Fizično varovanje

Pomembno je zagotoviti fizično varnost lokacij Equinix Meet-Me Room in objektov Cisco Dedicated Instance Data Center. Ko je fizična varnost ogrožena, se lahko sprožijo preprosti napadi, kot je motnja storitve z izklopom napajanja strankinih stikal. S fizičnim dostopom lahko napadalci dobijo dostop do strežniških naprav, ponastavijo gesla in pridobijo dostop do stikal. Fizični dostop omogoča tudi bolj sofisticirane napade, kot so napadi človek v sredini, zato je druga varnostna plast, varnost omrežja, kritična.

Pogoni s samošifriranjem se uporabljajo v namenskih podatkovnih centrih primerkov, ki gostijo aplikacije UC.

Za več informacij o splošnih varnostnih postopkih glejte dokumentacijo na naslednjem mestu: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Omrežna varnost

Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v infrastrukturi namenske instance (ki se povezuje prek Equinixa). Odgovornost partnerja je zagotoviti najboljše varnostne prakse, kot so:

• Ločen VLAN za glas in podatke

• Omogočite Varnost vrat, ki omejuje dovoljeno število naslovov MAC na vrata, proti preplavljanju tabele CAM

• Vir IP Zaščita pred lažnimi naslovi IP

• Dynamic ARP Inspection (DAI) pregleduje protokol razreševanja naslovov (ARP) in brezplačni ARP (GARP) za kršitve (proti ponarejanju ARP)

• 802.1x omejuje dostop do omrežja za preverjanje pristnosti naprav na dodeljenih VLAN (telefoni podpirajo 802.1x)

• Konfiguracija kakovosti storitve (QoS) za ustrezno označevanje govornih paketov

• Konfiguracije vrat požarnega zidu za blokiranje kakršnega koli drugega prometa

Varnost končnih točk

Končne točke Cisco podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varen zagon (izbrani modeli), potrdilo, nameščeno proizvajalcem (MIC) in podpisane konfiguracijske datoteke, ki zagotavljajo določeno raven varnosti za končne točke.

Poleg tega lahko partner ali stranka omogoči dodatno varnost, kot so:

• Šifrirajte telefonske storitve IP (prek HTTPS) za storitve, kot je Extension Mobility

• Izdajanje lokalno pomembnih potrdil (LSC) iz funkcije posrednika overitelja potrdil (CAPF) ali javnega potrdila (CA)

• Šifrirajte konfiguracijske datoteke

• Šifrirajte medije in signalizacijo

• Onemogočite te nastavitve, če jih ne uporabljate: Vrata za računalnik, glasovni dostop do VLAN za računalnik, brezplačni ARP, spletni dostop, gumb za nastavitve, SSH, konzola

Implementacija varnostnih mehanizmov v namenski instanci preprečuje krajo identitete telefonov in strežnika Unified CM, poseganje v podatke in poseganje v klicno signalizacijo/medijski tok.

Namenska instanca prek omrežja:

• Vzpostavlja in vzdržuje overjene komunikacijske tokove

• Digitalno podpiše datoteke pred prenosom datoteke v telefon

• Šifrira medijske tokove in signalizacijo klicev med IP telefoni Cisco Unified

Varnost privzeto zagotavlja naslednje samodejne varnostne funkcije za telefone IP Cisco Unified:

• Podpisovanje konfiguracijskih datotek telefona

• Podpora za šifriranje konfiguracijske datoteke telefona

• HTTPS s Tomcatom in drugimi spletnimi storitvami (MIDleti)

Za poznejšo izdajo Unified CM Release 8.0 so te varnostne funkcije privzeto na voljo brez izvajanja odjemalca Certificate Trust List (CTL).

Ker je v omrežju veliko telefonov in imajo telefoni IP omejen pomnilnik, Cisco Unified CM deluje kot oddaljena shramba zaupanja prek storitve preverjanja zaupanja (TVS), tako da ni treba namestiti shrambe zaupanja na vsakem telefonu. IP telefoni Cisco vzpostavijo stik s strežnikom TVS za preverjanje, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Imeti osrednjo shrambo zaupanja je lažje upravljati kot imeti shrambo zaupanja na vsakem telefonu IP Cisco Unified.

TVS omogoča IP-telefonom Cisco Unified preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet, med vzpostavitvijo HTTPS.

Datoteka z začetnim seznamom zaupanja (ITL) se uporablja za začetno varnost, tako da lahko končne točke zaupajo Cisco Unified CM. ITL ne potrebuje nobenih varnostnih funkcij, ki bi bile izrecno omogočene. Datoteka ITL se samodejno ustvari, ko je gruča nameščena. Za podpis datoteke ITL se uporablja zasebni ključ strežnika Unified CM Trivial File Transfer Protocol (TFTP).

Ko je gruča ali strežnik Cisco Unified CM v nezaščitenem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko ogleda vsebino datoteke ITL z ukazom CLI, admin:show itl.

IP telefoni Cisco potrebujejo datoteko ITL za izvajanje naslednjih nalog:

• Varno komunicirajte s CAPF, kar je predpogoj za podporo šifriranja konfiguracijske datoteke

• Preverite pristnost podpisa konfiguracijske datoteke

• Preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet med vzpostavitvijo HTTPS z uporabo TVS

Preverjanje pristnosti naprave, datoteke in signalizacije se zanaša na ustvarjanje datoteke seznama zaupanja vrednih potrdil (CTL), ki se ustvari, ko partner ali stranka namesti in konfigurira odjemalca seznama zaupanja vrednih potrdil Cisco.

