logotipo de cisco

Asegurar la conexión entre Cisco Unity
Conexión, Comunicaciones Unificadas de Cisco
Manager y teléfonos IP

Administrador de comunicaciones unificadas de CISCO Unity Connection

• Protección de la conexión entre Cisco Unity Connection, Cisco Unified Communications Manager y teléfonos IP, en la página 1
Protección de la conexión entre Cisco Unity Connection, Cisco Unified Communications Manager y teléfonos IP

Contenido esconder
1 Introducción
2 Unidad de autocifrado
3 Documentos / Recursos
3.1 Referencias

Introducción

En este capítulo, encontrará descripciones de posibles problemas de seguridad relacionados con las conexiones entre Cisco Unity Connection, Cisco Unified Communications Manager y teléfonos IP; información sobre cualquier acción que deba realizar; recomendaciones que le ayuden a tomar decisiones; discusión de las ramificaciones de las decisiones que toma; y mejores prácticas.

Problemas de seguridad para las conexiones entre Unity Connection y Cisco Unified Responsable de Comunicaciones y Teléfonos IP
Un posible punto de vulnerabilidad para un sistema Cisco Unity Connection es la conexión entre los puertos de mensajería de voz de Unity Connection (para una integración SCCP) o grupos de puertos (para una integración SIP), Cisco Unified Communications Manager y los teléfonos IP.

Las posibles amenazas incluyen:

  • Ataques de intermediario (cuando se observa y modifica el flujo de información entre Cisco Unified CM y Unity Connection)
  • Rastreo de tráfico de red (cuando se utiliza software para capturar conversaciones telefónicas e información de señalización que fluye entre Cisco Unified CM, Unity Connection y teléfonos IP administrados por Cisco Unified CM)
  • Modificación de señalización de llamadas entre Unity Connection y Cisco Unified CM
  • Modificación del flujo de medios entre Unity Connection y el punto final (por ejemploamparchivo, un teléfono IP o una puerta de enlace)
  • Robo de identidad de Unity Connection (cuando un dispositivo que no es de Unity Connection se presenta ante Cisco Unified CM como un servidor de Unity Connection)
  • Robo de identidad del servidor de Cisco Unified CM (cuando un servidor que no es de Cisco Unified CM se presenta a Unity Connection como un servidor de Cisco Unified CM)

Funciones de seguridad de Cisco Unified Communications Manager para puertos de mensajería de voz de Unity Connection
Cisco Unified CM puede proteger la conexión con Unity Connection contra las amenazas enumeradas en Problemas de seguridad para las conexiones entre Unity Connection, Cisco Unified Communications Manager y teléfonos IP.
Las características de seguridad de Cisco Unified CM que Unity Connection puede aprovechartagEstas se describen en la Tabla 1: Funciones de seguridad de Cisco Unified CM utilizadas por Cisco Unity Connection.

Tabla 1: Funciones de seguridad de Cisco Unified CM utilizadas por Cisco Unity Connection

Característica de seguridad Descripción
Autenticación de señalización El proceso que utiliza el protocolo Transport Layer Security (TLS) para validar que noampSe ha producido una alteración en los paquetes de señalización durante la transmisión.
La autenticación de señalización se basa en la creación de la Lista de confianza de certificados de Cisco (CTL) file.
Esta característica protege contra:
• Ataques de intermediario que modifican el flujo de información entre Cisco Unified CM y Unity Connection.
• Modificación de la señalización de llamada.
• Robo de identidad del servidor de Unity Connection.
• Robo de identidad del servidor Cisco Unified CM.
Autenticación de dispositivo El proceso que valida la identidad del dispositivo y garantiza que la entidad es lo que dice ser. Este proceso ocurre entre Cisco Unified CM y los puertos de mensajería de voz de Unity Connection (para una integración SCCP) o los grupos de puertos de Unity Connection (para una integración SIP) cuando cada dispositivo acepta el certificado del otro dispositivo. Cuando se aceptan los certificados, se establece una conexión segura entre los dispositivos. La autenticación del dispositivo se basa en la creación de la Lista de confianza de certificados de Cisco (CTL) file.
Esta característica protege contra:
• Ataques de intermediario que modifican el flujo de información entre Cisco Unified CM y Unity Connection.
• Modificación del flujo de medios.
• Robo de identidad del servidor de Unity Connection.
• Robo de identidad del servidor Cisco Unified CM.
Cifrado de señalización El proceso que utiliza métodos criptográficos para proteger (mediante cifrado) la confidencialidad de todos los mensajes de señalización SCCP o SIP que se envían entre Unity Connection y Cisco Unified CM. El cifrado de señalización garantiza que la información perteneciente a las partes, los dígitos DTMF que ingresan las partes, el estado de la llamada, las claves de cifrado de medios, etc., estén protegidos contra el acceso no intencionado o no autorizado.
Esta característica protege contra:
• Ataques de intermediario que observan el flujo de información entre Cisco Unified CM y Unity Connection.
• Rastreo de tráfico de red que observa el flujo de información de señalización entre Cisco Unified CM y Unity Connection.
Cifrado de medios El proceso por el cual la confidencialidad de los medios se da mediante el uso de procedimientos criptográficos.
Este proceso utiliza el Protocolo seguro en tiempo real (SRTP), tal como se define en IETF RFC 3711, y garantiza que solo el destinatario previsto pueda interpretar los flujos de medios entre Unity Connection y el punto final (por ejemplo,amparchivo, un teléfono o puerta de enlace). El soporte incluye transmisiones de audio únicamente. El cifrado de medios incluye la creación de un par de claves de Media Player para los dispositivos, la entrega de las claves a Unity Connection y el punto final, y la seguridad de la entrega de las claves mientras están en transporte. Unity Connection y el punto final utilizan las claves para cifrar y descifrar el flujo de medios.
Esta característica protege contra:
• Ataques de intermediario que escuchan el flujo de medios entre Cisco Unified CM y Unity Connection.
• Rastreo de tráfico de red que escucha conversaciones telefónicas que fluyen entre Cisco Unified CM, Unity Connection y teléfonos IP administrados por Cisco Unified CM.

La autenticación y el cifrado de señalización sirven como requisitos mínimos para el cifrado de medios; es decir, si los dispositivos no admiten cifrado de señalización y autenticación, no se puede realizar el cifrado de medios.
La seguridad de Cisco Unified CM (autenticación y cifrado) solo protege las llamadas a Unity Connection. Los mensajes grabados en el almacén de mensajes no están protegidos por las funciones de autenticación y cifrado de Cisco Unified CM, pero pueden protegerse mediante la función de mensajería privada segura de Unity Connection. Para obtener detalles sobre la función de mensajería segura de Unity Connection, consulte Manejo de mensajes marcados como privados y seguros.

Unidad de autocifrado

Cisco Unity Connection también admite unidades de autocifrado (SED). Esto también se llama cifrado de disco completo (FDE). FDE es un método criptográfico que se utiliza para cifrar todos los datos que están disponibles en el disco duro.
Los datos incluyen files, sistema operativo y programas de software. El hardware disponible en el disco cifra todos los datos entrantes y descifra todos los datos salientes. Cuando la unidad está bloqueada, se crea y almacena internamente una clave de cifrado. Todos los datos almacenados en esta unidad se cifran utilizando esa clave y se almacenan en forma cifrada. El FDE consta de una clave ID y una clave de seguridad.
Para obtener más información, consulte https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Configuración del modo de seguridad para Cisco Unified Communications Manager y Unity Conexión
Cisco Unified Communications Manager y Cisco Unity Connection tienen las opciones de modo de seguridad que se muestran en la Tabla 2: Opciones de modo de seguridad para puertos de mensajería de voz (para integraciones SCCP) o grupos de puertos (para integraciones SIP).

Icono de advertencia Precaución
La configuración del modo de seguridad del clúster para los puertos de mensajería de voz de Unity Connection (para integraciones SCCP) o grupos de puertos (para integraciones SIP) debe coincidir con la configuración del modo de seguridad para los puertos de Cisco Unified CM.
De lo contrario, la autenticación y el cifrado de Cisco Unified CM fallan.

Tabla 2: Opciones del modo de seguridad

Configuración Efecto
No seguro La integridad y privacidad de los mensajes de señalización de llamadas no están garantizadas porque los mensajes de señalización de llamadas se envían como texto claro (sin cifrar) conectado a Cisco Unified CM a través de un puerto no autenticado en lugar de un puerto TLS autenticado. Además, el flujo multimedia no se puede cifrar.
Autenticado La integridad de los mensajes de señalización de llamadas está garantizada porque están conectados a Cisco Unified CM a través de un puerto TLS autenticado. sin embargo, el
La privacidad de los mensajes de señalización de llamadas no está garantizada porque se envían como texto claro (sin cifrar). Además, el flujo multimedia no está cifrado.
Encriptado La integridad y privacidad de los mensajes de señalización de llamadas están garantizadas porque están conectados a Cisco Unified CM a través de un puerto TLS autenticado y los mensajes de señalización de llamadas están cifrados. Además, el flujo de medios se puede cifrar. Ambos puntos finales deben estar registrados en modo cifrado
para que el flujo de medios se cifre. Sin embargo, cuando un punto final está configurado para el modo no seguro o autenticado y el otro punto final está configurado para el modo cifrado, el flujo de medios no se cifra. Además, si un dispositivo intermedio (como un transcodificador o una puerta de enlace) no está habilitado para el cifrado, el flujo de medios no se cifra.

Mejores prácticas para proteger la conexión entre Unity Connection, Cisco Unified Communications Manager y teléfonos IP
Si desea habilitar la autenticación y el cifrado para los puertos de mensajería de voz tanto en Cisco Unity Connection como en Cisco Unified Communications Manager, consulte la Guía de integración SCCP de Cisco Unified Communications Manager para Unity Connection versión 12.x, disponible en
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Protección de la conexión entre Cisco Unity Connection, Cisco Unified Communications Manager y teléfonos IP

Documentos / Recursos

Administrador de comunicaciones unificadas de CISCO Unity Connection [pdf] Guía del usuario
Unity Connection Gerente de Comunicaciones Unificadas, Connection Gerente de Comunicaciones Unificadas, Gerente de Comunicaciones Unificadas, Gerente de Comunicaciones, Gerente

Referencias

Deja un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados *