Sikring af forbindelsen mellem Cisco Unity
Connection, Cisco Unified Communications
Manager og IP-telefoner
• Sikring af forbindelsen mellem Cisco Unity Connection, Cisco Unified Communications Manager og IP-telefoner, på side 1
Sikring af forbindelsen mellem Cisco Unity Connection, Cisco Unified Communications Manager og IP-telefoner
Indledning
I dette kapitel vil du finde beskrivelser af potentielle sikkerhedsproblemer relateret til forbindelser mellem Cisco Unity Connection, Cisco Unified Communications Manager og IP-telefoner; oplysninger om eventuelle handlinger, du skal tage; anbefalinger, der hjælper dig med at træffe beslutninger; diskussion af konsekvenserne af de beslutninger, du træffer; og bedste praksis.
Sikkerhedsproblemer for forbindelser mellem Unity Connection, Cisco Unified Kommunikationschef og IP-telefoner
Et potentielt sårbart punkt for et Cisco Unity Connection-system er forbindelsen mellem Unity Connection-talemeddelelsesporte (til en SCCP-integration) eller portgrupper (for en SIP-integration), Cisco Unified Communications Manager og IP-telefonerne.
Mulige trusler omfatter:
- Man-in-the-middle-angreb (når informationsstrømmen mellem Cisco Unified CM og Unity Connection observeres og ændres)
- Netværkstrafik-sniffing (når software bruges til at fange telefonsamtaler og signaleringsoplysninger, der flyder mellem Cisco Unified CM, Unity Connection og IP-telefoner, der administreres af Cisco Unified CM)
- Ændring af opkaldssignalering mellem Unity Connection og Cisco Unified CM
- Ændring af mediestrømmen mellem Unity Connection og slutpunktet (f.eksample, en IP-telefon eller en gateway)
- Identitetstyveri af Unity Connection (når en ikke-Unity Connection-enhed præsenterer sig for Cisco Unified CM som en Unity Connection-server)
- Identitetstyveri af Cisco Unified CM-serveren (når en ikke-Cisco Unified CM-server præsenterer sig for Unity Connection som en Cisco Unified CM-server)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Voice Messaging-porte
Cisco Unified CM kan sikre forbindelsen med Unity Connection mod de trusler, der er angivet i Sikkerhedsproblemer for forbindelser mellem Unity Connection, Cisco Unified Communications Manager og IP-telefoner.
Cisco Unified CM-sikkerhedsfunktionerne, som Unity Connection kan udnyttetage af er beskrevet i Tabel 1: Cisco Unified CM-sikkerhedsfunktioner, der bruges af Cisco Unity Connection.
Tabel 1: Cisco Unified CM-sikkerhedsfunktioner, der bruges af Cisco Unity Connection
| Sikkerhedsfunktion | Beskrivelse |
| Signalering af godkendelse | Processen, der bruger TLS-protokollen (Transport Layer Security) til at validere, at ingen tamper opstået til at signalere pakker under transmission. Signaleringsgodkendelse afhænger af oprettelsen af Cisco Certificate Trust List (CTL) file. Denne funktion beskytter mod: • Man-in-the-middle-angreb, der ændrer informationsstrømmen mellem Cisco Unified CM og Unity Connection. • Ændring af opkaldssignaleringen. • Identitetstyveri af Unity Connection-serveren. • Identitetstyveri af Cisco Unified CM-serveren. |
| Enhedsgodkendelse | Processen, der validerer enhedens identitet og sikrer, at enheden er, hvad den hævder at være. Denne proces finder sted mellem Cisco Unified CM og enten Unity Connection stemmemeddelelsesporte (til en SCCP-integration) eller Unity Connection-portgrupper (for en SIP-integration), når hver enhed accepterer certifikatet for den anden enhed. Når certifikaterne er accepteret, etableres en sikker forbindelse mellem enhederne. Enhedsgodkendelse afhænger af oprettelsen af Cisco Certificate Trust List (CTL) file. Denne funktion beskytter mod: • Man-in-the-middle-angreb, der ændrer informationsstrømmen mellem Cisco Unified CM og Unity Connection. • Ændring af mediestrømmen. • Identitetstyveri af Unity Connection-serveren. • Identitetstyveri af Cisco Unified CM-serveren. |
| Signalkryptering | Processen, der bruger kryptografiske metoder til at beskytte (gennem kryptering) fortroligheden af alle SCCP- eller SIP-signaleringsmeddelelser, der sendes mellem Unity Connection og Cisco Unified CM. Signalkryptering sikrer, at de oplysninger, der vedrører parterne, DTMF-cifre, der indtastes af parterne, opkaldsstatus, mediekrypteringsnøgler og så videre, er beskyttet mod utilsigtet eller uautoriseret adgang. Denne funktion beskytter mod: • Man-in-the-middle-angreb, der observerer informationsstrømmen mellem Cisco Unified CM og Unity Connection. • Netværkstrafik-sniffing, der observerer signaleringsinformationsstrømmen mellem Cisco Unified CM og Unity Connection. |
| Mediekryptering | Processen, hvorved mediernes fortrolighed sker ved brug af kryptografiske procedurer. Denne proces bruger Secure Real Time Protocol (SRTP) som defineret i IETF RFC 3711 og sikrer, at kun den påtænkte modtager kan fortolke mediestrømmene mellem Unity Connection og slutpunktet (f.eks.ample, en telefon eller gateway). Support inkluderer kun lydstreams. Mediekryptering omfatter oprettelse af et Media Player-nøglepar til enhederne, levering af nøglerne til Unity Connection og slutpunktet og sikring af leveringen af nøglerne, mens nøglerne er under transport. Unity Connection og slutpunktet bruger nøglerne til at kryptere og dekryptere mediestrømmen. Denne funktion beskytter mod: • Man-in-the-middle-angreb, der lytter til mediestrømmen mellem Cisco Unified CM og Unity Connection. • Netværkstrafik-sniffing, der aflytter telefonsamtaler, der flyder mellem Cisco Unified CM, Unity Connection og IP-telefoner, der administreres af Cisco Unified CM. |
Autentificering og signalkryptering tjener som minimumskrav til mediekryptering; det vil sige, at hvis enhederne ikke understøtter signalkryptering og -godkendelse, kan mediekryptering ikke forekomme.
Cisco Unified CM-sikkerhed (godkendelse og kryptering) beskytter kun opkald til Unity Connection. Beskeder, der er optaget i beskedlageret, er ikke beskyttet af Cisco Unified CM-godkendelses- og krypteringsfunktionerne, men kan beskyttes af Unity Connections private sikker beskedfunktion. For detaljer om Unity Connections sikre beskedfunktion, se Håndtering af meddelelser markeret som private og sikre.
Selvkrypterende drev
Cisco Unity Connection understøtter også selvkrypterende drev (SED). Dette kaldes også Full Disk Encryption (FDE). FDE er en kryptografisk metode, der bruges til at kryptere alle de data, der er tilgængelige på harddisken.
Dataene omfatter files, operativsystem og softwareprogrammer. Den tilgængelige hardware på disken krypterer alle indgående data og dekrypterer alle udgående data. Når drevet er låst, oprettes en krypteringsnøgle, som opbevares internt. Alle data, der er gemt på dette drev, krypteres ved hjælp af denne nøgle og gemmes i krypteret form. FDE omfatter et nøgle-id og en sikkerhedsnøgle.
For mere information, se https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Indstillinger for sikkerhedstilstand for Cisco Unified Communications Manager og Unity Forbindelse
Cisco Unified Communications Manager og Cisco Unity Connection har sikkerhedstilstandsindstillingerne vist i Tabel 2: Sikkerhedstilstandsindstillinger for talebesked-porte (til SCCP-integrationer) eller portgrupper (til SIP-integrationer).
Forsigtighed
Indstillingen for Cluster Security Mode for Unity Connection-talebeskedporte (til SCCP-integrationer) eller portgrupper (for SIP-integrationer) skal matche sikkerhedstilstandsindstillingen for Cisco Unified CM-portene.
Ellers mislykkes Cisco Unified CM-godkendelse og kryptering.
Tabel 2: Indstillinger for sikkerhedstilstand
| Indstilling | Effekt |
| Ikke-sikker | Integriteten og fortroligheden af opkaldssignaleringsmeddelelser er ikke sikret, fordi opkaldssignaleringsmeddelelser sendes som klar (ukrypteret) tekst forbundet til Cisco Unified CM gennem en ikke-godkendt port i stedet for en godkendt TLS-port. Derudover kan mediestrømmen ikke krypteres. |
| Godkendte | Integriteten af opkaldssignaleringsmeddelelser er sikret, fordi de er forbundet til Cisco Unified CM via en godkendt TLS-port. Imidlertid fortroligheden af opkaldssignaleringsmeddelelser er ikke sikret, fordi de sendes som klar (ukrypteret) tekst. Derudover er mediestrømmen ikke krypteret. |
| Krypteret | Integriteten og privatlivet for opkaldssignaleringsmeddelelser er sikret, fordi de er forbundet til Cisco Unified CM via en godkendt TLS-port, og opkaldssignaleringsmeddelelserne er krypteret. Derudover kan mediestrømmen krypteres. Begge endepunkter skal registreres i krypteret tilstand for at mediestrømmen skal krypteres. Men når det ene slutpunkt er indstillet til ikke-sikker eller godkendt tilstand, og det andet slutpunkt er indstillet til krypteret tilstand, krypteres mediestrømmen ikke. Desuden, hvis en mellemliggende enhed (såsom en transcoder eller gateway) ikke er aktiveret til kryptering, krypteres mediestrømmen ikke. |
Bedste fremgangsmåder til sikring af forbindelsen mellem Unity Connection, Cisco Unified Communications Manager og IP-telefoner
Hvis du vil aktivere godkendelse og kryptering for talemeddelelsesportene på både Cisco Unity Connection og Cisco Unified Communications Manager, skal du se Cisco Unified Communications Manager SCCP Integration Guide for Unity Connection Release 12.x, tilgængelig på
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Sikring af forbindelsen mellem Cisco Unity Connection, Cisco Unified Communications Manager og IP-telefoner
Dokumenter/ressourcer
 |
CISCO Unity Connection Unified Communications Manager [pdfBrugervejledning Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager |