Fiziki güvenlik

Equinix Meet-Me Odası konumlarına ve Cisco Ayrılmış Örnek Veri Merkezi olanaklarına fiziksel güvenlik sağlamak önemlidir. Fiziksel güvenlik tehlikeye girdiğinde, müşterinin anahtarlarının gücü kapatılarak hizmet kesintisi gibi basit saldırılar başlatılabilir. Fiziksel erişimle, saldırganlar sunucu cihazlarına erişebilir, parolaları sıfırlayabilir ve anahtarlara erişim elde edebilir. Fiziksel erişim, ortadaki adam saldırıları gibi daha sofistike saldırıları da kolaylaştırır, bu yüzden ikinci güvenlik katmanı ağ güvenliği önemlidir.

Kendi Kendini Şifreleyen sürücüler, UC uygulamalarını barındıran Ayrılmış Örnek Veri Merkezlerinde kullanılır.

Genel güvenlik uygulamaları hakkında daha fazla bilgi için aşağıdaki konumdaki belgelere bakın: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Ağ güvenliği

Iş ortaklarının, tüm ağ öğelerinin Ayrılmış Örnek altyapısında (Equinix ile bağlanır) güvenli olduğundan emin olması gerekir. Aşağıdakiler gibi en iyi güvenlik uygulamalarını sağlamak iş ortağının sorumluluğundadır:

• Ses ve veriler için ayrı VLAN

• Port başına izin verilen MAC adresi sayısını, CAM masa baskınına karşı sınırlayan Port Güvenliğini etkinleştir

• Sahte IP adreslerine karşı IP Source Guard

• Dinamik ARP Denetimi (DAI), adres çözümleme protokolünü (ARP) ve karşılıksız ARP (GARP) ihlalleri (ARP sahteciliğine karşı) incelemektedir

• 802.1x, atanan VLAN'larda cihaz kimliğini doğrulamak için ağ erişimini sınırlar (telefonlar 802.1x'i destekler)

• Ses paketlerinin uygun şekilde işaretlenmesi için hizmet kalitesi yapılandırması (QoS)

• Diğer trafiği engellemek için güvenlik duvarı bağlantı noktaları yapılandırmaları

Uç nokta güvenliği

Cisco uç noktaları, uç noktalar için belirli bir güvenlik seviyesi sağlayan imzalı üretici yazılımı, güvenli önyükleme (seçilen modeller), üretici tarafından yüklenen sertifika (MIC) ve imzalı yapılandırma dosyaları gibi varsayılan güvenlik özelliklerini destekler.

Ayrıca, iş ortağı veya müşteri aşağıdakiler gibi ek güvenlik etkinleştirebilir:

• Extension Mobility gibi hizmetler için IP Telefonu hizmetlerini (HTTPS ile) şifreleme

• Sertifika yetkilisi proxy işlevinden (CAPF) veya genel sertifika yetkilisinden (CA) yerel olarak önemli sertifikalar (LSC'ler) düzenleme

• Yapılandırma dosyalarını şifrele

• Ortamı ve sinyali şifrele

• Kullanılmıyorsa bu ayarları devre dışı bırakın: PC bağlantı noktası, PC Ses VLAN Erişimi, Karşılıksız ARP, Web Erişimi, Ayarlar düğmesi, SSH, konsol

Ayrılmış Örnekte güvenlik mekanizmalarının uygulanması, telefonların ve Unified CM sunucusunun kimliğinin çalınmasını, verilerin oynanmasını ve çağrı sinyali / ortam akışı oynanmasını önler.

Ağ üzerinden Ayrılmış Örnek:

• Kimliği doğrulanmış iletişim akışları kurar ve sürdürür

• Dosyayı telefona aktarmadan önce dosyaları dijital olarak imzalar

• Ortam akışlarını ve Cisco Unified IP Telefonları arasındaki çağrı sinyalini şifreler

Güvenlik, varsayılan olarak Cisco Unified IP Telefonları için aşağıdaki otomatik güvenlik özelliklerini sağlar:

• Telefon yapılandırma dosyalarının imzalanması

• Telefon yapılandırma dosyası şifreleme desteği

• Tomcat ve diğer Web hizmetleri ile HTTPS (MIDlets)

Unified CM 8.0 Sürümü sonrası için, bu güvenlik özellikleri Sertifika Güven Listesi (CTL) istemcisini çalıştırmadan varsayılan olarak sağlanır.

Bir ağda çok sayıda telefon olduğundan ve IP telefonlarının belleği sınırlı olduğundan, Cisco Unified CM, Güven Doğrulama Hizmeti (TVS) aracılığıyla bir uzak güven deposu görevi görür ve böylece her telefona bir sertifika güven deposu yerleştirilmesi gerekmez. Cisco IP Telefonları, CTL veya ITL dosyaları aracılığıyla bir imza veya sertifikayı doğrulayamadığından doğrulama için TVS sunucusuyla iletişim kurar. Merkezi bir güven mağazasına sahip olmak, her bir Cisco Unified IP telefonunda güven mağazasına sahip olmaktan daha kolaydır.

TVS, Cisco Unified IP Telefonlarının HTTPS kurulumu sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimliğini doğrulamasına olanak verir.

Ilk Güven Listesi (ITL) dosyası, uç noktaların Cisco Unified CM'ye güvenebilmesi için ilk güvenlik için kullanılır. ITL'nin açıkça etkinleştirilmesi için herhangi bir güvenlik özelliğine ihtiyacı yoktur. ITL dosyası, küme yüklendiğinde otomatik olarak oluşturulur. ITL dosyasını imzalamak için Unified CM Önemsiz Dosya Aktarım Protokolü (TFTP) sunucusunun özel anahtarı kullanılır.

Cisco Unified CM kümesi veya sunucusu güvenli olmayan modda olduğunda, ITL dosyası desteklenen tüm Cisco IP telefonlarına indirilir. Iş ortağı, admin:show itl adlı CLI komutunu kullanarak ITL dosyasının içeriğini görüntüleyebilir.

Cisco IP Telefonları, aşağıdaki görevleri gerçekleştirmek için ITL dosyasına ihtiyaç duyar:

• Yapılandırma dosyası şifrelemesini desteklemenin ön koşullarından biri olan CAPF ile güvenli bir şekilde iletişim kurun

• Yapılandırma dosyasının imzasını onayla

• TVS kullanarak HTTPS kurulumu sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimliğini doğrulayın

Cihaz, dosya ve sinyal kimlik doğrulaması, iş ortağı veya müşteri Cisco Sertifika Güven Listesi Istemcisini yüklediğinde ve yapılandırdığında oluşturulan Sertifika Güven Listesi (CTL) dosyasının oluşturulmasına dayanır.

CTL dosyası, aşağıdaki sunucuların veya güvenlik belirteçlerinin girişlerini içerir:

• Sistem Yöneticisi Güvenlik Belirteci (SAST)

• Aynı sunucuda çalışan Cisco CallManager ve Cisco TFTP hizmetleri

• Sertifika Yetkilisi Proxy Işlevi (CAPF)

• TFTP sunucuları

• ASA güvenlik duvarı

CTL dosyasında her sunucu için bir sunucu sertifikası, genel anahtar, seri numarası, imza, veren adı, özne adı, sunucu işlevi, DNS adı ve IP adresi bulunur.

CTL ile telefon güvenliği aşağıdaki işlevleri sağlar:

• Imzalama anahtarı kullanarak TFTP indirilen dosyaların kimlik doğrulaması (yapılandırma, yerel ayarlar, zil listesi vb.)

• TFTP yapılandırma dosyalarının imzalama anahtarı kullanarak şifrelenmesi

• IP telefonları için şifreli çağrı sinyali

• IP telefonları için şifreli çağrı sesi (medya)

Ayrılmış Örnek, uç nokta kaydı ve çağrı işleme sağlar. Cisco Unified CM ile uç noktaları arasındaki sinyalleme, Güvenli Ince Istemci Denetim Protokolü (SCCP) veya Oturum Başlatma Protokolü (SIP) temeline dayanır ve Aktarım Katmanı Güvenliği (TLS) kullanılarak şifrelenebilir. Uç noktalardan gelen/giden ortam Gerçek Zamanlı Aktarım Protokolü'ne (RTP) dayanır ve Güvenli RTP (SRTP) kullanılarak şifrelenebilir.

Unified CM'de karışık mod etkinleştirilmesi, Cisco uç noktalarından gelen ve giden sinyal ve medya trafiğinin şifrelenmesini sağlar.

Güvenli UC uygulamaları

Karma mod, Ayrılmış Örnekte varsayılan olarak etkindir.

Ayrılmış Örnekte karışık modun etkinleştirilmesi, Cisco uç noktalarından gelen ve bu noktalara giden sinyal ve medya trafiğini şifrelemeyi gerçekleştirebilmenizi sağlar.

Cisco Unified CM sürüm 12.5(1)'de, Jabber ve Webex istemcileri için karışık mod / CTL yerine SIP OAuth tabanlı sinyal ve ortam şifrelemesini etkinleştirmeye yönelik yeni bir seçenek eklendi. Bu nedenle, Unified CM sürüm 12.5(1)'de, sinyalleme için şifrelemeyi ve Jabber veya Webex istemcileri için ortamı etkinleştirmek üzere SIP OAuth ve SRTP kullanılabilir. Şu anda Cisco IP telefonları ve diğer Cisco uç noktaları için karışık mod etkinleştirilmesi gerekli olmaya devam eder. Gelecekteki bir sürümde 7800/8800 uç noktasında SIP OAuth desteği ekleme planı bulunmaktadır.

Cisco Unity Connection, TLS bağlantı noktası aracılığıyla Unified CM'ye bağlanır. Cihaz güvenlik modu güvenli olmadığında, Cisco Unity Connection SCCP bağlantı noktası aracılığıyla Unified CM'ye bağlanır.

Iş ortağı, SCCP çalıştıran Unified CM sesli mesajlaşma bağlantı noktaları ve SCCP çalıştıran Cisco Unity cihazlarının veya SCCP çalıştıran Cisco Unity Connection cihazlarının güvenliğini yapılandırmak için, bağlantı noktası için güvenli bir cihaz güvenlik modu seçebilir. Kimliği doğrulanmış bir sesli posta bağlantı noktası seçerseniz, karşılıklı bir sertifika değişimi kullanarak cihazların kimliğini doğrulayan bir TLS bağlantısı açılır (her cihaz diğer cihazın sertifikasını kabul eder). Şifrelenmiş bir sesli posta bağlantı noktası seçerseniz, sistem önce cihazların kimliğini doğrular ve ardından cihazlar arasında şifreli ses akışları gönderir.

Güvenlik Sesli mesajlaşma bağlantı noktaları hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Cisco Unified CM ve CUBE arasındaki iletişimlerin güvenliğini sağlama

Cisco Unified CM ve CUBE arasında güvenli iletişim için, iş ortaklarının/müşterilerin kendinden imzalı sertifika veya CA imzalı sertifikaları kullanması gerekir.

Kendinden imzalı sertifikalar için:

1. CUBE ve Cisco Unified CM kendinden imzalı sertifikalar oluşturur

2. CUBE, sertifikayı Cisco Unified CM'ye dışa aktarıyor

3. Cisco Unified CM, sertifikayı CUBE'a dışa aktarıyor

Sertifika yetkilisi imzalı sertifikalar için:

1. Istemci bir anahtar çifti oluşturur ve Sertifika Imzalama Talebi (CSR) Sertifika Yetkilisine (CA) gönderir

2. CA, özel anahtarı ile imzalar ve Kimlik Sertifikası oluşturur.

3. Istemci, güvenilir CA Kök ve Aracı Sertifikaları ile Kimlik Sertifikasını yükler

Protokol özeti

Aşağıdaki tabloda, Unified CM çözümünde kullanılan protokoller ve ilişkili hizmetler gösterilmektedir.

MRA yapılandırması hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Jabber ve Webex'i SIP OAuth ile güvence altına alma

Jabber ve Webex istemcilerinin kimliği, (MRA için de) sertifika yetkisi proxy işlevi (CAPF) etkinleştirilmesini gerektirmeyen, yerel olarak önemli bir sertifika (LSC) yerine bir OAuth belirteci aracılığıyla doğrulanır. Karışık modla veya modsuz çalışan SIP OAuth, Cisco Unified CM 12.5(1), Jabber 12.5 ve Expressway X12.5 sürümlerinde kullanıma sunulmuştur.

Cisco Unified CM 12.5'te, Telefon Güvenlik Profilinde SIP REGISTER'da tek Taşıma Katmanı Güvenliği (TLS) + OAuth belirteci kullanılarak LSC/CAPF olmadan şifrelemeyi etkinleştiren yeni bir seçeneğimiz var. Expressway-C düğümleri, Cisco Unified CM'ye sertifikalarındaki SN/SAN hakkında bilgi vermek için Yönetim XML Web Hizmeti (AXL) API'sini kullanır. Cisco Unified CM, karşılıklı TLS bağlantısı kurarken Exp-C sertifikasını doğrulamak için bu bilgileri kullanır.

SIP OAuth, bir uç nokta sertifikası (LSC) olmadan medya ve sinyal şifrelemesini etkinleştirir.

Cisco Jabber, yapılandırma dosyalarını indirmek için TFTP sunucusuna HTTPS bağlantısı aracılığıyla Geçici bağlantı noktaları ve 6971 ve 6972 bağlantı noktalarını kullanır. Bağlantı noktası 6970, HTTP üzerinden indirilebilecek güvenli olmayan bir bağlantı noktasıdır.

SIP OAuth yapılandırması hakkında daha fazla ayrıntı: SIP OAuth Modu.