Fysisk säkerhet

Det är viktigt att tillhandahålla fysisk säkerhet för platser i Equinix Meet-Me Room och Cisco Dedicated Instance Data Center. När fysisk säkerhet äventyras kan enkla attacker som tjänsteavbrott genom att stänga av strömmen till en kunds växlar inledas. Med fysisk åtkomst kan angripare få åtkomst till serverenheter, återställa lösenord och få åtkomst till växlar. Fysisk tillgång underlättar också mer sofistikerade attacker som människoattacker, vilket är anledningen till att det andra säkerhetslagret, nätverkssäkerheten, är avgörande.

Självkrypteringsenheter används i datacenter för dedikerade instans som är värd för UC-program.

Mer information om allmän säkerhetspraxis finns i dokumentationen på följande plats: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Nätverkssäkerhet

Partner måste se till att alla nätverkselement är säkra i Dedicated Instance-infrastruktur (som ansluter via Equinix). Det är partnerns ansvar att säkerställa bästa säkerhetsmetoder, till exempel:

• Separera VLAN för röst och data

• Aktivera portsäkerhet som begränsar antalet tillåtna MAC-adresser per port, mot översvämningar i CAM-tabellen

• IP-källskydd mot förfalskade IP-adresser

• Dynamisk ARP-inspektion (DAI) undersöker adressupplösningsprotokoll (ARP) och gratis ARP (GARP) för överträdelser (mot ARP spoofing)

• 802.1x begränsar nätverksåtkomst för autentisering av enheter på tilldelade VLAN (telefoner har stöd för 802.1x)

• Konfiguration av tjänstekvalitet (QoS) för lämplig märkning av röstpaket

• Konfigurationer för brandväggsportar för att blockera all annan trafik

Säkerhet för slutpunkter

Cisco-slutpunkter har stöd för standardsäkerhetsfunktioner som signerad firmware, säker start (valda modeller), tillverkarens installerade certifikat (MIC) och signerade konfigurationsfiler, vilket ger en viss säkerhetsnivå för slutpunkter.

Dessutom kan en partner eller kund aktivera ytterligare säkerhet, till exempel:

• Kryptera IP-telefontjänster (via HTTPS) för tjänster som Extension Mobility

• Utfärda lokalt betydelsefulla certifikat (LSC) från certifikatmyndighetens proxyfunktion (CAPF) eller en offentlig certifikatutfärdare (CA)

• Kryptera konfigurationsfiler

• Kryptera media och signalering

• Inaktivera dessa inställningar om de inte används: PC-port, PC-röst VLAN-åtkomst, gratis ARP, webbåtkomst, inställningsknapp, SSH, konsol

Implementering av säkerhetsmekanismer i den dedikerade instansen förhindrar identitetsstöld av telefoner och Unified CM-servern, datamanipulering och manipulering av samtalssignaler/medieströmmar.

Dedikerad instans över nätverket:

• Upprättar och upprätthåller autentiserade kommunikationsströmmar

• Signerar filer digitalt innan filen överförs till telefonen

• Krypterar medieströmmar och samtalssignalering mellan Cisco Unified IP-telefoner

Säkerhet ger som standard följande automatiska säkerhetsfunktioner för Cisco Unified IP-telefoner:

• Signering av telefonens konfigurationsfiler

• Stöd för kryptering av telefonkonfigurationsfil

• HTTPS med Tomcat och andra webbtjänster (MID lets)

För senare Unified CM-version 8.0 tillhandahålls dessa säkerhetsfunktioner som standard utan att köra klienten Certificate Trust List (CTL).

Eftersom det finns ett stort antal telefoner i ett nätverk och IP-telefoner har begränsat minne fungerar Cisco Unified CM som en extern förtroendebutik via Trust Verification Service (TVS) så att en certifikatbetrodd butik inte behöver placeras på varje telefon. Cisco IP-telefoner kontaktar TVS-servern för verifiering eftersom de inte kan verifiera en signatur eller certifikat via CTL- eller ITL-filer. Det är lättare att hantera att ha en central förtroendebutik än att ha en förtroendebutik på varje Cisco Unified IP-telefon.

TVS gör det möjligt för Cisco Unified IP-telefoner att autentisera programservrar, till exempel EM-tjänster, katalog och MIDLET, under HTTPS-etablering.

Filen Initial Trust List (ITL) används för den initiala säkerheten, så att slutpunkterna kan lita på Cisco Unified CM. ITL behöver inte några säkerhetsfunktioner vara aktiverade uttryckligen. ITL-filen skapas automatiskt när klustret installeras. Unified CM Trivial File Transfer Protocol (TFTP)-serverns privata nyckel används för att signera ITL-filen.

När Cisco Unified CM-klustret eller servern är i osäkert läge hämtas ITL-filen på alla Cisco IP-telefoner som stöds. En partner kan visa innehållet i en ITL-fil med CLI-kommandot, admin:visa itl.

Cisco IP-telefoner behöver ITL-filen för att utföra följande uppgifter:

• Kommunicera säkert till CAPF, en förutsättning för att stödja kryptering av konfigurationsfil

• Autentisera konfigurationsfilsignaturen

• Autentisera programservrar, till exempel EM-tjänster, katalog och MIDlet under HTTPS-etablering med TVS

Autentisering av enhet, fil och signalering är beroende av att filen Certificate Trust List (CTL) skapas när partnern eller kunden installerar och konfigurerar klienten för Ciscos betrodda certifikat.

CTL-filen innehåller poster för följande servrar eller säkerhetstokens:

• Säkerhetstoken för systemadministratör (SAST)

• Cisco CallManager och Cisco TFTP-tjänster som körs på samma server

• Proxyfunktion för certifikatsauktoritet (CAPF)

• TFTP-server(er)

• ASA-brandvägg

CTL-filen innehåller ett servercertifikat, offentlig nyckel, serienummer, signatur, utfärdarnamn, ämnesnamn, serverfunktion, DNS-namn och IP-adress för varje server.

Telefonsäkerhet med CTL ger följande funktioner:

• Autentisering av hämtade TFTP-filer (konfiguration, språk, ringlista och så vidare) med en signeringsnyckel

• Kryptering av TFTP-konfigurationsfiler med en signeringsnyckel

• Krypterad samtalssignalering för IP-telefoner

• Krypterat samtalsljud (media) för IP-telefoner

Dedikerad instans tillhandahåller slutpunktsregistrering och samtalsbehandling. Signaleringen mellan Cisco Unified CM och slutpunkter baseras på Secure Skinny Client Control Protocol (SCCP) eller Session Initiation Protocol (SIP) och kan krypteras med Transport Layer Security (TLS). Media från/till slutpunkterna baseras på Real-time Transport Protocol (RTP) och kan även krypteras med Secure RTP (SRTP).

Om du aktiverar blandat läge i Unified CM aktiveras kryptering av signalering och medietrafik från och till Cisco-slutpunkterna.

Säkra UC-program

Blandat läge är aktiverat som standard i Dedicated Instance.

Genom att aktivera blandat läge i dedikerad instans kan du utföra kryptering av signalering och medietrafik från och till Cisco-slutpunkterna.

I Cisco Unified CM version 12.5(1) lades ett nytt alternativ till att aktivera kryptering av signalering och media baserat på SIP OAuth istället för blandat läge/CTL för Jabber- och Webex-klienter. Därför kan SIP OA uth och SRTP användas i Unified CM version 12.5(1) för att aktivera kryptering för signalering och media för Jabber- eller Webex-klienter. Aktivering av blandat läge krävs fortfarande för Cisco IP-telefoner och andra Cisco-slutpunkter. Det finns en plan för att lägga till stöd för SIP OAuth i 7800/8800 slutpunkter i en framtida version.

Cisco Unity Connection ansluter till Unified CM via TLS-porten. När enhetens säkerhetsläge inte är säkert ansluter Cisco Unity Connection till Unified CM via SCCP-porten.

Om du vill konfigurera säkerheten för Unified CM-röstmeddelandeportar och Cisco Unity-enheter som kör SCCP eller Cisco Unity Connection-enheter som kör SCCP kan en partner välja ett säkert enhetssäkerhetsläge för porten. Om du väljer en autentiserad röstbrevlådeport öppnas en TLS-anslutning som autentiserar enheterna med hjälp av ett ömsesidigt certifikatutbyte (varje enhet accepterar certifikatet för den andra enheten). Om du väljer en krypterad röstbrevlådeport autentiserar systemet först enheterna och skickar sedan krypterade röstströmmar mellan enheterna.

Mer information om portar för säkerhetsröstmeddelanden finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified SU1_chapter_010001.html

Säkra kommunikationen mellan Cisco Unified CM och CUBE

För säker kommunikation mellan Cisco Unified CM och CUBE måste partner/kunder använda antingen självsignerat certifikat eller CA-signerade certifikat.

För självsignerade certifikat:

1. CUBE och Cisco Unified CM genererar självsignerade certifikat

2. CUBE-exportcertifikat till Cisco Unified CM

3. Cisco Unified CM exporterar certifikat till CUBE

För CA-signerade certifikat:

1. Klienten genererar ett nyckelpar och skickar en certifikatsigneringsbegäran (CSR) till certifikatmyndigheten (CA)

2. CA signerar den med sin privata nyckel, vilket skapar ett identitetscertifikat

3. Klienten installerar listan över betrodda CA-rot- och mellancertifikat och identitetscertifikatet

Protokollsammanfattning

Följande tabell visar protokoll och tillhörande tjänster som används i Unified CM-lösningen.

Mer information om MRA-konfiguration finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Säkra Jabber och Webex med SIP OA uth

Jabber- och Webex-klienter autentiseras via en OAuth-token i stället för ett lokalt betydelsefullt certifikat (LSC), vilket inte kräver aktivering av certifikatauktoritetsproxyfunktion (CAPF) (även för MRA). SIP OA uth som arbetar med eller utan blandat läge introducerades i Cisco Unified CM 12.5 (1), Jabber 12.5 och Expressway X12.5.

I Cisco Unified CM 12.5 har vi ett nytt alternativ i telefonsäkerhetsprofilen som möjliggör kryptering utan LSC/CAPF, med hjälp av en enda Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder använder API för administrativ XML-webbtjänst (AXL) FÖR ATT INFORMERA Cisco UniFIED CM om SN/SAN i certifikatet. Cisco Unified CM använder denna information för att validera Exp-C-certifikatet när en ömsesidig TLS-anslutning upprättas.

SIP OA uth möjliggör media- och signaleringskryptering utan ett slutpunktscertifikat (LSC).

Cisco Jabber använder efemerportar och säkra portar 6971 och 6972 portar via HTTPS-anslutning till TFTP-servern för att hämta konfigurationsfilerna. Port 6970 är en icke-säker port för hämtning via HTTP.

Mer information om SIP OA uth-konfiguration: SIP OA uth-läge.