Ühenduse kindlustamine Cisco Unity'i vahel
Ühendus, Cisco Unified Communications
haldur ja IP-telefonid
• Ühenduse turvamine Cisco Unity Connectioni, Cisco Unified Communications Manageri ja IP-telefonide vahel, lk 1
Ühenduse turvamine Cisco Unity Connectioni, Cisco Unified Communications Manageri ja IP-telefonide vahel
Sissejuhatus
Sellest peatükist leiate Cisco Unity Connectioni, Cisco Unified Communications Manageri ja IP-telefonide vaheliste ühendustega seotud võimalike turbeprobleemide kirjeldused; teave mis tahes toimingu kohta, mida peate tegema; soovitused, mis aitavad teil otsuseid langetada; teie tehtud otsuste tagajärgede arutelu; ja parimaid tavasid.
Unity Connectioni (Cisco Unified) vaheliste ühenduste turvaprobleemid Suhtlusjuht ja IP-telefonid
Cisco Unity Connectioni süsteemi võimalik haavatavus on ühendus Unity Connectioni häälsõnumiportide (SCCP-integratsiooni jaoks) või pordirühmade (SIP-integratsiooni jaoks), Cisco Unified Communications Manageri ja IP-telefonide vahel.
Võimalike ohtude hulka kuuluvad:
- Vahepealsed rünnakud (kui jälgitakse ja muudetakse teabevoogu Cisco Unified CM-i ja Unity Connectioni vahel)
- Võrguliikluse nuusutamine (kui tarkvara kasutatakse telefonivestluste jäädvustamiseks ja Cisco Unified CM-i, Unity Connectioni ja Cisco Unified CM-i hallatavate IP-telefonide vahel liikuvate signaalimisteabe salvestamiseks)
- Kõnede signaalimise muutmine Unity Connectioni ja Cisco Unified CM-i vahel
- Unity Connectioni ja lõpp-punkti vahelise meediumivoo muutmine (ntample, IP-telefon või lüüsi)
- Unity Connectioni identiteedivargus (kui mitte-Unity Connectioni seade esitab end Cisco Unified CM-ile Unity Connectioni serverina)
- Cisco Unified CM-i serveri identiteedivargus (kui mitte-Cisco Unified CM-server esitab end Unity Connectionile Cisco Unified CM-i serverina)
CiscoUnifiedCommunicationsManageri turvafunktsioonid Unity Connectioni häälsõnumite portide jaoks
Cisco Unified CM saab ühenduse Unity Connectioniga kaitsta ohtude eest, mis on loetletud jaotises Unity Connectioni, Cisco Unified Communications Manageri ja IP-telefonide vaheliste ühenduste turbeprobleemid.
Cisco Unified CM-i turvafunktsioonid, mida Unity Connection saab kasutadatagNeid on kirjeldatud tabelis 1: Cisco Unified CM-i turbefunktsioonid, mida Cisco Unity Connection kasutab.
Tabel 1: Cisco Unified CM-i turbefunktsioonid, mida Cisco Unity Connection kasutab
| Turvafunktsioon | Kirjeldus |
| Signaali autentimine | Protsess, mis kasutab transpordikihi turvalisuse (TLS) protokolli kinnitamaks, et tampedastuse ajal on pakettide signaalimisel ilmnenud häireid. Signaali autentimine põhineb Cisco sertifikaatide usaldusnimekirja (CTL) loomisel. file. See funktsioon kaitseb: • Vahepealsed rünnakud, mis muudavad teabevoogu Cisco Unified CM-i ja Unity Connectioni vahel. • Kõne signalisatsiooni muutmine. • Unity Connectioni serveri identiteedivargus. • Cisco Unified CM-i serveri identiteedivargus. |
| Seadme autentimine | Protsess, mis kinnitab seadme identiteedi ja tagab, et olem on see, mida ta väidab olevat. See protsess toimub Cisco Unified CM-i ja Unity Connectioni häälsõnumiportide (SCCP-integratsiooni jaoks) või Unity Connectioni pordirühmade (SIP-integratsiooni jaoks) vahel, kui iga seade aktsepteerib teise seadme sertifikaati. Kui sertifikaadid aktsepteeritakse, luuakse seadmete vahel turvaline ühendus. Seadme autentimine põhineb Cisco sertifikaatide usaldusnimekirja (CTL) loomisel. file. See funktsioon kaitseb: • Vahepealsed rünnakud, mis muudavad teabevoogu Cisco Unified CM-i ja Unity Connectioni vahel. • Meediumivoo muutmine. • Unity Connectioni serveri identiteedivargus. • Cisco Unified CM-i serveri identiteedivargus. |
| Signaali krüpteerimine | Protsess, mis kasutab krüptograafilisi meetodeid, et kaitsta (krüptimise kaudu) kõigi Unity Connectioni ja Cisco Unified CM-i vahel saadetavate SCCP- või SIP-signaalisõnumite konfidentsiaalsust. Signaalide krüpteerimine tagab, et osapooli puudutav teave, osapoolte sisestatud DTMF-numbrid, kõne olek, meedia krüpteerimisvõtmed jne on kaitstud tahtmatu või volitamata juurdepääsu eest. See funktsioon kaitseb: • Vahepealsed rünnakud, mis jälgivad teabevoogu Cisco Unified CM-i ja Unity Connectioni vahel. • Võrguliikluse nuusutamine, mis jälgib signaalimise teabevoogu Cisco Unified CM-i ja Unity Connectioni vahel. |
| Meediumi krüpteerimine | Protsess, mille käigus meedia konfidentsiaalsus toimub krüptograafiliste protseduuride kasutamise kaudu. See protsess kasutab turvalist reaalajas protokolli (SRTP), nagu on määratletud IETF RFC 3711-s, ja tagab, et Unity Connectioni ja lõpp-punkti vahelisi meediumivooge saab tõlgendada ainult soovitud adressaat (nt.amptelefoni või lüüsi). Tugi hõlmab ainult helivooge. Meediumi krüpteerimine hõlmab seadmete jaoks Media Playeri võtmepaari loomist, võtmete Unity Connectioni ja lõpp-punkti kohaletoimetamist ning võtmete kohaletoimetamise kindlustamist võtmete transpordi ajal. Unity Connection ja lõpp-punkt kasutavad meediumivoo krüpteerimiseks ja dekrüpteerimiseks võtmeid. See funktsioon kaitseb: • Vahepealsed rünnakud, mis kuulavad Cisco Unified CM-i ja Unity Connectioni vahelist meediavoogu. • Võrguliikluse nuusutamine, mis kuulab pealt telefonivestlusi, mis liiguvad Cisco Unified CM-i, Unity Connectioni ja Cisco Unified CM-i hallatavate IP-telefonide vahel. |
Autentimine ja signaalide krüpteerimine on meedia krüptimise miinimumnõuded; see tähendab, et kui seadmed ei toeta signaalide krüptimist ja autentimist, ei saa meediumi krüptimist toimuda.
Cisco Unified CM-i turvalisus (autentimine ja krüpteerimine) kaitseb ainult Unity Connectioni kõnesid. Sõnumisalve salvestatud sõnumeid ei kaitse Cisco Unified CM-i autentimis- ja krüpteerimisfunktsioonid, kuid neid saab kaitsta Unity Connectioni privaatse turvalise sõnumivahetuse funktsiooniga. Lisateavet Unity Connectioni turvalise sõnumside funktsiooni kohta leiate jaotisest Privaatseks ja turvaliseks märgitud sõnumite käsitlemine.
Ise krüpteeriv draiv
Cisco Unity Connection toetab ka isekrüpteerivaid draive (SED). Seda nimetatakse ka täisketta krüptimiseks (FDE). FDE on krüptograafiline meetod, mida kasutatakse kõigi kõvakettal saadaolevate andmete krüptimiseks.
Andmed sisaldavad files, operatsioonisüsteem ja tarkvaraprogrammid. Kettale saadaolev riistvara krüpteerib kõik sissetulevad andmed ja dekrüpteerib kõik väljaminevad andmed. Kui draiv on lukus, luuakse ja salvestatakse sisemiselt krüpteerimisvõti. Kõik sellele draivile salvestatud andmed krüpteeritakse selle võtmega ja salvestatakse krüptitud kujul. FDE koosneb võtme ID-st ja turvavõtmest.
Lisateabe saamiseks vt https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Cisco Unified Communications Manageri ja Unity turvarežiimi sätted Ühendus
Cisco Unified Communications Manageril ja Cisco Unity Connectionil on turvarežiimi valikud, mis on näidatud tabelis 2: Turvarežiimi valikud häälsõnumite portide (SCCP-integratsioonide jaoks) või pordirühmade jaoks (SIP-integratsioonide jaoks).
Ettevaatust
Clustri turberežiimi säte Unity Connectioni häälsõnumite portide (SCCP-integratsioonide jaoks) või pordirühmade (SIP-integratsioonide jaoks) jaoks peab ühtima Cisco Unified CM-portide turberežiimi sättega.
Vastasel juhul Cisco Unified CM-i autentimine ja krüpteerimine ebaõnnestub.
Tabel 2: Turvarežiimi valikud
| Seadistamine | Mõju |
| Mitteturvaline | Kõnesignalisatsioonisõnumite terviklikkus ja privaatsus ei ole tagatud, kuna kõnesignaale saadetakse selge (krüptimata) tekstina, mis on ühendatud Cisco Unified CM-iga autentimata pordi, mitte autentitud TLS-pordi kaudu. Lisaks ei saa meediumivoogu krüpteerida. |
| Autentitud | Kõnesignalisatsiooni sõnumite terviklikkus on tagatud, kuna need on ühendatud Cisco Unified CM-iga autentitud TLS-pordi kaudu. Siiski, kõnesignaalide privaatsus ei ole tagatud, kuna need saadetakse selge (krüpteerimata) tekstina. Lisaks pole meediavoog krüptitud. |
| Krüpteeritud | Kõnesignalisatsioonisõnumite terviklikkus ja privaatsus on tagatud, kuna need on autentitud TLS-pordi kaudu ühendatud Cisco Unified CM-iga ning kõnesignaalide sõnumid on krüpteeritud. Lisaks saab meediavoogu krüpteerida. Mõlemad lõpp-punktid peavad olema registreeritud krüpteeritud režiimis meediavoo krüpteerimiseks. Kui aga üks lõpp-punkt on seatud mitteturvalisele või autentitud režiimile ja teine lõpp-punkt on seatud krüpteeritud režiimile, siis meediumivoogu ei krüptita. Samuti ei krüptita meediumivoogu, kui sekkuv seade (nt transkooder või lüüs) ei ole krüpteerimiseks lubatud. |
Unity Connectioni, Cisco Unified Communications Manageri ja IP-telefonide vahelise ühenduse turvamise parimad tavad
Kui soovite lubada nii Cisco Unity Connectioni kui ka Cisco Unified Communications Manageri häälsõnumite portide autentimist ja krüptimist, vaadake Cisco Unified Communications Manageri SCCP integratsioonijuhendit Unity Connectioni versiooni 12.x jaoks, mis on saadaval aadressil
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Ühenduse turvamine Cisco Unity Connectioni, Cisco Unified Communications Manageri ja IP-telefonide vahel
Dokumendid / Ressursid
 |
CISCO Unity Connectioni ühtne kommunikatsioonihaldur [pdfKasutusjuhend Unity Connectioni ühtse kommunikatsiooni haldur, ühenduse ühtse kommunikatsiooni haldur, ühtse side haldur, sidehaldur, haldur |