Защита на връзката между Cisco Unity
Връзка, Cisco Unified Communications
Мениджър и IP телефони
• Защита на връзката между Cisco Unity Connection, Cisco Unified Communications Manager и IP телефони, на страница 1
Защита на връзката между Cisco Unity Connection, Cisco Unified Communications Manager и IP телефони
Въведение
В тази глава ще намерите описания на потенциални проблеми със сигурността, свързани с връзки между Cisco Unity Connection, Cisco Unified Communications Manager и IP телефони; информация за всички действия, които трябва да предприемете; препоръки, които ви помагат да вземате решения; обсъждане на последиците от решенията, които вземате; и най-добри практики.
Проблеми със сигурността за връзки между Unity Connection, Cisco Unified Комуникационен мениджър и IP телефони
Потенциална точка на уязвимост за система Cisco Unity Connection е връзката между портовете за гласови съобщения на Unity Connection (за SCCP интеграция) или групи портове (за SIP интеграция), Cisco Unified Communications Manager и IP телефоните.
Възможните заплахи включват:
- Man-in-the-middle атаки (когато информационният поток между Cisco Unified CM и Unity Connection се наблюдава и модифицира)
- Проучване на мрежовия трафик (когато се използва софтуер за улавяне на телефонни разговори и информация за сигнализиране, която протича между Cisco Unified CM, Unity Connection и IP телефони, които се управляват от Cisco Unified CM)
- Модифициране на сигнализацията за повикване между Unity Connection и Cisco Unified CM
- Модификация на медийния поток между Unity Connection и крайната точка (напрample, IP телефон или шлюз)
- Кражба на самоличност на Unity Connection (когато устройство, различно от Unity Connection, се представя на Cisco Unified CM като сървър на Unity Connection)
- Кражба на самоличност на Cisco Unified CM сървър (когато различен от Cisco Unified CM сървър се представя на Unity Connection като Cisco Unified CM сървър)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Портове за гласови съобщения
Cisco Unified CM може да защити връзката с Unity Connection срещу заплахите, изброени в Проблеми със сигурността за връзки между Unity Connection, Cisco Unified Communications Manager и IP телефони.
Функциите за сигурност на Cisco Unified CM, които Unity Connection може да развиеtage от са описани в Таблица 1: Функции за сигурност на Cisco Unified CM, използвани от Cisco Unity Connection.
Таблица 1: Функции за сигурност на Cisco Unified CM, използвани от Cisco Unity Connection
| Функция за сигурност | Описание |
| Удостоверяване на сигнализацията | Процесът, който използва протокола за сигурност на транспортния слой (TLS), за да потвърди, че не tampе възникнала грешка в сигналните пакети по време на предаване. Удостоверяването на сигнализацията разчита на създаването на Cisco Certificate Trust List (CTL) file. Тази функция предпазва от: • Man-in-the-middle атаки, които променят информационния поток между Cisco Unified CM и Unity Connection. • Модификация на повикващата сигнализация. • Кражба на самоличност на сървъра Unity Connection. • Кражба на самоличност на Cisco Unified CM сървър. |
| Удостоверяване на устройството | Процесът, който потвърждава самоличността на устройството и гарантира, че обектът е това, за което се представя. Този процес се случва между Cisco Unified CM и портовете за гласови съобщения на Unity Connection (за SCCP интеграция) или групите портове на Unity Connection (за SIP интеграция), когато всяко устройство приеме сертификата на другото устройство. Когато сертификатите бъдат приети, се установява защитена връзка между устройствата. Удостоверяването на устройството разчита на създаването на Cisco Certificate Trust List (CTL) file. Тази функция предпазва от: • Man-in-the-middle атаки, които променят информационния поток между Cisco Unified CM и Unity Connection. • Модификация на медийния поток. • Кражба на самоличност на сървъра Unity Connection. • Кражба на самоличност на Cisco Unified CM сървър. |
| Криптиране на сигнали | Процесът, който използва криптографски методи за защита (чрез криптиране) на поверителността на всички SCCP или SIP сигнални съобщения, които се изпращат между Unity Connection и Cisco Unified CM. Шифроването на сигнализацията гарантира, че информацията, която се отнася до страните, DTMF цифрите, въведени от страните, състоянието на повикването, ключовете за криптиране на медия и т.н., са защитени срещу нежелан или неоторизиран достъп. Тази функция предпазва от: • Man-in-the-middle атаки, които наблюдават информационния поток между Cisco Unified CM и Unity Connection. • Проучване на мрежовия трафик, което наблюдава потока на информация за сигнализиране между Cisco Unified CM и Unity Connection. |
| Медийно криптиране | Процесът, при който поверителността на медиите се осъществява чрез използването на криптографски процедури. Този процес използва защитен протокол в реално време (SRTP), както е дефиниран в IETF RFC 3711, и гарантира, че само предвиденият получател може да интерпретира медийните потоци между Unity Connection и крайната точка (напр.ample, телефон или шлюз). Поддръжката включва само аудио потоци. Медийното криптиране включва създаване на двойка ключове на Media Player за устройствата, доставяне на ключовете до Unity Connection и крайната точка и осигуряване на доставката на ключовете, докато ключовете са в транспорт. Unity Connection и крайната точка използват ключовете за криптиране и декриптиране на медийния поток. Тази функция предпазва от: • Man-in-the-middle атаки, които слушат медийния поток между Cisco Unified CM и Unity Connection. • Подслушване на мрежовия трафик, което подслушва телефонни разговори, протичащи между Cisco Unified CM, Unity Connection и IP телефони, които се управляват от Cisco Unified CM. |
Криптирането за удостоверяване и сигнализиране служи като минимални изисквания за криптиране на медиите; тоест, ако устройствата не поддържат криптиране на сигнали и удостоверяване, криптирането на медиите не може да се случи.
Защитата на Cisco Unified CM (удостоверяване и криптиране) защитава само повикванията към Unity Connection. Съобщенията, записани в хранилището за съобщения, не са защитени от функциите за удостоверяване и шифроване на Cisco Unified CM, но могат да бъдат защитени от функцията за лични защитени съобщения на Unity Connection. За подробности относно функцията за защитени съобщения на Unity Connection вижте Обработка на съобщения, маркирани като лични и защитени.
Самокриптиращо устройство
Cisco Unity Connection също поддържа самокриптиращи се устройства (SED). Това се нарича още пълно дисково шифроване (FDE). FDE е криптографски метод, който се използва за криптиране на всички данни, налични на твърдия диск.
Данните включват files, операционна система и софтуерни програми. Хардуерът, наличен на диска, криптира всички входящи данни и дешифрира всички изходящи данни. Когато устройството е заключено, ключът за шифроване се създава и съхранява вътрешно. Всички данни, които се съхраняват на това устройство, са шифровани с този ключ и се съхраняват в шифрована форма. FDE се състои от ID на ключ и ключ за сигурност.
За повече информация вижте https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Настройки на режима на защита за Cisco Unified Communications Manager и Unity Връзка
Cisco Unified Communications Manager и Cisco Unity Connection имат опциите за режим на защита, показани в Таблица 2: Опции за режим на защита за портове за гласови съобщения (за SCCP интеграции) или групи портове (за SIP интеграции).
Внимание
Настройката на режима на защита на клъстера за портове за гласови съобщения на Unity Connection (за SCCP интеграции) или групи портове (за SIP интеграции) трябва да съвпада с настройката за режим на защита за Cisco Unified CM портове.
В противен случай Cisco Unified CM удостоверяването и криптирането са неуспешни.
Таблица 2: Опции за режим на защита
| Настройка | Ефект |
| Несигурно | Целостта и поверителността на съобщенията за сигнализиране за повикване не са гарантирани, тъй като съобщенията за сигнализиране за повикване се изпращат като ясен (некриптиран) текст, свързан към Cisco Unified CM през неудостоверен порт, а не удостоверен TLS порт. Освен това медийният поток не може да бъде криптиран. |
| Идентифициран | Целостта на съобщенията за сигнализиране на повикване е гарантирана, защото те са свързани към Cisco Unified CM чрез удостоверен TLS порт. както и да е поверителността на съобщенията за сигнализиране на повикване не е гарантирана, тъй като те се изпращат като ясен (некриптиран) текст. Освен това медийният поток не е криптиран. |
| Криптиран | Целостта и поверителността на съобщенията за сигнализиране на повикване са гарантирани, защото те са свързани към Cisco Unified CM чрез удостоверен TLS порт и съобщенията за сигнализиране на повикване са криптирани. В допълнение, медийният поток може да бъде криптиран. И двете крайни точки трябва да бъдат регистрирани в криптиран режим медийният поток да бъде криптиран. Въпреки това, когато една крайна точка е зададена за незащитен или удостоверен режим, а другата крайна точка е зададена за шифрован режим, медийният поток не е шифрован. Освен това, ако междинно устройство (като транскодер или шлюз) не е активирано за шифроване, медийният поток не е шифрован. |
Най-добри практики за защита на връзката между Unity Connection, Cisco Unified Communications Manager и IP телефони
Ако искате да активирате удостоверяване и криптиране за портовете за гласови съобщения както на Cisco Unity Connection, така и на Cisco Unified Communications Manager, вижте Ръководството за интегриране на Cisco Unified Communications Manager SCCP за Unity Connection Release 12.x, достъпно на
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Защита на връзката между Cisco Unity Connection, Cisco Unified Communications Manager и IP телефони
Документи / Ресурси
 | CISCO Unity Connection Unified Communications Manager [pdf] Ръководство за потребителя Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager |