Бяспека злучэння паміж Cisco Unity
Падключэнне, уніфікаваныя камунікацыі Cisco
Менеджэр і IP-тэлефоны
• Бяспека злучэння паміж Cisco Unity Connection, Cisco Unified Communications Manager і IP-тэлефонамі, на старонцы 1
Бяспека злучэння паміж Cisco Unity Connection, Cisco Unified Communications Manager і IP-тэлефонамі
Уводзіны
У гэтай главе вы знойдзеце апісанне магчымых праблем бяспекі, звязаных з падключэннем паміж Cisco Unity Connection, Cisco Unified Communications Manager і IP-тэлефонамі; інфармацыя аб любых дзеяннях, якія вам неабходна выканаць; рэкамендацыі, якія дапамагаюць прымаць рашэнні; абмеркаванне наступстваў прынятых вамі рашэнняў; і лепшыя практыкі.
Праблемы бяспекі для злучэнняў паміж Unity Connection, Cisco Unified Менеджэр па сувязі і IP-тэлефоны
Патэнцыйнай уразлівасцю для сістэмы Cisco Unity Connection з'яўляецца злучэнне паміж партамі абмену галасавымі паведамленнямі Unity Connection (для інтэграцыі SCCP) або групамі партоў (для інтэграцыі SIP), Cisco Unified Communications Manager і IP-тэлефонамі.
Магчымыя пагрозы ўключаюць:
- Атакі "чалавек пасярэдзіне" (калі назіраецца і мадыфікуецца паток інфармацыі паміж Cisco Unified CM і Unity Connection)
- Сніфінг сеткавага трафіку (калі праграмнае забеспячэнне выкарыстоўваецца для захопу тэлефонных размоў і сігнальнай інфармацыі, якая праходзіць паміж Cisco Unified CM, Unity Connection і IP-тэлефонамі, якія кіруюцца Cisco Unified CM)
- Мадыфікацыя сігналізацыі выкліку паміж Unity Connection і Cisco Unified CM
- Мадыфікацыя медыяпатоку паміж Unity Connection і канчатковай кропкай (напрыклад,ample, IP-тэлефон або шлюз)
- Крадзеж ідэнтыфікацыйных дадзеных з Unity Connection (калі прылада не-Unity Connection прадстаўляе сябе Cisco Unified CM як сервер Unity Connection)
- Крадзеж ідэнтыфікацыйных дадзеных сервера Cisco Unified CM (калі сервер не-Cisco Unified CM прадстаўляе сябе Unity Connection як сервер Cisco Unified CM)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Парты галасавых паведамленняў
Cisco Unified CM можа абараніць злучэнне з дапамогай Unity Connection ад пагроз, пералічаных у раздзеле "Праблемы бяспекі для злучэнняў паміж Unity Connection, Cisco Unified Communications Manager і IP-тэлефонамі".
Функцыі бяспекі Cisco Unified CM, якія можа выкарыстоўваць Unity Connectiontage з апісаны ў табліцы 1: Функцыі бяспекі Cisco Unified CM, якія выкарыстоўваюцца Cisco Unity Connection.
