Fysisk säkerhet

Det är viktigt att tillhandahålla fysisk säkerhet för Equinix Meet-Me Room-platser och Cisco Dedikerad instans Datacenteranläggningar. När den fysiska säkerheten äventyras kan enkla attacker som störningar i tjänsten initieras genom att strömmen till en kunds växlar stängs av. Med fysisk åtkomst kan angripare få åtkomst till serverenheter, återställa lösenord och få åtkomst till växlar. Fysisk åtkomst möjliggör också mer sofistikerade attacker som man-in-the-middle-attacker, varför det andra säkerhetsskiktet, nätverkssäkerhet, är avgörande.

Självkrypterande enheter används i Dedikerad instans Datacenter som är värd för UC-program.

Mer information om allmänna säkerhetsrutiner finns i dokumentationen på följande plats: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Nätverkssäkerhet

Partners måste se till att alla nätverkselement är säkrade Dedikerad instans infrastruktur (som ansluts via Equinix). Det är partnerns ansvar att säkerställa bästa praxis för säkerhet som:

• Separat VLAN för röst och data

• Aktivera portsäkerhet som begränsar antalet tillåtna MAC-adresser per port mot översvämning av CAM-tabeller

• IP-källa Skyddar mot falska IP-adresser

• Dynamic ARP Inspection (DAI) undersöker adressupplösningsprotokollet (ARP) och gratis ARP (GARP) med avseende på överträdelser (mot ARP-spoofing)

• 802.1x begränsar nätverksåtkomst för autentiseringsenheter på tilldelade VLAN (telefoner har stöd för 802.1x )

• Konfiguration av tjänstekvalitet (QoS) för lämplig märkning av röstpaket

• Brandväggen portar konfigurationer för att blockera all annan trafik

Säkerhet för slutpunkter

Cisco -slutpunkter har stöd för standardsäkerhetsfunktioner som signerad firmware, säker start (utvalda modeller), tillverkarinstallerat certifikat (MIC) och signerade konfigurationsfiler, som ger en viss säkerhetsnivå för slutpunkter.

Dessutom kan en partner eller kund aktivera ytterligare säkerhet, till exempel:

• Kryptera IP-telefon (via HTTPS) för tjänster som Anknytningsmobilitet

• Utfärda lokalt signifikanta certifikat (LSC) från CAPF ( proxyfunktion för certifikatsauktoritet Function) eller en offentlig certifikatutfärdare (CA)

• Kryptera konfigurationsfiler

• Kryptera media och signalering

• Inaktivera dessa inställningar om de inte används: PC-port, PC-röst VLAN-åtkomst, Gratis ARP, webbåtkomst, knappen Inställningar, SSH, konsol

Implementera säkerhetsmekanismer i Dedikerad instans förhindrar identitetsstöld av telefoner och Unified CM-server, datamanipulation och manipulation av samtalssignaler/mediaströmmar.

Dedikerad instans över nätverket:

• Etablerar och underhåller autentiserade kommunikationsströmmar

• Signerar filer digitalt innan filerna överförs till telefonen

• Krypterar medieströmmar och samtalssignalering mellan Cisco Unified IP-telefoner

Säkerhet som standard innehåller följande automatiska säkerhetsfunktioner för Cisco Unified IP-telefoner:

• Signering av telefonens konfigurationsfiler

• Stöd för kryptering av telefonens konfigurationsfil

• HTTPS med Tomcat och andra webbtjänster (MIDlets)

För Unified CM version 8.0 senare tillhandahålls dessa säkerhetsfunktioner som standard utan att köra CTL-klienten (Certificate Trust List).

Eftersom det finns ett stort antal telefoner i ett nätverk och IP-telefoner har begränsat minne, fungerar Cisco Unified CM som en fjärransluten betrodd lagring via Trust Verification Service (TVS) så att ett certifikatarkiv inte behöver placeras på varje telefon. Cisco IP-telefoner kontaktar TVS-servern för verifiering eftersom de inte kan verifiera en signatur eller ett certifikat via CTL- eller ITL-filer. Det är lättare att hantera ett centralt betrodd arkiv än att ha det betrodda arkivet på alla Cisco Unified IP-telefon.

Med TVS kan Cisco Unified IP-telefoner autentisera programservrar, till exempel EM-tjänster, katalog och MIDlet, under HTTPS-etablering.

ITL-filen (Initial Trust List) används för den initiala säkerheten, så att slutpunkterna kan lita på Cisco Unified CM. ITL behöver inga säkerhetsfunktioner vara aktiverade uttryckligen. ITL-filen skapas automatiskt när klustret installeras. Den privata nyckeln till Unified CM Trivial File Transfer Protocol-servern (TFTP) används för att signera ITL-filen.

När Cisco Unified CM -klustret eller -servern är i osäkert läge hämtas ITL-filen till alla Cisco IP-telefon som stöds . En partner kan visa innehållet i en ITL-fil med CLI-kommando, admin:show itl.

Cisco IP-telefoner behöver ITL-filen för att utföra följande uppgifter:

• Kommunicera säkert till CAPF, en förutsättning för att stödja kryptering av konfigurationsfil

• Autentisera konfigurationsfil signatur

• Autentisera programservrar, till exempel EM-tjänster, katalog och MIDlet under HTTPS-etablering med TVS

Enhets-, fil- och signaleringsautentisering förutsätter att en CTL-fil (Certificate Trust List) skapas, som skapas när partnern eller kunden installerar och konfigurerar Cisco Certificate Trust List-klienten.

CTL-fil innehåller poster för följande servrar eller säkerhetstoken:

• Säkerhetstoken för systemadministratör (SAST)

• Cisco CallManager och Cisco TFTP-tjänster som körs på samma server

• Proxyfunktion för Certifikatsauktoritet (CAPF)

• TFTP-server(ar)

• ASA-brandvägg

CTL-fil innehåller ett servercertifikat, offentlig nyckel, serienummer, signatur, utfärdarnamn, ämnesnamn, serverfunktion, DNS-namn och IP-adress för varje server.

Telefonsäkerhet med CTL har följande funktioner:

• Autentisering av TFTP-hämtade filer (konfiguration, språk, ringlista och så vidare) med en signeringsnyckel

• Kryptering av TFTP-konfigurationsfiler med en signeringsnyckel

• Krypterad samtalssignalering för IP-telefoner

• Krypterat samtalsljud (media) för IP-telefoner

Dedikerad instans ger slutpunktsregistrering och samtalshantering. Signaleringen mellan Cisco Unified CM och slutpunkter baseras på SCCP (Secure Skinny Client Control Protocol ) eller Session Initiation Protocol (SIP) och kan krypteras med TLS ( Säkerhet för transportlager ). Media från/till slutpunkterna baseras på RTP (Real-Time Transport Protocol) och kan även krypteras med SRTP (Secure RTP).

Aktivera blandat läge på Unified CM aktiverar kryptering av signalering och medietrafik från och till Cisco slutpunkter.

Säkra UC-program

Blandat läge är aktiverat som standard i Dedikerad instans .

Aktivera blandat läge i Dedikerad instans möjliggör kryptering av signal- och medietrafik från och till Cisco slutpunkter.

I Cisco Unified CM version 12.5(1) lades ett nytt alternativ till för att aktivera kryptering av signalering och media baserat på SIP OAuth istället för blandat läge/CTL för Jabber- och Webex-klienter. I Unified CM version 12.5(1) kan SIP OAuth och SRTP därför användas för att aktivera kryptering för signalering och media för Jabber- eller Webex-klienter. Aktivering av blandat läge krävs för närvarande för Cisco IP-telefoner och andra Cisco -slutpunkter. Det finns en plan att lägga till stöd för SIP OAuth i 7800/8800-slutpunkter i en framtida version.

Cisco Unity Connection ansluter till Unified CM via TLS porten. När enhetens säkerhetsläge är osäkert ansluts Cisco Unity Connection till Unified CM via SCCP-porten.

För att konfigurera säkerhet för Unified CM -röstmeddelandeportar och Cisco Unity -enheter som kör SCCP eller Cisco Unity Connection -enheter som kör SCCP kan en partner välja ett säkert enhetssäkerhetsläge för porten. Om du väljer en autentiserad port för röstbrevlåda öppnas en TLS anslutning som autentiserar enheterna med hjälp av en ömsesidig certifikatutbyte (varje enhet accepterar certifikatet för den andra enheten). Om du väljer en krypterad port för röstbrevlåda autentiserar systemet först enheterna och skickar sedan krypterade röstströmmar mellan enheterna.

Mer information om säkerhet för röstmeddelandeportar finns på: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Säkra kommunikationen mellan Cisco Unified CM och CUBE

För säker kommunikation mellan Cisco Unified CM och CUBE måste partner/kunder använda antingen självsignerat certifikat eller CA-signerat certifikat.

För självsignerade certifikat:

1. CUBE och Cisco Unified CM genererar självsignerade certifikat

2. CUBE exporterar certifikat till Cisco Unified CM

3. Cisco Unified CM exporterar certifikat till CUBE

För CA-signerade certifikat:

1. Klienten genererar ett nyckelpar och skickar en begäran om certifikatsignering (CSR) till Certifikatsauktoritet (CA)

2. CA signerar den med sin privata nyckel, vilket skapar ett identitetscertifikat

3. Klienten installerar listan över betrodda CA-rot- och mellanhandscertifikat samt identitetscertifikatet

Protokollsammanfattning

Följande tabell visar de protokoll och associerade tjänster som används i Unified CM lösningen.

Mer information om MRA-konfiguration finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Säkra Jabber och Webex med SIP OAuth

Jabber- och Webex-klienter autentiseras via en OAuth-token istället för ett LSC (locally significant certificate), som inte kräver proxyfunktion för certifikatsauktoritet -aktivering (Certifikat Authority Proxy Function) (även för MRA). SIP OAuth som fungerar med eller utan blandat läge introducerades i Cisco Unified CM 12.5(1), Jabber 12.5 och Expressway X12.5.

I Cisco Unified CM 12.5 har vi ett nytt alternativ i Phone Security Profile som möjliggör kryptering utan LSC/CAPF, med enstaka Säkerhet för transportlager (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder använder API :t för Administrative XML Web Service ( AXL ) för att informera Cisco Unified CM om SN/SAN i certifikatet. Cisco Unified CM använder denna information för att validera Exp-C-certifikatet när en ömsesidig TLS -anslutning upprättas.

SIP OAuth möjliggör medie- och signalkryptering utan slutpunktscertifikat (LSC).

Cisco Jabber använder tillfälliga portar och säkra portar 6971 och 6972 via HTTPS-anslutning till TFTP-servern för att hämta konfigurationsfiler. Port 6970 är en icke-säker port för hämtning via HTTP.

Mer information om SIP OAuth-konfiguration: SIP OAuth-läge .