Вимоги до виділеної мережі екземплярів і безпеки

Фізична безпека

Важливо забезпечити фізичну безпеку місць розташування кімнат Equinix Meet-Me та спеціалізованих центрів обробки даних Cisco . Коли фізична безпека порушена, можна ініціювати прості атаки, такі як порушення обслуговування шляхом відключення живлення на комутаторах клієнта. Маючи фізичний доступ, зловмисники могли отримати доступ до серверних пристроїв, скинути паролі та отримати доступ до комутаторів. Фізичний доступ також полегшує більш складні атаки, такі як атаки "людина посередині", тому другий рівень безпеки, мережева безпека, має вирішальне значення.

Диски, що самошифруються, використовуються у спеціальних прикладних центрах обробки даних, де розміщені програми UC.

Додаткову інформацію про загальні методи безпеки див. в документації за таким розташуванням:https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html .

Безпека мережі

Партнери повинні переконатися, що всі елементи мережі захищені в інфраструктурі виділеного екземпляра (яка підключається через Equinix). Відповідальність партнера полягає в забезпеченні найкращих практик безпеки, таких як:

• Окрема VLAN для голосу і даних

• Увімкніть безпеку порту, яка обмежує кількість MAC-адрес, дозволених для кожного порту, проти затоплення таблиці CAM

• Захист джерела IP від підроблених IP-адрес

• Динамічна інспекція ARP (DAI) вивчає протокол адресної резолюції (ARP) та безоплатний ARP (GARP) на предмет порушень (проти підміни ARP)

• 802. обмежує доступ до мережі для автентифікації пристроїв на призначених VLAN (телефони підтримують 802.1x 1x)

• Налаштування якості обслуговування (QoS) для відповідного маркування голосових пакетів

• Конфігурації портів брандмауера для блокування будь-якого іншого трафіку

Безпека кінцевих пристроїв

Кінцеві точки Cisco підтримують функції безпеки за замовчуванням, такі як підписана мікропрограма, безпечне завантаження (вибрані моделі), встановлений сертифікат виробника (MIC) та підписані файли конфігурації, які забезпечують певний рівень безпеки кінцевих точок.

Крім того, партнер або клієнт може забезпечити додаткову безпеку, таку як:

• Шифрування послуг IP-телефонів (через HTTPS) для таких служб, як Розширена мобільність

• Видавати локально значущі сертифікати (LSC) від проксі-функції центру сертифікації (CAPF) або державного центру сертифікації (CA)

• Шифрування конфігураційних файлів

• Шифрування носіїв і сигналізації

• Вимкніть ці настройки, якщо вони не використовуються: Порт ПК, Голосовий доступ до VLAN для ПК, Безкоштовний ARP, Веб-доступ, Кнопка налаштувань, SSH, консоль

Впровадження механізмів безпеки у виділеному екземплярі запобігає крадіжці особистих даних телефонів та сервера Unified CM, фальсифікації даних та підробці сигналів дзвінків / медіа-потоку.

Виділений екземпляр через мережу:

• Встановлює та підтримує автентифіковані потоки зв'язку

• Цифровий підпис файлів перед перенесенням файлу на телефон

• Шифрує медіапотоки та сигналізацію дзвінків між уніфікованими IP-телефонами Cisco

Безпека за замовчуванням надає такі функції автоматичної безпеки для уніфікованих IP-телефонів Cisco:

• Підписання файлів конфігурації телефону

• Підтримка шифрування файлів конфігурації телефону

• HTTPS з Tomcat та іншими веб-сервісами (MIDlets)

Для уніфікованого випуску CM 8.0 пізніше ці функції безпеки надаються за замовчуванням без запуску клієнта списку надійності сертифікатів (CTL).

Оскільки в мережі є велика кількість телефонів, а IP-телефони мають обмежену пам'ять, Cisco Unified CM діє як віддалене сховище довіри через Службу перевірки довіри (TVS), так що надійне сховище сертифікатів не потрібно розміщувати на кожному телефоні. IP-телефони Cisco звертаються до сервера TVS для перевірки, оскільки вони не можуть перевірити підпис або сертифікат за допомогою файлів CTL або ITL. Мати центральний магазин довіри легше керувати, ніж мати магазин довіри на кожному IP-телефоні Cisco Unified.

TVS дозволяє уніфікованим IP-телефонам Cisco автентифікувати сервери додатків, такі як EM-служби, каталог і MIDlet, під час створення HTTPS.

Файл початкового списку довіри (ITL) використовується для початкового захисту, щоб кінцеві точки могли довіряти Cisco Unified CM. ITL не потребує явного ввімкнення будь-яких функцій безпеки. ITL-файл автоматично створюється при установці кластера. Закритий ключ сервера уніфікованого тривіального протоколу передачі файлів CM (TFTP) використовується для підписання файлу ITL.

Коли кластер або сервер Cisco Unified CM знаходиться в незахищеному режимі, файл ITL завантажується на кожен підтримуваний IP-телефон Cisco. Партнер може переглядати вміст файлу ITL за допомогою команди CLI, admin:show itl.

IP-телефонам Cisco файл ITL потрібен для виконання наступних завдань:

• Безпечний зв'язок із CAPF, що є необхідною умовою для підтримки шифрування конфігураційного файлу

• Автентифікація підпису файлу конфігурації

• Автентифікуйте сервери додатків, такі як EM-служби, каталоги та MIDlet під час створення HTTPS за допомогою телевізорів

Автентифікація пристрою, файлів і сигналів залежить від створення файлу списку надійності сертифікатів (CTL), який створюється, коли партнер або клієнт інсталює та настроює клієнта списку довіри сертифіката Cisco.

Файл CTL містить записи для наступних серверів або маркерів безпеки:

• Токен безпеки системного адміністратора (SAST)

• Cisco CallManager і TFTP-сервіси Cisco, які працюють на одному сервері

• Проксі-функція центру сертифікації (CAPF)

• TFTP-сервери

• Брандмауер ASA

Файл CTL містить сертифікат сервера, відкритий ключ, серійний номер, підпис, ім'я емітента, ім'я суб'єкта, функцію сервера, ім'я DNS та IP-адресу для кожного сервера.

Безпека телефону за допомогою CTL забезпечує наступні функції:

• Аутентифікація завантажених файлів TFTP (конфігурація, локаль, список дзвінків і так далі) за допомогою ключа підписання

• Шифрування файлів конфігурації TFTP за допомогою ключа підпису

• Зашифрована сигналізація викликів для IP-телефонів

• Зашифрований аудіовиклик (медіа) для IP-телефонів

Спеціальний екземпляр забезпечує реєстрацію кінцевих точок та обробку викликів. Сигналізація між Cisco Unified CM і кінцевими точками базується на захищеному протоколі управління клієнтами (SCCP) або протоколі ініціації сеансу (SIP) і може бути зашифрована за допомогою безпеки транспортного рівня (TLS). Носій з/до кінцевих точок базується на транспортному протоколі реального часу (RTP), а також може бути зашифрований за допомогою Secure RTP (SRTP).

Увімкнення змішаного режиму на Unified CM дозволяє шифрувати сигнальний та медіатрафік з кінцевих точок Cisco та до них.

Захищені програми UC

Змішаний режим увімкнено за замовчуванням у виділеному екземплярі.

Увімкнення змішаного режиму у виділеному екземплярі дає можливість виконувати шифрування сигнального та медіатрафіку від кінцевих точок Cisco та до них.

У cisco Unified CM release 12.5(1) була додана нова опція включення шифрування сигналів і носіїв на основі SIP OAuth замість змішаного режиму / CTL для клієнтів Jabber і Webex. Тому в уніфікованому випуску CM 12.5(1) SIP OAuth і SRTP можуть використовуватися для включення шифрування для сигналізації та носіїв для клієнтів Jabber або Webex. Увімкнення змішаного режиму продовжує вимагатися для IP-телефонів Cisco та інших кінцевих точок Cisco в цей час. У майбутньому випуску планується додати підтримку SIP OAuth в кінцевих точках 7800/8800.

Cisco Unity Connection підключається до уніфікованої CM через порт TLS. Коли режим безпеки пристрою не захищений, Cisco Unity Connection підключається до Unified CM через порт SCCP.

Щоб налаштувати безпеку для портів голосових повідомлень Unified CM і пристроїв Cisco Unity, на яких працюють пристрої SCCP або Cisco Unity Connection, що працюють під управлінням SCCP, партнер може вибрати для порту безпечний режим безпеки пристрою. Якщо вибрати автентифікований порт голосової пошти, відкриється підключення TLS, яке автентифікує пристрої за допомогою взаємного обміну сертифікатами (кожен пристрій приймає сертифікат іншого пристрою). Якщо вибрати зашифрований порт голосової пошти, система спочатку автентифікує пристрої, а потім відправляє зашифровані голосові потоки між пристроями.

Щоб отримати додаткові відомості про порти голосових повідомлень системи безпеки, зверніться до: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Захист зв’язку між Cisco Unified CM і CUBE

Для безпечного зв'язку між Cisco Unified CM і CUBE партнерам/клієнтам необхідно використовувати сертифікат із власним підписом або сертифікати, підписані CA.

Для самопідписаних сертифікатів:

1. CUBE і Cisco Unified CM генерують самопідписані сертифікати

2. CUBE експортує сертифікат в Cisco Unified CM

3. Cisco Unified CM експортує сертифікат в CUBE

Для сертифікатів, підписаних CA:

1. Клієнт генерує пару ключів і надсилає запит на підписання сертифіката (CSR) до центру сертифікації (ЦС)

2. ЦС підписує його своїм закритим ключем, створюючи посвідчення особи

3. Клієнт інсталює список надійних кореневих і посередницьких сертифікатів ЦС, а також посвідчення особи

Зведення протоколу

У наведеній нижче таблиці показано протоколи та пов'язані з ними служби, які використовуються в рішенні Unified CM.

Для отримання додаткової інформації про конфігурацію MRA дивіться: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Захист Jabber та Webex за допомогою SIP OAuth

Клієнти Jabber і Webex автентифікуються за допомогою токена OAuth замість локально значущого сертифіката (LSC), який не вимагає включення проксі-функції центру сертифікації (CAPF) (також для MRA). SIP OAuth, що працює зі змішаним режимом або без нього, був представлений в Cisco Unified CM 12.5(1), Jabber 12.5 і Expressway X12.5.

У Cisco Unified CM 12.5 ми маємо нову опцію в профілі безпеки телефону, яка дозволяє шифрувати без LSC/CAPF, використовуючи єдиний транспортний рівень безпеки (TLS) + токен OAuth у SIP REGISTER. Вузли Expressway-C використовують API адміністративної веб-служби XML (AXL) для інформування Cisco Unified CM про SN/SAN у своєму сертифікаті. Cisco Unified CM використовує цю інформацію для перевірки сертифіката Exp-C при встановленні взаємного з'єднання TLS.

SIP OAuth забезпечує шифрування медіа та сигналізації без сертифіката кінцевої точки (LSC).

Cisco Jabber використовує Ephemeral порти і захищені порти 6971 і 6972 через HTTPS-з'єднання з TFTP-сервером для завантаження файлів конфігурації. Порт 6970 є небезпечним портом для завантаження через HTTP.

Детальніше про конфігурацію SIP OAuth: Режим SIP OAuth .