logo cisco

Protezione della connessione tra Cisco Unity
Connessione, Cisco Unified Communications
Manager e telefoni IP

CISCO Unity Connection Gestore delle comunicazioni unificate

• Protezione della connessione tra Cisco Unity Connection, Cisco Unified Communications Manager e telefoni IP, a pagina 1
Protezione della connessione tra Cisco Unity Connection, Cisco Unified Communications Manager e i telefoni IP

Contenuto nascondere
1 Introduzione
2 Unità con crittografia automatica
3 Documenti / Risorse
3.1 Riferimenti

Introduzione

In questo capitolo troverai le descrizioni dei potenziali problemi di sicurezza relativi alle connessioni tra Cisco Unity Connection, Cisco Unified Communications Manager e i telefoni IP; informazioni su eventuali azioni da intraprendere; raccomandazioni che ti aiutano a prendere decisioni; discussione delle ramificazioni delle decisioni prese; e migliori pratiche.

Problemi di sicurezza per le connessioni tra Unity Connection, Cisco Unified Responsabile delle comunicazioni e telefoni IP
Un potenziale punto di vulnerabilità per un sistema Cisco Unity Connection è la connessione tra le porte di messaggistica vocale Unity Connection (per un'integrazione SCCP) o i gruppi di porte (per un'integrazione SIP), Cisco Unified Communications Manager e i telefoni IP.

Le possibili minacce includono:

  • Attacchi man-in-the-middle (quando il flusso di informazioni tra Cisco Unified CM e Unity Connection viene osservato e modificato)
  • Sniffing del traffico di rete (quando il software viene utilizzato per acquisire conversazioni telefoniche e informazioni di segnalazione che fluiscono tra Cisco Unified CM, Unity Connection e i telefoni IP gestiti da Cisco Unified CM)
  • Modifica della segnalazione di chiamata tra Unity Connection e Cisco Unified CM
  • Modifica del flusso multimediale tra Unity Connection e l'endpoint (ad esample, un telefono IP o un gateway)
  • Furto di identità di Unity Connection (quando un dispositivo non Unity Connection si presenta a Cisco Unified CM come server Unity Connection)
  • Furto di identità del server Cisco Unified CM (quando un server non Cisco Unified CM si presenta a Unity Connection come server Cisco Unified CM)

Funzionalità di sicurezza Cisco Unified Communications Manager per le porte di messaggistica vocale di Unity Connection
Cisco Unified CM può proteggere la connessione con Unity Connection dalle minacce elencate in Problemi di sicurezza per le connessioni tra Unity Connection, Cisco Unified Communications Manager e telefoni IP.
Le funzionalità di sicurezza di Cisco Unified CM che Unity Connection può portare avantitagTutte sono descritte nella Tabella 1: Funzionalità di sicurezza di Cisco Unified CM utilizzate da Cisco Unity Connection.

Tabella 1: Funzionalità di sicurezza di Cisco Unified CM utilizzate da Cisco Unity Connection

Caratteristica di sicurezza Descrizione
Segnalazione di autenticazione Il processo che utilizza il protocollo Transport Layer Security (TLS) per convalidare che no tampsi è verificato un errore nei pacchetti di segnalazione durante la trasmissione.
L'autenticazione della segnalazione si basa sulla creazione del Cisco Certificate Trust List (CTL) file.
Questa funzionalità protegge da:
• Attacchi man-in-the-middle che modificano il flusso di informazioni tra Cisco Unified CM e Unity Connection.
• Modifica della segnalazione di chiamata.
• Furto di identità del server Unity Connection.
• Furto di identità del server Cisco Unified CM.
Autenticazione del dispositivo Il processo che convalida l'identità del dispositivo e garantisce che l'entità sia ciò che dichiara di essere. Questo processo si verifica tra Cisco Unified CM e le porte di messaggistica vocale Unity Connection (per un'integrazione SCCP) o i gruppi di porte Unity Connection (per un'integrazione SIP) quando ciascun dispositivo accetta il certificato dell'altro dispositivo. Quando i certificati vengono accettati, viene stabilita una connessione sicura tra i dispositivi. L'autenticazione del dispositivo si basa sulla creazione del Cisco Certificate Trust List (CTL) file.
Questa funzionalità protegge da:
• Attacchi man-in-the-middle che modificano il flusso di informazioni tra Cisco Unified CM e Unity Connection.
• Modifica del flusso multimediale.
• Furto di identità del server Unity Connection.
• Furto di identità del server Cisco Unified CM.
Crittografia della segnalazione Il processo che utilizza metodi crittografici per proteggere (tramite crittografia) la riservatezza di tutti i messaggi di segnalazione SCCP o SIP inviati tra Unity Connection e Cisco Unified CM. La crittografia di segnalazione garantisce che le informazioni relative alle parti, le cifre DTMF immesse dalle parti, lo stato della chiamata, le chiavi di crittografia multimediale e così via siano protetti da accessi involontari o non autorizzati.
Questa funzionalità protegge da:
• Attacchi man-in-the-middle che osservano il flusso di informazioni tra Cisco Unified CM e Unity Connection.
• Sniffing del traffico di rete che osserva il flusso di informazioni di segnalazione tra Cisco Unified CM e Unity Connection.
Crittografia multimediale Il processo mediante il quale la riservatezza dei media avviene attraverso l'uso di procedure crittografiche.
Questo processo utilizza Secure Real Time Protocol (SRTP) come definito in IETF RFC 3711 e garantisce che solo il destinatario previsto possa interpretare i flussi multimediali tra Unity Connection e l'endpoint (ad es.ample, un telefono o un gateway). Il supporto include solo i flussi audio. La crittografia multimediale include la creazione di una coppia di chiavi Media Player per i dispositivi, la consegna delle chiavi a Unity Connection e all'endpoint e la protezione della consegna delle chiavi durante il trasporto. Unity Connection e l'endpoint utilizzano le chiavi per crittografare e decrittografare il flusso multimediale.
Questa funzionalità protegge da:
• Attacchi man-in-the-middle che ascoltano il flusso multimediale tra Cisco Unified CM e Unity Connection.
• Sniffing del traffico di rete che intercetta le conversazioni telefoniche che fluiscono tra Cisco Unified CM, Unity Connection e telefoni IP gestiti da Cisco Unified CM.

L'autenticazione e la crittografia dei segnali costituiscono i requisiti minimi per la crittografia dei media; ovvero, se i dispositivi non supportano la crittografia e l'autenticazione dei segnali, la crittografia del supporto non può avvenire.
La sicurezza di Cisco Unified CM (autenticazione e crittografia) protegge solo le chiamate a Unity Connection. I messaggi registrati nell'archivio messaggi non sono protetti dalle funzionalità di autenticazione e crittografia di Cisco Unified CM ma possono essere protetti dalla funzionalità di messaggistica protetta privata Unity Connection. Per dettagli sulla funzionalità di messaggistica sicura di Unity Connection, vedere Gestione dei messaggi contrassegnati come privati ​​e sicuri.

Unità con crittografia automatica

Cisco Unity Connection supporta anche le unità con crittografia automatica (SED). Questa è anche chiamata crittografia dell'intero disco (FDE). FDE è un metodo crittografico utilizzato per crittografare tutti i dati disponibili sul disco rigido.
I dati includono files, sistema operativo e programmi software. L'hardware disponibile sul disco crittografa tutti i dati in entrata e decrittografa tutti i dati in uscita. Quando l'unità è bloccata, viene creata e archiviata internamente una chiave di crittografia. Tutti i dati archiviati su questa unità vengono crittografati utilizzando tale chiave e archiviati in forma crittografata. La FDE è composta da un ID chiave e da una chiave di sicurezza.
Per ulteriori informazioni, vedere https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Impostazioni della modalità di sicurezza per Cisco Unified Communications Manager e Unity Connessione
Cisco Unified Communications Manager e Cisco Unity Connection dispongono delle opzioni della modalità di sicurezza mostrate nella Tabella 2: Opzioni della modalità di sicurezza per le porte di messaggistica vocale (per integrazioni SCCP) o gruppi di porte (per integrazioni SIP).

Icona di avviso Attenzione
L'impostazione della modalità di sicurezza del cluster per le porte di messaggistica vocale di Unity Connection (per le integrazioni SCCP) o i gruppi di porte (per le integrazioni SIP) deve corrispondere all'impostazione della modalità di sicurezza per le porte Cisco Unified CM.
In caso contrario, l'autenticazione e la crittografia di Cisco Unified CM falliscono.

Tabella 2: Opzioni della modalità di sicurezza

Collocamento Effetto
Non sicuro L'integrità e la privacy dei messaggi di segnalazione di chiamata non sono garantite poiché i messaggi di segnalazione di chiamata vengono inviati come testo in chiaro (non crittografato) connesso a Cisco Unified CM tramite una porta non autenticata anziché una porta TLS autenticata. Inoltre, il flusso multimediale non può essere crittografato.
autenticato L'integrità dei messaggi di segnalazione delle chiamate è garantita perché sono connessi a Cisco Unified CM tramite una porta TLS autenticata. comunque, il
la privacy dei messaggi di segnalazione di chiamata non è garantita perché vengono inviati come testo in chiaro (non crittografato). Inoltre, il flusso multimediale non è crittografato.
Criptato L'integrità e la privacy dei messaggi di segnalazione delle chiamate sono garantite perché sono connessi a Cisco Unified CM tramite una porta TLS autenticata e i messaggi di segnalazione delle chiamate sono crittografati. Inoltre, il flusso multimediale può essere crittografato. Entrambi i punti finali devono essere registrati in modalità crittografata
affinché il flusso multimediale venga crittografato. Tuttavia, quando un punto finale è impostato per la modalità non protetta o autenticata e l'altro punto finale è impostato per la modalità crittografata, il flusso multimediale non viene crittografato. Inoltre, se un dispositivo intermedio (come un transcodificatore o un gateway) non è abilitato per la crittografia, il flusso multimediale non viene crittografato.

Best practice per proteggere la connessione tra Unity Connection, Cisco Unified Communications Manager e i telefoni IP
Se si desidera abilitare l'autenticazione e la crittografia per le porte di messaggistica vocale sia su Cisco Unity Connection che su Cisco Unified Communications Manager, consultare la Guida all'integrazione SCCP di Cisco Unified Communications Manager per Unity Connection versione 12.x, disponibile all'indirizzo
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Protezione della connessione tra Cisco Unity Connection, Cisco Unified Communications Manager e i telefoni IP

Documenti / Risorse

CISCO Unity Connection Gestore delle comunicazioni unificate [pdf] Guida utente
Connessione Unity Gestore delle comunicazioni unificate, Gestore delle comunicazioni unificate Connessione, Gestore delle comunicazioni unificate, Gestore delle comunicazioni, Gestore

Riferimenti

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *