Menjaga Sambungan antara Cisco Unity
Sambungan, Cisco Unified Communications
Pengurus, dan Telefon IP
• Menjaga Sambungan antara Cisco Unity Connection, Pengurus Komunikasi Cisco Unified dan Telefon IP, pada halaman 1
Menjaga Sambungan antara Sambungan Perpaduan Cisco, Pengurus Komunikasi Bersepadu Cisco dan Telefon IP
pengenalan
Dalam bab ini, anda akan menemui penerangan tentang isu keselamatan yang berpotensi berkaitan dengan sambungan antara Cisco Unity Connection, Pengurus Komunikasi Cisco Unified dan telefon IP; maklumat mengenai sebarang tindakan yang perlu anda ambil; cadangan yang membantu anda membuat keputusan; perbincangan tentang kesan keputusan yang anda buat; dan amalan terbaik.
Isu Keselamatan untuk Sambungan antara Sambungan Perpaduan, Cisco Unified Pengurus Komunikasi, dan Telefon IP
Titik kelemahan yang berpotensi untuk sistem Cisco Unity Connection ialah sambungan antara port pemesejan suara Unity Connection (untuk penyepaduan SCCP) atau kumpulan port (untuk penyepaduan SIP), Pengurus Komunikasi Cisco Unified dan telefon IP.
Ancaman yang mungkin termasuk:
- Serangan Man-in-the-middle (apabila aliran maklumat antara Cisco Unified CM dan Unity Connection diperhatikan dan diubah suai)
- Menghidu trafik rangkaian (apabila perisian digunakan untuk menangkap perbualan telefon dan maklumat isyarat yang mengalir antara Cisco Unified CM, Unity Connection dan telefon IP yang diuruskan oleh Cisco Unified CM)
- Pengubahsuaian isyarat panggilan antara Unity Connection dan Cisco Unified CM
- Pengubahsuaian aliran media antara Sambungan Perpaduan dan titik akhir (contohnyaample, telefon IP atau pintu masuk)
- Kecurian identiti Unity Connection (apabila peranti bukan Unity Connection membentangkan dirinya kepada Cisco Unified CM sebagai pelayan Unity Connection)
- Kecurian identiti pelayan Cisco Unified CM (apabila pelayan CM bukan Cisco Unified menunjukkan dirinya kepada Unity Connection sebagai pelayan Cisco Unified CM)
CiscoUnifiedCommunicationsManagerSecurityCiri untuk Port Pesanan Suara Sambungan Perpaduan
Cisco Unified CM boleh menjamin sambungan dengan Unity Connection terhadap ancaman yang disenaraikan dalam Isu Keselamatan untuk Sambungan antara Sambungan Unity, Pengurus Komunikasi Cisco Unified dan Telefon IP.
Ciri keselamatan Cisco Unified CM yang boleh digunakan oleh Unity Connectiontage daripada diterangkan dalam Jadual 1: Ciri Keselamatan Cisco Unified CM Digunakan oleh Cisco Unity Connection.
Jadual 1: Ciri Keselamatan Cisco Unified CM Digunakan oleh Cisco Unity Connection
| Ciri Keselamatan | Penerangan |
| Pengesahan isyarat | Proses yang menggunakan protokol Keselamatan Lapisan Pengangkutan (TLS) untuk mengesahkan bahawa tiada tampering telah berlaku kepada paket isyarat semasa penghantaran. Pengesahan isyarat bergantung pada penciptaan Cisco Certificate Trust List (CTL) file. Ciri ini melindungi daripada: • Serangan man-in-the-middle yang mengubah suai aliran maklumat antara Cisco Unified CM dan Unity Connection. • Pengubahsuaian isyarat panggilan. • Kecurian identiti pelayan Unity Connection. • Kecurian identiti pelayan Cisco Unified CM. |
| Pengesahan peranti | Proses yang mengesahkan identiti peranti dan memastikan entiti itu adalah seperti yang didakwanya. Proses ini berlaku antara Cisco Unified CM dan sama ada port pemesejan suara Unity Connection (untuk penyepaduan SCCP) atau kumpulan port Unity Connection (untuk penyepaduan SIP) apabila setiap peranti menerima sijil peranti lain. Apabila sijil diterima, sambungan selamat antara peranti diwujudkan. Pengesahan peranti bergantung pada penciptaan Cisco Certificate Trust List (CTL) file. Ciri ini melindungi daripada: • Serangan man-in-the-middle yang mengubah suai aliran maklumat antara Cisco Unified CM dan Unity Connection. • Pengubahsuaian aliran media. • Kecurian identiti pelayan Unity Connection. • Kecurian identiti pelayan Cisco Unified CM. |
| Penyulitan isyarat | Proses yang menggunakan kaedah kriptografi untuk melindungi (melalui penyulitan) kerahsiaan semua mesej isyarat SCCP atau SIP yang dihantar antara Unity Connection dan Cisco Unified CM. Penyulitan isyarat memastikan bahawa maklumat yang berkaitan dengan pihak, digit DTMF yang dimasukkan oleh pihak, status panggilan, kunci penyulitan media dan sebagainya dilindungi daripada akses yang tidak disengajakan atau tidak dibenarkan. Ciri ini melindungi daripada: • Serangan man-in-the-middle yang memerhatikan aliran maklumat antara Cisco Unified CM dan Unity Connection. • Menghidu trafik rangkaian yang memerhatikan aliran maklumat isyarat antara Cisco Unified CM dan Unity Connection. |
| Penyulitan media | Proses di mana kerahsiaan media berlaku melalui penggunaan prosedur kriptografi. Proses ini menggunakan Secure Real Time Protocol (SRTP) seperti yang ditakrifkan dalam IETF RFC 3711 dan memastikan bahawa hanya penerima yang dimaksudkan boleh mentafsir aliran media antara Unity Connection dan titik akhir (untuk example, telefon atau pintu masuk). Sokongan termasuk strim audio sahaja. Penyulitan media termasuk mencipta pasangan kunci Media Player untuk peranti, menghantar kunci kepada Unity Connection dan titik akhir, dan menjamin penghantaran kunci semasa kunci dalam pengangkutan. Sambungan Perpaduan dan titik akhir menggunakan kekunci untuk menyulitkan dan menyahsulit aliran media. Ciri ini melindungi daripada: • Serangan man-in-the-middle yang mendengar aliran media antara Cisco Unified CM dan Unity Connection. • Trafik rangkaian menghidu yang mencuri dengar perbualan telefon yang mengalir antara Cisco Unified CM, Unity Connection dan telefon IP yang diuruskan oleh Cisco Unified CM. |
Pengesahan dan penyulitan isyarat berfungsi sebagai keperluan minimum untuk penyulitan media; iaitu, jika peranti tidak menyokong penyulitan isyarat dan pengesahan, penyulitan media tidak boleh berlaku.
Keselamatan Cisco Unified CM (pengesahan dan penyulitan) hanya melindungi panggilan ke Unity Connection. Mesej yang dirakam pada stor mesej tidak dilindungi oleh ciri pengesahan dan penyulitan Cisco Unified CM tetapi boleh dilindungi oleh ciri pemesejan selamat peribadi Unity Connection. Untuk butiran tentang ciri pemesejan selamat Sambungan Perpaduan, lihat Mengendalikan Mesej Ditandai Peribadi dan Selamat.
Pemacu penyulitan sendiri
Cisco Unity Connection juga menyokong pemacu penyulitan kendiri (SED). Ini juga dipanggil Penyulitan Cakera Penuh (FDE). FDE ialah kaedah kriptografi yang digunakan untuk menyulitkan semua data yang tersedia pada cakera keras.
Data termasuk files, sistem pengendalian dan program perisian. Perkakasan yang tersedia pada cakera menyulitkan semua data masuk dan menyahsulit semua data keluar. Apabila pemacu dikunci, kunci penyulitan dibuat dan disimpan secara dalaman. Semua data yang disimpan pada pemacu ini disulitkan menggunakan kunci tersebut dan disimpan dalam bentuk yang disulitkan. FDE terdiri daripada ID kunci dan kunci keselamatan.
Untuk maklumat lanjut, lihat https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Tetapan Mod Keselamatan untuk Pengurus dan Perpaduan Cisco Unified Communications Sambungan
Cisco Unified Communications Manager dan Cisco Unity Connection mempunyai pilihan mod keselamatan yang ditunjukkan dalam Jadual 2: Pilihan Mod Keselamatan untuk port pemesejan suara (untuk penyepaduan SCCP) atau kumpulan port (untuk penyepaduan SIP).
Berhati-hati
Tetapan Mod Keselamatan Kelompok untuk port pemesejan suara Unity Connection (untuk penyepaduan SCCP) atau kumpulan port (untuk penyepaduan SIP) mesti sepadan dengan tetapan mod keselamatan untuk port Cisco Unified CM.
Jika tidak, pengesahan dan penyulitan CM Cisco Unified gagal.
Jadual 2: Pilihan Mod Keselamatan
| Tetapan | Kesan |
| Tidak selamat | Integriti dan privasi mesej isyarat panggilan tidak dipastikan kerana mesej isyarat panggilan dihantar sebagai teks yang jelas (tidak disulitkan) yang disambungkan kepada Cisco Unified CM melalui port tidak disahkan dan bukannya port TLS yang disahkan. Di samping itu, aliran media tidak boleh disulitkan. |
| Disahkan | Integriti mesej isyarat panggilan dipastikan kerana ia disambungkan kepada Cisco Unified CM melalui port TLS yang disahkan. Walau bagaimanapun privasi mesej isyarat panggilan tidak dipastikan kerana ia dihantar sebagai teks yang jelas (tidak disulitkan). Di samping itu, aliran media tidak disulitkan. |
| Disulitkan | Integriti dan privasi mesej isyarat panggilan dipastikan kerana ia disambungkan kepada Cisco Unified CM melalui port TLS yang disahkan, dan mesej isyarat panggilan disulitkan. Di samping itu, aliran media boleh disulitkan. Kedua-dua titik akhir mesti didaftarkan dalam mod yang disulitkan untuk aliran media disulitkan. Walau bagaimanapun, apabila satu titik tamat ditetapkan untuk mod tidak selamat atau disahkan dan titik akhir yang lain ditetapkan untuk mod disulitkan, strim media tidak disulitkan. Selain itu, jika peranti perantara (seperti transkoder atau get laluan) tidak didayakan untuk penyulitan, strim media tidak disulitkan. |
Amalan Terbaik untuk Menjaga Sambungan antara Sambungan Perpaduan, Pengurus Komunikasi Bersepadu Cisco dan Telefon IP
Jika anda ingin mendayakan pengesahan dan penyulitan untuk port pemesejan suara pada kedua-dua Cisco Unity Connection dan Cisco Unified Communications Manager, lihat Cisco Unified Communications Manager SCCP Panduan Integrasi untuk Unity Connection Release 12.x, tersedia di
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Menjaga Sambungan antara Sambungan Perpaduan Cisco, Pengurus Komunikasi Bersepadu Cisco dan Telefon IP
Dokumen / Sumber
 |
Pengurus Komunikasi Bersepadu CISCO Unity Connection [pdf] Panduan Pengguna Pengurus Komunikasi Bersepadu Sambungan Unity, Pengurus Komunikasi Bersepadu Sambungan, Pengurus Komunikasi Bersepadu, Pengurus Komunikasi, Pengurus |