Обезбедување на врската помеѓу Cisco Unity
Врска, Cisco Unified Communications
Менаџер и IP телефони
• Обезбедување на врската помеѓу Cisco Unity Connection, Cisco Unified Communications Manager и IP телефони, на страница 1
Обезбедување на врската помеѓу Cisco Unity Connection, Cisco Unified Communications Manager и IP телефони
Вовед
Во ова поглавје, ќе најдете описи на потенцијални безбедносни проблеми поврзани со врските помеѓу Cisco Unity Connection, Cisco Unified Communications Manager и IP телефоните; информации за какви било активности што треба да ги преземете; препораки кои ви помагаат да донесувате одлуки; дискусија за последиците од одлуките што ги донесувате; и најдобри практики.
Безбедносни прашања за врски помеѓу Unity Connection, Cisco Unified Менаџер за комуникации и IP телефони
Потенцијална точка на ранливост за системот Cisco Unity Connection е поврзувањето помеѓу портите за гласовни пораки Unity Connection (за интеграција SCCP) или групите на порти (за SIP интеграција), Cisco Unified Communications Manager и IP телефоните.
Можните закани вклучуваат:
- Напади човек во средината (кога протокот на информации помеѓу Cisco Unified CM и Unity Connection се набљудува и изменува)
- Шмркање на мрежен сообраќај (кога се користи софтвер за снимање на телефонски разговори и сигнални информации што течат помеѓу Cisco Unified CM, Unity Connection и IP телефони кои се управувани од Cisco Unified CM)
- Измена на сигнализацијата за повици помеѓу Unity Connection и Cisco Unified CM
- Модификација на медиумскиот поток помеѓу Unity Connection и крајната точка (на прampле, IP телефон или портал)
- Кражба на идентитет на Unity Connection (кога уред кој не е Unity Connection се претставува на Cisco Unified CM како Unity Connection сервер)
- Кражба на идентитет на Cisco Unified CM-серверот (кога серверот кој не е Cisco Unified CM се претставува на Unity Connection како Cisco Unified CM-сервер)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Порти за говорни пораки
Cisco Unified CM може да ја обезбеди врската со Unity Connection од заканите наведени во Безбедносните прашања за врски помеѓу Unity Connection, Cisco Unified Communications Manager и IP телефони.
Безбедносните карактеристики на Cisco Unified CM што може да ги искористи Unity Connectiontage од се опишани во Табела 1: Cisco Unified CM безбедносни карактеристики што ги користи Cisco Unity Connection.
Табела 1: Cisco Unified CM безбедносни карактеристики што ги користи Cisco Unity Connection
| Безбедносна карактеристика | Опис |
| Сигнализирана автентикација | Процесот што го користи протоколот за безбедност на транспортниот слој (TLS) за да потврди дека нема тampсе појави вртење на сигналните пакети за време на преносот. Автентикацијата на сигналот се потпира на создавањето на Cisco Certificate Trust List (CTL) file. Оваа функција штити од: • Напади Man-in-the-middle кои го менуваат протокот на информации помеѓу Cisco Unified CM и Unity Connection. • Измена на повик сигнализација. • Кражба на идентитет на серверот Unity Connection. • Кражба на идентитет на Cisco Unified CM серверот. |
| Автентикација на уредот | Процесот кој го потврдува идентитетот на уредот и гарантира дека ентитетот е онаков каков што тврди дека е. Овој процес се случува помеѓу Cisco Unified CM и портите за гласовни пораки Unity Connection (за интеграција SCCP) или групите на порти Unity Connection (за SIP интеграција) кога секој уред ќе го прифати сертификатот на другиот уред. Кога сертификатите се прифатени, се воспоставува безбедна врска помеѓу уредите. Автентикацијата на уредот се потпира на создавањето на Cisco Certificate Trust List (CTL) file. Оваа функција штити од: • Напади Man-in-the-middle кои го менуваат протокот на информации помеѓу Cisco Unified CM и Unity Connection. • Измена на медиумскиот поток. • Кражба на идентитет на серверот Unity Connection. • Кражба на идентитет на Cisco Unified CM серверот. |
| Шифрирање на сигнали | Процесот кој користи криптографски методи за заштита (преку шифрирање) доверливоста на сите SCCP или SIP сигнални пораки кои се испраќаат помеѓу Unity Connection и Cisco Unified CM. Шифрирањето на сигналот осигурува дека информациите што се однесуваат на страните, цифрите на DTMF што ги внесуваат страните, статусот на повици, клучевите за шифрирање на медиумите и слично се заштитени од ненамерен или неовластен пристап. Оваа функција штити од: • Напади Man-in-the-middle кои го набљудуваат протокот на информации помеѓу Cisco Unified CM и Unity Connection. • Шмркање на мрежен сообраќај што го набљудува протокот на информации за сигнализација помеѓу Cisco Unified CM и Unity Connection. |
| Шифрирање на медиумите | Процесот при кој доверливоста на медиумите се јавува преку употреба на криптографски процедури. Овој процес користи безбеден протокол во реално време (SRTP) како што е дефинирано во IETF RFC 3711 и осигурува дека само наменетиот примач може да ги толкува медиумските преноси помеѓу Unity Connection и крајната точка (на пр.ampле, телефон или портал). Поддршката вклучува само аудио преноси. Шифрирањето на медиумите вклучува создавање пар клучеви на Media Player за уредите, доставување на клучевите до Unity Connection и крајната точка и обезбедување на испорака на клучевите додека клучевите се во транспорт. Unity Connection и крајната точка ги користат копчињата за шифрирање и дешифрирање на медиумскиот поток. Оваа функција штити од: • Напади Man-in-the-middle кои го слушаат медиумскиот пренос помеѓу Cisco Unified CM и Unity Connection. • Шмркање на мрежен сообраќај што ги прислушува телефонските разговори што течат помеѓу Cisco Unified CM, Unity Connection и IP телефони кои се управувани од Cisco Unified CM. |
Автентикацијата и шифрирањето на сигнализацијата служат како минимални барања за шифрирање на медиумите; односно, ако уредите не поддржуваат шифрирање и автентикација на сигнали, шифрирањето на медиумите не може да се случи.
Cisco Unified CM безбедност (автентикација и шифрирање) ги штити само повиците до Unity Connection. Пораките снимени во продавницата за пораки не се заштитени со функциите за автентикација и шифрирање на Cisco Unified CM, но можат да бидат заштитени со функцијата за приватни безбедни пораки за Unity Connection. За детали за функцијата Unity Connection за безбедни пораки, видете во Ракување со пораки означени како приватни и безбедни.
Само-шифрирачки диск
Cisco Unity Connection поддржува и авто-шифрирачки дискови (SED). Ова се нарекува и шифрирање на целосен диск (FDE). FDE е криптографски метод кој се користи за шифрирање на сите податоци што се достапни на хард дискот.
Податоците вклучуваат files, оперативен систем и софтверски програми. Хардверот достапен на дискот ги шифрира сите дојдовни податоци и ги дешифрира сите појдовни податоци. Кога уредот е заклучен, се создава клуч за шифрирање и се складира внатрешно. Сите податоци што се зачувани на овој диск се шифрираат со помош на тој клуч и се складираат во шифрирана форма. FDE се состои од ID на клуч и безбедносен клуч.
За повеќе информации, видете https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Поставки за безбедносен режим за Cisco Unified Communications Manager и Unity Поврзување
Cisco Unified Communications Manager и Cisco Unity Connection ги имаат опциите за безбедносен режим прикажани во Табела 2: Опции за безбедносен режим за порти за гласовни пораки (за интеграции SCCP) или групи на порти (за SIP интеграции).
Внимание
Поставката Cluster Security Mode за портите за гласовни пораки Unity Connection (за интеграции SCCP) или групите порти (за SIP интеграции) мора да одговара на поставките за безбедносниот режим за Cisco Unified CM портите.
Во спротивно, Cisco Unified CM автентикацијата и шифрирањето не успеваат.
Табела 2: Опции за безбедносен режим
| Поставување | Ефект |
| Небезбедни | Интегритетот и приватноста на пораките за сигнализирање повици не се обезбедени бидејќи пораките за сигнализирање повици се испраќаат како јасен (нешифриран) текст поврзан со Cisco Unified CM преку неавтентификувана порта наместо автентификувана TLS порта. Покрај тоа, медиумскиот поток не може да се шифрира. |
| Автентициран | Интегритетот на пораките за сигнализирање на повици е обезбеден бидејќи тие се поврзани со Cisco Unified CM преку автентификувана TLS порта. Меѓутоа, на приватноста на пораките за сигнализирање повици не се обезбедени бидејќи се испраќаат како јасен (нешифриран) текст. Покрај тоа, медиумскиот поток не е шифриран. |
| Шифрирана | Интегритетот и приватноста на пораките за сигнализирање повици се обезбедени бидејќи тие се поврзани со Cisco Unified CM преку автентификувана TLS порта, а пораките за сигнализирање повици се шифрирани. Покрај тоа, медиумскиот поток може да се шифрира. Двете крајни точки мора да се регистрираат во шифриран режим за медиумскиот поток да биде шифриран. Меѓутоа, кога една крајна точка е поставена за небезбеден или автентификуван режим, а другата крајна точка е поставена за шифриран режим, медиумскиот пренос не се шифрира. Исто така, ако интервенирачкиот уред (како транскодер или портал) не е овозможен за шифрирање, медиумскиот пренос не е шифриран. |
Најдобри практики за обезбедување на врската помеѓу Unity Connection, Cisco Unified Communications Manager и IP телефони
Ако сакате да овозможите автентикација и шифрирање за портите за гласовни пораки на Cisco Unity Connection и Cisco Unified Communications Manager, видете го Cisco Unified Communications Manager SCCP Водичот за интеграција за Unity Connection Release 12.x, достапно на
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Обезбедување на врската помеѓу Cisco Unity Connection, Cisco Unified Communications Manager и IP телефони
Документи / ресурси
 |
CISCO Unity Connection Унифициран менаџер за комуникации [pdf] Упатство за корисникот Unity Connection Унифициран менаџер за комуникации, Унифициран менаџер за комуникации за поврзување, Унифициран менаџер за комуникации, Менаџер за комуникации, менаџер |