Fiziki güvenlik

Equinix Meet-Me Room konumlarına ve Cisco fiziksel güvenlik sağlamak önemlidir Özel Örnek Veri Merkezi tesisleri. Fiziksel güvenlik tehlikeye girdiğinde, müşterinin anahtarlarına giden gücü kapatarak hizmet kesintisi gibi basit saldırılar başlatılabilir. Fiziksel erişim ile saldırganlar sunucu cihazlarına erişebilir, parolaları sıfırlayabilir ve anahtarlara erişim sağlayabilir. Fiziksel erişim ayrıca ortadaki adam saldırıları gibi daha karmaşık saldırıları da kolaylaştırır, bu nedenle ikinci güvenlik katmanı olan ağ güvenliği kritiktir.

Kendiliğinden Şifrelemeli sürücüler şu alanlarda kullanılır: Özel Örnek UC uygulamalarını barındıran Veri Merkezleri.

Genel güvenlik uygulamaları hakkında daha fazla bilgi için aşağıdaki konumdaki belgelere bakın: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Ağ güvenliği

Ortakların, tüm ağ öğelerinin güvenli olduğundan emin olmaları gerekir. Özel Örnek altyapı (Equinix üzerinden bağlanır). Aşağıdakiler gibi en iyi yöntemler sağlamak iş ortağının sorumluluğundadır:

• Ses ve veri için ayrı VLAN

• CAM tablosu taşmasına karşı bağlantı noktası başına izin verilen MAC adresi sayısını sınırlayan Bağlantı Noktası Güvenliğini Etkinleştir

• Sahte IP adreslerine karşı IP Kaynak Koruması

• Dinamik ARP Denetimi (DAI), ihlaller (ARP sahtekarlığına karşı) için adres çözümleme protokolünü (ARP) ve karşılıksız ARP'yi (GARP) inceler

• 802.1x atanan VLAN'larda cihazların kimliğini doğrulamak için ağ erişimini sınırlar (telefonlar 802'yi destekler.1x )

• Ses paketlerinin uygun şekilde işaretlenmesi için hizmet kalitesi (QoS) yapılandırması

• Diğer trafiği engellemek için güvenlik duvarı bağlantı noktası yapılandırmaları

Uç nokta güvenliği

Cisco uç noktaları, uç noktalar için belirli bir güvenlik düzeyi sağlayan imzalı ürün yazılımı, güvenli önyükleme (seçilen modeller), üretici tarafından yüklenen sertifika (MIC) ve imzalı yapılandırma dosyaları gibi varsayılan güvenlik özelliklerini destekler.

Ayrıca, bir iş ortağı veya müşteri, aşağıdakiler gibi ek güvenlik sağlayabilir:

• Extension Mobility gibi hizmetler için IP telefonu hizmetlerini (HTTPS aracılığıyla) şifreleyin

• sertifika yetkilisi proxy işlevi (CAPF) veya bir genel sertifika yetkilisinden (CA) yerel olarak önemli sertifikalar (LSC'ler) yayınlayın

• Yapılandırma dosyalarını şifreleyin

• Medya ve sinyallemeyi şifreleyin

• Kullanılmıyorlarsa bu ayarları devre dışı bırakın: bilgisayar bağlantı noktası, bilgisayar Sesli VLAN Erişimi, Ücretsiz ARP, Web Erişimi, Ayarlar düğmesi, SSH, konsol

Güvenlik mekanizmalarını uygulamada Özel Örnek telefonların ve Unified CM sunucusu kimlik hırsızlığını, verilerin kurcalanmasını ve çağrı sinyali / medya akışı kurcalanmasını önler.

Özel Örnek ağ üzerinden:

• Kimliği doğrulanmış iletişim akışlarını kurar ve sürdürür

• Dosyayı telefona aktarmadan önce dosyaları dijital olarak imzalar

• Cisco Unified IP telefonları arasındaki medya akışlarını ve çağrı sinyallerini şifreler

Varsayılan olarak güvenlik, Cisco Unified IP telefonları için aşağıdaki otomatik güvenlik özelliklerini sağlar:

• telefon yapılandırması dosyalarının imzalanması

• telefon yapılandırması dosyası şifreleme desteği

• Tomcat ve diğer Web servisleri (MIDlet) ile HTTPS

Daha sonraki Unified CM Sürüm 8.0 için, bu güvenlik özellikleri, Sertifika Güven Listesi (CTL) istemcisi çalıştırılmadan varsayılan olarak sağlanır.

Bir ağda çok sayıda telefon olduğundan ve IP telefonlarının belleği sınırlı olduğundan, Cisco Unified CM , Güven Doğrulama Hizmeti (TVS) aracılığıyla bir uzak güven deposu görevi görür, böylece her telefona bir sertifika güven deposu yerleştirilmesi gerekmez. Cisco IP telefonları, CTL veya ITL dosyaları aracılığıyla bir imzayı veya sertifikayı doğrulayamadıkları için doğrulama için TVS sunucusuyla iletişim kurar. Merkezi bir güven deposuna sahip olmak, her bir Cisco Unified IP telefonu güven deposuna sahip olmaktan daha kolaydır.

TVS , Cisco Unified IP telefonlarının HTTPS kurulumu sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimliğini doğrulamasını sağlar.

İlk güvenlik için İlk Güven Listesi (ITL) dosyası kullanılır, böylece uç noktalar Cisco Unified CM güvenebilir. ITL'nin açıkça etkinleştirilmesi için herhangi bir güvenlik özelliğine ihtiyacı yoktur. ITL dosyası, küme kurulduğunda otomatik olarak oluşturulur. Unified CM Trivial File Transfer Protocol (TFTP) sunucusunun özel anahtarı, ITL dosyasını imzalamak için kullanılır.

Cisco Unified CM kümesi veya sunucusu güvenli mod, ITL dosyası desteklenen her Cisco IP telefonu indirilir. Bir ortak, CLI komutu kullanarak bir ITL dosyasının içeriğini görüntüleyebilir, admin:show itl.

Cisco IP telefonları, aşağıdaki görevleri gerçekleştirmek için ITL dosyasına ihtiyaç duyar:

• yapılandırma dosyası şifrelemesini desteklemenin bir ön koşulu olan CAPF ile güvenli bir şekilde iletişim kurun

• yapılandırma dosyası imzasını doğrulayın

• TVS kullanarak HTTPS kurulumu sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimliğini doğrulayın

Cihaz, dosya ve sinyal kimlik doğrulaması, iş ortağı veya müşteri Cisco Sertifika Güven Listesi İstemcisini kurup yapılandırdığında oluşturulan Sertifika Güven Listesi ( CTL ) dosyasının oluşturulmasına dayanır.

CTL dosyası , aşağıdaki sunucular veya güvenlik belirteçleri için girişler içerir:

• Sistem Yöneticisi Güvenlik Simgesi (SAST)

• Aynı sunucu üzerinde çalışan Cisco CallManager ve Cisco TFTP hizmetleri

• Sertifika Yetkilisi Proxy İşlevi (CAPF)

• TFTP sunucuları

• ASA güvenlik duvarı

CTL dosyası , her sunucu için bir sunucu sertifikası, genel anahtar, seri numarası, imza, yayıncı adı, konu adı, sunucu işlevi, DNS adı ve IP adresi içerir.

CTL ile telefon güvenliği aşağıdaki işlevleri sağlar:

• Bir imzalama anahtarı kullanarak indirilen TFTP dosyalarının (yapılandırma, yerel ayar, çalma listesi vb.) doğrulanması

• Bir imzalama anahtarı kullanarak TFTP yapılandırma dosyalarının şifrelenmesi

• IP telefonlar için şifreli çağrı sinyali

• IP telefonlar için şifreli arama sesi (medya)

Özel Örnek uç nokta kaydı ve çağrı işleme sağlar. Cisco Unified CM ve uç noktalar arasındaki sinyalleşme, Secure İnce İstemci Denetim Protokolü (SCCP) veya Oturum Başlatma Protokolü (SIP) dayanır ve Taşıma Katmanı Güvenliği (TLS) kullanılarak şifrelenebilir. Uç noktalardan/noktalara giden medya, Gerçek Zamanlı Aktarım Protokolüne (RTP) dayanır ve ayrıca Güvenli RTP (SRTP) kullanılarak şifrelenebilir.

Unified CM CM'de karma modun etkinleştirilmesi, Cisco uç noktalarından gelen ve giden sinyalleşme ve medya trafiği şifrelenmesini sağlar.

Güvenli UC uygulamaları

Karışık mod varsayılan olarak varsayılan olarak etkin Özel Örnek .

Karışık modu etkinleştirme Özel Örnek Cisco uç noktalarından gelen ve giden sinyalleşme ve medya trafiği şifrelenmesini sağlar.

Cisco Unified CM 12.5(1) sürümünde, Jabber ve Webex istemcileri için sinyal ve medyanın karma mod / CTL yerine SIP OAuth'a dayalı olarak şifrelenmesini sağlayan yeni bir seçenek eklendi. Bu nedenle, Unified CM 12.5(1) sürümünde, SIP OAuth ve SRTP , Jabber veya Webex istemcileri için sinyal ve medya için şifrelemeyi etkinleştirmek için kullanılabilir. Şu anda Cisco IP telefonları ve diğer Cisco uç noktaları için karma modun etkinleştirilmesi gerekli olmaya devam etmektedir. Gelecekteki bir sürümde 7800/8800 uç noktalarında SIP OAuth desteği ekleme planı vardır.

Cisco Unity Connection , TLS bağlantı noktası aracılığıyla Unified CM bağlanır. Cihaz güvenlik modu güvenli olmadığında, Cisco Unity Connection , SCCP bağlantı noktası aracılığıyla Unified CM bağlanır.

Unified CM sesli mesaj bağlantı noktaları ve SCCP çalıştıran Cisco Unity cihazları veya SCCP çalıştıran Cisco Unity Connection cihazları için güvenliği yapılandırmak üzere bir iş ortağı, bağlantı noktası için güvenli bir cihaz güvenlik modu seçebilir. Kimliği doğrulanmış bir sesli posta bağlantı noktası seçerseniz, karşılıklı sertifika alışverişi kullanarak cihazların kimliğini doğrulayan bir TLS bağlantısı açılır (her cihaz diğer cihazın sertifikasını kabul eder). Şifreli bir sesli posta bağlantı noktası seçerseniz, sistem önce cihazların kimliğini doğrular ve ardından cihazlar arasında şifreli ses akışları gönderir.

Güvenlik Sesli mesajlaşma bağlantı noktaları hakkında daha fazla bilgi için, bkz. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Cisco Unified CM ve CUBE arasındaki iletişimlerin güvenliğini sağlama

Cisco Unified CM ve CUBE arasında güvenli iletişim için iş ortaklarının/müşterilerinin kendinden imzalı sertifika veya CA imzalı sertifikalar kullanması gerekir.

Kendinden imzalı sertifikalar için:

1. CUBE ve Cisco Unified CM , kendinden imzalı sertifikalar oluşturur

2. CUBE, sertifikayı Cisco Unified CM aktarır

3. Cisco Unified CM , sertifikayı CUBE'a aktarır

CA imzalı sertifikalar için:

1. Müşteri bir anahtar çifti oluşturur ve Sertifika Yetkilisi (CA) bir Sertifika İmzalama İsteği ( CSR ) gönderir

2. CA, bunu kendi özel anahtarıyla imzalayarak bir Kimlik Sertifikası oluşturur.

3. İstemci, güvenilir CA Kök ve Aracı Sertifikaları ve Kimlik Sertifikası listesini yükler

Protokol özeti

Aşağıdaki tablo, Unified CM çözümünde kullanılan protokolleri ve ilgili hizmetleri gösterir.

MRA yapılandırması hakkında daha fazla bilgi için bkz. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

SIP OAuth ile Jabber ve Webex güvenliğini sağlama

Jabber ve Webex istemcilerinin kimliği, yerel önemli sertifika (LSC) yerine bir OAuth belirteci aracılığıyla doğrulanır; bu sertifika yetkilisi proxy işlevi (CAPF) etkinleştirmesini (MRA için de) gerektirmez. Karma modla veya karma mod olmadan çalışan SIP OAuth, Cisco Unified CM 12.5(1), Jabber 12.5 ve Expressway X12.5'te tanıtıldı.

Cisco Unified CM 12.5'te, SIP REGISTER'da tek Taşıma Katmanı Güvenliği (TLS ) + OAuth belirteci kullanarak LSC/ CAPF olmadan şifrelemeyi sağlayan Telefon Güvenlik Profili'nde yeni bir seçeneğimiz var. Expressway-C düğümleri, Cisco Unified CM sertifikalarında SN/SAN hakkında bilgilendirmek için Yönetimsel XML Web Hizmeti (AXL) API kullanır. Cisco Unified CM , karşılıklı bir TLS bağlantısı kurarken Exp-C sertifikasını doğrulamak için bu bilgileri kullanır.

SIP OAuth, bir uç nokta sertifikası (LSC) olmadan medya ve sinyal şifrelemesine olanak tanır.

Cisco Jabber , yapılandırma dosyalarını indirmek için TFTP sunucusuna HTTPS bağlantısı üzerinden Geçici bağlantı noktalarını ve güvenli bağlantı noktaları 6971 ve 6972 bağlantı noktalarını kullanır. Bağlantı noktası 6970, HTTP aracılığıyla indirme için güvenli olmayan bir bağlantı noktasıdır.

SIP OAuth yapılandırması hakkında daha fazla ayrıntı: SIP OAuth Modu .