De verbinding tussen Cisco Unity beveiligen
Verbinding, Cisco Unified Communications
Manager en IP-telefoons
• De verbinding beveiligen tussen Cisco Unity Connection, Cisco Unified Communications Manager en IP-telefoons, op pagina 1
Beveiliging van de verbinding tussen Cisco Unity Connection, Cisco Unified Communications Manager en IP-telefoons
Invoering
In dit hoofdstuk vindt u beschrijvingen van mogelijke beveiligingsproblemen met betrekking tot verbindingen tussen Cisco Unity Connection, Cisco Unified Communications Manager en IP-telefoons; informatie over eventuele acties die u moet ondernemen; aanbevelingen die u helpen bij het nemen van beslissingen; bespreking van de gevolgen van de beslissingen die u neemt; en beste praktijken.
Beveiligingsproblemen voor verbindingen tussen Unity Connection en Cisco Unified Communicatiemanager en IP-telefoons
Een potentieel kwetsbaar punt voor een Cisco Unity Connection-systeem is de verbinding tussen Unity Connection-spraakberichtenpoorten (voor een SCCP-integratie) of poortgroepen (voor een SIP-integratie), Cisco Unified Communications Manager en de IP-telefoons.
Mogelijke bedreigingen zijn onder meer:
- Man-in-the-middle-aanvallen (wanneer de informatiestroom tussen Cisco Unified CM en Unity Connection wordt geobserveerd en gewijzigd)
- Netwerkverkeersnuffelen (wanneer software wordt gebruikt om telefoongesprekken en signaleringsinformatie vast te leggen die stromen tussen Cisco Unified CM, Unity Connection en IP-telefoons die worden beheerd door Cisco Unified CM)
- Wijziging van oproepsignalering tussen Unity Connection en Cisco Unified CM
- Wijziging van de mediastream tussen Unity Connection en het eindpunt (bijvoorbeeldample, een IP-telefoon of een gateway)
- Identiteitsdiefstal van Unity Connection (wanneer een niet-Unity Connection-apparaat zichzelf bij Cisco Unified CM presenteert als een Unity Connection-server)
- Identiteitsdiefstal van de Cisco Unified CM-server (wanneer een niet-Cisco Unified CM-server zichzelf bij Unity Connection presenteert als een Cisco Unified CM-server)
CiscoUnifiedCommunicationsManagerBeveiligingsfunctiesvoorUnity Connection Voice Messaging-poorten
Cisco Unified CM kan de verbinding met Unity Connection beveiligen tegen de bedreigingen die worden vermeld in de Beveiligingsproblemen voor verbindingen tussen Unity Connection, Cisco Unified Communications Manager en IP-telefoons.
De Cisco Unified CM-beveiligingsfuncties waar Unity Connection gebruik van kan makentage daarvan worden beschreven in Tabel 1: Cisco Unified CM-beveiligingsfuncties gebruikt door Cisco Unity Connection.
Tabel 1: Cisco Unified CM-beveiligingsfuncties gebruikt door Cisco Unity Connection
| Beveiligingsfunctie | Beschrijving |
| Signalering van authenticatie | Het proces dat het Transport Layer Security (TLS)-protocol gebruikt om dat niet te validerenampEr is tijdens de verzending sprake van signaleringspakketten. Signaleringsverificatie is afhankelijk van het maken van de Cisco Certificate Trust List (CTL) file. Deze functie beschermt tegen: • Man-in-the-middle-aanvallen die de informatiestroom tussen Cisco Unified CM en Unity Connection wijzigen. • Wijziging van de oproepsignalering. • Identiteitsdiefstal van de Unity Connection-server. • Identiteitsdiefstal van de Cisco Unified CM-server. |
| Apparaatverificatie | Het proces dat de identiteit van het apparaat valideert en ervoor zorgt dat de entiteit is wat deze beweert te zijn. Dit proces vindt plaats tussen Cisco Unified CM en Unity Connection-spraakberichtenpoorten (voor een SCCP-integratie) of Unity Connection-poortgroepen (voor een SIP-integratie) wanneer elk apparaat het certificaat van het andere apparaat accepteert. Wanneer de certificaten worden geaccepteerd, wordt er een beveiligde verbinding tussen de apparaten tot stand gebracht. Apparaatverificatie is afhankelijk van het maken van de Cisco Certificate Trust List (CTL) file. Deze functie beschermt tegen: • Man-in-the-middle-aanvallen die de informatiestroom tussen Cisco Unified CM en Unity Connection wijzigen. • Wijziging van de mediastroom. • Identiteitsdiefstal van de Unity Connection-server. • Identiteitsdiefstal van de Cisco Unified CM-server. |
| Signalering encryptie | Het proces dat cryptografische methoden gebruikt om (door middel van encryptie) de vertrouwelijkheid te beschermen van alle SCCP- of SIP-signaleringsberichten die worden verzonden tussen Unity Connection en Cisco Unified CM. Signaleringsversleuteling zorgt ervoor dat de informatie die betrekking heeft op de partijen, DTMF-cijfers die door de partijen worden ingevoerd, de gespreksstatus, media-coderingssleutels, enzovoort, worden beschermd tegen onbedoelde of ongeautoriseerde toegang. Deze functie beschermt tegen: • Man-in-the-middle-aanvallen die de informatiestroom tussen Cisco Unified CM en Unity Connection observeren. • Netwerkverkeersnuffelen waarbij de signaleringsinformatiestroom tussen Cisco Unified CM en Unity Connection wordt waargenomen. |
