Zabezpečení spojení mezi Cisco Unity
Připojení, Cisco Unified Communications
Manažer a IP telefony
• Zabezpečení připojení mezi Cisco Unity Connection, Cisco Unified Communications Manager a IP telefony, na straně 1
Zabezpečení spojení mezi Cisco Unity Connection, Cisco Unified Communications Manager a IP telefony
Zavedení
V této kapitole naleznete popisy potenciálních bezpečnostních problémů souvisejících s připojením mezi Cisco Unity Connection, Cisco Unified Communications Manager a IP telefony; informace o všech akcích, které musíte provést; doporučení, která vám pomohou při rozhodování; diskuse o důsledcích rozhodnutí, která učiníte; a osvědčených postupů.
Bezpečnostní problémy pro připojení mezi Unity Connection, Cisco Unified Správce komunikace a IP telefony
Potenciálním bodem zranitelnosti systému Cisco Unity Connection je spojení mezi porty hlasových zpráv Unity Connection (pro integraci SCCP) nebo skupinami portů (pro integraci SIP), Cisco Unified Communications Manager a IP telefony.
Mezi možné hrozby patří:
- Útoky typu Man-in-the-middle (když je sledován a upravován tok informací mezi Cisco Unified CM a Unity Connection)
- Sledování síťového provozu (když se software používá k zachycení telefonních hovorů a signalizačních informací, které proudí mezi Cisco Unified CM, Unity Connection a IP telefony spravovanými pomocí Cisco Unified CM)
- Úprava signalizace hovoru mezi Unity Connection a Cisco Unified CM
- Úprava streamu médií mezi Unity Connection a koncovým bodem (napřample, IP telefon nebo brána)
- Krádež identity Unity Connection (když se zařízení, které není Unity Connection, prezentuje Cisco Unified CM jako server Unity Connection)
- Krádež identity serveru Cisco Unified CM (když se server jiného typu než Cisco Unified CM prezentuje Unity Connection jako server Cisco Unified CM)
CiscoUnifiedCommunicationsManager Funkce zabezpečení pro připojení Unity Porty hlasových zpráv
Cisco Unified CM dokáže zabezpečit připojení pomocí Unity Connection proti hrozbám uvedeným v Bezpečnostních problémech pro připojení mezi Unity Connection, Cisco Unified Communications Manager a IP telefony.
Bezpečnostní funkce Cisco Unified CM, které Unity Connection mohou využíttagNěkteré z nich jsou popsány v tabulce 1: Bezpečnostní funkce Cisco Unified CM používané službou Cisco Unity Connection.
Tabulka 1: Funkce zabezpečení Cisco Unified CM používané službou Cisco Unity Connection
| Funkce zabezpečení | Popis |
| Signalizační ověření | Proces, který používá protokol TLS (Transport Layer Security) k ověření, že ne tampběhem přenosu došlo k signalizaci paketů. Signalizační ověřování závisí na vytvoření Cisco Certificate Trust List (CTL) file. Tato funkce chrání před: • Útoky typu Man-in-the-middle, které mění tok informací mezi Cisco Unified CM a Unity Connection. • Úprava signalizace volání. • Krádež identity serveru Unity Connection. • Krádež identity serveru Cisco Unified CM. |
| Ověření zařízení | Proces, který ověřuje identitu zařízení a zajišťuje, že entita je taková, za kterou se vydává. K tomuto procesu dochází mezi Cisco Unified CM a porty pro hlasové zprávy Unity Connection (pro integraci SCCP) nebo skupinami portů Unity Connection (pro integraci SIP), když každé zařízení přijme certifikát druhého zařízení. Po přijetí certifikátů se vytvoří zabezpečené spojení mezi zařízeními. Ověřování zařízení závisí na vytvoření Cisco Certificate Trust List (CTL) file. Tato funkce chrání před: • Útoky typu Man-in-the-middle, které mění tok informací mezi Cisco Unified CM a Unity Connection. • Úprava toku médií. • Krádež identity serveru Unity Connection. • Krádež identity serveru Cisco Unified CM. |
| Šifrování signalizace | Proces, který využívá kryptografické metody k ochraně (prostřednictvím šifrování) důvěrnosti všech signalizačních zpráv SCCP nebo SIP, které jsou odesílány mezi Unity Connection a Cisco Unified CM. Šifrování signalizace zajišťuje, že informace, které se týkají účastníků, číslice DTMF, které účastníci zadávají, stav hovoru, šifrovací klíče médií atd., jsou chráněny před neúmyslným nebo neoprávněným přístupem. Tato funkce chrání před: • Útoky typu Man-in-the-middle, které sledují tok informací mezi Cisco Unified CM a Unity Connection. • Snímání síťového provozu, které sleduje tok signalizačních informací mezi Cisco Unified CM a Unity Connection. |
| Šifrování médií | Proces, při kterém dochází k důvěrnosti médií pomocí šifrovacích postupů. Tento proces využívá protokol SRTP (Secure Real Time Protocol), jak je definován v IETF RFC 3711, a zajišťuje, že pouze zamýšlený příjemce může interpretovat mediální toky mezi Unity Connection a koncovým bodem (např.ample, telefon nebo brána). Podpora zahrnuje pouze audio streamy. Šifrování médií zahrnuje vytvoření páru klíčů Media Player pro zařízení, doručení klíčů do Unity Connection a koncového bodu a zabezpečení doručení klíčů během přepravy klíčů. Unity Connection a koncový bod používají klíče k šifrování a dešifrování streamu médií. Tato funkce chrání před: • Útoky typu Man-in-the-middle, které naslouchají mediálnímu toku mezi Cisco Unified CM a Unity Connection. • Sledování síťového provozu, které odposlouchává telefonní konverzace probíhající mezi Cisco Unified CM, Unity Connection a IP telefony, které spravuje Cisco Unified CM. |
Autentizace a šifrování signalizace slouží jako minimální požadavky pro šifrování médií; to znamená, že pokud zařízení nepodporují šifrování a ověřování signalizace, nemůže dojít k šifrování médií.
Zabezpečení Cisco Unified CM (ověření a šifrování) chrání pouze volání do Unity Connection. Zprávy zaznamenané v úložišti zpráv nejsou chráněny funkcemi ověřování a šifrování Cisco Unified CM, ale mohou být chráněny funkcí zabezpečení soukromých zpráv Unity Connection. Podrobnosti o funkci zabezpečeného zasílání zpráv Unity Connection najdete v části Zpracování zpráv označených jako soukromé a zabezpečené.
Samošifrovací disk
Cisco Unity Connection také podporuje samošifrovací jednotky (SED). Toto se také nazývá Full Disk Encryption (FDE). FDE je kryptografická metoda, která se používá k šifrování všech dat, která jsou k dispozici na pevném disku.
Údaje zahrnují files, operační systém a softwarové programy. Hardware dostupný na disku šifruje všechna příchozí data a dešifruje všechna odchozí data. Když je disk uzamčen, je vytvořen a interně uložen šifrovací klíč. Všechna data uložená na tomto disku jsou zašifrována pomocí tohoto klíče a uložena v zašifrované podobě. FDE obsahuje ID klíče a bezpečnostní klíč.
Více informací viz https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Nastavení režimu zabezpečení pro Cisco Unified Communications Manager a Unity Spojení
Cisco Unified Communications Manager a Cisco Unity Connection mají možnosti režimu zabezpečení uvedené v tabulce 2: Možnosti režimu zabezpečení pro porty hlasových zpráv (pro integrace SCCP) nebo skupiny portů (pro integrace SIP).
Pozor
Nastavení režimu zabezpečení clusteru pro porty hlasových zpráv Unity Connection (pro integrace SCCP) nebo skupiny portů (pro integrace SIP) musí odpovídat nastavení režimu zabezpečení pro porty Cisco Unified CM.
Jinak se ověření a šifrování Cisco Unified CM nezdaří.
Tabulka 2: Možnosti režimu zabezpečení
| Nastavení | Účinek |
| Nezabezpečené | Integrita a soukromí zpráv signalizace volání nejsou zajištěny, protože zprávy signalizace volání jsou odesílány jako čistý (nešifrovaný) text připojený k Cisco Unified CM prostřednictvím neověřeného portu, nikoli prostřednictvím ověřeného portu TLS. Stream médií navíc nelze šifrovat. |
| Ověřeno | Integrita zpráv signalizace volání je zajištěna, protože jsou připojeny k Cisco Unified CM prostřednictvím ověřeného portu TLS. Nicméně, soukromí signalizačních zpráv není zajištěno, protože jsou odesílány jako čistý (nešifrovaný) text. Stream médií navíc není šifrovaný. |
| Zašifrováno | Integrita a soukromí zpráv signalizace volání jsou zajištěny, protože jsou připojeny k Cisco Unified CM prostřednictvím ověřeného portu TLS a zprávy signalizace volání jsou šifrovány. Navíc lze stream médií šifrovat. Oba koncové body musí být zaregistrovány v šifrovaném režimu aby byl mediální stream zašifrován. Pokud je však jeden koncový bod nastaven na nezabezpečený nebo ověřený režim a druhý koncový bod je nastaven na šifrovaný režim, mediální tok není zašifrován. Také pokud zasahující zařízení (jako je transkodér nebo brána) není povoleno pro šifrování, mediální proud není zašifrován. |
Nejlepší postupy pro zabezpečení připojení mezi Unity Connection, Cisco Unified Communications Manager a IP telefony
Chcete-li povolit ověřování a šifrování pro porty hlasových zpráv na Cisco Unity Connection a Cisco Unified Communications Manager, podívejte se na Cisco Unified Communications Manager Integration Guide for Unity Connection Release 12.x, k dispozici na adrese
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Zabezpečení spojení mezi Cisco Unity Connection, Cisco Unified Communications Manager a IP telefony
Dokumenty / zdroje
 |
CISCO Unity Connection Unified Communications Manager [pdfUživatelská příručka Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager |