λογότυπο cisco

Διασφάλιση της σύνδεσης μεταξύ Cisco Unity
Σύνδεση, Cisco Unified Communications
Διαχειριστής και τηλέφωνα IP

CISCO Unity Connection Unified Communications Manager

• Ασφάλιση της σύνδεσης μεταξύ Cisco Unity Connection, Cisco Unified Communications Manager και IP Phones, στη σελίδα 1
Διασφάλιση της σύνδεσης μεταξύ Cisco Unity Connection, Cisco Unified Communications Manager και τηλεφώνων IP

Περιεχόμενα κρύβω
1 Εισαγωγή
2 Αυτοκρυπτογραφούμενη μονάδα δίσκου
3 Έγγραφα / Πόροι
3.1 Αναφορές

Εισαγωγή

Σε αυτό το κεφάλαιο, θα βρείτε περιγραφές πιθανών ζητημάτων ασφαλείας που σχετίζονται με συνδέσεις μεταξύ Cisco Unity Connection, Cisco Unified Communications Manager και τηλεφώνων IP. πληροφορίες για τυχόν ενέργειες που πρέπει να κάνετε· συστάσεις που σας βοηθούν να λάβετε αποφάσεις. συζήτηση για τις συνέπειες των αποφάσεων που παίρνετε· και βέλτιστες πρακτικές.

Ζητήματα ασφαλείας για συνδέσεις μεταξύ Unity Connection, Cisco Unified Υπεύθυνος Επικοινωνιών και Τηλέφωνα IP
Ένα πιθανό σημείο ευπάθειας για ένα σύστημα σύνδεσης Cisco Unity είναι η σύνδεση μεταξύ των θυρών φωνητικών μηνυμάτων Unity Connection (για ενσωμάτωση SCCP) ή ομάδων θυρών (για ενσωμάτωση SIP), του Cisco Unified Communications Manager και των τηλεφώνων IP.

Οι πιθανές απειλές περιλαμβάνουν:

  • Επιθέσεις Man-in-the-Middle (όταν παρατηρείται και τροποποιείται η ροή πληροφοριών μεταξύ Cisco Unified CM και Unity Connection)
  • Ανίχνευση κίνησης δικτύου (όταν χρησιμοποιείται λογισμικό για την καταγραφή τηλεφωνικών συνομιλιών και πληροφοριών σηματοδότησης που ρέουν μεταξύ Cisco Unified CM, Unity Connection και τηλέφωνα IP που διαχειρίζεται η Cisco Unified CM)
  • Τροποποίηση της σηματοδότησης κλήσης μεταξύ Unity Connection και Cisco Unified CM
  • Τροποποίηση της ροής πολυμέσων μεταξύ της σύνδεσης Unity και του τελικού σημείου (π.χample, ένα τηλέφωνο IP ή μια πύλη)
  • Κλοπή ταυτότητας του Unity Connection (όταν μια συσκευή που δεν είναι Unity Connection παρουσιάζεται στο Cisco Unified CM ως διακομιστής Unity Connection)
  • Κλοπή ταυτότητας του διακομιστή Cisco Unified CM (όταν ένας διακομιστής CM που δεν είναι Cisco Unified παρουσιάζεται στο Unity Connection ως διακομιστής Cisco Unified CM)

CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Θύρες φωνητικών μηνυμάτων
Το Cisco Unified CM μπορεί να ασφαλίσει τη σύνδεση με το Unity Connection έναντι των απειλών που αναφέρονται στα Ζητήματα ασφαλείας για Συνδέσεις μεταξύ Unity Connection, Cisco Unified Communications Manager και IP Phones.
Τα χαρακτηριστικά ασφαλείας Cisco Unified CM που μπορεί να χρησιμοποιήσει το Unity Connectiontage από περιγράφονται στον Πίνακα 1: Cisco Unified CM Security Features που χρησιμοποιούνται από το Cisco Unity Connection.

Πίνακας 1: Λειτουργίες ασφαλείας Cisco Unified CM που χρησιμοποιούνται από το Cisco Unity Connection

Χαρακτηριστικό ασφαλείας Περιγραφή
Έλεγχος ταυτότητας σηματοδότησης Η διαδικασία που χρησιμοποιεί το πρωτόκολλο Transport Layer Security (TLS) για να επικυρώσει ότι δεν tampΠαρουσιάστηκε σφάλμα σε πακέτα σηματοδότησης κατά τη μετάδοση.
Ο έλεγχος ταυτότητας σημάτων βασίζεται στη δημιουργία της Cisco Certificate Trust List (CTL) file.
Αυτή η δυνατότητα προστατεύει από:
• Επιθέσεις Man-in-the-Middle που τροποποιούν τη ροή πληροφοριών μεταξύ Cisco Unified CM και Unity Connection.
• Τροποποίηση της σηματοδότησης κλήσης.
• Κλοπή ταυτότητας του διακομιστή Unity Connection.
• Κλοπή ταυτότητας του διακομιστή Cisco Unified CM.
Έλεγχος ταυτότητας συσκευής Η διαδικασία που επικυρώνει την ταυτότητα της συσκευής και διασφαλίζει ότι η οντότητα είναι αυτή που ισχυρίζεται ότι είναι. Αυτή η διαδικασία πραγματοποιείται μεταξύ Cisco Unified CM και είτε των θυρών φωνητικών μηνυμάτων Unity Connection (για ενσωμάτωση SCCP) είτε των ομάδων θυρών Unity Connection (για ενσωμάτωση SIP) όταν κάθε συσκευή αποδέχεται το πιστοποιητικό της άλλης συσκευής. Όταν γίνουν αποδεκτά τα πιστοποιητικά, δημιουργείται μια ασφαλής σύνδεση μεταξύ των συσκευών. Ο έλεγχος ταυτότητας συσκευής βασίζεται στη δημιουργία της Cisco Certificate Trust List (CTL) file.
Αυτή η δυνατότητα προστατεύει από:
• Επιθέσεις Man-in-the-Middle που τροποποιούν τη ροή πληροφοριών μεταξύ Cisco Unified CM και Unity Connection.
• Τροποποίηση της ροής πολυμέσων.
• Κλοπή ταυτότητας του διακομιστή Unity Connection.
• Κλοπή ταυτότητας του διακομιστή Cisco Unified CM.
Κρυπτογράφηση σηματοδότησης Η διαδικασία που χρησιμοποιεί κρυπτογραφικές μεθόδους για την προστασία (μέσω κρυπτογράφησης) της εμπιστευτικότητας όλων των μηνυμάτων σηματοδότησης SCCP ή SIP που αποστέλλονται μεταξύ του Unity Connection και του Cisco Unified CM. Η κρυπτογράφηση σηματοδότησης διασφαλίζει ότι οι πληροφορίες που σχετίζονται με τα μέρη, τα ψηφία DTMF που εισάγονται από τα μέρη, η κατάσταση κλήσης, τα κλειδιά κρυπτογράφησης μέσων και ούτω καθεξής προστατεύονται από ακούσια ή μη εξουσιοδοτημένη πρόσβαση.
Αυτή η δυνατότητα προστατεύει από:
• Επιθέσεις Man-in-the-Middle που παρατηρούν τη ροή πληροφοριών μεταξύ Cisco Unified CM και Unity Connection.
• Ανίχνευση κίνησης δικτύου που παρατηρεί τη ροή πληροφοριών σηματοδότησης μεταξύ Cisco Unified CM και Unity Connection.
Κρυπτογράφηση πολυμέσων Η διαδικασία κατά την οποία η εμπιστευτικότητα των μέσων πραγματοποιείται μέσω της χρήσης κρυπτογραφικών διαδικασιών.
Αυτή η διαδικασία χρησιμοποιεί Secure Real Time Protocol (SRTP) όπως ορίζεται στο IETF RFC 3711 και διασφαλίζει ότι μόνο ο προβλεπόμενος παραλήπτης μπορεί να ερμηνεύσει τις ροές πολυμέσων μεταξύ της σύνδεσης Unity και του τελικού σημείου (π.χ.ample, ένα τηλέφωνο ή πύλη). Η υποστήριξη περιλαμβάνει μόνο ροές ήχου. Η κρυπτογράφηση πολυμέσων περιλαμβάνει τη δημιουργία ενός ζεύγους κλειδιών Media Player για τις συσκευές, την παράδοση των κλειδιών στο Unity Connection και το τελικό σημείο και την εξασφάλιση της παράδοσης των κλειδιών ενώ τα κλειδιά μεταφέρονται. Το Unity Connection και το τελικό σημείο χρησιμοποιούν τα κλειδιά για την κρυπτογράφηση και την αποκρυπτογράφηση της ροής πολυμέσων.
Αυτή η δυνατότητα προστατεύει από:
• Επιθέσεις Man-in-the-Middle που ακούν τη ροή πολυμέσων μεταξύ Cisco Unified CM και Unity Connection.
• Ανίχνευση κίνησης δικτύου που κρυφακούει τις τηλεφωνικές συνομιλίες που ρέουν μεταξύ Cisco Unified CM, Unity Connection και τηλέφωνα IP που διαχειρίζεται η Cisco Unified CM.

Ο έλεγχος ταυτότητας και η κρυπτογράφηση σηματοδότησης χρησιμεύουν ως ελάχιστες απαιτήσεις για την κρυπτογράφηση μέσων. Δηλαδή, εάν οι συσκευές δεν υποστηρίζουν κρυπτογράφηση σήματος και έλεγχο ταυτότητας, δεν μπορεί να πραγματοποιηθεί κρυπτογράφηση μέσων.
Η ασφάλεια Cisco Unified CM (έλεγχος ταυτότητας και κρυπτογράφηση) προστατεύει μόνο τις κλήσεις προς το Unity Connection. Τα μηνύματα που έχουν εγγραφεί στο χώρο αποθήκευσης μηνυμάτων δεν προστατεύονται από τις λειτουργίες ελέγχου ταυτότητας και κρυπτογράφησης του Cisco Unified CM, αλλά μπορούν να προστατεύονται από τη λειτουργία ιδιωτικών ασφαλών μηνυμάτων Unity Connection. Για λεπτομέρειες σχετικά με τη δυνατότητα ασφαλούς ανταλλαγής μηνυμάτων Unity Connection, ανατρέξτε στην ενότητα Χειρισμός μηνυμάτων που έχουν επισημανθεί ως ιδιωτικά και ασφαλή.

Αυτοκρυπτογραφούμενη μονάδα δίσκου

Το Cisco Unity Connection υποστηρίζει επίσης μονάδες αυτόματης κρυπτογράφησης (SED). Αυτό ονομάζεται επίσης κρυπτογράφηση πλήρους δίσκου (FDE). Το FDE είναι μια κρυπτογραφική μέθοδος που χρησιμοποιείται για την κρυπτογράφηση όλων των δεδομένων που είναι διαθέσιμα στον σκληρό δίσκο.
Τα δεδομένα περιλαμβάνουν files, λειτουργικό σύστημα και προγράμματα λογισμικού. Το υλικό που είναι διαθέσιμο στο δίσκο κρυπτογραφεί όλα τα εισερχόμενα δεδομένα και αποκρυπτογραφεί όλα τα εξερχόμενα δεδομένα. Όταν η μονάδα είναι κλειδωμένη, δημιουργείται ένα κλειδί κρυπτογράφησης και αποθηκεύεται εσωτερικά. Όλα τα δεδομένα που είναι αποθηκευμένα σε αυτήν τη μονάδα δίσκου κρυπτογραφούνται χρησιμοποιώντας αυτό το κλειδί και αποθηκεύονται στην κρυπτογραφημένη μορφή. Το FDE περιλαμβάνει ένα αναγνωριστικό κλειδιού και ένα κλειδί ασφαλείας.
Για περισσότερες πληροφορίες, βλ https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Ρυθμίσεις λειτουργίας ασφαλείας για το Cisco Unified Communications Manager και το Unity Σύνδεση
Το Cisco Unified Communications Manager και το Cisco Unity Connection έχουν τις επιλογές λειτουργίας ασφαλείας που εμφανίζονται στον Πίνακα 2: Επιλογές λειτουργίας ασφαλείας για θύρες φωνητικών μηνυμάτων (για ενσωματώσεις SCCP) ή ομάδες θυρών (για ενσωματώσεις SIP).

Εικονίδιο προειδοποίησης Προσοχή
Η ρύθμιση Cluster Security Mode για θύρες φωνητικών μηνυμάτων Unity Connection (για ενσωματώσεις SCCP) ή ομάδες θυρών (για ενσωματώσεις SIP) πρέπει να ταιριάζει με τη ρύθμιση λειτουργίας ασφαλείας για τις θύρες Cisco Unified CM.
Διαφορετικά, ο έλεγχος ταυτότητας και η κρυπτογράφηση Cisco Unified CM αποτυγχάνουν.

Πίνακας 2: Επιλογές λειτουργίας ασφαλείας

Σύνθεση Αποτέλεσμα
Μη ασφαλής Η ακεραιότητα και το απόρρητο των μηνυμάτων σηματοδότησης κλήσεων δεν διασφαλίζονται, επειδή τα μηνύματα σηματοδότησης κλήσεων αποστέλλονται ως καθαρό (μη κρυπτογραφημένο) κείμενο συνδεδεμένο στο Cisco Unified CM μέσω μιας μη επαληθευμένης θύρας και όχι μιας θύρας TLS με έλεγχο ταυτότητας. Επιπλέον, η ροή πολυμέσων δεν μπορεί να κρυπτογραφηθεί.
Έλεγχος ταυτότητας Η ακεραιότητα των μηνυμάτων σηματοδότησης κλήσεων διασφαλίζεται επειδή είναι συνδεδεμένα με το Cisco Unified CM μέσω μιας θύρας TLS με έλεγχο ταυτότητας. Ωστόσο, το
το απόρρητο των μηνυμάτων σηματοδότησης κλήσεων δεν διασφαλίζεται επειδή αποστέλλονται ως καθαρό (μη κρυπτογραφημένο) κείμενο. Επιπλέον, η ροή πολυμέσων δεν είναι κρυπτογραφημένη.
Κρυπτογραφημένο Η ακεραιότητα και το απόρρητο των μηνυμάτων σηματοδότησης κλήσεων διασφαλίζονται επειδή συνδέονται με το Cisco Unified CM μέσω μιας θύρας TLS που έχει πιστοποιηθεί και τα μηνύματα σηματοδότησης κλήσεων είναι κρυπτογραφημένα. Επιπλέον, η ροή πολυμέσων μπορεί να κρυπτογραφηθεί. Και τα δύο τελικά σημεία πρέπει να καταχωρηθούν σε κρυπτογραφημένη λειτουργία
για να κρυπτογραφηθεί η ροή πολυμέσων. Ωστόσο, όταν ένα τελικό σημείο έχει ρυθμιστεί για μη ασφαλή ή επαληθευμένη λειτουργία και το άλλο τελικό σημείο έχει οριστεί για κρυπτογραφημένη λειτουργία, η ροή πολυμέσων δεν κρυπτογραφείται. Επίσης, εάν μια παρεμβατική συσκευή (όπως ένας μετακωδικοποιητής ή πύλη) δεν είναι ενεργοποιημένη για κρυπτογράφηση, η ροή πολυμέσων δεν είναι κρυπτογραφημένη.

Βέλτιστες πρακτικές για τη διασφάλιση της σύνδεσης μεταξύ Unity Connection, Cisco Unified Communications Manager και τηλεφώνων IP
Εάν θέλετε να ενεργοποιήσετε τον έλεγχο ταυτότητας και την κρυπτογράφηση για τις θύρες φωνητικών μηνυμάτων τόσο στο Cisco Unity Connection όσο και στο Cisco Unified Communications Manager, ανατρέξτε στον Οδηγό ενοποίησης SCCP του Cisco Unified Communications Manager για Unity Connection Release 12.x
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Διασφάλιση της σύνδεσης μεταξύ Cisco Unity Connection, Cisco Unified Communications Manager και τηλεφώνων IP

Έγγραφα / Πόροι

CISCO Unity Connection Unified Communications Manager [pdf] Οδηγός χρήστη
Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager

Αναφορές

Αφήστε ένα σχόλιο

Η διεύθυνση email σας δεν θα δημοσιευτεί. Τα υποχρεωτικά πεδία επισημαίνονται *