logotipo de Cisco

Asegurar a conexión entre Cisco Unity
Conexión, Cisco Unified Communications
Administrador, e teléfonos IP

Xestor de comunicacións unificadas de CISCO Unity Connection

• Asegurar a conexión entre Cisco Unity Connection, Cisco Unified Communications Manager e teléfonos IP, na páxina 1
Asegurar a conexión entre Cisco Unity Connection, Cisco Unified Communications Manager e teléfonos IP

Contidos ocultar
1 Introdución
2 Unidade de autocifrado
3 Documentos/Recursos
3.1 Referencias

Introdución

Neste capítulo, atopará descricións de posibles problemas de seguranza relacionados coas conexións entre Cisco Unity Connection, Cisco Unified Communications Manager e teléfonos IP; información sobre as accións que cómpre levar a cabo; recomendacións que che axudan a tomar decisións; discusión das ramificacións das decisións que toma; e as mellores prácticas.

Problemas de seguridade para conexións entre Unity Connection e Cisco Unified Xestor de comunicacións e teléfonos IP
Un punto potencial de vulnerabilidade para un sistema Cisco Unity Connection é a conexión entre os portos de mensaxería de voz de Unity Connection (para unha integración SCCP) ou grupos de portos (para unha integración SIP), o Cisco Unified Communications Manager e os teléfonos IP.

As posibles ameazas inclúen:

  • Ataques man-in-the-middle (cando se observa e modifica o fluxo de información entre Cisco Unified CM e Unity Connection)
  • Control de tráfico de rede (cando se usa software para capturar conversas telefónicas e información de sinalización que flúen entre Cisco Unified CM, Unity Connection e teléfonos IP que son xestionados por Cisco Unified CM)
  • Modificación da sinalización de chamadas entre Unity Connection e Cisco Unified CM
  • Modificación do fluxo multimedia entre Unity Connection e o punto final (por exemploample, un teléfono IP ou unha pasarela)
  • Roubo de identidade de Unity Connection (cando un dispositivo que non é de Unity Connection se presenta a Cisco Unified CM como servidor de Unity Connection)
  • Roubo de identidade do servidor de Cisco Unified CM (cando un servidor de Cisco Unified CM se presenta a Unity Connection como un servidor de Cisco Unified CM)

Cisco Unified Communications ManagerFuncións de seguridade para os portos de mensaxería de voz de Unity Connection
Cisco Unified CM pode protexer a conexión con Unity Connection contra as ameazas enumeradas nos problemas de seguridade para conexións entre Unity Connection, Cisco Unified Communications Manager e teléfonos IP.
As funcións de seguranza de Cisco Unified CM que Unity Connection pode aproveitartagDescríbense na Táboa 1: Funcións de seguranza de Cisco Unified CM utilizadas por Cisco Unity Connection.

Táboa 1: Funcións de seguranza de Cisco Unified CM utilizadas por Cisco Unity Connection

Función de seguridade Descrición
Autenticación de sinalización O proceso que utiliza o protocolo Transport Layer Security (TLS) para validar que non tampproduciuse un erro para os paquetes de sinalización durante a transmisión.
A autenticación de sinalización depende da creación da lista de confianza de certificados de Cisco (CTL) file.
Esta función protexe contra:
• Ataques man-in-the-middle que modifican o fluxo de información entre Cisco Unified CM e Unity Connection.
• Modificación da sinalización da chamada.
• Roubo de identidade do servidor de Unity Connection.
• Roubo de identidade do servidor Cisco Unified CM.
Autenticación do dispositivo O proceso que valida a identidade do dispositivo e garante que a entidade é o que di ser. Este proceso ocorre entre Cisco Unified CM e os portos de mensaxería de voz de Unity Connection (para unha integración SCCP) ou grupos de portos de Unity Connection (para unha integración SIP) cando cada dispositivo acepta o certificado do outro dispositivo. Cando se aceptan os certificados, establécese unha conexión segura entre os dispositivos. A autenticación do dispositivo depende da creación da lista de confianza de certificados de Cisco (CTL) file.
Esta función protexe contra:
• Ataques man-in-the-middle que modifican o fluxo de información entre Cisco Unified CM e Unity Connection.
• Modificación do fluxo multimedia.
• Roubo de identidade do servidor de Unity Connection.
• Roubo de identidade do servidor Cisco Unified CM.
Cifrado de sinalización O proceso que utiliza métodos criptográficos para protexer (a través do cifrado) a confidencialidade de todas as mensaxes de sinalización SCCP ou SIP que se envían entre Unity Connection e Cisco Unified CM. O cifrado de sinalización garante que a información que pertence ás partes, os díxitos DTMF introducidos polas partes, o estado da chamada, as claves de cifrado multimedia, etc., estean protexidos contra accesos non desexados ou non autorizados.
Esta función protexe contra:
• Ataques man-in-the-middle que observan o fluxo de información entre Cisco Unified CM e Unity Connection.
• Control de tráfico de rede que observa o fluxo de información de sinalización entre Cisco Unified CM e Unity Connection.
Cifrado multimedia O proceso polo cal se produce a confidencialidade dos medios mediante o uso de procedementos criptográficos.
Este proceso utiliza Secure Real Time Protocol (SRTP) segundo se define no IETF RFC 3711 e garante que só o destinatario previsto poida interpretar os fluxos multimedia entre Unity Connection e o punto final (por exemploample, un teléfono ou pasarela). A asistencia só inclúe fluxos de audio. O cifrado multimedia inclúe a creación dun par de claves de Media Player para os dispositivos, a entrega das claves a Unity Connection e ao punto final e asegurar a entrega das claves mentres as chaves están en transporte. Unity Connection e o punto final usan as claves para cifrar e descifrar o fluxo multimedia.
Esta función protexe contra:
• Ataques man-in-the-middle que escoitan o fluxo multimedia entre Cisco Unified CM e Unity Connection.
• Control de tráfico de rede que escoita as conversacións telefónicas que flúen entre Cisco Unified CM, Unity Connection e teléfonos IP xestionados por Cisco Unified CM.

A autenticación e o cifrado de sinalización serven como requisitos mínimos para o cifrado de medios; é dicir, se os dispositivos non admiten o cifrado de sinalización e a autenticación, non se pode producir o cifrado multimedia.
A seguridade de Cisco Unified CM (autenticación e cifrado) só protexe as chamadas a Unity Connection. As mensaxes gravadas no almacén de mensaxes non están protexidas polas funcións de cifrado e autenticación de Cisco Unified CM, pero pódense protexer coa función de mensaxería segura privada de Unity Connection. Para obter máis información sobre a función de mensaxería segura de Unity Connection, consulte Manexo de mensaxes marcadas como privadas e seguras.

Unidade de autocifrado

Cisco Unity Connection tamén admite unidades de autocifrado (SED). Isto tamén se denomina cifrado de disco completo (FDE). FDE é un método criptográfico que se usa para cifrar todos os datos que están dispoñibles no disco duro.
Os datos inclúen files, sistema operativo e programas de software. O hardware dispoñible no disco cifra todos os datos entrantes e descifra todos os datos saíntes. Cando a unidade está bloqueada, créase e gárdase internamente unha clave de cifrado. Todos os datos que se almacenan nesta unidade cífranse mediante esa chave e gárdanse de forma cifrada. O FDE inclúe un ID de chave e unha chave de seguridade.
Para obter máis información, consulte https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Configuración do modo de seguranza para Cisco Unified Communications Manager e Unity Conexión
Cisco Unified Communications Manager e Cisco Unity Connection teñen as opcións de modo de seguranza que se mostran na Táboa 2: Opcións de modo de seguranza para portos de mensaxería de voz (para integracións SCCP) ou grupos de portos (para integracións SIP).

Icona de aviso Precaución
A configuración do modo de seguranza do clúster para os portos de mensaxería de voz de Unity Connection (para integracións SCCP) ou os grupos de portos (para integracións SIP) debe coincidir coa configuración do modo de seguranza dos portos de Cisco Unified CM.
En caso contrario, falla a autenticación e o cifrado de Cisco Unified CM.

Táboa 2: Opcións do modo de seguranza

Configuración Efecto
Non seguro Non se garante a integridade e privacidade das mensaxes de sinalización de chamadas porque as mensaxes de sinalización de chamadas envíanse como texto claro (sen cifrar) conectado a Cisco Unified CM a través dun porto non autenticado en lugar dun porto TLS autenticado. Ademais, o fluxo multimedia non se pode cifrar.
Autenticada A integridade das mensaxes de sinalización de chamadas está garantida porque están conectadas a Cisco Unified CM a través dun porto TLS autenticado. Porén, o
non se garante a privacidade das mensaxes de sinalización de chamadas porque se envían como texto claro (sen cifrar). Ademais, o fluxo multimedia non está cifrado.
Cifrado A integridade e privacidade das mensaxes de sinalización de chamadas están garantidas porque están conectadas a Cisco Unified CM a través dun porto TLS autenticado e as mensaxes de sinalización de chamadas están cifradas. Ademais, o fluxo multimedia pódese cifrar. Ambos puntos finais deben rexistrarse en modo cifrado
para que o fluxo multimedia estea cifrado. Non obstante, cando un punto final está configurado para o modo non seguro ou autenticado e o outro para o modo cifrado, o fluxo multimedia non se cifra. Ademais, se un dispositivo intermedio (como un transcodificador ou pasarela) non está habilitado para o cifrado, o fluxo multimedia non se cifrará.

Mellores prácticas para protexer a conexión entre Unity Connection, Cisco Unified Communications Manager e teléfonos IP
Se desexa activar a autenticación e o cifrado para os portos de mensaxería de voz tanto en Cisco Unity Connection como en Cisco Unified Communications Manager, consulte a Guía de integración SCCP de Cisco Unified Communications Manager para Unity Connection Release 12.x, dispoñible en
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Asegurar a conexión entre Cisco Unity Connection, Cisco Unified Communications Manager e teléfonos IP

Documentos/Recursos

Xestor de comunicacións unificadas de CISCO Unity Connection [pdfGuía do usuario
Xestor de comunicacións unificadas de Unity Connection, xestor de comunicacións unificadas de conexión, xestor de comunicacións unificadas, xestor de comunicacións, xestor

Referencias

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *