Fizična varnost

Pomembno je zagotoviti fizično varnost lokacij Equinix Meet-Me Room in objektov Cisco Dedicated Instance Data Center. Ko je fizična varnost ogrožena, se lahko sprožijo preprosti napadi, kot je prekinitev storitve z izklopom napajanja strankinih stikal. S fizičnim dostopom lahko napadalci dobijo dostop do strežniških naprav, ponastavijo gesla in pridobijo dostop do stikal. Fizični dostop omogoča tudi bolj izpopolnjene napade, kot so napadi človeka v sredini, zato je druga varnostna plast, omrežna varnost, ključnega pomena.

Samošifrirni pogoni se uporabljajo v podatkovnih centrih namenskih primerkov, ki gostijo aplikacije UC.

Če želite več informacij o splošnih varnostnih postopkih, glejte dokumentacijo na tem mestu: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Varnost omrežja

Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v infrastrukturi namenske instance (ki se povezuje prek Equinixa). Partner je odgovoren za zagotavljanje najboljših varnostnih praks, kot so:

• Ločeno omrežje VLAN za glas in podatke

• Omogoči varnost vrat, ki omejuje število dovoljenih naslovov MAC na vrata, proti poplavljanju tabele CAM

• Zaščita vira IP pred ponarejenimi naslovi IP

• Dinamični pregled ARP (DAI) preučuje protokol za reševanje naslovov (ARP) in neupravičeni ARP (GARP) za kršitve (proti lažnemu predstavljanju ARP)

• 802.1x omejuje dostop do omrežja za preverjanje pristnosti naprav v dodeljenih omrežjih VLAN (telefoni podpirajo 802.1x)

• Konfiguracija kakovosti storitve (QoS) za ustrezno označevanje glasovnih paketov

• Konfiguracije vrat požarnega zidu za blokiranje drugega prometa

Varnost končnih točk

Ciscove končne točke podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varen zagon (izbrani modeli), proizvajalčevo nameščeno potrdilo (MIC) in podpisane konfiguracijske datoteke, ki zagotavljajo določeno raven varnosti za končne točke.

Poleg tega lahko partner ali stranka omogoči dodatno varnost, kot so:

• Šifrirajte telefonske storitve IP (prek protokola HTTPS) za storitve, kot je Extension Mobility

• Izdajanje lokalno pomembnih potrdil (LSC) iz funkcije proxy overitelja potrdil (CAPF) ali javnega overitelja potrdil (CA)

• Šifriranje konfiguracijskih datotek

• Šifriranje medijev in signalizacije

• Onemogočite te nastavitve, če jih ne uporabljate: PC vrata, PC Voice VLAN dostop, brezplačen ARP, spletni dostop, gumb za nastavitve, SSH, konzola

Izvajanje varnostnih mehanizmov v namenski instanci preprečuje krajo identitete telefonov in strežnika Unified CM, spreminjanje podatkov in poseganje v signalizacijo klicev / medijski tok.

Namenski primerek v omrežju:

• Vzpostavi in vzdržuje preverjene komunikacijske tokove

• Digitalno podpiše datoteke pred prenosom datoteke v telefon

• Šifrira medijske tokove in signalizacijo klicev med telefoni Cisco Unified IP

Privzeta varnost zagotavlja naslednje samodejne varnostne funkcije za telefone Cisco Unified IP:

• Podpisovanje konfiguracijskih datotek telefona

• Podpora za šifriranje konfiguracijskih datotek telefona

• HTTPS s Tomcatom in drugimi spletnimi storitvami (MIDlets)

Za Unified CM Release 8.0 so te varnostne funkcije privzeto na voljo brez zagona odjemalca CTL (Certificate Trust List).

Ker je v omrežju veliko telefonov in imajo telefoni IP omejen pomnilnik, Cisco Unified CM deluje kot oddaljena shramba zaupanja prek storitve preverjanja zaupanja (TVS), tako da shrambe zaupanja potrdil ni treba namestiti na vsak telefon. Telefoni Cisco IP se obrnejo na strežnik TVS za preverjanje, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Centralno shrambo zaupanja je lažje upravljati kot imeti shrambo zaupanja na vsakem telefonu Cisco Unified IP.

TVS omogoča Cisco Unified IP telefonom, da med vzpostavitvijo HTTPS preverijo pristnost aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet.

Datoteka začetnega seznama zaupanja (ITL) se uporablja za začetno varnost, tako da lahko končne točke zaupajo Cisco Unified CM. ITL ne potrebuje nobenih varnostnih funkcij, da bi bile izrecno omogočene. Datoteka ITL se samodejno ustvari, ko je gruča nameščena. Zasebni ključ strežnika TFTP (Unified CM Trivial File Transfer Protocol) se uporablja za podpisovanje datoteke ITL.

Ko je gruča ali strežnik Cisco Unified CM v nevarnem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko ogleda vsebino datoteke ITL z ukazom CLI, admin:show itl.

Telefoni Cisco IP potrebujejo datoteko ITL za izvajanje naslednjih opravil:

• Varna komunikacija s CAPF, predpogoj za podporo šifriranju konfiguracijskih datotek

• Preverjanje pristnosti podpisa konfiguracijske datoteke

• Preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet med vzpostavitvijo HTTPS z uporabo TVS

Preverjanje pristnosti naprav, datotek in signalizacije je odvisno od ustvarjanja datoteke CTL (Certificate Trust List), ki se ustvari, ko partner ali stranka namesti in konfigurira odjemalca Cisco Certificate Trust List.

Datoteka CTL vsebuje vnose za te strežnike ali varnostne žetone:

• Varnostni žeton skrbnika sistema (SAST)

• Storitve Cisco CallManager in Cisco TFTP, ki se izvajajo v istem strežniku

• Funkcija pooblaščenca za overjanje potrdil (CAPF)

• Strežniki TFTP

• Požarni zid ASA

Datoteka CTL vsebuje strežniško potrdilo, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, funkcijo strežnika, ime DNS in naslov IP za vsak strežnik.

Varnost telefona s CTL zagotavlja naslednje funkcije:

• Preverjanje pristnosti datotek, prenesenih s protokolom TFTP (konfiguracija, območne nastavitve, seznam zvonjenja itd.) z uporabo ključa za podpisovanje

• Šifriranje konfiguracijskih datotek TFTP s podpisnim ključem

• Šifrirana signalizacija klicev za telefone IP

• Šifriran zvok klica (mediji) za telefone IP

Namenski primerek omogoča registracijo končne točke in obdelavo klicev. Signalizacija med Cisco Unified CM in končnimi točkami temelji na protokolu Secure Skinny Client Control Protocol (SCCP) ali protokolu SIP (Session Initiation Protocol) in jo je mogoče šifrirati z uporabo TLS (Transport Layer Security). Mediji od/do končnih točk temeljijo na protokolu RTP (Real-time Transport Protocol) in jih je mogoče šifrirati tudi z varnim RTP (SRTP).

Omogočanje mešanega načina na Unified CM omogoča šifriranje signalnega in medijskega prometa iz in do končnih točk Cisco.

Varne aplikacije poenotene komunikacije

Mešani način je privzeto omogočen v namenskem primerku.

Omogočanje mešanega načina v namenskem primerku omogoča šifriranje signalnega in medijskega prometa iz in do končnih točk Cisco.

V izdaji Cisco Unified CM 12.5(1) je bila za odjemalce Jabber in Webex dodana nova možnost za omogočanje šifriranja signalizacije in medijev na podlagi SIP OAuth namesto mešanega načina / CTL. Zato lahko v izdaji Unified CM 12.5(1) SIP OAuth in SRTP uporabite za omogočanje šifriranja za signalizacijo in medije za odjemalce Jabber ali Webex. Omogočanje mešanega načina je trenutno še vedno potrebno za telefone Cisco IP in druge končne točke Cisco. Obstaja načrt za dodajanje podpore za SIP OAuth v končnih točkah 7800/8800 v prihodnji izdaji.

Cisco Unity Connection se poveže z Unified CM prek vrat TLS. Ko varnostni način naprave ni varen, se povezava Cisco Unity poveže z Unified CM prek vrat SCCP.

Če želite konfigurirati varnost za vrata za glasovno sporočanje Unified CM in naprave Cisco Unity, v katerih se izvaja SCCP ali naprave Cisco Unity Connection, v katerih se izvaja SCCP, lahko partner izbere varen varnostni način naprave za vrata. Če izberete vrata glasovne pošte s preverjeno pristnostjo, se odpre povezava TLS, ki preveri pristnost naprav z medsebojno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete vrata za šifrirano glasovno pošto, sistem najprej preveri pristnost naprav in nato pošlje šifrirane glasovne tokove med napravami.

Če želite več informacij o vratih za sporočanje Security Voice, glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Varovanje komunikacije med Cisco Unified CM in CUBE

Za varno komunikacijo med Cisco Unified CM in CUBE morajo partnerji/stranke uporabiti samopodpisano potrdilo ali potrdila, ki jih podpiše CA.

Za samopodpisana potrdila:

1. CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila

2. CUBE izvozi potrdilo v Cisco Unified CM

3. Cisco Unified CM izvozi potrdilo v CUBE

Za potrdila, ki jih podpiše CA:

1. Odjemalec ustvari par ključev in pošlje zahtevo za podpisovanje potrdila (CSR) overitelju potrdil (CA)

2. CA ga podpiše s svojim zasebnim ključem in ustvari potrdilo o identiteti

3. Odjemalec namesti seznam zaupanja vrednih korenskih in posredniških potrdil CA ter potrdilo identitete

Povzetek protokola

V spodnji tabeli so prikazani protokoli in povezane storitve, ki se uporabljajo v rešitvi Unified CM.

Če želite več informacij o konfiguraciji MRA, glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Zaščita Jabberja in Webexa s SIP OAuth

Odjemalci Jabber in Webex so preverjeni z žetonom OAuth namesto lokalno pomembnega potrdila (LSC), ki ne zahteva omogočanja funkcije proxy overitelja (CAPF) (tudi za MRA). SIP OAuth, ki deluje z mešanim načinom ali brez njega, je bil uveden v Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5.

V Cisco Unified CM 12.5 imamo novo možnost v Phone Security Profile, ki omogoča šifriranje brez LSC/CAPF, z uporabo enega Transport Layer Security (TLS) + OAuth žetona v SIP REGISTER. Vozlišča Expressway-C uporabljajo API za spletno storitev Administrative XML (AXL) za obveščanje Cisco Unified CM o SN/SAN v svojem certifikatu. Cisco Unified CM uporablja te informacije za preverjanje veljavnosti certifikata Exp-C pri vzpostavljanju medsebojne povezave TLS.

SIP OAuth omogoča šifriranje medijev in signalizacije brez potrdila končne točke (LSC).

Cisco Jabber uporablja kratkotrajna vrata in varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP za prenos konfiguracijskih datotek. Vrata 6970 so nevarna vrata za prenos prek protokola HTTP.

Več podrobnosti o konfiguraciji SIP OAuth: NačinSIP OAuth.