Boargjen fan de ferbining tusken Cisco Unity
Ferbining, Cisco Unified Communications
Manager, en IP-tillefoans
• Befeiligje de ferbining tusken Cisco Unity Connection, Cisco Unified Communications Manager en IP-tillefoans, op side 1
De ferbining befeiligje tusken Cisco Unity Connection, Cisco Unified Communications Manager en IP-tillefoans
Ynlieding
Yn dit haadstik soene jo fine beskriuwings fan potinsjele feiligens problemen yn ferbân mei ferbinings tusken Cisco Unity Connection, Cisco Unified Communications Manager, en IP telefoans; ynformaasje oer alle aksjes dy't jo moatte nimme; oanbefellings dy't jo helpe besluten te nimmen; diskusje oer de gefolgen fan 'e besluten dy't jo meitsje; en bêste praktiken.
Feiligensproblemen foar ferbiningen tusken Unity Connection, Cisco Unified Kommunikaasjebehearder, en IP-tillefoans
In potinsjele punt fan kwetsberens foar in Cisco Unity Connection systeem is de ferbining tusken Unity Connection stim messaging havens (foar in SCCP yntegraasje) of haven groepen (foar in SIP yntegraasje), Cisco Unified Communications Manager, en de IP telefoans.
Mooglike bedrigingen binne:
- Man-in-the-middle oanfallen (as de ynformaasjestream tusken Cisco Unified CM en Unity Connection wurdt waarnommen en wizige)
- Netwurkferkear sniffing (as software wurdt brûkt om telefoanpetearen te fangen en sinjalearjen fan ynformaasje dy't streamt tusken Cisco Unified CM, Unity Connection, en IP-tillefoans dy't wurde beheard troch Cisco Unified CM)
- Modifikaasje fan oprop sinjalearjen tusken Unity Connection en Cisco Unified CM
- Modifikaasje fan 'e mediastream tusken Unity Connection en it einpunt (bglample, in IP-tillefoan of in gateway)
- Identiteitsstellerij fan Unity Connection (as in net-Unity Connection-apparaat himsels presintearret oan Cisco Unified CM as Unity Connection-tsjinner)
- Identiteitsstellerij fan 'e Cisco Unified CM-tsjinner (as in net-Cisco Unified CM-tsjinner himsels presintearret oan Unity Connection as in Cisco Unified CM-tsjinner)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Voice Messaging Ports
Cisco Unified CM kin de ferbining mei Unity Connection befeiligje tsjin de bedrigingen neamd yn 'e Feiligensproblemen foar ferbiningen tusken Unity Connection, Cisco Unified Communications Manager, en IP-tillefoans.
De Cisco Unified CM-befeiligingsfunksjes dy't Unity Connection foardielje kintage fan wurde beskreaun yn tabel 1: Cisco Unified CM Security Features brûkt troch Cisco Unity Connection.
tabel 1: Cisco Unified CM Security Features brûkt troch Cisco Unity Connection
| Feiligensfunksje | Beskriuwing |
| Signalearjen fan autentikaasje | It proses dat it protokol Transport Layer Security (TLS) brûkt om te falidearjen dat gjin tampering is bard oan it sinjalearjen fan pakketten tidens oerdracht. Sinjaalferifikaasje fertrout op it meitsjen fan 'e Cisco Certificate Trust List (CTL) file. Dizze funksje beskermet tsjin: • Man-in-the-middle oanfallen dy't feroarje de ynformaasje stream tusken Cisco Unified CM en Unity Connection. • Feroaring fan de oprop sinjalearring. • Identiteitsstellerij fan de Unity Connection-tsjinner. • Identiteitsstellerij fan de Cisco Unified CM tsjinner. |
| Apparaat ferifikaasje | It proses dat de identiteit fan it apparaat falidearret en soarget dat de entiteit is wat it beweart te wêzen. Dit proses bart tusken Cisco Unified CM en beide Unity Connection stim messaging havens (foar in SCCP yntegraasje) of Unity Connection haven groepen (foar in SIP yntegraasje) doe't elk apparaat akseptearret it sertifikaat fan it oare apparaat. As de sertifikaten wurde akseptearre, wurdt in feilige ferbining tusken de apparaten oprjochte. Apparaatautentikaasje is basearre op it meitsjen fan 'e Cisco Certificate Trust List (CTL) file. Dizze funksje beskermet tsjin: • Man-in-the-middle oanfallen dy't feroarje de ynformaasje stream tusken Cisco Unified CM en Unity Connection. • Feroaring fan 'e mediastream. • Identiteitsstellerij fan de Unity Connection-tsjinner. • Identiteitsstellerij fan de Cisco Unified CM tsjinner. |
| Sinjalearjen fersifering | It proses dat brûkt kryptografyske metoaden te beskermjen (troch fersifering) de fertroulikens fan alle SCCP of SIP sinjaal berjochten dy't stjoerd wurde tusken Unity Connection en Cisco Unified CM. Sinjalearjen fersifering soarget derfoar dat de ynformaasje dy't oanbelanget op 'e partijen, DTMF-sifers dy't wurde ynfierd troch de partijen, opropstatus, media-kodearringskaaien, ensfh. Dizze funksje beskermet tsjin: • Man-in-the-middle oanfallen dy't observearje de ynformaasje stream tusken Cisco Unified CM en Unity Connection. • Netwurk ferkear sniffing dat observearret de sinjaal ynformaasje stream tusken Cisco Unified CM en Unity Connection. |
| Media fersifering | It proses wêrby't de fertroulikens fan 'e media foarkomt troch it brûken fan kryptografyske prosedueres. Dit proses brûkt Secure Real Time Protocol (SRTP) lykas definiearre yn IETF RFC 3711, en soarget derfoar dat allinich de bedoelde ûntfanger de mediastreamen tusken Unity Connection en it einpunt kin ynterpretearje (bgl.ample, in telefoan of gateway). Stipe omfettet allinich audiostreamen. Media-fersifering omfettet it meitsjen fan in Media Player-kaaipaar foar de apparaten, it leverjen fan de kaaien foar Unity Connection en it einpunt, en it befeiligjen fan de levering fan 'e kaaien wylst de kaaien yn ferfier binne. Unity Connection en it einpunt brûke de kaaien om de mediastream te fersiferjen en te ûntsiferjen. Dizze funksje beskermet tsjin: • Man-in-the-middle oanfallen dy't harkje nei de media stream tusken Cisco Unified CM en Unity Connection. • Netwurk ferkear sniffing dat eavesdrops op telefoan petearen dy't stream tusken Cisco Unified CM, Unity Connection, en IP telefoans dy't beheard troch Cisco Unified CM. |
Ferifikaasje- en sinjaalfersifering tsjinje as de minimale easken foar mediakodearring; dat is, as de apparaten net stypje sinjalearjen fersifering en autentikaasje, kin media fersifering net foarkomme.
Cisco Unified CM feiligens (ferifikaasje en fersifering) beskermet allinnich oproppen nei Unity Connection. Berjochten opnommen yn 'e berjochtwinkel wurde net beskerme troch de Cisco Unified CM-ferifikaasje- en fersiferingsfunksjes, mar kinne wurde beskerme troch de Unity Connection privee feilige berjochtenfunksje. Foar details oer de Unity Connection feilige berjochtenfunksje, sjoch de Berjochten omgean markearre privee en feilich.
Self-fersiferend drive
Cisco Unity Connection stipet ek selsfersiferjende driuwfearren (SED). Dit wurdt ek wol Full Disk Encryption (FDE) neamd. FDE is in kryptografyske metoade dy't brûkt wurdt om alle gegevens te fersiferjen dy't beskikber binne op 'e hurde skiif.
De gegevens befetsje files, bestjoeringssysteem en software programma. De hardware beskikber op 'e skiif fersiferet alle ynkommende gegevens en ûntsiferet alle útgeande gegevens. As it stasjon is beskoattele, wurdt in fersiferingskaai makke en yntern opslein. Alle gegevens dy't op dit stasjon wurde opslein, wurde fersifere mei dy kaai en opslein yn 'e fersifere foarm. De FDE bestiet út in kaai-ID en in feiligenskaai.
Foar mear ynformaasje, sjoch https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Feiligens Mode Ynstellings foar Cisco Unified Communications Manager en Unity Ferbining
Cisco Unified Communications Manager en Cisco Unity Connection hawwe de feiligens modus opsjes werjûn yn tabel 2: Feiligens Mode Opsjes foar stim messaging havens (foar SCCP yntegraasjes) of haven groepen (foar SIP yntegraasjes).
Foarsichtigens
De ynstelling fan Cluster Security Mode foar Unity Connection stimberjochtenports (foar SCCP-yntegraasjes) of poartegroepen (foar SIP-yntegraasjes) moat oerienkomme mei de feiligensmodusynstelling foar de Cisco Unified CM-ports.
Oars mislearret Cisco Unified CM-ferifikaasje en fersifering.
Tabel 2: Opsjes foar feiligensmodus
| Setting | Effekt |
| Net feilich | De yntegriteit en privacy fan oprop-sinjalearjen berjochten wurde net garandearre omdat call-signaling berjochten wurde ferstjoerd as dúdlike (ûnfersifere) tekst ferbûn mei Cisco Unified CM fia in net-ferifiearre haven ynstee fan in autentike TLS haven. Derneist kin de mediastream net fersifere wurde. |
| Ferifikaasje | De yntegriteit fan oprop-sinjalearjen berjochten wurde garandearre omdat se binne ferbûn mei Cisco Unified CM fia in autentike TLS haven. Lykwols, de privacy fan oprop-sinjalearjende berjochten wurde net garandearre, om't se as dúdlike (ûnfersifere) tekst ferstjoerd wurde. Derneist is de mediastream net fersifere. |
| Fersifere | De yntegriteit en privacy fan oprop-sinjalearjen berjochten wurde garandearre omdat se binne ferbûn mei Cisco Unified CM fia in autentike TLS haven, en de oprop-sinjalearjen berjochten binne fersifere. Derneist kin de mediastream fersifere wurde. Beide einpunten moatte wurde registrearre yn fersifere modus om de mediastream te fersiferjen. Wannear't ien einpunt lykwols ynsteld is foar net-feilige of autentike modus en it oare einpunt is ynsteld foar fersifere modus, wurdt de mediastream net fersifere. Ek as in yngripend apparaat (lykas in transcoder of gateway) net ynskeakele is foar fersifering, is de mediastream net fersifere. |
Bêste praktiken foar it befeiligjen fan de ferbining tusken Unity Connection, Cisco Unified Communications Manager, en IP-tillefoans
As jo wolle aktivearje autentikaasje en fersifering foar de stim messaging havens op sawol Cisco Unity Connection en Cisco Unified Communications Manager, sjoch de Cisco Unified Communications Manager SCCP Integration Guide foar Unity Connection Release 12.x, beskikber op
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
De ferbining befeiligje tusken Cisco Unity Connection, Cisco Unified Communications Manager en IP-tillefoans
Dokuminten / Resources
 |
CISCO Unity Connection Unified Communications Manager [pdf] Brûkersgids Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager |