Фізична безпека

Важливо забезпечити фізичну безпеку розташувань кімнат Equinix MeetMe і об’єктів центру обробки даних Cisco Dedicated Instance. Коли фізична безпека скомпрометована, можуть бути ініційовані прості атаки, як-от порушення роботи служби через відключення живлення комутаторів клієнта. Завдяки фізичному доступу зловмисники можуть отримати доступ до серверних пристроїв, скинути паролі та отримати доступ до комутаторів. Фізичний доступ також сприяє більш складним атакам, як-от атаки «людина посередині», тому другий рівень безпеки, мережева безпека, є критичним.

Диски з самошифруванням використовуються у виділених центрах обробки даних екземпляра, де розміщено програми UC.

Додаткову інформацію про загальні методи безпеки див. в документації за таким розташуванням: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html .

Безпека мережі

Партнери повинні переконатися, що всі елементи мережі захищені в інфраструктурі виділеного екземпляра (яка підключається через Equinix). Партнер несе відповідальність за забезпечення оптимальних методів безпеки, як-от:

• Окрема VLAN для голосу та даних

• Увімкніть безпеку портів, яка обмежує кількість MAC-адрес, дозволених на порт, проти заповнення таблиці CAM

• Захист джерела IP від підроблених IP-адрес

• Динамічна перевірка ARP (DAI) перевіряє протокол дозволу адрес (ARP) і безоплатний ARP (GARP) на предмет порушень (проти спуфінгу ARP).

• 802.1x обмежує доступ до мережі для автентифікації пристроїв у призначених VLAN (телефони підтримують 802.1x)

• Конфігурація якості обслуговування (QoS) для відповідного маркування голосових пакетів

• Конфігурації портів брандмауера для блокування будь-якого іншого трафіку

Безпека кінцевих пристроїв

Кінцеві пристрої Cisco підтримують функції безпеки за замовчуванням, як-от підписане мікропрограмне забезпечення, безпечне завантаження (вибрані моделі), установлений виробником сертифікат (MIC) і підписані файли конфігурації, які забезпечують певний рівень безпеки для кінцевих пристроїв.

Крім того, партнер або клієнт може ввімкнути додатковий захист, як-от:

• Шифруйте служби IP-телефонії (через HTTPS) для таких служб, як Extension Mobility

• Випускати локально значущі сертифікати (LSC) з функції проксі-сертифікатора (CAPF) або загальнодоступного центру сертифікації (CA)

• Зашифруйте файли конфігурації

• Шифруйте медіа та сигналізацію

• Вимкніть ці налаштування, якщо вони не використовуються: Порт ПК, голосовий доступ до VLAN ПК, безкоштовний ARP, вебдоступ, кнопка налаштувань, SSH, консоль

Запровадження механізмів безпеки у виділеному екземплярі запобігає крадіжці особистих даних телефонів і сервера Unified CM, підробці даних і сигналізації викликів / медіапотоку.

Виділений екземпляр через мережу:

• Встановлює та підтримує автентифіковані потоки зв’язку

• Перед передаванням файлу на телефон підписує файли цифровим підписом

• Шифрує медіапотоки та сигналізацію викликів між IP-телефонами Cisco Unified

Безпека за замовчуванням забезпечує такі автоматичні функції безпеки для IP-телефонів Cisco Unified:

• Підписання файлів конфігурації телефону

• Підтримка шифрування файлів конфігурації телефону

• HTTPS з Tomcat та іншими вебслужбами (MIDlets)

Для Unified CM версії 8.0 пізніше ці функції безпеки надаються за замовчуванням без запуску клієнта списку довірених сертифікатів (CTL).

Оскільки в мережі існує велика кількість телефонів, а пам’ять IP-телефонів обмежена, Cisco Unified CM діє як віддалене сховище довіри через службу перевірки довіри (TVS), тому сховище довіри сертифікатів не потрібно розміщувати на кожному телефоні. IP-телефони Cisco звертаються до сервера TVS для перевірки, оскільки вони не можуть перевірити підпис або сертифікат за допомогою файлів CTL або ITL. Керувати центральним сховищем довіри легше, ніж сховищем на кожному IP-телефоні Cisco Unified.

TVS дозволяє IP-телефонам Cisco Unified автентифікувати сервери застосунків, як-от служби EM, каталоги та MIDlet, під час встановлення HTTPS.

Файл початкового списку довіри (ITL) використовується для початкової безпеки, щоб кінцеві пристрої могли довіряти Cisco Unified CM. Для явного ввімкнення ITL не потрібно жодних функцій безпеки. Файл ITL автоматично створюється після встановлення кластера. Закритий ключ сервера Unified CM Trivial File Transfer Protocol (TFTP) використовується для підпису файлу ITL.

Коли кластер або сервер Cisco Unified CM перебуває в незахищеному режимі, файл ITL завантажується на кожен підтримуваний IP-телефон Cisco. Партнер може переглядати вміст файлу ITL за допомогою команди CLI, admin:show itl.

IP-телефонам Cisco необхідний файл ITL для виконання таких завдань:

• Безпечний зв’язок із CAPF, що є обов’язковою умовою підтримки шифрування файлів конфігурації

• Автентифікація підпису файлу конфігурації

• Автентифікувати сервери застосунків, як-от служби EM, каталоги та MIDlet під час встановлення HTTPS за допомогою TVS

Автентифікація пристрою, файлу й сигналізації залежить від створення файлу списку довірених сертифікатів (CTL), який створюється, коли партнер або клієнт встановлює та налаштовує клієнт списку довірених сертифікатів Cisco.

Файл CTL містить записи для таких серверів або маркерів безпеки:

• Маркер безпеки системного адміністратора (SAST)

• Служби Cisco CallManager і Cisco TFTP, які запущені на одному сервері

• Функція проксі центру сертифікації (CAPF)

• сервер(-и) TFTP

• брандмауер ASA

Файл CTL містить сертифікат сервера, відкритий ключ, серійний номер, підпис, ім’я емітента, ім’я теми, функцію сервера, ім’я DNS та IP-адресу для кожного сервера.

Безпека телефону за допомогою CTL надає такі функції:

• Автентифікація завантажених файлів TFTP (конфігурація, мовні стандарти, список викликів тощо) за допомогою ключа підпису

• Шифрування файлів конфігурації TFTP за допомогою ключа підпису

• Зашифрована сигналізація викликів для IP-телефонів

• Зашифроване аудіо виклику (медіа) для IP-телефонів

Виділений екземпляр забезпечує реєстрацію кінцевої точки та обробку викликів. Передача сигналів між Cisco Unified CM і кінцевими точками базується на протоколі Secure Skinny Client Control Protocol (SCCP) або Session Initiation Protocol (SIP) і може бути зашифрована за допомогою безпеки транспортного рівня (TLS). Медіафайли від або до кінцевих пристроїв базуються на протоколі реального часу (RTP) і можуть бути зашифровані за допомогою безпечного RTP (SRTP).

Увімкнення змішаного режиму на Unified CM увімкне шифрування сигналізації та медіатрафіку від та до кінцевих пристроїв Cisco.

Захищені програми UC

Змішаний режим увімкнено за замовчуванням у виділеному екземплярі.

Увімкнення змішаного режиму у виділеному екземплярі дає змогу виконувати шифрування сигнального та медіатрафіку від і до кінцевих пристроїв Cisco.

У випуску Cisco Unified CM 12.5(1) для клієнтів Jabber і Webex було додано новий параметр для ввімкнення шифрування сигналізації та медіа на основі SIP OAuth замість змішаного режиму / CTL. Тому у випуску Unified CM 12.5(1) SIP OAuth і SRTP можна використовувати для ввімкнення шифрування для сигналізації та медіа для клієнтів Jabber або Webex. Зараз увімкнення змішаного режиму є обов’язковим для IP-телефонів Cisco та інших кінцевих пристроїв Cisco. У майбутньому випуску планується додати підтримку SIP OAuth на кінцеві пристрої 7800/8800.

Cisco Unity Connection підключається до Unified CM через порт TLS. Якщо режим безпеки пристрою не є безпечним, Cisco Unity Connection підключається до Unified CM через порт SCCP.

Щоб налаштувати безпеку для портів обміну голосовими повідомленнями Unified CM і пристроїв Cisco Unity, які використовують SCCP, або пристроїв Cisco Unity Connection, які використовують SCCP, партнер може вибрати для порту режим безпеки безпечного пристрою. Якщо вибрати автентифікований порт голосової пошти, відкриється з’єднання TLS, яке автентифікує пристрої за допомогою взаємного обміну сертифікатами (кожен пристрій приймає сертифікат іншого пристрою). Якщо вибрати зашифрований порт голосової пошти, система спочатку автентифікує пристрої, а потім надсилатиме зашифровані голосові потоки між пристроями.

Додаткову інформацію про порти обміну голосовими повідомленнями безпеки див. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_01_010

Захист зв’язку між Cisco Unified CM і CUBE

Для безпечного зв’язку між Cisco Unified CM і CUBE партнери/клієнти повинні використовувати або самопідписані сертифікати, або сертифікати, підписані CA.

Для самопідписаних сертифікатів:

1. CUBE і Cisco Unified CM створюють самопідписані сертифікати

2. CUBE експортує сертифікат до Cisco Unified CM

3. Cisco Unified CM експортує сертифікат до CUBE

Для підписаних CA сертифікатів:

1. Клієнт створює пару ключів і надсилає запит на підпис сертифіката (CSR) до центру сертифікації (CA).

2. CA підписує його своїм закритим ключем, створюючи сертифікат посвідчення

3. Клієнт встановлює список довірених кореневих сертифікатів CA та посередників, а також сертифікат посвідчення

Зведення протоколу

У таблиці нижче показано протоколи та пов’язані служби, що використовуються в рішенні Unified CM.

Додаткову інформацію про конфігурацію MRA див. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Захист Jabber і Webex за допомогою SIP OAuth

Клієнти Jabber і Webex автентифікуються за допомогою токена OAuth замість локально значимого сертифіката (LSC), який не вимагає ввімкнення функції проксі-сертифікатора (CAPF) (також для MRA). SIP OAuth, що працює зі змішаним режимом або без нього, було представлено в Cisco Unified CM 12.5(1), Jabber 12.5 і Expressway X12.5.

У Cisco Unified CM 12.5 ми маємо новий параметр у профілі безпеки телефону, який вмикає шифрування без LSC/CAPF, використовуючи єдиний транспортний рівень безпеки (TLS) + маркер OAuth в SIP REGISTER. Вузли Expressway-C використовують API вебслужби адміністративного XML (AXL) для інформування Cisco Unified CM про SN/SAN у своїх сертифікатах. Cisco Unified CM використовує цю інформацію для перевірки сертифіката Exp-C під час встановлення взаємного підключення TLS.

SIP OAuth вмикає медіа та шифрування сигналів без сертифіката кінцевого пристрою (LSC).

Cisco Jabber використовує короткочасні порти та захищені порти 6971 і 6972 через підключення HTTPS до сервера TFTP для завантаження файлів конфігурації. Порт 6970 є незахищеним портом для завантаження через HTTP.

Докладніше про конфігурацію SIP OAuth: Режим SIP OAuth .