cisco logo

Osiguravanje veze između Cisco Unity
Povezivanje, Cisco Unified Communications
Menadžer i IP telefoni

CISCO Unity Connection Unified Communications Manager

• Osiguravanje veze između Cisco Unity Connection, Cisco Unified Communications Managera i IP telefona, na stranici 1
Osiguravanje veze između Cisco Unity Connection, Cisco Unified Communications Managera i IP telefona

Sadržaj sakriti
1 Uvod
2 Samošifrirajući disk
3 Dokumenti / Resursi
3.1 Reference

Uvod

U ovom poglavlju ćete pronaći opise potencijalnih sigurnosnih problema u vezi sa vezama između Cisco Unity Connection-a, Cisco Unified Communications Manager-a i IP telefona; informacije o svim radnjama koje trebate poduzeti; preporuke koje vam pomažu u donošenju odluka; rasprava o posledicama odluka koje donosite; i najbolje prakse.

Sigurnosni problemi za veze između Unity Connection, Cisco Unified Communications Manager i IP telefoni
Potencijalna tačka ranjivosti za sistem Cisco Unity Connection je veza između portova za glasovne poruke Unity Connection (za SCCP integraciju) ili grupa portova (za SIP integraciju), Cisco Unified Communications Managera i IP telefona.

Moguće prijetnje uključuju:

  • Napadi čovjeka u sredini (kada se promatra i mijenja protok informacija između Cisco Unified CM-a i Unity Connection-a)
  • Njuškanje mrežnog saobraćaja (kada se softver koristi za snimanje telefonskih razgovora i informacija o signalizaciji koje teku između Cisco Unified CM, Unity Connection i IP telefona kojima upravlja Cisco Unified CM)
  • Modifikacija signalizacije poziva između Unity Connection-a i Cisco Unified CM-a
  • Modifikacija toka medija između Unity Connection-a i krajnje točke (nprample, IP telefon ili gateway)
  • Krađa identiteta Unity Connection (kada se uređaj koji nije Unity Connection predstavlja Cisco Unified CM-u kao Unity Connection server)
  • Krađa identiteta Cisco Unified CM servera (kada se server koji nije Cisco Unified CM predstavi Unity Connection-u kao Cisco Unified CM server)

CiscoUnifiedCommunicationsManagerSecurityFatures forUnity Connection Portovi za glasovne poruke
Cisco Unified CM može da zaštiti vezu sa Unity Connection-om od pretnji navedenih u odeljku Bezbednosni problemi za veze između Unity veze, Cisco Unified Communications Manager-a i IP telefona.
Cisco Unified CM sigurnosne funkcije koje Unity Connection može imati prednosttagE od njih je opisano u tabeli 1: Cisco Unified CM sigurnosne funkcije koje koristi Cisco Unity Connection.

Tabela 1: Cisco Unified CM sigurnosne funkcije koje koristi Cisco Unity Connection

Sigurnosna značajka Opis
Signalizacija autentifikacije Proces koji koristi protokol TLS (Transport Layer Security) da potvrdi da ne tampdošlo je do signalnih paketa tokom prenosa.
Signalizacija autentifikacije se oslanja na kreiranje Cisco Certificate Trust List (CTL) file.
Ova funkcija štiti od:
• Napadi čoveka u sredini koji modifikuju protok informacija između Cisco Unified CM-a i Unity Connection-a.
• Modifikacija signalizacije poziva.
• Krađa identiteta servera Unity Connection.
• Krađa identiteta Cisco Unified CM servera.
Provjera autentičnosti uređaja Proces koji potvrđuje identitet uređaja i osigurava da je entitet ono što tvrdi da jeste. Ovaj proces se dešava između Cisco Unified CM i portova za glasovne poruke Unity Connection (za SCCP integraciju) ili grupa portova Unity Connection (za SIP integraciju) kada svaki uređaj prihvati sertifikat drugog uređaja. Kada se sertifikati prihvate, uspostavlja se bezbedna veza između uređaja. Provjera autentičnosti uređaja oslanja se na kreiranje Cisco Certificate Trust List (CTL) file.
Ova funkcija štiti od:
• Napadi čoveka u sredini koji modifikuju protok informacija između Cisco Unified CM-a i Unity Connection-a.
• Modifikacija medijskog toka.
• Krađa identiteta servera Unity Connection.
• Krađa identiteta Cisco Unified CM servera.
Šifriranje signalizacije Proces koji koristi kriptografske metode za zaštitu (putem enkripcije) povjerljivosti svih SCCP ili SIP signalnih poruka koje se šalju između Unity Connection-a i Cisco Unified CM-a. Šifriranje signala osigurava da su informacije koje se odnose na strane, DTMF cifre koje su strane unijele, status poziva, ključevi za šifriranje medija i tako dalje zaštićeni od nenamjernog ili neovlaštenog pristupa.
Ova funkcija štiti od:
• Napadi čoveka u sredini koji posmatraju tok informacija između Cisco Unified CM-a i Unity Connection-a.
• Sniffing mrežnog saobraćaja koji posmatra protok informacija signalizacije između Cisco Unified CM i Unity Connection.
Šifriranje medija Proces u kojem se povjerljivost medija ostvaruje korištenjem kriptografskih procedura.
Ovaj proces koristi Secure Real Time Protocol (SRTP) kako je definirano u IETF RFC 3711, i osigurava da samo željeni primalac može interpretirati medijske tokove između Unity Connection i krajnje tačke (npr.ample, telefon ili gateway). Podrška uključuje samo audio tokove. Šifriranje medija uključuje kreiranje para ključeva Media Playera za uređaje, isporuku ključeva Unity Connection-u i krajnjoj tački i osiguravanje isporuke ključeva dok su ključevi u transportu. Unity Connection i krajnja točka koriste ključeve za šifriranje i dešifriranje medijskog toka.
Ova funkcija štiti od:
• Čovjek u sredini napadi koji slušaju medijski tok između Cisco Unified CM i Unity Connection.
• Njuškanje mrežnog saobraćaja koje prisluškuje telefonske razgovore koji teku između Cisco Unified CM, Unity Connection i IP telefona kojima upravlja Cisco Unified CM.

Provjera autentičnosti i šifriranje signalizacije služe kao minimalni zahtjevi za šifriranje medija; to jest, ako uređaji ne podržavaju šifriranje signalizacije i autentifikaciju, ne može doći do šifriranja medija.
Cisco Unified CM sigurnost (provjera autentičnosti i šifriranje) štiti samo pozive na Unity Connection. Poruke snimljene u skladištu poruka nisu zaštićene Cisco Unified CM funkcijama provjere autentičnosti i šifriranja, ali mogu biti zaštićene Unity Connection funkcijom privatnih bezbednih poruka. Za detalje o funkciji bezbedne razmjene poruka Unity Connection, pogledajte Rukovanje porukama označenim kao privatne i bezbedne.

Samošifrirajući disk

Cisco Unity Connection takođe podržava samošifrirajuće diskove (SED). Ovo se još naziva i Full Disk Encryption (FDE). FDE je kriptografska metoda koja se koristi za šifriranje svih podataka koji su dostupni na tvrdom disku.
Podaci uključuju files, operativni sistem i softverski programi. Hardver dostupan na disku šifrira sve dolazne podatke i dešifruje sve odlazne podatke. Kada je disk zaključan, kreira se i interno pohranjuje ključ za šifriranje. Svi podaci koji su pohranjeni na ovom disku su šifrirani pomoću tog ključa i pohranjeni u šifriranom obliku. FDE sadrži ID ključa i sigurnosni ključ.
Za više informacija pogledajte https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Postavke sigurnosnog režima za Cisco Unified Communications Manager i Unity Veza
Cisco Unified Communications Manager i Cisco Unity Connection imaju opcije sigurnosnog režima prikazane u tabeli 2: Opcije sigurnosnog režima za portove za glasovne poruke (za SCCP integracije) ili grupe portova (za SIP integracije).

Ikona upozorenja Oprez
Postavka Cluster Security Mode za portove glasovnih poruka Unity Connection (za SCCP integracije) ili grupe portova (za SIP integracije) mora odgovarati postavci sigurnosnog režima za Cisco Unified CM portove.
U suprotnom, Cisco Unified CM autentikacija i šifrovanje neće uspeti.

Tabela 2: Opcije sigurnosnog režima

Podešavanje Efekat
Nije sigurno Integritet i privatnost poruka za signalizaciju poziva nisu osigurani jer se poruke signalizacije poziva šalju kao jasan (nešifrovani) tekst povezan sa Cisco Unified CM preko porta koji nije autentifikovan, a ne preko proverenog TLS porta. Osim toga, medijski tok se ne može šifrirati.
Provjereno Integritet poruka signalizacije poziva je osiguran jer su povezane sa Cisco Unified CM preko potvrđenog TLS porta. Međutim, the
privatnost poruka signalizacije poziva nije osigurana jer se šalju kao čisti (nešifrirani) tekst. Osim toga, medijski tok nije šifriran.
Šifrirano Integritet i privatnost poruka za signalizaciju poziva su osigurani jer su povezane sa Cisco Unified CM preko potvrđenog TLS porta, a poruke za signalizaciju poziva su šifrovane. Osim toga, medijski tok može biti šifriran. Obje krajnje tačke moraju biti registrirane u šifriranom načinu
da bi medijski tok bio šifriran. Međutim, kada je jedna krajnja točka postavljena za nesiguran ili provjereni način, a druga krajnja točka za šifrirani način, medijski tok nije šifriran. Također, ako intervenirajući uređaj (kao što je transkoder ili gateway) nije omogućen za šifriranje, medijski tok nije šifriran.

Najbolje prakse za osiguranje veze između Unity veze, Cisco Unified Communications Managera i IP telefona
Ako želite da omogućite autentifikaciju i šifrovanje za portove za glasovne poruke i na Cisco Unity Connection i Cisco Unified Communications Manager, pogledajte Vodič za integraciju Cisco Unified Communications Manager SCCP za Unity Connection izdanje 12.x, dostupno na
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Osiguravanje veze između Cisco Unity Connection, Cisco Unified Communications Managera i IP telefona

Dokumenti / Resursi

CISCO Unity Connection Unified Communications Manager [pdf] Korisnički priručnik
Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager

Reference

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *