Dedikerade nätverks- och säkerhetskrav för instans

Fysisk säkerhet

Det är viktigt att fysisk säkerhet erbjuds till Equinix Meet-Me-rum-platser och cisco dedikerade instansdatacenters platser. När fysisk säkerhet komprometteras kan enkla avbrott såsom tjänsteavbrott genom att stänga av ström till en kunds växlingar startas. Med fysisk åtkomst kan angripare få åtkomst till serverenheter, återställa lösenord och få åtkomst till växlar. Fysisk åtkomst underlättar också mer sofistikerat, som "man-in-the-middle" och det är därför det andra säkerhetslagret, nätverkets säkerhet, är kritisk.

Självkrypteringsenheter används i dedikerade instansdatacenter som är värd för UC-program.

Mer information om allmän säkerhetspraxis finns i dokumentationen på följande plats: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Nätverkssäkerhet

Partner måste säkerställa att alla nätverkselement är säkra i dedikerad instansinfrastruktur (som ansluter via Equinix). Det är partners ansvar att säkerställa bästa säkerhetspraxis såsom:

• Separera VLAN för röst och data

• Aktivera portsäkerhet, vilket begränsar antalet MAC-adresser som tillåts per port, mot CAM-tabellen och

• IP-källskydd mot falska IP-adresser

• Dynamisk ARP-kontroll (DAI) undersöker adresseringsprotokoll (ARP) och gratuitous ARP (GARP) för överträdelser (mot ARP-förfalskning)

• 802. begränsar1x nätverksåtkomsten till autentiserade enheter på tilldelade EN-ett-nummer (telefoner har stöd för 802.1x)

• Konfiguration av tjänstekvalitet (QoS) för lämplig märkning av röstpaket

• Konfigurationer av brandväggsportar för att blockera all annan trafik

Säkerhet för slutpunkter

Cisco-slutpunkter stöder standardfunktioner för säkerhetsfunktioner som signerad inbyggd programvara, säker uppstart (valda modeller), tillverkarens installerade certifikat (MIC) och signerade konfigurationsfiler, vilket ger en viss säkerhetsnivå för slutpunkter.

Dessutom kan en partner eller kund aktivera ytterligare säkerhet, såsom:

• Kryptera IP-telefontjänster (via HTTPS) för tjänster som Extension Mobility

• Utfärda lokalt viktiga certifikat (LSCs) från certifikatutfärdarens proxyfunktion (CAPF) eller en offentlig certifikatutfärdare (CA)

• Kryptera konfigureringsfiler

• Kryptera media och signalering

• Inaktivera dessa inställningar om de inte används: PC-port, PC Voice VLAN Access, Gratuitous ARP, Webbåtkomst, Inställningsknapp, SSH, konsol

Genom att implementera säkerhetsmekanismer i Dedikerade instans förhindras identitetsstöld av telefoner och Unified CM-servern, manipulering av data och manipulering av data och manipulering av samtal/mediaströmning.

Dedikerad instans över nätverket:

• Etablerar och underhåller autentiserade kommunikationsströmmar

• Signerar filer digitalt innan du överför filen till telefonen

• Krypterar medieströmmar och samtalssignalering mellan IP Cisco Unified telefoner

Säkerhet som standard innehåller följande automatiska säkerhetsfunktioner för Cisco Unified IP-telefoner:

• Signera telefonkonfigurationsfilerna

• Stöd för filkryptering av telefonkonfiguration

• HTTPS med Tomcat och andra webbtjänster (MIDcat)

För Unified CM-version 8.0 senare tillhandahålls dessa säkerhetsfunktioner som standard utan att köra klienten för certifikatsäkerhetslista (CTL).

Eftersom det finns många telefoner i ett nätverk och IP-telefoner har begränsat minne kan Cisco Unified CM agera som en betrodd fjärrlagring via Trust Verification Service (TVS) så att ett certifikats betrodda arkiv inte behöver placeras på varje telefon. Cisco IP-telefoner kontaktar TVS-servern för verifiering eftersom de inte kan verifiera en signatur eller ett certifikat via CTL- eller ITL-filer. Att ha en central betrodd lagring är enklare att hantera än att ha den betrodda lagringen på varje Cisco Unified IP-telefon.

TVS gör det Cisco Unified för IP-telefoner att autentisera programservrar som EM-tjänster, katalog och MIDlet under HTTPS-arkivet.

Filen med den första betrodda listan (ITL) används för initial säkerhet så att slutpunkterna kan lita på Cisco Unified CM. DET kräver inte att några säkerhetsfunktioner uttryckligen aktiveras. ITL-filen skapas automatiskt när klustret installeras. Unified CM Trivial File Transfer Protocol-serverns (TFTP) privata nyckel används för att signera ITL-filen.

När servern Cisco Unified CM-kluster eller -server är i icke-säkert läge hämtas ITL-filen på alla Cisco IP-telefoner som stöds. En partner kan visa innehållet i en ITL-fil med kommandot CLI, admin:show itl.

Cisco IP-telefoner behöver ITL-filen för att utföra följande åtgärder:

• Kommunicera säkert med CAPF, ett förhandskrav för att stödja konfigurationsfilkryptering

• Verifiera konfigurationsfilens signatur

• Autentisera programservrar som EM-tjänster, katalog och MIDlet under HTTPS förtjänst med hjälp av TVS

Enhet, fil och signaleringsautentisering förlitar sig på att en CTL-fil (Certificate Trust List, CTL) skapas när partnern eller kunden installerar och konfigurerar klienten för betrodda certifikat.

CTL-filen innehåller poster för följande servrar eller säkerhetstoken:

• Säkerhetstoken för systemadministratör (SAST)

• Cisco CallManager- och Cisco TFTP-tjänster som körs på samma server

• Proxyfunktion för certifikatutfärdare (CAPF)

• TFTP-server(er)

• ASA-brandvägg

CTL-filen innehåller ett servercertifikat, offentlig nyckel, serienummer, signatur, utfärdarens namn, ämnesnamn, serverfunktion, DNS-namn och IP-adress för varje server.

Telefonsäkerhet med CTL tillhandahåller följande funktioner:

• Verifiering av TFTP-hämtade filer (konfiguration, språk, ringlista o.s.v.) med hjälp av en signeringsnyckel

• Kryptering av TFTP-konfigurationsfiler med hjälp av en signeringsnyckel

• Krypterad samtalssignal för IP-telefoner

• Krypterat samtalsljud (media) för IP-telefoner

Dedikerad instans tillhandahåller slutpunktsregistrering och samtalsbearbetning. Signalerna mellan Cisco Unified CM och slutpunkter baseras på Secure Skinny Client Control Protocol (SCCP) eller Session Initiation Protocol (SIP) och kan krypteras med TLS (Transport Layer Security). Media från/till slutpunkterna baseras på RTP (Real-time Transport Protocol) och kan också krypteras med Secure RTP (SRTP).

Om du aktiverar blandat läge på Unified CM aktiveras kryptering av signalerings- och medietrafiken från och till Cisco-slutpunkterna.

Säkra UC-program

Blandat läge är aktiverat som standard i Dedicated Instance.

Om blandat läge aktiveras i dedikerad instans kan signalerings- och medietrafiken krypteras från och till Cisco-slutpunkterna.

I Cisco Unified CM-version 12.5(1) lades ett nytt alternativ för att aktivera kryptering av signalering och media baserat på SIP OAuth i stället för blandat läge/CTL till för Jabber- och Webex-klienter. I Unified CM-version 12.5(1) kan SIP OAuth och SRTP därför användas för att aktivera kryptering för signalering och media för Jabber- eller Webex-klienter. Aktivering av blandat läge krävs fortfarande för Cisco IP-telefoner och andra Cisco-slutpunkter. I en framtida version finns en plan för att lägga till stöd för SIP OAuth under 7800/8800-slutpunkter.

Cisco Unity Connection ansluter till Unified CM via TLS-porten. När enhetens säkerhetsläge inte är säkert ansluts Cisco Unity Connection Unified CM via SCCP-porten.

För att konfigurera säkerheten för Unified CM-röstmeddelandeportar och Cisco Unity-enheter som kör SCCP- eller Cisco Unity Connection-enheter som använder SCCP kan en partner välja ett säkert säkerhetsläge för porten. Om du väljer en autentiserad port för röstbrevlåda öppnas en TLS-anslutning som autentiserar enheterna genom att använda ett ömsesidigt certifikatutbyte (varje enhet accepterar certifikatet för den andra enheten). Om du väljer en krypterad port för röstbrevlådan autentiserar systemet först enheterna och skickar sedan krypterade röstströmmar mellan enheterna.

Mer information om portarna för säkerhetsmeddelanden finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Säkra kommunikationen mellan Cisco Unified CM och CUBE

För säker kommunikation mellan Cisco Unified CM och CUBE måste partner/kunder använda antingen själv signerade certifikat eller CA-signerade certifikat.

För själv signerade certifikat:

1. CUBE och Cisco Unified CM skapar själv signerade certifikat

2. CUBE exporterar certifikat till Cisco Unified CM

3. Cisco Unified CM-exportcertifikat till CUBE

För CA-signerade certifikat:

1. Klienten skapar ett nyckelpar och skickar en certifikatsigneringsförfrågan (CSR) till certifikatutfärdaren (CA)

2. CA signerar det med sin privata nyckel och skapar ett identitetscertifikat

3. Klienten installerar listan över betrodda CA-rot- och klientcertifikat och identitetscertifikatet

Protokollsammanfattning

Följande tabell visar protokollen och tillhörande tjänster som används i Unified CM-lösningen.

Mer information om MRA-konfiguration finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Säkra Jabber och Webex med SIP OAuth

Jabber- och Webex-klienter verifieras via en OAuth-token istället för ett lokalt betydande certifikat (LSC), som inte kräver certifikatutfärdarens proxyfunktion (CAPF) -aktiveras (även för MRA). SIP OAuth som arbetar med eller utan blandat läge introduceras i Cisco Unified CM 12.5(1), Jabber 12.5 och Expressway X12.5.

I Cisco Unified CM 12.5 har vi ett nytt alternativ i telefonsäkerhetsprofilen som aktiverar kryptering utan LSC/CAPF med enkel Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder använder DEN administrativa XML-webbtjänstens API (AXL) för att informera Cisco Unified CM för SN/SAN i certifikatet. Cisco Unified CM använder denna information för att validera Exp-C-certifikatet när en ömsesidig TLS anslutningen.

SIP OAuth aktiverar medie- och signaleringskryptering utan ett slutpunktscertifikat (LSC).

Cisco Jabber använder Ephemeral-portar och säkra portar 6971- och 6972-portar via HTTPS-anslutning till TFTP-servern för att hämta konfigurationsfilerna. Port 6970 är en port som inte är säker för hämtning via HTTP.

Mer information om SIP OAuth-konfiguration: SIP OA uth-läge.