logo de Cisco

Sécurisation de la connexion entre Cisco Unity
Connexion, communications unifiées Cisco
Gestionnaire et téléphones IP

Gestionnaire de communications unifiées CISCO Unity Connection

• Sécurisation de la connexion entre Cisco Unity Connection, Cisco Unified Communications Manager et les téléphones IP, à la page 1
Sécurisation de la connexion entre Cisco Unity Connection, Cisco Unified Communications Manager et les téléphones IP

Contenu cacher
1 Introduction
2 Lecteur à chiffrement automatique
3 Documents / Ressources
3.1 Références

Introduction

Dans ce chapitre, vous trouverez des descriptions des problèmes de sécurité potentiels liés aux connexions entre Cisco Unity Connection, Cisco Unified Communications Manager et les téléphones IP ; des informations sur les actions que vous devez entreprendre ; des recommandations qui vous aident à prendre des décisions ; discussion des ramifications des décisions que vous prenez ; et les meilleures pratiques.

Problèmes de sécurité pour les connexions entre Unity Connection et Cisco Unified Responsable des communications et téléphones IP
Un point de vulnérabilité potentiel pour un système Cisco Unity Connection est la connexion entre les ports de messagerie vocale Unity Connection (pour une intégration SCCP) ou les groupes de ports (pour une intégration SIP), Cisco Unified Communications Manager et les téléphones IP.

Les menaces possibles incluent :

  • Attaques de l'homme du milieu (lorsque le flux d'informations entre Cisco Unified CM et Unity Connection est observé et modifié)
  • Reniflage du trafic réseau (lorsque le logiciel est utilisé pour capturer les conversations téléphoniques et les informations de signalisation qui circulent entre Cisco Unified CM, Unity Connection et les téléphones IP gérés par Cisco Unified CM)
  • Modification de la signalisation d'appel entre Unity Connection et Cisco Unified CM
  • Modification du flux média entre Unity Connection et le point final (par example, un téléphone IP ou une passerelle)
  • Vol d'identité de Unity Connection (lorsqu'un périphérique non-Unity Connection se présente à Cisco Unified CM en tant que serveur Unity Connection)
  • Vol d'identité du serveur Cisco Unified CM (lorsqu'un serveur non-Cisco Unified CM se présente à Unity Connection comme un serveur Cisco Unified CM)

Fonctionnalités de sécurité de CiscoUnifiedCommunicationsManager pour les ports de messagerie vocale Unity Connection
Cisco Unified CM peut sécuriser la connexion avec Unity Connection contre les menaces répertoriées dans les problèmes de sécurité pour les connexions entre Unity Connection, Cisco Unified Communications Manager et les téléphones IP.
Les fonctionnalités de sécurité de Cisco Unified CM que Unity Connection peut exploitertagCertains d'entre eux sont décrits dans le Tableau 1 : Fonctionnalités de sécurité Cisco Unified CM utilisées par Cisco Unity Connection.

Tableau 1 : Fonctionnalités de sécurité Cisco Unified CM utilisées par Cisco Unity Connection

Fonction de sécurité Description
Authentification de signalisation Le processus qui utilise le protocole Transport Layer Security (TLS) pour valider que nonampUne modification s'est produite sur les paquets de signalisation pendant la transmission.
L'authentification de signalisation repose sur la création de la liste de confiance des certificats Cisco (CTL) file.
Cette fonctionnalité protège contre :
• Attaques de l'homme du milieu qui modifient le flux d'informations entre Cisco Unified CM et Unity Connection.
• Modification de la signalisation d'appel.
• Usurpation d'identité du serveur Unity Connection.
• Vol d'identité du serveur Cisco Unified CM.
Authentification de l'appareil Processus qui valide l'identité de l'appareil et garantit que l'entité est bien celle qu'elle prétend être. Ce processus se produit entre Cisco Unified CM et les ports de messagerie vocale Unity Connection (pour une intégration SCCP) ou les groupes de ports Unity Connection (pour une intégration SIP) lorsque chaque périphérique accepte le certificat de l'autre périphérique. Lorsque les certificats sont acceptés, une connexion sécurisée entre les appareils est établie. L'authentification des appareils repose sur la création de la liste de confiance des certificats Cisco (CTL) file.
Cette fonctionnalité protège contre :
• Attaques de l'homme du milieu qui modifient le flux d'informations entre Cisco Unified CM et Unity Connection.
• Modification du flux média.
• Usurpation d'identité du serveur Unity Connection.
• Vol d'identité du serveur Cisco Unified CM.
Chiffrement de la signalisation Processus qui utilise des méthodes cryptographiques pour protéger (par le biais du chiffrement) la confidentialité de tous les messages de signalisation SCCP ou SIP envoyés entre Unity Connection et Cisco Unified CM. Le cryptage de la signalisation garantit que les informations relatives aux interlocuteurs, les chiffres DTMF saisis par les interlocuteurs, l'état de l'appel, les clés de cryptage multimédia, etc. sont protégés contre tout accès involontaire ou non autorisé.
Cette fonctionnalité protège contre :
• Attaques de l'homme du milieu qui observent le flux d'informations entre Cisco Unified CM et Unity Connection.
• Reniflage du trafic réseau qui observe le flux d'informations de signalisation entre Cisco Unified CM et Unity Connection.
Cryptage des médias Processus par lequel la confidentialité des médias se produit grâce à l'utilisation de procédures cryptographiques.
Ce processus utilise le protocole SRTP (Secure Real Time Protocol) tel que défini dans IETF RFC 3711 et garantit que seul le destinataire prévu peut interpréter les flux multimédias entre Unity Connection et le point de terminaison (par ex.ample, un téléphone ou une passerelle). La prise en charge inclut uniquement les flux audio. Le chiffrement multimédia comprend la création d'une paire de clés Media Player pour les appareils, la transmission des clés à Unity Connection et au point de terminaison, et la sécurisation de la livraison des clés pendant leur transport. Unity Connection et le point de terminaison utilisent les clés pour chiffrer et déchiffrer le flux multimédia.
Cette fonctionnalité protège contre :
• Attaques de l'homme du milieu qui écoutent le flux multimédia entre Cisco Unified CM et Unity Connection.
• Reniflage du trafic réseau qui écoute les conversations téléphoniques circulant entre Cisco Unified CM, Unity Connection et les téléphones IP gérés par Cisco Unified CM.

L'authentification et le cryptage de la signalisation constituent les exigences minimales pour le cryptage des médias ; autrement dit, si les appareils ne prennent pas en charge le chiffrement et l'authentification des signalisations, le chiffrement multimédia ne peut pas avoir lieu.
La sécurité Cisco Unified CM (authentification et cryptage) protège uniquement les appels vers Unity Connection. Les messages enregistrés dans la banque de messages ne sont pas protégés par les fonctionnalités d'authentification et de chiffrement de Cisco Unified CM, mais peuvent être protégés par la fonctionnalité de messagerie sécurisée privée de Unity Connection. Pour plus de détails sur la fonctionnalité de messagerie sécurisée d'Unity Connection, consultez Gestion des messages marqués privés et sécurisés.

Lecteur à chiffrement automatique

Cisco Unity Connection prend également en charge les lecteurs à chiffrement automatique (SED). Ceci est également appelé chiffrement complet du disque (FDE). FDE est une méthode cryptographique utilisée pour crypter toutes les données disponibles sur le disque dur.
Les données comprennent files, système d'exploitation et logiciels. Le matériel disponible sur le disque crypte toutes les données entrantes et décrypte toutes les données sortantes. Lorsque le lecteur est verrouillé, une clé de cryptage est créée et stockée en interne. Toutes les données stockées sur ce lecteur sont cryptées à l'aide de cette clé et stockées sous forme cryptée. Le FDE comprend un ID de clé et une clé de sécurité.
Pour plus d'informations, voir https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Paramètres du mode de sécurité pour Cisco Unified Communications Manager et Unity Connexion
Cisco Unified Communications Manager et Cisco Unity Connection disposent des options de mode de sécurité présentées dans le Tableau 2 : Options de mode de sécurité pour les ports de messagerie vocale (pour les intégrations SCCP) ou les groupes de ports (pour les intégrations SIP).

Icône d'avertissement Prudence
Le paramètre du mode de sécurité du cluster pour les ports de messagerie vocale Unity Connection (pour les intégrations SCCP) ou les groupes de ports (pour les intégrations SIP) doit correspondre au paramètre du mode de sécurité pour les ports Cisco Unified CM.
Sinon, l'authentification et le chiffrement Cisco Unified CM échouent.

Tableau 2 : Options du mode de sécurité

Paramètre Effet
Non sécurisé L'intégrité et la confidentialité des messages de signalisation d'appel ne sont pas garanties car les messages de signalisation d'appel sont envoyés sous forme de texte clair (non chiffré) connecté à Cisco Unified CM via un port non authentifié plutôt qu'un port TLS authentifié. De plus, le flux multimédia ne peut pas être chiffré.
Authentifié L'intégrité des messages de signalisation d'appel est garantie car ils sont connectés à Cisco Unified CM via un port TLS authentifié. Cependant, le
la confidentialité des messages de signalisation d'appel n'est pas garantie car ils sont envoyés sous forme de texte clair (non crypté). De plus, le flux multimédia n’est pas crypté.
Crypté L'intégrité et la confidentialité des messages de signalisation d'appel sont garanties car ils sont connectés à Cisco Unified CM via un port TLS authentifié et les messages de signalisation d'appel sont cryptés. De plus, le flux multimédia peut être crypté. Les deux points finaux doivent être enregistrés en mode crypté
pour que le flux multimédia soit chiffré. Cependant, lorsqu'un point final est défini pour le mode non sécurisé ou authentifié et que l'autre point final est défini pour le mode crypté, le flux multimédia n'est pas chiffré. De plus, si un périphérique intervenant (tel qu'un transcodeur ou une passerelle) n'est pas activé pour le chiffrement, le flux multimédia n'est pas chiffré.

Meilleures pratiques pour sécuriser la connexion entre Unity Connection, Cisco Unified Communications Manager et les téléphones IP
Si vous souhaitez activer l'authentification et le cryptage pour les ports de messagerie vocale sur Cisco Unity Connection et Cisco Unified Communications Manager, consultez le Guide d'intégration SCCP de Cisco Unified Communications Manager pour Unity Connection version 12.x, disponible sur
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Sécurisation de la connexion entre Cisco Unity Connection, Cisco Unified Communications Manager et les téléphones IP

Documents / Ressources

Gestionnaire de communications unifiées CISCO Unity Connection [pdf] Guide de l'utilisateur
Gestionnaire de communications unifiées Unity Connection, Gestionnaire de communications unifiées Connection, Gestionnaire de communications unifiées, Gestionnaire de communications, Gestionnaire

Références

Laisser un commentaire

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués *