Beveilig die verbinding tussen Cisco Unity
Connection, Cisco Unified Communications
Bestuurder, en IP-fone
• Beveilig die verbinding tussen Cisco Unity Connection, Cisco Unified Communications Manager en IP-fone, op bladsy 1
Beveilig die verbinding tussen Cisco Unity Connection, Cisco Unified Communications Manager en IP-fone
Inleiding
In hierdie hoofstuk sal jy beskrywings vind van potensiële sekuriteitskwessies wat verband hou met verbindings tussen Cisco Unity Connection, Cisco Unified Communications Manager en IP-fone; inligting oor enige aksies wat u moet neem; aanbevelings wat jou help om besluite te neem; bespreking van die gevolge van die besluite wat jy neem; en beste praktyke.
Sekuriteitskwessies vir verbindings tussen Unity Connection, Cisco Unified Kommunikasiebestuurder en IP-fone
'n Potensiële punt van kwesbaarheid vir 'n Cisco Unity Connection-stelsel is die verbinding tussen Unity Connection-stemboodskappoorte (vir 'n SCCP-integrasie) of poortgroepe (vir 'n SIP-integrasie), Cisco Unified Communications Manager en die IP-fone.
Moontlike bedreigings sluit in:
- Mens-in-die-middel-aanvalle (wanneer die inligtingvloei tussen Cisco Unified CM en Unity Connection waargeneem en gewysig word)
- Netwerkverkeer snuif (wanneer sagteware gebruik word om telefoongesprekke vas te lê en inligting te sein wat vloei tussen Cisco Unified CM, Unity Connection en IP-fone wat deur Cisco Unified CM bestuur word)
- Wysiging van oproepsein tussen Unity Connection en Cisco Unified CM
- Wysiging van die mediastroom tussen Unity Connection en die eindpunt (bvample, 'n IP-foon of 'n poort)
- Identiteitsdiefstal van Unity Connection (wanneer 'n nie-Unity Connection-toestel homself aan Cisco Unified CM as 'n Unity Connection-bediener aanbied)
- Identiteitsdiefstal van die Cisco Unified CM-bediener (wanneer 'n nie-Cisco Unified CM-bediener homself as 'n Cisco Unified CM-bediener aan Unity Connection aanbied)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Stemboodskappoorte
Cisco Unified CM kan die verbinding met Unity Connection beveilig teen die bedreigings wat in die Sekuriteitskwessies vir verbindings tussen Unity Connection, Cisco Unified Communications Manager en IP-fone gelys word.
Die Cisco Unified CM-sekuriteitskenmerke wat Unity Connection kan gebruiktage van word beskryf in Tabel 1: Cisco Unified CM-sekuriteitskenmerke wat deur Cisco Unity Connection gebruik word.
Tabel 1: Cisco Unified CM-sekuriteitskenmerke wat deur Cisco Unity Connection gebruik word
| Beveiligingsfunksie | Beskrywing |
| Seinstawing | Die proses wat die Transport Layer Security (TLS) protokol gebruik om te bevestig dat geen tampering het plaasgevind om pakkies te sein tydens transmissie. Seinstawing maak staat op die skepping van die Cisco Certificate Trust List (CTL) file. Hierdie kenmerk beskerm teen: • Mens-in-die-middel-aanvalle wat die inligtingvloei tussen Cisco Unified CM en Unity Connection verander. • Wysiging van die oproepsein. • Identiteitsdiefstal van die Unity Connection-bediener. • Identiteitsdiefstal van die Cisco Unified CM-bediener. |
| Toestelstawing | Die proses wat die identiteit van die toestel bevestig en verseker dat die entiteit is wat dit beweer om te wees. Hierdie proses vind plaas tussen Cisco Unified CM en óf Unity Connection-stemboodskappoorte (vir 'n SCCP-integrasie) of Unity Connection-poortgroepe (vir 'n SIP-integrasie) wanneer elke toestel die sertifikaat van die ander toestel aanvaar. Wanneer die sertifikate aanvaar word, word 'n veilige verbinding tussen die toestelle tot stand gebring. Toestelstawing maak staat op die skepping van die Cisco Certificate Trust List (CTL) file. Hierdie kenmerk beskerm teen: • Mens-in-die-middel-aanvalle wat die inligtingvloei tussen Cisco Unified CM en Unity Connection verander. • Wysiging van die mediastroom. • Identiteitsdiefstal van die Unity Connection-bediener. • Identiteitsdiefstal van die Cisco Unified CM-bediener. |
| Sein enkripsie | Die proses wat kriptografiese metodes gebruik om die vertroulikheid van alle SCCP- of SIP-seinboodskappe wat tussen Unity Connection en Cisco Unified CM gestuur word, te beskerm (deur enkripsie). Seinkodering verseker dat die inligting wat op die partye betrekking het, DTMF-syfers wat deur die partye ingevoer word, oproepstatus, media-enkripsiesleutels, ensovoorts beskerm word teen onbedoelde of ongemagtigde toegang. Hierdie kenmerk beskerm teen: • Mens-in-die-middel-aanvalle wat die inligtingvloei tussen Cisco Unified CM en Unity Connection waarneem. • Netwerkverkeer snuif wat die seininligtingvloei tussen Cisco Unified CM en Unity Connection waarneem. |
| Media-enkripsie | Die proses waardeur die vertroulikheid van die media plaasvind deur die gebruik van kriptografiese prosedures. Hierdie proses gebruik Secure Real Time Protocol (SRTP) soos gedefinieer in IETF RFC 3711, en verseker dat slegs die beoogde ontvanger die mediastrome tussen Unity Connection en die eindpunt kan interpreteer (bv.ample, 'n foon of poort). Ondersteuning sluit slegs oudiostrome in. Media-enkripsie sluit in die skep van 'n Media Player-sleutelpaar vir die toestelle, die aflewering van die sleutels na Unity Connection en die eindpunt, en die beveiliging van die aflewering van die sleutels terwyl die sleutels vervoer word. Unity Connection en die eindpunt gebruik die sleutels om die mediastroom te enkripteer en te dekripteer. Hierdie kenmerk beskerm teen: • Mens-in-die-middel-aanvalle wat luister na die mediastroom tussen Cisco Unified CM en Unity Connection. • Netwerkverkeer snuif wat afluister na telefoongesprekke wat vloei tussen Cisco Unified CM, Unity Connection en IP-fone wat deur Cisco Unified CM bestuur word. |
Stawing en sein-enkripsie dien as die minimum vereistes vir media-enkripsie; dit wil sê, as die toestelle nie sein-enkripsie en -verifikasie ondersteun nie, kan media-enkripsie nie plaasvind nie.
Cisco Unified CM-sekuriteit (verifikasie en enkripsie) beskerm slegs oproepe na Unity Connection. Boodskappe wat op die boodskapstoor opgeneem is, word nie deur die Cisco Unified CM-verifikasie- en enkripsiekenmerke beskerm nie, maar kan deur die Unity Connection-privaat veilige boodskapfunksie beskerm word. Vir besonderhede oor die Unity Connection-veilige boodskapfunksie, sien die Hantering van boodskappe wat as privaat en veilig gemerk is.
Self-enkripteer aandrywing
Cisco Unity Connection ondersteun ook self-enkripteer-aandrywers (SED). Dit word ook volledige skyf-enkripsie (FDE) genoem. FDE is 'n kriptografiese metode wat gebruik word om al die data wat op die hardeskyf beskikbaar is, te enkripteer.
Die data sluit in files, bedryfstelsel en sagteware programme. Die hardeware wat op die skyf beskikbaar is, enkripteer al die inkomende data en dekripteer al die uitgaande data. Wanneer die skyf gesluit is, word 'n enkripsiesleutel geskep en intern gestoor. Alle data wat op hierdie aandrywer gestoor word, word geïnkripteer met daardie sleutel en in die geënkripteerde vorm gestoor. Die FDE bestaan uit 'n sleutel-ID en 'n sekuriteitsleutel.
Vir meer inligting, sien https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Sekuriteitsmodusinstellings vir Cisco Unified Communications Manager en Unity Verbinding
Cisco Unified Communications Manager en Cisco Unity Connection het die sekuriteitsmodusopsies wat in Tabel 2 getoon word: Sekuriteitsmodusopsies vir stemboodskappoorte (vir SCCP-integrasies) of poortgroepe (vir SIP-integrasies).
Versigtig
Die Groepsekuriteitmodus-instelling vir Unity Connection-stemboodskappoorte (vir SCCP-integrasies) of poortgroepe (vir SIP-integrasies) moet ooreenstem met die sekuriteitmodusinstelling vir die Cisco Unified CM-poorte.
Andersins misluk Cisco Unified CM-verifikasie en enkripsie.
Tabel 2: Sekuriteitsmodus-opsies
| Instelling | Effek |
| Nie-veilig | Die integriteit en privaatheid van oproepseinboodskappe word nie verseker nie omdat oproepseinboodskappe gestuur word as duidelike (ongenkripteerde) teks gekoppel aan Cisco Unified CM deur 'n nie-geverifieerde poort eerder as 'n geverifieerde TLS-poort. Boonop kan die mediastroom nie geïnkripteer word nie. |
| Gemagtig | Die integriteit van oproepseinboodskappe word verseker omdat dit aan Cisco Unified CM gekoppel is deur 'n geverifieerde TLS-poort. Die privaatheid van oproepseinboodskappe word nie verseker nie omdat dit as duidelike (ongenkripteerde) teks gestuur word. Boonop is die mediastroom nie geïnkripteer nie. |
| Geënkripteer | Die integriteit en privaatheid van oproepseinboodskappe word verseker omdat hulle aan Cisco Unified CM gekoppel is deur 'n geverifieerde TLS-poort, en die oproepseinboodskappe is geïnkripteer. Boonop kan die mediastroom geïnkripteer word. Albei eindpunte moet in geënkripteerde modus geregistreer word vir die mediastroom om geïnkripteer te word. Wanneer een eindpunt egter vir nie-veilige of geverifieerde modus gestel is en die ander eindpunt vir geënkripteerde modus gestel is, word die mediastroom nie geïnkripteer nie. Ook, as 'n ingrypende toestel (soos 'n transkodeerder of poort) nie vir enkripsie geaktiveer is nie, word die mediastroom nie geïnkripteer nie. |
Beste praktyke om die verbinding tussen Unity Connection, Cisco Unified Communications Manager en IP-fone te beveilig
As jy stawing en enkripsie vir die stemboodskappoorte op beide Cisco Unity Connection en Cisco Unified Communications Manager wil aktiveer, sien die Cisco Unified Communications Manager SCCP Integration Guide for Unity Connection Release 12.x, beskikbaar by
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Beveilig die verbinding tussen Cisco Unity Connection, Cisco Unified Communications Manager en IP-fone
Dokumente / Hulpbronne
 |
CISCO Unity Connection Unified Communications Manager [pdf] Gebruikersgids Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager |