cisco logotip

Osiguravanje veze između Cisco Unity
Veza, Cisco Unified Communications
Upravitelj, i IP telefoni

CISCO Unity Connection Unified Communications Manager

• Osiguravanje veze između Cisco Unity veze, Cisco Unified Communications Managera i IP telefona, na stranici 1
Osiguravanje veze između Cisco Unity veze, Cisco Unified Communications Managera i IP telefona

Sadržaj sakriti
1 Uvod
2 Samokriptirajući pogon
3 Dokumenti / Resursi
3.1 Reference

Uvod

U ovom poglavlju pronaći ćete opise potencijalnih sigurnosnih problema povezanih s vezama između Cisco Unity Connection, Cisco Unified Communications Managera i IP telefona; informacije o radnjama koje trebate poduzeti; preporuke koje vam pomažu u donošenju odluka; rasprava o grananju odluka koje donosite; i najbolje prakse.

Sigurnosna pitanja za veze između Unity Connection, Cisco Unified Upravitelj komunikacija i IP telefoni
Potencijalna točka ranjivosti za sustav Cisco Unity Connection je veza između portova za glasovne poruke Unity Connection (za SCCP integraciju) ili grupa portova (za SIP integraciju), Cisco Unified Communications Managera i IP telefona.

Moguće prijetnje uključuju:

  • Man-in-the-middle napadi (kada se promatra i modificira protok informacija između Cisco Unified CM-a i Unity Connectiona)
  • Njuškanje mrežnog prometa (kada se softver koristi za snimanje telefonskih razgovora i signalnih informacija koje teku između Cisco Unified CM, Unity Connection i IP telefona kojima upravlja Cisco Unified CM)
  • Promjena signalizacije poziva između Unity Connection i Cisco Unified CM
  • Promjena medijskog toka između Unity Connectiona i krajnje točke (nprample, IP telefon ili pristupnik)
  • Krađa identiteta Unity Connection (kada se uređaj koji nije Unity Connection predstavlja Cisco Unified CM-u kao poslužitelj Unity Connection)
  • Krađa identiteta Cisco Unified CM poslužitelja (kada se poslužitelj koji nije Cisco Unified CM predstavi Unity Connectionu kao Cisco Unified CM poslužitelj)

CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Portovi za glasovne poruke
Cisco Unified CM može osigurati vezu s Unity Connection protiv prijetnji navedenih u Sigurnosnim problemima za veze između Unity Connectiona, Cisco Unified Communications Managera i IP telefona.
Sigurnosne značajke Cisco Unified CM koje Unity Connection može unaprijedititagOpisane su u Tablici 1: Cisco Unified CM sigurnosne značajke koje koristi Cisco Unity Connection.

Tablica 1: Sigurnosne značajke Cisco Unified CM koje koristi Cisco Unity Connection

Sigurnosna značajka Opis
Signalizacija autentifikacije Proces koji koristi protokol Transport Layer Security (TLS) za provjeru da nema tampdošlo je do pogreške u signalnim paketima tijekom prijenosa.
Autentifikacija signaliziranja oslanja se na stvaranje Cisco Certificate Trust List (CTL) file.
Ova značajka štiti od:
• Man-in-the-middle napadi koji mijenjaju protok informacija između Cisco Unified CM i Unity Connection.
• Promjena signalizacije poziva.
• Krađa identiteta poslužitelja Unity Connection.
• Krađa identiteta Cisco Unified CM poslužitelja.
Provjera autentičnosti uređaja Proces koji potvrđuje identitet uređaja i osigurava da je entitet ono za što se predstavlja. Ovaj se proces odvija između Cisco Unified CM-a i portova za glasovne poruke Unity Connection (za SCCP integraciju) ili grupa portova Unity Connection (za SIP integraciju) kada svaki uređaj prihvati certifikat drugog uređaja. Kada se certifikati prihvate, uspostavlja se sigurna veza između uređaja. Autentifikacija uređaja oslanja se na stvaranje Cisco Certificate Trust List (CTL) file.
Ova značajka štiti od:
• Man-in-the-middle napadi koji mijenjaju protok informacija između Cisco Unified CM i Unity Connection.
• Promjena medijskog toka.
• Krađa identiteta poslužitelja Unity Connection.
• Krađa identiteta Cisco Unified CM poslužitelja.
Šifriranje signala Proces koji koristi kriptografske metode za zaštitu (putem šifriranja) povjerljivosti svih SCCP ili SIP signalnih poruka koje se šalju između Unity Connection i Cisco Unified CM. Enkripcija signaliziranja osigurava da su informacije koje se odnose na strane, DTMF znamenke koje su strane unijele, status poziva, ključevi za šifriranje medija i tako dalje zaštićeni od neželjenog ili neovlaštenog pristupa.
Ova značajka štiti od:
• Man-in-the-middle napadi koji promatraju protok informacija između Cisco Unified CM i Unity Connection.
• Njuškanje mrežnog prometa koje promatra protok signalnih informacija između Cisco Unified CM i Unity Connection.
Šifriranje medija Proces u kojem se povjerljivost medija odvija upotrebom kriptografskih postupaka.
Ovaj proces koristi Secure Real Time Protocol (SRTP) kako je definirano u IETF RFC 3711, i osigurava da samo namjeravani primatelj može interpretirati medijske tokove između Unity Connection i krajnje točke (npr.ample, telefon ili pristupnik). Podrška uključuje samo audio streamove. Medijska enkripcija uključuje stvaranje para ključeva Media Playera za uređaje, isporuku ključeva Unity Connectionu i krajnjoj točki te osiguravanje isporuke ključeva dok su ključevi u transportu. Unity Connection i krajnja točka koriste ključeve za šifriranje i dešifriranje medijskog toka.
Ova značajka štiti od:
• Man-in-the-middle napadi koji slušaju medijski tok između Cisco Unified CM i Unity Connection.
• Njuškanje mrežnog prometa koje prisluškuje telefonske razgovore koji teku između Cisco Unified CM, Unity Connection i IP telefona kojima upravlja Cisco Unified CM.

Autentifikacija i šifriranje signala služe kao minimalni zahtjevi za šifriranje medija; to jest, ako uređaji ne podržavaju šifriranje signala i provjeru autentičnosti, šifriranje medija se ne može dogoditi.
Cisco Unified CM sigurnost (autentifikacija i enkripcija) štiti samo pozive na Unity Connection. Poruke snimljene u spremištu poruka nisu zaštićene značajkama provjere autentičnosti i šifriranja Cisco Unified CM, ali se mogu zaštititi značajkom privatne sigurne razmjene poruka Unity Connection. Za detalje o značajci sigurne razmjene poruka Unity Connection, pogledajte Rukovanje porukama označenim privatnim i sigurnim.

Samokriptirajući pogon

Cisco Unity Connection također podržava pogone koji se sami šifriraju (SED). Ovo se također naziva šifriranje cijelog diska (FDE). FDE je kriptografska metoda koja se koristi za šifriranje svih podataka koji su dostupni na tvrdom disku.
Podaci uključuju files, operativni sustav i softverski programi. Hardver dostupan na disku šifrira sve dolazne podatke i dekriptira sve odlazne podatke. Kada je pogon zaključan, ključ za šifriranje se stvara i interno pohranjuje. Svi podaci koji su pohranjeni na ovom disku šifrirani su tim ključem i pohranjeni u šifriranom obliku. FDE se sastoji od ID ključa i sigurnosnog ključa.
Za više informacija pogledajte https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Postavke sigurnosnog načina rada za Cisco Unified Communications Manager i Unity Veza
Cisco Unified Communications Manager i Cisco Unity Connection imaju opcije sigurnosnog načina prikazane u tablici 2: Opcije sigurnosnog načina za portove za glasovne poruke (za SCCP integracije) ili grupe portova (za SIP integracije).

Ikona upozorenja Oprez
Postavka sigurnosnog načina klastera za portove za glasovne poruke Unity Connection (za SCCP integracije) ili grupe portova (za SIP integracije) mora odgovarati postavci sigurnosnog načina za Cisco Unified CM portove.
U suprotnom, Cisco Unified CM provjera autentičnosti i enkripcija neće uspjeti.

Tablica 2: Opcije sigurnosnog načina rada

Postavka Učinak
Nesiguran Cjelovitost i privatnost poruka signaliziranja poziva nisu osigurani jer se poruke signaliziranja poziva šalju kao jasni (nešifrirani) tekst povezani s Cisco Unified CM preko neautentificiranog porta umjesto autentificiranog TLS porta. Osim toga, medijski tok se ne može šifrirati.
Ovlašteni Integritet poruka signaliziranja poziva osiguran je jer su povezane s Cisco Unified CM-om putem provjerenog TLS priključka. Međutim
privatnost poruka signalizacije poziva nije osigurana jer se šalju kao čisti (nešifrirani) tekst. Osim toga, medijski tok nije šifriran.
Šifrirano Integritet i privatnost poruka signaliziranja poziva osigurani su jer su povezane s Cisco Unified CM-om putem autentificiranog TLS priključka, a poruke signaliziranja poziva su šifrirane. Osim toga, medijski tok može biti šifriran. Obje krajnje točke moraju biti registrirane u šifriranom načinu rada
kako bi medijski tok bio šifriran. Međutim, kada je jedna krajnja točka postavljena za nesigurni ili provjereni način rada, a druga krajnja točka je postavljena za šifrirani način rada, medijski tok nije šifriran. Također, ako intervenirajući uređaj (kao što je transkoder ili pristupnik) nije omogućen za šifriranje, medijski tok nije šifriran.

Najbolji primjeri iz prakse za osiguravanje veze između Unity Connectiona, Cisco Unified Communications Managera i IP telefona
Ako želite omogućiti autentifikaciju i enkripciju za priključke za glasovne poruke na Cisco Unity Connection i Cisco Unified Communications Manageru, pogledajte Vodič za integraciju Cisco Unified Communications Manager SCCP za Unity Connection izdanje 12.x, dostupan na
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Osiguravanje veze između Cisco Unity veze, Cisco Unified Communications Managera i IP telefona

Dokumenti / Resursi

CISCO Unity Connection Unified Communications Manager [pdf] Korisnički priručnik
Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager

Reference

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *