Sekurigi la Konekton inter Cisco Unity
Konekto, Cisco Unified Communications
Administranto, kaj IP-telefonoj
• Sekurigi la Konekton inter Cisco Unity Connection, Cisco Unified Communications Manager kaj IP-Telefonoj, sur paĝo 1
Sekurigi la Konekton inter Cisco Unity Connection, Cisco Unified Communications Manager kaj IP-Telefonoj
Enkonduko
En ĉi tiu ĉapitro, vi trovos priskribojn de eblaj sekurecaj problemoj rilataj al konektoj inter Cisco Unity Connection, Cisco Unified Communications Manager kaj IP-telefonoj; informoj pri iuj agoj, kiujn vi devas fari; rekomendoj, kiuj helpas vin fari decidojn; diskuto pri la konsekvencoj de la decidoj kiujn vi faras; kaj plej bonaj praktikoj.
Sekurecaj Problemoj por Konektoj inter Unity Connection, Cisco Unified Komunikadmanaĝero, kaj IP-Telefonoj
Ebla vundebleco por Cisco Unity Connection-sistemo estas la ligo inter Unity Connection-voĉaj mesaĝhavenoj (por SCCP-integriĝo) aŭ havengrupoj (por SIP-integriĝo), Cisco Unified Communications Manager, kaj la IP-telefonoj.
Eblaj minacoj inkluzivas:
- Man-en-la-mezaj atakoj (kiam la informfluo inter Cisco Unified CM kaj Unity Connection estas observita kaj modifita)
- Reta trafiko snufado (kiam programaro estas uzata por kapti telefonajn konversaciojn kaj signali informojn, kiuj fluas inter Cisco Unified CM, Unity Connection kaj IP-telefonoj administritaj de Cisco Unified CM)
- Modifo de voka signalado inter Unity Connection kaj Cisco Unified CM
- Modifo de la amaskomunikila fluo inter Unity Connection kaj la finpunkto (ekzample, IP-telefono aŭ enirejo)
- Identecŝtelo de Unity Connection (kiam ne-Unity Connection aparato prezentas sin al Cisco Unified CM kiel Unity Connection-servilo)
- Identecŝtelo de la Cisco Unified CM-servilo (kiam ne-Cisco Unified CM-servilo prezentas sin al Unity Connection kiel Cisco Unified CM-servilo)
CiscoUnified CommunicationsManagerSekureco-Ecoj por Unity Connection Voĉa Messaging-Havenoj
Cisco Unified CM povas sekurigi la konekton kun Unity Connection kontraŭ la minacoj listigitaj en la Sekurecaj Problemoj por Konektoj inter Unity Connection, Cisco Unified Communications Manager kaj IP-Telefonoj.
La sekurecaj funkcioj de Cisco Unified CM, kiujn Unity Connection povas profititage de estas priskribitaj en Tabelo 1: Sekurecaj Trajtoj de Cisco Unified CM Uzitaj de Cisco Unity Connection.
Tablo 1: Sekurecaj Trajtoj de Cisco Unified CM Uzitaj de Cisco Unity Connection
| Sekureca Trajto | Priskribo |
| Signala aŭtentikigo | La procezo kiu uzas la Transport Layer Security (TLS) protokolon por validigi tion ne tampeing okazis al signalado de pakaĵetoj dum dissendo. Signala aŭtentikigo dependas de la kreado de la Cisco Certificate Trust List (CTL) file. Ĉi tiu funkcio protektas kontraŭ: • Man-en-la-mezaj atakoj kiuj modifas la informfluon inter Cisco Unified CM kaj Unity Connection. • Modifo de la voka signalado. • Identeca ŝtelo de la servilo de Unity Connection. • Identeca ŝtelo de la Cisco Unified CM-servilo. |
| Aparato aŭtentigo | La procezo, kiu validas la identecon de la aparato kaj certigas, ke la ento estas tia, kia ĝi pretendas esti. Ĉi tiu procezo okazas inter Cisco Unified CM kaj aŭ Unity Connection-voĉaj mesaĝhavenoj (por SCCP-integriĝo) aŭ Unity Connection-havengrupoj (por SIP-integriĝo) kiam ĉiu aparato akceptas la atestilon de la alia aparato. Kiam la atestiloj estas akceptitaj, sekura rilato inter la aparatoj estas establita. Aparato-konfirmo dependas de la kreado de la Cisco Certificate Trust List (CTL) file. Ĉi tiu funkcio protektas kontraŭ: • Man-en-la-mezaj atakoj kiuj modifas la informfluon inter Cisco Unified CM kaj Unity Connection. • Modifo de la amaskomunikila fluo. • Identeca ŝtelo de la servilo de Unity Connection. • Identeca ŝtelo de la Cisco Unified CM-servilo. |
| Signala ĉifrado | La procezo, kiu uzas kriptografajn metodojn por protekti (per ĉifrado) la konfidencon de ĉiuj SCCP aŭ SIP-signalaj mesaĝoj kiuj estas senditaj inter Unity Connection kaj Cisco Unified CM. Signala ĉifrado certigas ke la informoj kiuj apartenas al la partioj, DTMF-ciferoj kiuj estas eniritaj de la partioj, vokstatuso, amaskomunikilaraj ĉifradŝlosiloj, ktp estas protektitaj kontraŭ neintencita aŭ neaŭtorizita aliro. Ĉi tiu funkcio protektas kontraŭ: • Man-en-la-mezaj atakoj, kiuj observas la informfluon inter Cisco Unified CM kaj Unity Connection. • Reta trafiko snufado, kiu observas la signalan informfluon inter Cisco Unified CM kaj Unity Connection. |
| Amaskomunikilara ĉifrado | La procezo per kiu la konfidenco de la amaskomunikilaro okazas per la uzo de kriptografiaj proceduroj. Ĉi tiu procezo uzas Secure Real Time Protocol (SRTP) kiel difinite en IETF RFC 3711, kaj certigas ke nur la celita ricevanto povas interpreti la amaskomunikilajn riveretojn inter Unity Connection kaj la finpunkto (ekz.ample, telefono aŭ enirejo). Subteno inkluzivas nur sonajn fluojn. Amaskomunikilara ĉifrado inkluzivas krei Media Player-ŝlosilparon por la aparatoj, liverante la ŝlosilojn al Unity Connection kaj la finpunkton, kaj sekurigi la liveron de la ŝlosiloj dum la ŝlosiloj estas en transporto. Unity Connection kaj la finpunkto uzas la ŝlosilojn por ĉifri kaj deĉifri la amaskomunikilaron. Ĉi tiu funkcio protektas kontraŭ: • Man-en-la-meza atakoj kiuj aŭskultas la amaskomunikilaron fluas inter Cisco Unified CM kaj Unity Connection. • Reta trafiko snufado kiu subaŭskultas telefonajn konversaciojn kiuj fluas inter Cisco Unified CM, Unity Connection, kaj IP-telefonoj kiuj estas administritaj de Cisco Unified CM. |
Aŭtentikigo kaj signala ĉifrado funkcias kiel la minimumaj postuloj por amaskomunikila ĉifrado; tio estas, se la aparatoj ne subtenas signalan ĉifradon kaj aŭtentikigon, amaskomunikilara ĉifrado ne povas okazi.
Sekureco de Cisco Unified CM (aŭtentikigo kaj ĉifrado) nur protektas vokojn al Unity Connection. Mesaĝoj registritaj en la mesaĝbutiko ne estas protektitaj per la aŭtentikigado kaj ĉifrado de Cisco Unified CM sed povas esti protektitaj per la privata sekura mesaĝa funkcio de Unity Connection. Por detaloj pri la sekura mesaĝa funkcio de Unity Connection, vidu la Pritraktadon de Mesaĝoj Markitaj Private kaj Sekura.
Mem-ĉifra stirado
Cisco Unity Connection ankaŭ subtenas mem-ĉifrajn diskojn (SED). Ĉi tio ankaŭ nomiĝas Plena Diskoĉifrado (FDE). FDE estas ĉifrika metodo, kiu estas uzata por ĉifri ĉiujn datumojn disponeblajn sur la malmola disko.
La datumoj inkluzivas files, operaciumo kaj programaj programoj. La aparataro disponebla sur la disko ĉifras ĉiujn envenantajn datumojn kaj malĉifras ĉiujn elirantajn datumojn. Kiam la disko estas ŝlosita, ĉifra ŝlosilo estas kreita kaj stokita interne. Ĉiuj datumoj, kiuj estas konservitaj sur ĉi tiu disko, estas ĉifritaj uzante tiun ŝlosilon kaj stokitaj en la ĉifrita formo. La FDE konsistas el ŝlosila ID kaj sekureca ŝlosilo.
Por pliaj informoj, vidu https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Sekurec-Reĝimo-Agordoj por Cisco Unified Communications Manager kaj Unity Konekto
Cisco Unified Communications Manager kaj Cisco Unity Connection havas la sekurecreĝimajn opciojn montritajn en Tabelo 2: Sekurecreĝimo-Ebloj por voĉaj mesaĝaj havenoj (por SCCP-integriĝoj) aŭ havengrupoj (por SIP-integriĝoj).
Singardemo
La agordo de Cluster Security Mode por voĉmesaĝaj havenoj de Unity Connection (por SCCP-integriĝoj) aŭ havengrupoj (por SIP-integriĝoj) devas kongrui kun la sekureca reĝimo por la Cisco Unified CM-havenoj.
Alie, Cisco Unified CM-aŭtentikigo kaj ĉifrado malsukcesas.
Tablo 2: Sekureca Reĝimo-Ebloj
| Agordo | Efiko |
| Ne-sekura | La integreco kaj privateco de alvoksignalaj mesaĝoj ne estas certigitaj ĉar voksignalaj mesaĝoj estas senditaj kiel klara (neĉifrita) teksto ligita al Cisco Unified CM tra ne-aŭtentikigita haveno prefere ol aŭtentikigita TLS-haveno. Krome, la amaskomunikila fluo ne povas esti ĉifrita. |
| Aŭtentikigita | La integreco de alvoksignalaj mesaĝoj estas certigita ĉar ili estas konektitaj al Cisco Unified CM per aŭtentikigita TLS-haveno. Tamen, la privateco de voksignalaj mesaĝoj ne estas certigita ĉar ili estas senditaj kiel klara (neĉifrita) teksto. Krome, la amaskomunikila fluo ne estas ĉifrita. |
| Ĉifrita | La integreco kaj privateco de alvoksignalaj mesaĝoj estas certigitaj ĉar ili estas konektitaj al Cisco Unified CM per aŭtentikigita TLS-haveno, kaj la alvoksignalaj mesaĝoj estas ĉifritaj. Krome, la amaskomunikila fluo povas esti ĉifrita. Ambaŭ finpunktoj devas esti registritaj en ĉifrita reĝimo por ke la amaskomunikila fluo estu ĉifrita. Tamen, kiam unu finpunkto estas metita por ne-sekura aŭ aŭtentikigita reĝimo kaj la alia finpunkto estas metita por ĉifrita reĝimo, la amaskomunikila fluo ne estas ĉifrita. Ankaŭ, se meza aparato (kiel ekzemple transkodilo aŭ enirejo) ne estas ebligita por ĉifrado, la amaskomunikila fluo ne estas ĉifrita. |
Plej bonaj Praktikoj por Sekurigi la Konekton inter Unity Connection, Cisco Unified Communications Manager kaj IP-Telefonoj
Se vi volas ebligi aŭtentikigon kaj ĉifradon por la voĉmesaĝaj havenoj en ambaŭ Cisco Unity Connection kaj Cisco Unified Communications Manager, vidu la Cisco Unified Communications Manager SCCP Integration Guide por Unity Connection Release 12.x, havebla ĉe
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Sekurigi la Konekton inter Cisco Unity Connection, Cisco Unified Communications Manager kaj IP-Telefonoj
Dokumentoj/Rimedoj
 |
CISCO Unity Connection Unified Communications Manager [pdf] Uzantogvidilo Administranto de Unuigitaj Komunikadoj de Unity Connection, Direktisto de Unuigitaj Komunikadoj de Connection, Direktisto de Unuigitaj Komunikadoj, Administranto de Komunikadoj |