Табліца 1: Функцыі бяспекі Cisco Unified CM, якія выкарыстоўваюцца Cisco Unity Connection
| Функцыя бяспекі | Апісанне |
| Аўтэнтыфікацыя сігналаў | Працэс, які выкарыстоўвае пратакол бяспекі транспартнага ўзроўню (TLS) для праверкі таго, што не тampпадчас перадачы адбылася праблема з сігналізацыйнымі пакетамі. Аўтэнтыфікацыя сігналаў абапіраецца на стварэнне спісу даверу сертыфікатаў Cisco (CTL) file. Гэтая функцыя абараняе ад: • Атакі "чалавек пасярэдзіне", якія змяняюць паток інфармацыі паміж Cisco Unified CM і Unity Connection. • Мадыфікацыя сігналізацыі выкліку. • Крадзеж ідэнтыфікацыйных дадзеных сервера Unity Connection. • Крадзеж ідэнтыфікацыйных дадзеных сервера Cisco Unified CM. |
| Аўтэнтыфікацыя прылады | Працэс, які правярае ідэнтычнасць прылады і гарантуе, што аб'ект адпавядае таму, за што сябе выдае. Гэты працэс адбываецца паміж Cisco Unified CM і партамі абмену галасавымі паведамленнямі Unity Connection (для інтэграцыі SCCP) або групамі партоў Unity Connection (для інтэграцыі SIP), калі кожная прылада прымае сертыфікат іншай прылады. Калі сертыфікаты прыняты, паміж прыладамі ўсталёўваецца бяспечнае злучэнне. Аўтэнтыфікацыя прылады абапіраецца на стварэнне спісу даверу сертыфікатаў Cisco (CTL) file. Гэтая функцыя абараняе ад: • Атакі "чалавек пасярэдзіне", якія змяняюць паток інфармацыі паміж Cisco Unified CM і Unity Connection. • Мадыфікацыя медыяпатоку. • Крадзеж ідэнтыфікацыйных дадзеных сервера Unity Connection. • Крадзеж ідэнтыфікацыйных дадзеных сервера Cisco Unified CM. |
| Шыфраванне сігналаў | Працэс, які выкарыстоўвае крыптаграфічныя метады для абароны (праз шыфраванне) канфідэнцыяльнасці ўсіх сігнальных паведамленняў SCCP або SIP, якія перадаюцца паміж Unity Connection і Cisco Unified CM. Шыфраванне сігналаў гарантуе, што інфармацыя, якая адносіцца да бакоў, лічбы DTMF, якія ўводзяцца бакамі, статус выкліку, ключы шыфравання мультымедыя і гэтак далей, абаронены ад ненаўмыснага або несанкцыянаванага доступу. Гэтая функцыя абараняе ад: • Атакі "чалавек пасярэдзіне", якія назіраюць за патокам інфармацыі паміж Cisco Unified CM і Unity Connection. • Сніфінг сеткавага трафіку, які назірае за патокам сігнальнай інфармацыі паміж Cisco Unified CM і Unity Connection. |
| Шыфраванне медыя | Працэс, пры якім канфідэнцыяльнасць носьбітаў адбываецца праз выкарыстанне крыптаграфічных працэдур. Гэты працэс выкарыстоўвае бяспечны пратакол рэальнага часу (SRTP), як гэта вызначана ў IETF RFC 3711, і гарантуе, што толькі прызначаны атрымальнік можа інтэрпрэтаваць медыяпатокі паміж Unity Connection і канчатковай кропкай (напрыклад,ample, тэлефон або шлюз). Падтрымка ўключае толькі аўдыёпатокі. Шыфраванне мультымедыя ўключае ў сябе стварэнне пары ключоў медыяплэера для прылад, дастаўку ключоў у Unity Connection і канечную кропку, а таксама забеспячэнне дастаўкі ключоў, пакуль ключы знаходзяцца ў транспарце. Unity Connection і канчатковая кропка выкарыстоўваюць ключы для шыфравання і дэшыфравання медыяпатоку. Гэтая функцыя абараняе ад: • Атакі "чалавек пасярэдзіне", якія праслухоўваюць медыяпаток паміж Cisco Unified CM і Unity Connection. • Сніфінг сеткавага трафіку, які праслухоўвае тэлефонныя размовы паміж Cisco Unified CM, Unity Connection і IP-тэлефонамі, якія кіруюцца Cisco Unified CM. |
Аўтэнтыфікацыя і шыфраванне сігналаў служаць мінімальнымі патрабаваннямі для шыфравання медыя; гэта значыць, калі прылады не падтрымліваюць шыфраванне сігналаў і аўтэнтыфікацыю, шыфраванне мультымедыя не можа адбыцца.
Бяспека Cisco Unified CM (аўтэнтыфікацыя і шыфраванне) абараняе толькі выклікі ў Unity Connection. Паведамленні, запісаныя ў сховішчы паведамленняў, не абаронены функцыямі аўтэнтыфікацыі і шыфравання Cisco Unified CM, але могуць быць абаронены функцыяй прыватнага бяспечнага абмену паведамленнямі Unity Connection. Для атрымання падрабязнай інфармацыі аб функцыі бяспечнага абмену паведамленнямі Unity Connection глядзіце Апрацоўка паведамленняў, пазначаных як прыватныя і бяспечныя.
Драйвер з самашыфраваннем
Cisco Unity Connection таксама падтрымлівае дыскі з самашыфраваннем (SED). Гэта таксама называецца поўным дыскавым шыфраваннем (FDE). FDE - гэта крыптаграфічны метад, які выкарыстоўваецца для шыфравання ўсіх даных, даступных на цвёрдым дыску.
Дадзеныя ўключаюць files, аперацыйная сістэма і праграмнае забеспячэнне. Абсталяванне, даступнае на дыску, шыфруе ўсе ўваходныя даныя і расшыфроўвае ўсе выходныя. Калі дыск заблакаваны, ключ шыфравання ствараецца і захоўваецца ўнутры. Усе дадзеныя, якія захоўваюцца на гэтым дыску, шыфруюцца з дапамогай гэтага ключа і захоўваюцца ў зашыфраваным выглядзе. FDE складаецца з ідэнтыфікатара ключа і ключа бяспекі.
Для атрымання дадатковай інфармацыі гл https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Налады рэжыму бяспекі для Cisco Unified Communications Manager і Unity Злучэнне
Cisco Unified Communications Manager і Cisco Unity Connection маюць параметры рэжыму бяспекі, паказаныя ў табліцы 2: Параметры рэжыму бяспекі для партоў перадачы галасавых паведамленняў (для інтэграцыі SCCP) або груп партоў (для інтэграцыі SIP).
Асцярожна
Налада рэжыму бяспекі кластара для партоў абмену галасавымі паведамленнямі Unity Connection (для інтэграцыі SCCP) або груп партоў (для інтэграцыі SIP) павінна адпавядаць наладзе рэжыму бяспекі для партоў Cisco Unified CM.
У адваротным выпадку аўтэнтыфікацыя і шыфраванне Cisco Unified CM не выконваюцца.
Табліца 2: Параметры рэжыму бяспекі
| Абстаноўка | Эфект |
| Небяспечна | Цэласнасць і канфідэнцыяльнасць паведамленняў сігналізацыі выкліку не гарантуецца, таму што паведамленні сігналізацыі выкліку адпраўляюцца ў выглядзе чыстага (незашыфраванага) тэксту, падлучанага да Cisco Unified CM праз неаўтэнтыфікаваны порт, а не праз аўтэнтыфікаваны порт TLS. Акрамя таго, медыяпаток не можа быць зашыфраваны. |
| Аўтэнтыфікаваны | Цэласнасць паведамленняў сігналізацыі аб выкліку забяспечваецца, паколькі яны падлучаны да Cisco Unified CM праз аўтэнтыфікаваны порт TLS. Аднак, ст канфідэнцыяльнасць паведамленняў сігналізацыі выкліку не гарантуецца, таму што яны адпраўляюцца ў выглядзе чыстага (незашыфраванага) тэксту. Акрамя таго, медыяпаток не шыфруецца. |
| Зашыфраваны | Цэласнасць і канфідэнцыяльнасць паведамленняў сігналізацыі аб выкліку забяспечваецца дзякуючы таму, што яны падлучаны да Cisco Unified CM праз аўтэнтыфікаваны порт TLS, а паведамленні сігналізацыі выкліку зашыфраваны. Акрамя таго, медыяпаток можа быць зашыфраваны. Абедзве канчатковыя кропкі павінны быць зарэгістраваныя ў зашыфраваным рэжыме каб мультымедыйны паток быў зашыфраваны. Аднак, калі адна канчатковая кропка ўстаноўлена для неабароненага рэжыму або рэжыму з аўтэнтыфікацыяй, а другая канчатковая кропка ўстаноўлена для зашыфраванага рэжыму, медыяпаток не шыфруецца. Акрамя таго, калі прамежкавая прылада (напрыклад, транскадэр або шлюз) не ўключана для шыфравання, медыяпаток не шыфруецца. |
Лепшыя практыкі для забеспячэння бяспекі злучэння паміж Unity Connection, Cisco Unified Communications Manager і IP-тэлефонамі
Калі вы хочаце ўключыць аўтэнтыфікацыю і шыфраванне для партоў абмену галасавымі паведамленнямі як на Cisco Unity Connection, так і на Cisco Unified Communications Manager, азнаёмцеся з Кіраўніцтвам па інтэграцыі Cisco Unified Communications Manager SCCP для Unity Connection Release 12.x, даступным на
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Бяспека злучэння паміж Cisco Unity Connection, Cisco Unified Communications Manager і IP-тэлефонамі
Дакументы / Рэсурсы
 |
CISCO Unity Connection Unified Communications Manager [pdfКіраўніцтва карыстальніка Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager |