Adanmış Örnek ağ ve güvenlik gereksinimleri

Fiziki güvenlik

Equinix Meet-Me Oda konumları ve Cisco Adanmış Örnek Veri Merkezi özellikleri için fiziksel güvenlik sağlamak önemlidir. Fiziksel güvenlik ihlal olduğunda, müşterinin geçişlerine güç kapatarak hizmet kesintisi gibi basit saldırıları başlatabilirsiniz. Fiziksel erişimle, saldırganlar sunucu cihazlarına erişim elde edeebiliyor, parolaları sıfırebiliyor ve anahtarlara erişim eldeebiliyor. Fiziksel erişim, aynı zamanda orta katman insani saldırıları gibi daha fazla saldırı saldırısına da yardımcı olur. Bu nedenle ikinci güvenlik katmanı, ağ güvenliği kritik bir öneme sahip olur.

Otomatik Şifreleme sürücüleri, UC uygulamalarını barındıran Adanmış Örnek Veri Merkezlerinde kullanılır.

Genel güvenlik uygulamaları hakkında daha fazla bilgi için aşağıdaki konumdaki belgelere bakın: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Ağ güvenliği

İş ortaklarının, tüm ağ öğelerinin Özel Örnek altyapısında (Equinix üzerinden bağlanan) güvenli olduğundan emin olması gerekir. İş ortağının, şunları gibi en iyi güvenlik uygulamalarını sağlamakla sorumlu olur:

• Ses ve veri için ayrı VLAN

• Bağlantı noktası başına izin verilen MAC adreslerinin sayısını CAM tablosuna sınırlamayla sınırlayan Bağlantı Noktası Güvenliğini etkinleştirin

• Kodlu IP adreslerine karşı IP Kaynağı

• Dinamik ARP İncelemesi (DAI), ihlaller için adres çözüm protokolü (ARP) ve gereksiz ARP (GARP) denetimlerini inceler (ARP ihlallerine karşı)

• 802.1x Atanan VLAN'lerde cihazların kimlik doğrulaması için ağ erişimini sınırlar (telefonlar 802'i destekler.1x)

• Ses paketlerinin uygun işaretlenmesi için hizmet kalitesi (QoS) yapılandırması

• Başka bir trafiğin engellenmesi için güvenlik duvarı bağlantı noktaları yapılandırmaları

Uç nokta güvenliği

Cisco uç noktaları, uç noktaları için belirli bir güvenlik seviyesi sağlayan, imzalı donanım yazılımı, güvenli başlatma (seçili modeller), üreticinin yüklü sertifikası (MIKROFON) ve imzalı yapılandırma dosyaları gibi varsayılan güvenlik özelliklerini destekler.

Ayrıca, bir iş ortağı veya müşteri şunların gibi ek güvenliği etkinleştir olabilir:

• Extension Mobility gibi hizmetler için IP telefon hizmetlerini (HTTPS aracılığıyla) şifrele

• Sertifika yetkilisi proxy işlevinden (CAPF) veya genel sertifika yetkililerinden (CA) yerel olarak önemli sertifikaları (LSCs) sorun

• Yapılandırma dosyalarını şifrele

• Ortamı ve sinyali şifrele

• Bu ayarları kullan değil ise devre dışı bırak: PC bağlantı noktası, PC Voice VLAN Erişimi, Gratuitous ARP, Web Erişimi, Ayarlar düğmesi, SSH, konsol

Özel Örnek'te güvenlik mekanizmalarının uygulanması, telefonların ve Unified CM sunucusunun kimlik hırsızlığını, veri izinsiz kişilerini ve çağrı sinyali / ortam akışının izinsiz olarak çalınmasını önlemektedir.

Ağ üzerinden Adanmış Örnek:

• Kimliği doğrulanmış iletişim akışlarını kurma ve koruma

• Dosyayı telefona aktarmadan önce dosyaları dijital olarak imzalar

• Ip telefonları arasında ortam akışlarını ve çağrı Cisco Unified şifreler

Güvenlik, varsayılan olarak Ip telefonları için aşağıdaki Cisco Unified özellikleri sağlar:

• Telefon yapılandırma dosyalarının imzalanması

• Telefon yapılandırma dosyası şifreleme desteği

• Tomcat ve diğer Web hizmetleriyle HTTPS (MIDlet'ler)

Unified CM Sürüm 8.0 için bu güvenlik özellikleri varsayılan olarak Sertifika Güven Listesi (CTL) istemcisi çalıştırmadan sağlanır.

Ağda çok sayıda telefon olduğu ve IP telefonlarının sınırlı belleği olduğu için Cisco Unified CM, Güven Doğrulama Hizmeti (TVS) aracılığıyla uzaktan güven deposu olarak hareket verir ve böylece her bir telefona sertifika güven deposu yerleştirilmaz. Cisco IP telefonları, CTL veya ITL dosyalarıyla bir imza veya sertifika doğrulayamamalarından dolayı doğrulama için TVS sunucusuyla iletişime geçin. Merkezi bir güven deposuna sahip olmak, her bir ip telefonunda güven mağazasının olması Cisco Unified kolaydır.

TVS, Cisco Unified IP telefonlarının, HTTPS hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimlik doğrulamasını sağlar.

İlk Güven Listesi (ITL) dosyası, başlangıç güvenliği için kullanılır, böylece uç noktaları CM'Cisco Unified güvenebilir. ITL'nin özel olarak etkinleştirilmesi için herhangi bir güvenlik özelliğine ihtiyacı değildir. KÜME yüklenirken ITL dosyası otomatik olarak oluşturulur. Unified CM Önemsiz Dosya Aktarım Protokolü (TFTP) sunucusunun özel anahtarı, ITL dosyasını imzalamak için kullanılır.

CM Cisco Unified sunucusu güvenli olmayan modda olduğunda, ITL dosyası desteklenen her Cisco IP telefonuna indirilir. İş ortağı CLI komutunu kullanarak bir ITL dosyasının içeriğini 3. yöneticisi:show itl dosyasını 3.

Cisco IP telefonlarının aşağıdaki görevleri gerçekleştirmek için ITL dosyasına ihtiyacı vardır:

• Yapılandırma dosyası şifrelemeyi destekleyen bir ön koşul olan CAPF ile güvenli bir şekilde iletişim kurma

• Yapılandırma dosyası imzasının kimliğini doğrula

• TVS kullanımı sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimlik doğrulamasını yapma

Cihaz, dosya ve sinyal kimlik doğrulaması, iş ortağı veya müşteri Cisco Sertifika Güven Listesi İstemcisini oluşturduğunda ve yapılandırıldığında oluşturulan Sertifika Güven Listesi (CTL) dosyasının oluşturulmasını kullanır.

CTL dosyası, aşağıdaki sunucular veya güvenlik belirteçleri için girişler içerir:

• Sistem Yöneticisi Güvenlik Belirteci (SAST)

• Aynı sunucuda çalışan Cisco CallManager ve Cisco TFTP hizmetleri

• Sertifika Yetkilisi Proxy İşlevi (CAPF)

• TFTP sunucularını

• ASA güvenlik duvarı

CTL dosyası; sunucu sertifikası, genel anahtar, seri numarası, imza, sertifika adı, konu adı, sunucu işlevi, DNS adı ve her bir sunucu için IP adresi içerir.

CTL ile telefon güvenliği aşağıdaki işlevleri sağlar:

• İmzalama anahtarı kullanarak TFTP indirilen dosyaların (yapılandırma, yerel ayarlar, zil listesi, gibi) kimlik doğrulaması

• İmzalama anahtarı kullanarak TFTP yapılandırma dosyalarının şifrelanması

• IP telefonları için şifreli çağrı sinyali

• IP telefonları için şifreli çağrı sesi (ortam)

Özel Örnek uç nokta kaydı ve çağrı işleme sağlar. Cisco Unified CM ve uç noktaları arasındaki sinyal, Secure Skinny Client Control Protocol (SCCP) veya Oturum Başlatma Protokolü (SIP) tabanlıdır ve Aktarım Katmanı Güvenliği (TLS) kullanılarak şifrelenir. Uç noktaların/uç noktaların medyası, Gerçek Zamanlı Taşıma Protokolü'ne (RTP) dayalıdır ve Güvenli RTP (SRTP) kullanılarak da şifrelenir.

Unified CM'de karışık modun etkinleştirilmesi, Cisco uç noktalarına ve sinyal ve medya trafiğinin şifrelenir.

Güvenli UC uygulamaları

Karma mod, Ayrılmış Örnekte varsayılan olarak etkindir.

Adanmış Örnek'te karışık modun etkinleştirilmesi, Cisco uç noktalarına ve gelen sinyal ve ortam trafiğinin şifrelenirken gerçekleştirebilme özelliğini sağlar.

Cisco Unified CM 12.5(1) sürümüne, Jabber ve diğer istemciler için karışık mod / CTL yerine SIP OAuth'a göre sinyal ve medya şifrelemeyi etkinleştiren yeni bir seçenek Webex eklendi. Bu nedenle, Unified CM 12.5(1) sürümlerinde, SIP OAuth ve SRTP, Jabber veya birleşik istemciler için sinyal ve medyayı etkinleştirmek Webex kullanılabilir. Karışık modun etkinleştirilmesi, şu anda Cisco IP telefonları ve diğer Cisco uç noktaları için gerekli olarak devam etmektedir. Gelecekteki sürümlerde SIP OAuth için 7800/8800 uç noktalarında destek ekleme planı vardır.

Cisco Unity Connection TLS bağlantı noktası üzerinden Unified CM'ye bağlanır. Cihaz güvenlik modu güvenli değil olduğunda, Cisco Unity Connection SCCP bağlantı noktası üzerinden Unified CM'ye bağlanır.

SCCP veya SCCP çalıştıran Cisco Unity Connection cihazları çalıştıran Unified CM sesli mesajlaşma bağlantı noktaları ve Cisco Unity cihazları için güvenliği yapılandırmak üzere, bir iş ortağı bağlantı noktası için güvenli bir cihaz güvenlik modu seçebilir. Kimliği doğrulanmış sesli mesaj bağlantı noktası seçerseniz, karşılıklı sertifika değişimi kullanarak cihazların kimliklerini doğrular (her cihaz diğer cihazın sertifikasını kabul eder) bir TLS bağlantısı açılır. Şifrelenmiş bir sesli posta bağlantı noktası seçerseniz, sistem önce cihazları doğrular ve ardından cihazlar arasında şifreli sesli akışlar gönderir.

Güvenlik Sesli mesajlaşma bağlantı noktaları hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Cisco Unified CM ve CUBE arasındaki iletişimlerin güvenliğini sağlama

CM ve CUBE Cisco Unified arasında güvenli iletişim için iş ortaklarının/müşterilerin kendinden imzalı sertifika veya sertifika yetkilisi imzalı sertifikalar kullanmaları gerekir.

Otomatik olarak imzalanan sertifikalar için:

1. CUBE ve Cisco Unified CM kendinden imzalı sertifikalar oluştur

2. CUBE, sertifikayı CM'Cisco Unified aktarıyor

3. Cisco Unified CM, sertifikayı CUBE olarak dışa aktarıyor

Sertifika yetkilisi imzalı sertifikalar için:

1. İstemci bir anahtar çifti oluşturmakta ve Sertifika Yetkilisine (CA) bir Sertifika İmzalama Talebi (CSR) gönderir

2. Ca, bunu özel anahtarıyla imzalar ve bir Kimlik Sertifikası oluşturma

3. İstemci, güvenilen CA Kök ve Aracı Sertifikaları ile Kimlik Sertifikası listesini yüklür

Protokol özeti

Aşağıdaki tablo, Unified CM çözümünde kullanılan protokolleri ve ilişkili hizmetleri gösterir.

MRA yapılandırması hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Jabber ve SIP OAuth Webex Jabber'ı Koruma

Jabber ve Webex istemcilerinin kimlik doğrulaması, yerel olarak önemli bir sertifika (LSC) yerine bir OAuth belirteci ile kimlik doğrulamasılanır; bu belirteç, sertifika yetkilisi proxy'si işlevini (CAPF) etkinleştirmesini (MRA için de) gerektirmez. Karışık mod ile veya karışık mod olmadan çalışan SIP OAuth, Cisco Unified CM 12.5(1), Jabber 12.5 ve Expressway X12.5'te başlatıldı.

Cisco Unified CM 12.5'te, Telefon Güvenliği Profilinde SIP REGISTER'da tek Aktarım Katmanı Güvenliği (TLS) + OAuth belirteci kullanarak LSC/CAPF olmadan şifrelemeyi sağlayan yeni bir seçeneğimiz var. Expressway-C düğümleri, sertifikalarında SN/SAN'nin cm'sini Cisco Unified yönetici XML Web Hizmeti (AXL) API'sini kullanır. Cisco Unified CM, bu bilgileri bir ağ bağlantısı kuruluken Exp-C karşılıklı TLS kullanır.

SIP OAuth, uç nokta sertifikası (LSC) olmadan ortam ve sinyal şifrelemesi sağlar.

Cisco Jabber, yapılandırma dosyalarını indirmek için TFTP sunucusuna HTTPS bağlantısı aracılığıyla Geçici bağlantı noktaları ve güvenli bağlantı noktaları 6971 ve 6972 bağlantı noktalarını kullanır. Bağlantı Noktası 6970, HTTP aracılığıyla indirilmeyen bir bağlantı noktasıdır.

SIP OAuth yapılandırması hakkında daha fazla ayrıntı: SIP OAuth Modu.