Fizična varnost

Pomembno je zagotoviti fizično varnost lokacij sob za sestanke Equinix in objektov podatkovnega centra Cisco Dedicated Instance. Ko je ogrožena fizična varnost, se lahko sprožijo preprosti napadi, kot je prekinitev storitve z izklopom napajanja strankinih stikal. S fizičnim dostopom bi lahko napadalci dostopali do strežniških naprav, ponastavljali gesla in dostopali do stikal. Fizični dostop omogoča tudi bolj sofisticirane napade, kot so napadi tipa »človek vmes«, zato je druga varnostna plast, omrežna varnost, ključnega pomena.

Samošifrirni diski se uporabljajo v namenskih podatkovnih centrih, ki gostijo aplikacije za uničeno komunikacijo.

Za več informacij o splošnih varnostnih praksah glejte dokumentacijo na naslednji lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Varnost omrežja

Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v infrastrukturi namenskih instanc (ki se povezuje prek Equinixa). Partner je odgovoren za zagotavljanje najboljših varnostnih praks, kot so:

• Ločen VLAN za glas in podatke

• Omogoči varnost vrat, ki omejuje število dovoljenih naslovov MAC na vrata, da prepreči preplavljanje tabele CAM.

• Zaščita IP vira pred ponarejenimi IP naslovi

• Dinamični pregled ARP (DAI) pregleda protokol za razločevanje naslovov (ARP) in nepotrebni ARP (GARP) glede kršitev (proti ponarejanju ARP)

• 802.1x omejuje dostop do omrežja za preverjanje pristnosti naprav na dodeljenih VLAN-ih (telefoni podpirajo 802.1x)

• Konfiguracija kakovosti storitve (QoS) za ustrezno označevanje govornih paketov

• Konfiguracije vrat požarnega zidu za blokiranje vsega drugega prometa

Varnost končnih točk

Končne točke Cisco podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varen zagon (izbrani modeli), proizvajalčevo nameščeno potrdilo (MIC) in podpisane konfiguracijske datoteke, ki zagotavljajo določeno raven varnosti za končne točke.

Poleg tega lahko partner ali stranka omogoči dodatno varnost, kot je:

• Šifrirajte storitve IP-telefonije (prek HTTPS) za storitve, kot je Extension Mobility

• Izdaja lokalno pomembnih potrdil (LSC) iz funkcije posredniškega strežnika overitelja potrdil (CAPF) ali javnega overitelja potrdil (CA)

• Šifriraj konfiguracijske datoteke

• Šifriranje medijev in signalizacije

• Onemogočite te nastavitve, če jih ne uporabljate: Vrata za računalnik, dostop do PC Voice VLAN, brezplačni ARP, spletni dostop, gumb za nastavitve, SSH, konzola

Izvajanje varnostnih mehanizmov v namenskem primerku preprečuje krajo identitete telefonov in strežnika Unified CM, spreminjanje podatkov in signalizacijo klicev. / nedovoljeno spreminjanje medijskega toka.

Namenska instanca prek omrežja:

• Vzpostavlja in vzdržuje overjene komunikacijske tokove

• Digitalno podpiše datoteke, preden jih prenese v telefon

• Šifrira medijske tokove in signalizacijo klicev med telefoni Cisco Unified IP

Varnost privzeto zagotavlja naslednje samodejne varnostne funkcije za telefone Cisco Unified IP:

• Podpisovanje konfiguracijskih datotek telefona

• Podpora za šifriranje konfiguracijskih datotek telefona

• HTTPS s Tomcatom in drugimi spletnimi storitvami (MIDleti)

Za Unified CM Release 8.0 novejše različice so te varnostne funkcije privzeto na voljo brez zagona odjemalca Certificate Trust List (CTL).

Ker je v omrežju veliko telefonov in imajo IP-telefoni omejen pomnilnik, Cisco Unified CM deluje kot oddaljeno shrambo zaupanja prek storitve preverjanja zaupanja (TVS), tako da shrambe zaupanja potrdil ni treba namestiti na vsak telefon. Telefoni Cisco IP se za preverjanje obrnejo na strežnik TVS, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Upravljanje centralnega skladišča zaupanja je lažje kot upravljanje skladišča zaupanja na vsakem telefonu Cisco Unified IP.

TVS omogoča telefonom Cisco Unified IP, da med vzpostavljanjem HTTPS overijo aplikacijske strežnike, kot so storitve EM, imenik in MIDlet.

Datoteka začetnega seznama zaupanja (ITL) se uporablja za začetno varnost, tako da lahko končne točke zaupajo Cisco Unified CM. ITL ne potrebuje izrecnega omogočanja varnostnih funkcij. Datoteka ITL se samodejno ustvari ob namestitvi gruče. Za podpis datoteke ITL se uporablja zasebni ključ strežnika Unified CM Trivial File Transfer Protocol (TFTP).

Ko je gruča ali strežnik Cisco Unified CM v nezaščitenem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko ogleda vsebino datoteke ITL z ukazom CLI, admin:show itl.

Telefoni Cisco IP potrebujejo datoteko ITL za izvajanje naslednjih nalog:

• Varna komunikacija s CAPF, kar je predpogoj za podporo šifriranja konfiguracijske datoteke

• Preverjanje pristnosti podpisa konfiguracijske datoteke

• Preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet, med vzpostavljanjem HTTPS z uporabo TVS

Preverjanje pristnosti naprav, datotek in signalizacije je odvisno od ustvarjanja datoteke s seznamom zaupanja vrednih potrdil (CTL), ki se ustvari, ko partner ali stranka namesti in konfigurira odjemalca Cisco Certificate Trust List.

Datoteka CTL vsebuje vnose za naslednje strežnike ali varnostne žetone:

• Varnostni žeton sistemskega skrbnika (SAST)

• Storitve Cisco CallManager in Cisco TFTP, ki se izvajajo na istem strežniku

• Funkcija posrednika overitelja potrdil (CAPF)

• Strežnik(-i) TFTP

• Požarni zid ASA

Datoteka CTL vsebuje strežniško potrdilo, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, strežniško funkcijo, ime DNS in naslov IP za vsak strežnik.

Varnost telefona s CTL zagotavlja naslednje funkcije:

• Preverjanje pristnosti prenesenih datotek TFTP (konfiguracija, jezikovne nastavitve, seznam zvonjenj itd.) z uporabo ključa za podpisovanje

• Šifriranje konfiguracijskih datotek TFTP s ključem za podpisovanje

• Šifrirana signalizacija klicev za IP telefone

• Šifrirani zvok klicev (mediji) za IP telefone

Namenska instanca zagotavlja registracijo končnih točk in obdelavo klicev. Signalizacija med Cisco Unified CM in končnimi točkami temelji na protokolu Secure Skinny Client Control Protocol (SCCP) ali protokolu Session Initiation Protocol (SIP) in jo je mogoče šifrirati z uporabo protokola Transport Layer Security (TLS). Mediji from/to Končne točke temeljijo na protokolu za prenos v realnem času (RTP) in jih je mogoče šifrirati tudi z uporabo varnega RTP (SRTP).

Omogočanje mešanega načina v storitvi Unified CM omogoča šifriranje signalizacije in medijskega prometa od in do končnih točk Cisco.

Varne aplikacije za uničeno komunikacijo

Mešani način je v namenskem primerku privzeto omogočen.

Omogočanje mešanega načina v namenski instanci omogoča šifriranje signalizacije in medijskega prometa od in do končnih točk Cisco.

V Cisco Unified CM izdaji 12.5(1) je na voljo nova možnost za omogočanje šifriranja signalizacije in medijev na podlagi SIP OAuth namesto mešanega načina. / Za odjemalce Jabber in Webex je bil dodan CTL. Zato se lahko v izdaji Unified CM 12.5(1) za omogočanje šifriranja signalizacije in medijev za odjemalce Jabber ali Webex uporabita SIP OAuth in SRTP. Omogočanje mešanega načina je trenutno še vedno obvezno za telefone Cisco IP in druge končne točke Cisco. Obstaja načrt za dodajanje podpore za SIP OAuth v 7800/8800 končne točke v prihodnji izdaji.

Cisco Unity Connection se poveže z Unified CM prek vrat TLS. Ko varnostni način naprave ni varen, se Cisco Unity Connection poveže z Unified CM prek vrat SCCP.

Za konfiguracijo varnosti za vrata za glasovno sporočanje Unified CM in naprave Cisco Unity, ki izvajajo SCCP, ali naprave Cisco Unity Connection, ki izvajajo SCCP, lahko partner za vrata izbere varen način varnosti naprave. Če izberete preverjena vrata za glasovno pošto, se odpre povezava TLS, ki overi naprave z medsebojno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete šifrirana vrata za glasovno pošto, sistem najprej preveri pristnost naprav in nato med njimi pošlje šifrirane glasovne tokove.

Za več informacij o vratih za varnost glasovnega sporočanja glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zaščita komunikacije med Cisco Unified CM in CUBE

Za varno komunikacijo med Cisco Unified CM in CUBE, partners/customers uporabiti morate bodisi samopodpisano potrdilo bodisi potrdila, podpisana s strani CA.

Za samopodpisana potrdila:

1. CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila

2. CUBE izvozi potrdilo v Cisco Unified CM

3. Cisco Unified CM izvozi potrdilo v CUBE

Za potrdila, podpisana s strani overitelja potrdil:

1. Odjemalec ustvari par ključev in pošlje zahtevo za podpis potrdila (CSR) izdajatelju potrdil (CA).

2. CA ga podpiše s svojim zasebnim ključem in tako ustvari identitetno potrdilo.

3. Odjemalec namesti seznam zaupanja vrednih korenskih in posredniških potrdil CA ter potrdilo identitete.

Povzetek protokola

V naslednji tabeli so prikazani protokoli in povezane storitve, ki se uporabljajo v rešitvi Unified CM.

Za več informacij o konfiguraciji MRA glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zaščita Jabberja in Webexa s SIP OAuth

Odjemalci Jabber in Webex se overjajo z žetonom OAuth namesto z lokalno pomembnim potrdilom (LSC), ki ne zahteva omogočenosti funkcije proxy overitelja potrdil (CAPF) (tudi za MRA). SIP OAuth, ki deluje z mešanim načinom ali brez njega, je bil uveden v Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5.

V Cisco Unified CM 12.5 imamo v profilu varnosti telefona novo možnost, ki omogoča šifriranje brez LSC/CAPF, z uporabo enega samega protokola TLS (Transport Layer Security) + Žeton OAuth v registru SIP. Vozlišča Expressway-C uporabljajo API za administratorske spletne storitve XML (AXL) za obveščanje Cisco Unified CM o SN/SAN v njihovem potrdilu. Cisco Unified CM uporablja te podatke za preverjanje veljavnosti certifikata Exp-C pri vzpostavljanju medsebojne povezave TLS.

SIP OAuth omogoča šifriranje medijev in signalizacije brez potrdila končne točke (LSC).

Cisco Jabber uporablja začasna vrata in varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP za prenos konfiguracijskih datotek. Vrata 6970 so nezaščitena vrata za prenos prek HTTP.

Več podrobnosti o konfiguraciji SIP OAuth: Način SIP OAuth.