Datoteka CTL vsebuje vnose za naslednje strežnike ali varnostne žetone:

• Varnostni žeton sistemskega skrbnika (SAST)

• Storitve Cisco CallManager in Cisco TFTP, ki se izvajata na istem strežniku

• Funkcija posrednika overitelja potrdil (CAPF)

• Strežnik(i) TFTP

• ASA požarni zid

Datoteka CTL vsebuje potrdilo strežnika, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, funkcijo strežnika, ime DNS in naslov IP za vsak strežnik.

Varnost telefona s CTL zagotavlja naslednje funkcije:

• Preverjanje pristnosti prenesenih datotek TFTP (konfiguracija, področne nastavitve, obročni seznam itd.) z uporabo ključa za podpisovanje

• Šifriranje konfiguracijskih datotek TFTP z uporabo podpisnega ključa

• Šifrirano signaliziranje klicev za IP telefone

• Šifriran zvok klica (medij) za IP telefone

Namenska instanca zagotavlja registracijo končne točke in obdelavo klicev. Signalizacija med Cisco Unified CM in končnimi točkami temelji na protokolu Secure Skinny Client Control Protocol (SCCP) ali Session Initiation Protocol (SIP) in se lahko šifrira z uporabo Transport Layer Security (TLS). Mediji od/do končnih točk temeljijo na protokolu za prenos v realnem času (RTP) in se lahko tudi šifrirajo z uporabo varnega RTP (SRTP).

Omogočanje mešanega načina na Unified CM omogoča šifriranje signalizacije in medijskega prometa od in do končnih točk Cisco.

Varne UC aplikacije

Mešani način je privzeto omogočen v namenskem primerku.

Omogočanje mešanega načina v namenski instanci omogoča zmožnost izvajanja šifriranja signalizacije in medijskega prometa od in do končnih točk Cisco.

V izdaji Cisco Unified CM 12.5(1) je bila za odjemalce Jabber in Webex dodana nova možnost za omogočanje šifriranja signalizacije in medijev na podlagi SIP OAuth namesto mešanega načina / CTL. Zato je mogoče v izdaji Unified CM 12.5(1) uporabiti SIP OAuth in SRTP za omogočanje šifriranja za signalizacijo in medije za odjemalce Jabber ali Webex. Omogočanje mešanega načina je trenutno še vedno zahtevano za telefone Cisco IP in druge končne točke Cisco. Obstaja načrt za dodajanje podpore za SIP OAuth v končne točke 7800/8800 v prihodnji izdaji.

Cisco Unity Connection se poveže z Unified CM prek vrat TLS. Ko varnostni način naprave ni varen, se Cisco Unity Connection poveže z Unified CM prek vrat SCCP.

Če želite konfigurirati varnost za vrata za glasovno sporočanje Unified CM in naprave Cisco Unity, ki uporabljajo SCCP, ali naprave Cisco Unity Connection, ki izvajajo SCCP, lahko partner izbere varen način zaščite naprave za vrata. Če izberete overjena vrata glasovne pošte, se odpre povezava TLS, ki overi naprave z medsebojno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete vrata za šifrirano glasovno pošto, sistem najprej preveri pristnost naprav in nato med napravami pošlje šifrirane glasovne tokove.

Za več informacij o varnostnih vratih za glasovno sporočanje glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Varovanje komunikacij med Cisco Unified CM in CUBE

Za varno komunikacijo med Cisco Unified CM in CUBE morajo partnerji/stranke uporabljati samopodpisana potrdila ali potrdila, podpisana s strani CA.

Za samopodpisana potrdila:

1. CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila

2. CUBE izvozi potrdilo v Cisco Unified CM

3. Cisco Unified CM izvozi potrdilo v CUBE

Za potrdila s podpisom CA:

1. Odjemalec ustvari par ključev in pošlje zahtevo za podpis potrdila (CSR) overitelju potrdil (CA)

2. CA ga podpiše s svojim zasebnim ključem in ustvari potrdilo o identiteti

3. Odjemalec namesti seznam zaupanja vrednih korenskih in posredniških potrdil CA ter potrdilo identitete

Povzetek protokola

Naslednja tabela prikazuje protokole in povezane storitve, uporabljene v rešitvi Unified CM.

Za več informacij o konfiguraciji MRA glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zaščita Jabber in Webex s SIP OAuth

Odjemalci Jabber in Webex so overjeni prek žetona OAuth namesto lokalno pomembnega potrdila (LSC), ki ne zahteva omogočenja funkcije proxy overitelja potrdil (CAPF) (tudi za MRA). SIP OAuth, ki deluje z ali brez mešanega načina, je bil predstavljen v Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5.

V Cisco Unified CM 12.5 imamo novo možnost v varnostnem profilu telefona, ki omogoča šifriranje brez LSC/CAPF z uporabo ene same varnosti transportne plasti (TLS) + žeton OAuth v SIP REGISTER. Vozlišča Expressway-C uporabljajo API skrbniške spletne storitve XML (AXL), da obvestijo Cisco Unified CM o SN/SAN v svojem potrdilu. Cisco Unified CM uporablja te informacije za preverjanje potrdila Exp-C pri vzpostavljanju medsebojne povezave TLS.

SIP OAuth omogoča šifriranje medijev in signaliziranja brez potrdila končne točke (LSC).

Cisco Jabber uporablja Ephemeral vrata in varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP za prenos konfiguracijskih datotek. Vrata 6970 so nezaščitena vrata za prenos prek HTTP.

Več podrobnosti o konfiguraciji SIP OAuth: Način SIP OAuth.