Yhteyden varmistaminen Cisco Unityn välillä
Yhteys, Cisco Unified Communications
Manager ja IP-puhelimet
• Cisco Unity Connectionin, Cisco Unified Communications Managerin ja IP-puhelimien välisen yhteyden turvaaminen, sivulla 1
Cisco Unity Connectionin, Cisco Unified Communications Managerin ja IP-puhelimien välisen yhteyden turvaaminen
Johdanto
Tässä luvussa on kuvauksia mahdollisista tietoturvaongelmista, jotka liittyvät Cisco Unity Connectionin, Cisco Unified Communications Managerin ja IP-puhelimien välisiin yhteyksiin. tiedot kaikista tarvittavista toimista; suosituksia, jotka auttavat sinua tekemään päätöksiä; keskustelu tekemiesi päätösten seurauksista; ja parhaat käytännöt.
Unity Connectionin, Cisco Unifiedin välisten yhteyksien suojausongelmat Viestintäpäällikkö ja IP-puhelimet
Cisco Unity Connection -järjestelmän mahdollinen haavoittuvuuskohta on yhteys Unity Connection -ääniviestiporttien (SCCP-integraatiota varten) tai porttiryhmien (SIP-integrointia varten), Cisco Unified Communications Managerin ja IP-puhelimien välillä.
Mahdollisia uhkia ovat mm.
- Man-in-the-middle -hyökkäykset (kun Cisco Unified CM:n ja Unity Connectionin välistä tiedonkulkua tarkkaillaan ja muokataan)
- Verkkoliikenteen haisteleminen (kun ohjelmistoa käytetään puhelinkeskustelujen ja Cisco Unified CM:n, Unity Connectionin ja Cisco Unified CM:n hallitsemien IP-puhelimien välisten signaalitietojen tallentamiseen)
- Puhelusignaloinnin muutos Unity Connectionin ja Cisco Unified CM:n välillä
- Mediavirran muokkaaminen Unity Connectionin ja päätepisteen välillä (esimample, IP-puhelin tai yhdyskäytävä)
- Unity Connectionin identiteettivarkaus (kun muu kuin Unity Connection -laite esittelee itsensä Cisco Unified CM:lle Unity Connection -palvelimena)
- Cisco Unified CM -palvelimen identiteettivarkaus (kun muu kuin Cisco Unified CM -palvelin esittelee itsensä Unity Connectionille Cisco Unified CM -palvelimena)
CiscoUnifiedCommunicationsManager-tietoturvaominaisuudet Unity Connectionin ääniviestiporteille
Cisco Unified CM voi suojata yhteyden Unity Connectionilla uhkia vastaan, jotka on lueteltu Unity Connectionin, Cisco Unified Communications Managerin ja IP-puhelimien välisten yhteyksien suojausongelmat -kohdassa.
Cisco Unified CM -suojausominaisuudet, joita Unity Connection voi hyödyntäätagYksi niistä on kuvattu Taulukko 1: Cisco Unified CM -suojausominaisuudet, joita Cisco Unity Connection käyttää.
Taulukko 1: Cisco Unified CM -suojausominaisuudet, joita Cisco Unity Connection käyttää
| Suojausominaisuus | Kuvaus |
| Signaalin todennus | Prosessi, joka käyttää Transport Layer Security (TLS) -protokollaa varmistaakseen, ettei tamppakettien signaloinnissa on tapahtunut virhe lähetyksen aikana. Signaalin todennus perustuu Cisco Certificate Trust List (CTL) -luottamusluettelon luomiseen. file. Tämä ominaisuus suojaa: • Man-in-the-middle -hyökkäykset, jotka muuttavat Cisco Unified CM:n ja Unity Connectionin välistä tiedonkulkua. • Kutsujen signaloinnin muuttaminen. • Unity Connection -palvelimen identiteettivarkaus. • Cisco Unified CM -palvelimen identiteettivarkaus. |
| Laitetodennus | Prosessi, joka vahvistaa laitteen identiteetin ja varmistaa, että entiteetti on se, mitä se väittää olevansa. Tämä prosessi tapahtuu Cisco Unified CM:n ja joko Unity Connection -ääniviestiporttien (SCCP-integraatiota varten) tai Unity Connection -porttiryhmien (SIP-integraatiota varten) välillä, kun kukin laite hyväksyy toisen laitteen varmenteen. Kun varmenteet hyväksytään, laitteiden välille muodostetaan suojattu yhteys. Laitteen todennus perustuu Cisco Certificate Trust List (CTL) -luottamusluettelon luomiseen. file. Tämä ominaisuus suojaa: • Man-in-the-middle -hyökkäykset, jotka muuttavat Cisco Unified CM:n ja Unity Connectionin välistä tiedonkulkua. • Mediavirran muuttaminen. • Unity Connection -palvelimen identiteettivarkaus. • Cisco Unified CM -palvelimen identiteettivarkaus. |
| Signaalin salaus | Prosessi, joka käyttää salausmenetelmiä suojaamaan (salauksen avulla) kaikkien Unity Connectionin ja Cisco Unified CM:n välillä lähetettyjen SCCP- tai SIP-signalointiviestien luottamuksellisuutta. Signaalin salaus varmistaa, että osapuolia koskevat tiedot, osapuolten syöttämät DTMF-numerot, puhelun tila, median salausavaimet ja niin edelleen on suojattu tahattomalta tai luvattomalta käytöltä. Tämä ominaisuus suojaa: • Man-in-the-middle -hyökkäykset, jotka tarkkailevat Cisco Unified CM:n ja Unity Connectionin välistä tiedonkulkua. • Verkkoliikenteen sniffing, joka tarkkailee Cisco Unified CM:n ja Unity Connectionin välistä signalointitietovirtaa. |
| Median salaus | Prosessi, jossa median luottamuksellisuus toteutuu salausmenetelmiä käyttämällä. Tämä prosessi käyttää IETF RFC 3711:ssä määriteltyä Secure Real Time Protocol (SRTP) -protokollaa ja varmistaa, että vain aiottu vastaanottaja voi tulkita Unity Connectionin ja päätepisteen välisiä mediavirtoja (esim.ample, puhelin tai yhdyskäytävä). Tuki sisältää vain äänivirrat. Median salaukseen kuuluu Media Player -avainparin luominen laitteille, avainten toimittaminen Unity Connectioniin ja päätepisteeseen sekä avainten toimituksen varmistaminen avainten ollessa kuljetuksessa. Unity Connection ja päätepiste käyttävät avaimia mediavirran salaamiseen ja salauksen purkamiseen. Tämä ominaisuus suojaa: • Man-in-the-middle -hyökkäykset, jotka kuuntelevat Cisco Unified CM:n ja Unity Connectionin välistä mediavirtaa. • Verkkoliikenteen haisteleminen, joka salakuuntelee Cisco Unified CM:n, Unity Connectionin ja Cisco Unified CM:n hallinnoimien IP-puhelimien välillä kulkevia puhelinkeskusteluja. |
Todennus ja signaloinnin salaus ovat median salauksen vähimmäisvaatimuksia; eli jos laitteet eivät tue signaloinnin salausta ja todennusta, median salausta ei voi tapahtua.
Cisco Unified CM -suojaus (todennus ja salaus) suojaa vain Unity Connection -puheluita. Viestisäilöön tallennettuja viestejä ei suojata Cisco Unified CM:n todennus- ja salausominaisuuksilla, mutta ne voidaan suojata Unity Connectionin yksityisellä suojatulla viestintätoiminnolla. Lisätietoja Unity Connectionin suojatusta viestintäominaisuudesta on kohdassa Yksityisiksi ja suojatuiksi merkittyjen viestien käsittely.
Itsesalaava asema
Cisco Unity Connection tukee myös itsesalaavia asemia (SED). Tätä kutsutaan myös Full Disk Encryption (FDE) -salaukseksi. FDE on salausmenetelmä, jota käytetään kaiken kiintolevyllä olevan tiedon salaamiseen.
Tiedot sisältävät files, käyttöjärjestelmä ja ohjelmistot. Levyllä käytettävissä oleva laitteisto salaa kaikki saapuvat tiedot ja purkaa kaiken lähtevän tiedon. Kun asema on lukittu, salausavain luodaan ja tallennetaan sisäisesti. Kaikki tälle asemalle tallennetut tiedot salataan tällä avaimella ja tallennetaan salatussa muodossa. FDE sisältää avaintunnuksen ja suojausavaimen.
Katso lisätietoja https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Suojaustilan asetukset Cisco Unified Communications Managerille ja Unitylle Yhteys
Cisco Unified Communications Managerissa ja Cisco Unity Connectionissa on suojaustilan asetukset, jotka näkyvät taulukossa 2: Suojaustilan asetukset puheviestiporteille (SCCP-integraatioille) tai porttiryhmille (SIP-integroinneille).
Varoitus
Cluster Security Mode -asetuksen Unity Connection -ääniviestiporteille (SCCP-integraatioille) tai porttiryhmille (SIP-integraatioille) on vastattava Cisco Unified CM -porttien suojaustila-asetusta.
Muussa tapauksessa Cisco Unified CM -todennus ja -salaus epäonnistuu.
Taulukko 2: Suojaustilan asetukset
| Asetus | Vaikutus |
| Ei-turvallinen | Kutsunsignalointiviestien eheyttä ja yksityisyyttä ei taata, koska hälytysviestit lähetetään selkeänä (salaamattomana) tekstinä yhdistettynä Cisco Unified CM:ään todentamattoman portin kautta todennetun TLS-portin sijaan. Lisäksi mediavirtaa ei voi salata. |
| Vahvistetut | Kutsunsignalointiviestien eheys varmistetaan, koska ne on yhdistetty Cisco Unified CM:ään todennetun TLS-portin kautta. Kuitenkin kutsuviestien yksityisyyttä ei taata, koska ne lähetetään selkeänä (salaamattomana) tekstinä. Lisäksi mediavirtaa ei ole salattu. |
| Salattu | Soittomerkkiviestien eheys ja yksityisyys varmistetaan, koska ne on yhdistetty Cisco Unified CM:ään todennetun TLS-portin kautta ja kutsuviestit on salattu. Lisäksi mediavirta voidaan salata. Molemmat päätepisteet on rekisteröitävä salatussa tilassa jotta mediavirta voidaan salata. Kuitenkin, kun yksi päätepiste on asetettu suojaamattomaan tai todennettuun tilaan ja toinen päätepiste on asetettu salattuun tilaan, mediavirtaa ei salata. Lisäksi, jos välissä oleva laite (kuten transkooderi tai yhdyskäytävä) ei ole käytössä salausta varten, mediavirtaa ei salata. |
Parhaat käytännöt Unity Connectionin, Cisco Unified Communications Managerin ja IP-puhelimien välisen yhteyden turvaamiseen
Jos haluat ottaa käyttöön todennuksen ja salauksen puheviestiporteille sekä Cisco Unity Connectionissa että Cisco Unified Communications Managerissa, katso Cisco Unified Communications Manager SCCP Integration Guide for Unity Connection Release 12.x, joka on saatavilla osoitteessa
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Cisco Unity Connectionin, Cisco Unified Communications Managerin ja IP-puhelimien välisen yhteyden turvaaminen
Asiakirjat / Resurssit
 |
CISCO Unity Connection Unified Communications Manager [pdfKäyttöopas Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager |