Zahteve za omrežje in varnost namenske instance

Fizična varnost

Pomembno je zagotoviti fizično varnost lokacij Equinix Meet-Me Room in objektov podatkovnega centra Cisco Dedicated Instance Data Center. Če je ogrožena fizična varnost, se lahko sprožijo preprosti napadi, kot je prekinitev storitev z izklopom napajanja stikal stranke. S fizičnim dostopom lahko napadalci pridobijo dostop do strežniških naprav, ponastavijo gesla in dostopajo do stikal. Fizični dostop omogoča tudi bolj zapletene napade, kot so napadi tipa man-in-the-middle, zato je druga varnostna plast, varnost omrežja, ključnega pomena.

Samokriptirajoči diski se uporabljajo v podatkovnih centrih z namenskimi instancami, ki gostijo aplikacije UC.

Več informacij o splošnih varnostnih praksah najdete v dokumentaciji na naslednjem mestu: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Varnost omrežja

Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v infrastrukturi namenske instance (ki se povezuje prek Equinixa). Partner je odgovoren za zagotavljanje najboljših varnostnih praks, kot so:

• Ločeno omrežje VLAN za govor in podatke

• Omogočite funkcijo Port Security, ki omejuje število dovoljenih naslovov MAC na vrata in preprečuje poplavljanje tabele CAM.

• IP Source Guard pred lažnimi naslovi IP

• Dinamični pregled ARP (DAI) preverja kršitve protokola za razreševanje naslovov (ARP) in brezplačnega ARP (GARP) (proti podtikanju ARP).

• 802.1x omejuje dostop do omrežja na avtentikacijo naprav v dodeljenih VLAN-ih (telefoni podpirajo 802.1x)

• konfiguracija kakovosti storitev (QoS) za ustrezno označevanje govornih paketov

• Konfiguracije vrat požarnega zidu za blokiranje drugega prometa

Varnost končnih točk

Ciscove končne točke podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varen zagon (izbrani modeli), certifikat proizvajalca (MIC) in podpisane konfiguracijske datoteke, ki končnim točkam zagotavljajo določeno raven varnosti.

Poleg tega lahko partner ali stranka omogoči dodatno varnost, kot so:

• Šifriranje storitev telefona IP (prek protokola HTTPS) za storitve, kot je Extension Mobility.

• izdajanje lokalno pomembnih potrdil (LSC) iz funkcije pooblaščenca overitelja (CAPF) ali javnega overitelja potrdil (CA).

• Šifriranje konfiguracijskih datotek

• Šifriranje medijev in signalizacije

• Če teh nastavitev ne uporabljate, jih onemogočite: Vrata za osebni računalnik, dostop do glasovne VLAN, brezplačni ARP, spletni dostop, gumb za nastavitve, SSH, konzola

Izvajanje varnostnih mehanizmov v namenski različici preprečuje krajo identitete telefonov in strežnika Unified CM, prirejanje podatkov in prirejanje signalizacije klicev/medijskega toka.

Namenski primerek v omrežju:

• vzpostavlja in vzdržuje overjene komunikacijske tokove.

• digitalno podpisovanje datotek pred prenosom datoteke v telefon

• Šifriranje medijskih tokov in signalizacije klicev med telefoni Cisco Unified IP

Privzeta varnost zagotavlja naslednje samodejne varnostne funkcije za telefone Cisco Unified IP:

• Podpisovanje konfiguracijskih datotek telefona

• Podpora za šifriranje konfiguracijske datoteke telefona

• HTTPS s storitvijo Tomcat in drugimi spletnimi storitvami (MIDleti)

Pri različici Unified CM 8.0 pozneje so te varnostne funkcije privzeto zagotovljene brez zagona odjemalca CTL (Certificate Trust List).

Ker je v omrežju veliko število telefonov, telefoni IP pa imajo omejen pomnilnik, Cisco Unified CM deluje kot oddaljena shramba zaupanja prek storitve preverjanja zaupanja (TVS), tako da shrambe zaupanja certifikatov ni treba namestiti v vsak telefon. Telefoni Cisco IP se za preverjanje obrnejo na strežnik TVS, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Centralno shrambo zaupanja je lažje upravljati kot shrambo zaupanja v vsakem telefonu Cisco Unified IP.

TVS omogoča telefonom Cisco Unified IP, da med vzpostavitvijo HTTPS preverijo pristnost aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet.

Datoteka Initial Trust List (ITL) se uporablja za začetno varnost, da lahko končne točke zaupajo sistemu Cisco Unified CM. Za ITL ni treba izrecno omogočiti nobenih varnostnih funkcij. Datoteka ITL se samodejno ustvari ob namestitvi gruče. Zasebni ključ strežnika Unified CM Trivial File Transfer Protocol (TFTP) se uporabi za podpisovanje datoteke ITL.

Ko je gruča ali strežnik Cisco Unified CM v nezavarovanem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko vsebino datoteke ITL ogleda z ukazom CLI, admin:show itl.

Telefoni Cisco IP potrebujejo datoteko ITL za izvajanje naslednjih nalog:

• varno komuniciranje s sistemom CAPF, kar je predpogoj za podporo šifriranju konfiguracijske datoteke.

• Preverjanje pristnosti podpisa konfiguracijske datoteke

• Preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet, med vzpostavitvijo HTTPS z uporabo TVS.

Preverjanje pristnosti naprav, datotek in signalov temelji na ustvarjanju datoteke CTL (Certificate Trust List), ki se ustvari, ko partner ali stranka namesti in konfigurira Cisco Certificate Trust List Client.

Datoteka CTL vsebuje vnose za naslednje strežnike ali varnostne žetone:

• Varnostni žeton sistemskega administratorja (SAST)

• storitve Cisco CallManager in Cisco TFTP, ki se izvajajo v istem strežniku

• Funkcija posrednika organa za potrjevanje (CAPF)

• Strežnik(-i) TFTP

• Požarni zid ASA

Datoteka CTL vsebuje strežniško potrdilo, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, funkcijo strežnika, ime DNS in naslov IP za vsak strežnik.

Zaščita telefona s funkcijo CTL omogoča naslednje funkcije:

• Preverjanje pristnosti prenesenih datotek TFTP (konfiguracija, lokalno okolje, obročni seznam itd.) z uporabo podpisnega ključa

• Šifriranje konfiguracijskih datotek TFTP z uporabo podpisnega ključa

• Šifrirano signaliziranje klicev za telefone IP

• Šifriran zvok (medij) klicev za telefone IP

Namenska različica zagotavlja registracijo končne točke in obdelavo klicev. Signalizacija med Cisco Unified CM in končnimi točkami temelji na protokolu SCCP (Secure Skinny Client Control Protocol) ali SIP (Session Initiation Protocol) in je lahko šifrirana z uporabo protokola TLS (Transport Layer Security). Mediji od končnih točk do končnih točk temeljijo na transportnem protokolu v realnem času (RTP) in so lahko tudi šifrirani z uporabo varnega protokola RTP (SRTP).

Omogočanje mešanega načina v Unified CM omogoča šifriranje signalnega in medijskega prometa od končnih točk Cisco in do njih.

Varne aplikacije UC

Mešani način je privzeto omogočen v namenski različici.

Omogočanje mešanega načina v namenski različici omogoča šifriranje signalnega in medijskega prometa iz končnih točk Cisco in do njih.

V izdaji 12.5(1) programa Cisco Unified CM je bila za odjemalce Jabber in Webex dodana nova možnost za omogočanje šifriranja signalizacije in medijev na podlagi SIP OAuth namesto na podlagi mešanega načina / CTL. Zato lahko v izdaji 12.5(1) Unified CM uporabite protokola SIP OAuth in SRTP za omogočanje šifriranja signalizacije in medijev za odjemalce Jabber ali Webex. Omogočanje mešanega načina je trenutno še vedno potrebno za telefone Cisco IP in druge končne točke Cisco. V eni od prihodnjih izdaj je načrtovano dodajanje podpore za SIP OAuth v končne točke 7800/8800.

Cisco Unity Connection se poveže z Unified CM prek vrat TLS. Če je način varnosti naprave nezavarovan, se Cisco Unity Connection poveže z Unified CM prek vrat SCCP.

Če želite konfigurirati varnost za vrata za glasovno sporočanje Unified CM in naprave Cisco Unity, ki uporabljajo SCCP, ali naprave Cisco Unity Connection, ki uporabljajo SCCP, lahko partner za vrata izbere varen način varnosti naprave. Če izberete overjena vrata glasovne pošte, se odpre povezava TLS, ki naprave overi z vzajemno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete vrata za šifrirano glasovno pošto, sistem najprej preveri pristnost naprav, nato pa med napravama pošlje šifrirane glasovne tokove.

Za več informacij o vratih za varnostno glasovno sporočanje glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Varovanje komunikacij med Cisco Unified CM in CUBE

Za varno komunikacijo med Cisco Unified CM in CUBE morajo partnerji/odjemalci uporabljati samopodpisana potrdila ali potrdila, podpisana s strani CA.

Za samopodpisana potrdila:

1. CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila

2. CUBE izvozi potrdilo v Cisco Unified CM

3. Cisco Unified CM izvozi certifikat v CUBE

Za potrdila, podpisana s CA:

1. Odjemalec ustvari par ključev in pošlje zahtevo za podpis potrdila (CSR) overitelju potrdil (CA).

2. Overitelj ga podpiše s svojim zasebnim ključem in ustvari potrdilo o identiteti.

3. Odjemalec namesti seznam zaupanja vrednih korenskih in vmesnih potrdil CA ter potrdilo identitete.

Povzetek protokola

Naslednja preglednica prikazuje protokole in povezane storitve, ki se uporabljajo v rešitvi Unified CM.

Za več informacij o konfiguraciji MRA glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Varovanje Jabberja in Webexa s protokolom SIP OAuth

Odjemalci Jabber in Webex se namesto z lokalno pomembnim potrdilom (LSC) avtentificirajo z žetonom OAuth, zato ni potrebna vključitev funkcije posredovanja organa za potrdila (CAPF) (tudi za MRA). SIP OAuth, ki deluje z mešanim načinom ali brez njega, je bil uveden v Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5.

V programu Cisco Unified CM 12.5 imamo novo možnost v varnostnem profilu telefona, ki omogoča šifriranje brez LSC/CAPF z uporabo enega samega žetona TLS (Transport Layer Security) + OAuth v SIP REGISTER. Vozlišča Expressway-C uporabljajo vmesnik API upravne spletne storitve XML (AXL), da Cisco Unified CM obvesti o SN/SAN v svojem potrdilu. Cisco Unified CM te informacije uporabi za potrditev potrdila Exp-C pri vzpostavljanju vzajemne povezave TLS.

SIP OAuth omogoča šifriranje medijev in signalizacije brez potrdila končne točke (LSC).

Cisco Jabber za prenos konfiguracijskih datotek uporablja efemerna vrata ter varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP. Pristanišče 6970 je nezavarovano pristanišče za prenos prek protokola HTTP.

Več podrobnosti o konfiguraciji SIP OAuth: Način SIP OAuth.