Cisco-Logo

Sichern der Verbindung zwischen Cisco Unity
Verbindung, Cisco Unified Communications
Manager und IP-Telefone

CISCO Unity Connection Unified Communications Manager

• Sichern der Verbindung zwischen Cisco Unity Connection, Cisco Unified Communications Manager und IP-Telefonen, auf Seite 1
Sichern der Verbindung zwischen Cisco Unity Connection, Cisco Unified Communications Manager und IP-Telefonen

Inhalt verstecken
1 Einführung
2 Selbstverschlüsselndes Laufwerk
3 Dokumente / Ressourcen
3.1 Verweise

Einführung

In diesem Kapitel finden Sie Beschreibungen potenzieller Sicherheitsprobleme im Zusammenhang mit Verbindungen zwischen Cisco Unity Connection, Cisco Unified Communications Manager und IP-Telefonen; Informationen zu allen Maßnahmen, die Sie ergreifen müssen; Empfehlungen, die Ihnen bei der Entscheidungsfindung helfen; Diskussion der Auswirkungen der von Ihnen getroffenen Entscheidungen; und Best Practices.

Sicherheitsprobleme für Verbindungen zwischen Unity Connection und Cisco Unified Kommunikationsmanager und IP-Telefone
Eine potenzielle Schwachstelle für ein Cisco Unity Connection-System ist die Verbindung zwischen Unity Connection-Voice-Messaging-Ports (für eine SCCP-Integration) oder Portgruppen (für eine SIP-Integration), Cisco Unified Communications Manager und den IP-Telefonen.

Mögliche Bedrohungen sind:

  • Man-in-the-Middle-Angriffe (wenn der Informationsfluss zwischen Cisco Unified CM und Unity Connection beobachtet und geändert wird)
  • Sniffing des Netzwerkverkehrs (wenn Software zum Erfassen von Telefongesprächen und Signalisierungsinformationen verwendet wird, die zwischen Cisco Unified CM, Unity Connection und IP-Telefonen fließen, die von Cisco Unified CM verwaltet werden)
  • Änderung der Anrufsignalisierung zwischen Unity Connection und Cisco Unified CM
  • Änderung des Medienstroms zwischen Unity Connection und dem Endpunkt (z. Bample, ein IP-Telefon oder ein Gateway)
  • Identitätsdiebstahl von Unity Connection (wenn ein Nicht-Unity Connection-Gerät sich Cisco Unified CM als Unity Connection-Server präsentiert)
  • Identitätsdiebstahl des Cisco Unified CM-Servers (wenn ein Nicht-Cisco Unified CM-Server sich bei Unity Connection als Cisco Unified CM-Server präsentiert)

Cisco Unified Communications Manager-Sicherheitsfunktionen für Unity Connection-Sprachnachrichtenports
Cisco Unified CM kann die Verbindung mit Unity Connection vor den Bedrohungen schützen, die in den Sicherheitsproblemen für Verbindungen zwischen Unity Connection, Cisco Unified Communications Manager und IP-Telefonen aufgeführt sind.
Die Cisco Unified CM-Sicherheitsfunktionen, die Unity Connection nutzen kanntagEinige davon sind in Tabelle 1 beschrieben: Cisco Unified CM-Sicherheitsfunktionen, die von Cisco Unity Connection verwendet werden.

Tabelle 1: Cisco Unified CM-Sicherheitsfunktionen, die von Cisco Unity Connection verwendet werden

Sicherheitsfunktion Beschreibung
Signalauthentifizierung Der Prozess, der das Transport Layer Security (TLS)-Protokoll verwendet, um dies zu überprüfenampWährend der Übertragung ist bei Signalisierungspaketen ein Fehler aufgetreten.
Die Signalauthentifizierung basiert auf der Erstellung der Cisco Certificate Trust List (CTL). file.
Diese Funktion schützt vor:
• Man-in-the-Middle-Angriffe, die den Informationsfluss zwischen Cisco Unified CM und Unity Connection verändern.
• Änderung der Rufsignalisierung.
• Identitätsdiebstahl des Unity Connection-Servers.
• Identitätsdiebstahl des Cisco Unified CM-Servers.
Geräteauthentifizierung Der Prozess, der die Identität des Geräts validiert und sicherstellt, dass die Entität das ist, was sie vorgibt zu sein. Dieser Prozess findet zwischen Cisco Unified CM und entweder Unity Connection-Sprachnachrichtenports (für eine SCCP-Integration) oder Unity Connection-Portgruppen (für eine SIP-Integration) statt, wenn jedes Gerät das Zertifikat des anderen Geräts akzeptiert. Bei Akzeptanz der Zertifikate wird eine sichere Verbindung zwischen den Geräten aufgebaut. Die Geräteauthentifizierung basiert auf der Erstellung der Cisco Certificate Trust List (CTL). file.
Diese Funktion schützt vor:
• Man-in-the-Middle-Angriffe, die den Informationsfluss zwischen Cisco Unified CM und Unity Connection verändern.
• Änderung des Medienstreams.
• Identitätsdiebstahl des Unity Connection-Servers.
• Identitätsdiebstahl des Cisco Unified CM-Servers.
Signalverschlüsselung Der Prozess, der kryptografische Methoden verwendet, um (durch Verschlüsselung) die Vertraulichkeit aller SCCP- oder SIP-Signalisierungsnachrichten zu schützen, die zwischen Unity Connection und Cisco Unified CM gesendet werden. Durch die Signalverschlüsselung wird sichergestellt, dass die Informationen, die sich auf die Parteien beziehen, die von den Parteien eingegebenen DTMF-Ziffern, der Anrufstatus, die Medienverschlüsselungsschlüssel usw. vor unbeabsichtigtem oder unbefugtem Zugriff geschützt sind.
Diese Funktion schützt vor:
• Man-in-the-Middle-Angriffe, die den Informationsfluss zwischen Cisco Unified CM und Unity Connection beobachten.
• Netzwerkverkehr-Sniffing, das den Signalisierungsinformationsfluss zwischen Cisco Unified CM und Unity Connection beobachtet.
Medienverschlüsselung Der Prozess, bei dem die Vertraulichkeit der Medien durch den Einsatz kryptografischer Verfahren gewährleistet wird.
Dieser Prozess verwendet Secure Real Time Protocol (SRTP) gemäß IETF RFC 3711 und stellt sicher, dass nur der beabsichtigte Empfänger die Medienströme zwischen Unity Connection und dem Endpunkt interpretieren kann (z. Bample, ein Telefon oder Gateway). Die Unterstützung umfasst nur Audiostreams. Die Medienverschlüsselung umfasst die Erstellung eines Media Player-Schlüsselpaars für die Geräte, die Übermittlung der Schlüssel an Unity Connection und den Endpunkt sowie die Sicherung der Übermittlung der Schlüssel während des Transports der Schlüssel. Unity Connection und der Endpunkt verwenden die Schlüssel zum Ver- und Entschlüsseln des Medienstreams.
Diese Funktion schützt vor:
• Man-in-the-Middle-Angriffe, die den Medienstream zwischen Cisco Unified CM und Unity Connection abhören.
• Netzwerkverkehr-Sniffing, das Telefongespräche zwischen Cisco Unified CM, Unity Connection und IP-Telefonen abhört, die von Cisco Unified CM verwaltet werden.

Als Mindestanforderungen für die Medienverschlüsselung gelten Authentifizierung und Signalverschlüsselung; Das heißt, wenn die Geräte keine Signalverschlüsselung und Authentifizierung unterstützen, kann keine Medienverschlüsselung erfolgen.
Die Cisco Unified CM-Sicherheit (Authentifizierung und Verschlüsselung) schützt nur Anrufe an Unity Connection. Im Nachrichtenspeicher aufgezeichnete Nachrichten sind nicht durch die Cisco Unified CM-Authentifizierungs- und Verschlüsselungsfunktionen geschützt, können aber durch die private sichere Nachrichtenfunktion von Unity Connection geschützt werden. Einzelheiten zur sicheren Messaging-Funktion von Unity Connection finden Sie im Abschnitt Umgang mit Nachrichten, die als privat und sicher gekennzeichnet sind.

Selbstverschlüsselndes Laufwerk

Cisco Unity Connection unterstützt auch selbstverschlüsselnde Laufwerke (SED). Dies wird auch als Full Disk Encryption (FDE) bezeichnet. FDE ist ein kryptografisches Verfahren, mit dem alle auf der Festplatte verfügbaren Daten verschlüsselt werden.
Die Daten umfassen files, Betriebssystem und Softwareprogramme. Die auf der Festplatte verfügbare Hardware verschlüsselt alle eingehenden Daten und entschlüsselt alle ausgehenden Daten. Wenn das Laufwerk gesperrt ist, wird ein Verschlüsselungsschlüssel erstellt und intern gespeichert. Alle auf diesem Laufwerk gespeicherten Daten werden mit diesem Schlüssel verschlüsselt und in verschlüsselter Form gespeichert. Die FDE besteht aus einer Schlüssel-ID und einem Sicherheitsschlüssel.
Weitere Informationen finden Sie unter https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Sicherheitsmoduseinstellungen für Cisco Unified Communications Manager und Unity Verbindung
Cisco Unified Communications Manager und Cisco Unity Connection verfügen über die in Tabelle 2 aufgeführten Sicherheitsmodusoptionen für Sprachnachrichtenports (für SCCP-Integrationen) oder Portgruppen (für SIP-Integrationen).

Warnsymbol Vorsicht
Die Cluster-Sicherheitsmoduseinstellung für Unity Connection-Voice-Messaging-Ports (für SCCP-Integrationen) oder Portgruppen (für SIP-Integrationen) muss mit der Sicherheitsmoduseinstellung für die Cisco Unified CM-Ports übereinstimmen.
Andernfalls schlägt die Cisco Unified CM-Authentifizierung und -Verschlüsselung fehl.

Tabelle 2: Optionen für den Sicherheitsmodus

Einstellung Wirkung
Unsicher Die Integrität und der Datenschutz von Anrufsignalisierungsnachrichten sind nicht gewährleistet, da Anrufsignalisierungsnachrichten als klarer (unverschlüsselter) Text gesendet werden, der über einen nicht authentifizierten Port und nicht über einen authentifizierten TLS-Port mit Cisco Unified CM verbunden ist. Darüber hinaus kann der Medienstream nicht verschlüsselt werden.
Authentifiziert Die Integrität der Anrufsignalisierungsnachrichten ist gewährleistet, da sie über einen authentifizierten TLS-Port mit Cisco Unified CM verbunden sind. Allerdings ist die
Die Vertraulichkeit von Anrufsignalisierungsnachrichten ist nicht gewährleistet, da sie als Klartext (unverschlüsselt) gesendet werden. Darüber hinaus ist der Medienstream nicht verschlüsselt.
Verschlüsselt Die Integrität und Vertraulichkeit von Anrufsignalisierungsnachrichten werden gewährleistet, da diese über einen authentifizierten TLS-Port mit Cisco Unified CM verbunden sind und die Anrufsignalisierungsnachrichten verschlüsselt sind. Darüber hinaus kann der Medienstream verschlüsselt werden. Beide Endpunkte müssen im verschlüsselten Modus registriert sein
damit der Medienstream verschlüsselt wird. Wenn jedoch ein Endpunkt auf den nicht sicheren oder authentifizierten Modus und der andere Endpunkt auf den verschlüsselten Modus eingestellt ist, wird der Medienstream nicht verschlüsselt. Auch wenn ein dazwischenliegendes Gerät (z. B. ein Transcoder oder Gateway) nicht für die Verschlüsselung aktiviert ist, wird der Medienstream nicht verschlüsselt.

Best Practices zum Sichern der Verbindung zwischen Unity Connection, Cisco Unified Communications Manager und IP-Telefonen
Wenn Sie die Authentifizierung und Verschlüsselung für die Sprachnachrichten-Ports sowohl auf Cisco Unity Connection als auch auf Cisco Unified Communications Manager aktivieren möchten, lesen Sie das Cisco Unified Communications Manager SCCP-Integrationshandbuch für Unity Connection Version 12.x, verfügbar unter
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Sichern der Verbindung zwischen Cisco Unity Connection, Cisco Unified Communications Manager und IP-Telefonen

Dokumente / Ressourcen

CISCO Unity Connection Unified Communications Manager [pdf] Benutzerhandbuch
Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Kommunikationsmanager, Manager

Verweise

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *