datoteke seznama zaupanja vrednih potrdil (CTL), ki je ustvarjena, ko partner ali stranka namesti in konfigurira odjemalca seznama zaupanja vrednih potrdil Cisco.

Datoteka CTL vsebuje vnose za naslednje strežnike ali varnostne žetone:

• Varnostni žeton skrbnika sistema (SAST)

• Storitve Cisco CallManager in Cisco TFTP, ki se izvajajo na istem strežniku

• Funkcija posredniškega strežnika overitelja potrdil (CAPF)

• Strežnik/-i TFTP

• Požarni zid ASA

Datoteka CTL vsebuje strežniško potrdilo, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, funkcijo strežnika, ime DNS in naslov IP za vsak strežnik.

Varnost telefona s CTL zagotavlja naslednje funkcije:

• Preverjanje pristnosti prenesenih datotek TFTP (konfiguracija, locale, ringlist itd.) s podpisovalnim ključem

• Šifriranje konfiguracijskih datotek TFTP s podpisovalnim ključem

• Šifrirano signaliziranje klicev za telefone IP

• Šifrirani zvok klicev (predstavnost) za telefone IP

Namenski primerek zagotavlja registracijo končne točke in obdelavo klicev. Signaliziranje med Cisco Unified CM in končnimi točkami temelji na protokolu Secure Skinny Client Control Protocol (SCCP) ali protokolu začetka seje (SIP) in ga je mogoče šifrirati z uporabo varnosti transportne plasti (TLS). Medij od/do končnih točk temelji na protokolu transporta v realnem času (RTP) in se lahko šifrira tudi z uporabo varnega RTP (SRTP).

Omogočanje mešanega načina na Unified CM omogoča šifriranje signaliziranja in medijskega prometa od končnih točk Cisco in do njih.

Varne aplikacije UC

Mešani način je privzeto omogočen v namenskem primerku.

Omogočanje mešanega načina v namenskem primerku omogoča šifriranje signaliziranja in medijskega prometa od končnih točk Cisco in do njih.

V izdaji Cisco Unified CM 12.5(1) je bila za odjemalce Jabber in Webex dodana nova možnost za omogočanje šifriranja signaliziranja in medijev na podlagi SIP OAuth namesto mešanega načina/CTL. Zato se lahko v izdaji Unified CM 12.5(1) SIP OAuth in SRTP uporabljata za omogočanje šifriranja za signaliziranje in predstavnosti za odjemalce Jabber ali Webex. Omogočanje mešanega načina je trenutno še naprej potrebno za telefone Cisco IP in druge končne točke Cisco. V prihodnji izdaji je načrtovana dodana podpora za SIP OAuth na 7800/8800 končnih točkah.

Povezava Cisco Unity se poveže z Unified CM prek vrat TLS. Ko varnostni način naprave ni varen, se povezava Cisco Unity poveže z Unified CM prek vrat SCCP.

Če želite konfigurirati varnost za vrata glasovnega sporočanja Unified CM in naprave Cisco Unity, ki delujejo SCCP, ali naprave Cisco Unity Connection, ki delujejo SCCP, lahko partner izbere varen način varnosti naprave za vrata. Če izberete preverjena vrata glasovne pošte, se odpre povezava TLS, ki preveri pristnost naprav z vzajemno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete šifrirana vrata glasovne pošte, sistem najprej preveri pristnost naprav in nato pošlje šifrirane glasovne tokove med napravami.

Za več informacij o varnostnih vratih glasovnega sporočanja glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Varovanje komunikacije med Cisco Unified CM in CUBE

Za varno komunikacijo med Cisco Unified CM in CUBE morajo partnerji/stranke uporabiti samopodpisano potrdilo ali potrdila, podpisana s strani CA.

Za samopodpisana potrdila:

1. CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila

2. Izvozi potrdilo CUBE v Cisco Unified CM

3. Izvozi potrdilo Cisco Unified CM v CUBE

Za potrdila, podpisana s strani CA:

1. Odjemalec ustvari par ključev in pošlje zahtevo za podpis potrdila (CSR) Certificate Authority (CA).

2. CA ga podpiše s svojim zasebnim ključem, kar ustvari potrdilo o identiteti

3. Odjemalec namesti seznam zaupanja vrednih korenskih in posredniških potrdil CA in potrdila identitete

Povzetek protokola

V spodnji tabeli so prikazani protokoli in povezane storitve, ki se uporabljajo v rešitvi Unified CM.

Za več informacij o konfiguraciji MRA glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zaščita Jabber in Webex s SIP OAuth

Odjemalci Jabber in Webex se preverijo z žetonom OAuth namesto lokalno pomembnega potrdila (LSC), ki ne zahteva omogočanja funkcije proxy overitelja potrdil (CAPF) (tudi za MRA). SIP OAuth, ki deluje z mešanim načinom ali brez njega, je bil uveden v Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5.

V Cisco Unified CM 12.5 imamo novo možnost v varnostnem profilu telefona, ki omogoča šifriranje brez LSC/CAPF z uporabo enojne varnosti transportne plasti (TLS) + OAuth žetona v REGISTRU SIP. Vozlišča Expressway-C uporabljajo API za administrativno spletno storitev XML (AXL) za obveščanje Cisco Unified CM o SN/SAN v svojem potrdilu. Cisco Unified CM uporablja te informacije za potrditev potrdila Exp-C pri vzpostavljanju vzajemne povezave TLS.

SIP OAuth omogoča šifriranje medijev in signaliziranje brez potrdila končne točke (LSC).

Cisco Jabber za prenos konfiguracijskih datotek uporablja efemetrična vrata in varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP. Vrata 6970 so nevarna vrata za prenos prek HTTP.

Več podrobnosti o konfiguraciji SIP OAuth: način SIP OAuth.