| Media-encryptie | Het proces waarbij de vertrouwelijkheid van de media plaatsvindt door het gebruik van cryptografische procedures. Dit proces maakt gebruik van Secure Real Time Protocol (SRTP) zoals gedefinieerd in IETF RFC 3711, en zorgt ervoor dat alleen de beoogde ontvanger de mediastromen tussen Unity Connection en het eindpunt kan interpreteren (bijvoorbeeldample, een telefoon of gateway). Ondersteuning omvat alleen audiostreams. Media-encryptie omvat het maken van een Media Player-sleutelpaar voor de apparaten, het leveren van de sleutels aan Unity Connection en het eindpunt, en het beveiligen van de levering van de sleutels terwijl de sleutels onderweg zijn. Unity Connection en het eindpunt gebruiken de sleutels om de mediastream te coderen en decoderen. Deze functie beschermt tegen: • Man-in-the-middle-aanvallen die luisteren naar de mediastroom tussen Cisco Unified CM en Unity Connection. • Netwerkverkeersnuffelen dat telefoongesprekken afluistert die stromen tussen Cisco Unified CM, Unity Connection en IP-telefoons die worden beheerd door Cisco Unified CM. |
Authenticatie en signaalversleuteling dienen als de minimumvereisten voor mediaversleuteling; dat wil zeggen dat als de apparaten signaalversleuteling en -verificatie niet ondersteunen, er geen mediaversleuteling kan plaatsvinden.
Cisco Unified CM-beveiliging (authenticatie en codering) beschermt alleen oproepen naar Unity Connection. Berichten die in het berichtenarchief zijn opgenomen, worden niet beschermd door de verificatie- en coderingsfuncties van Cisco Unified CM, maar kunnen wel worden beschermd door de beveiligde privéberichtenfunctie Unity Connection. Voor meer informatie over de beveiligde berichtenfunctie van Unity Connection, zie Berichten afhandelen die zijn gemarkeerd als privé en beveiligd.
Zelfversleutelende schijf
Cisco Unity Connection ondersteunt ook zelfversleutelende schijven (SED). Dit wordt ook wel Full Disk Encryption (FDE) genoemd. FDE is een cryptografische methode die wordt gebruikt om alle gegevens die beschikbaar zijn op de harde schijf te coderen.
De gegevens omvatten files, besturingssysteem en softwareprogramma's. De hardware die op de schijf beschikbaar is, codeert alle inkomende gegevens en decodeert alle uitgaande gegevens. Wanneer de schijf is vergrendeld, wordt er een coderingssleutel aangemaakt en intern opgeslagen. Alle gegevens die op deze schijf zijn opgeslagen, worden met die sleutel gecodeerd en in gecodeerde vorm opgeslagen. De FDE omvat een sleutel-ID en een beveiligingssleutel.
Voor meer informatie, zie https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Beveiligingsmodusinstellingen voor Cisco Unified Communications Manager en Unity Verbinding
Cisco Unified Communications Manager en Cisco Unity Connection hebben de opties voor de beveiligingsmodus die worden weergegeven in Tabel 2: Opties voor de beveiligingsmodus voor voice messaging-poorten (voor SCCP-integraties) of poortgroepen (voor SIP-integraties).
Voorzichtigheid
De instelling voor de clusterbeveiligingsmodus voor Unity Connection-spraakberichtenpoorten (voor SCCP-integraties) of poortgroepen (voor SIP-integraties) moet overeenkomen met de instelling voor de beveiligingsmodus voor de Cisco Unified CM-poorten.
Anders mislukt de verificatie en codering van Cisco Unified CM.
Tabel 2: Opties voor de beveiligingsmodus
| Instelling | Effect |
| Niet-beveiligd | De integriteit en privacy van oproepsignaleringsberichten worden niet gegarandeerd omdat oproepsignaleringsberichten worden verzonden als duidelijke (niet-versleutelde) tekst die is verbonden met Cisco Unified CM via een niet-geverifieerde poort in plaats van een geverifieerde TLS-poort. Bovendien kan de mediastream niet worden gecodeerd. |
| Geverifieerd | De integriteit van oproepsignaleringsberichten wordt gewaarborgd omdat ze via een geverifieerde TLS-poort zijn verbonden met Cisco Unified CM. echter, de De privacy van oproepsignaleringsberichten wordt niet gegarandeerd omdat deze als duidelijke (niet-gecodeerde) tekst worden verzonden. Bovendien is de mediastream niet gecodeerd. |
| Gecodeerd | De integriteit en privacy van oproepsignaleringsberichten worden gegarandeerd omdat ze via een geverifieerde TLS-poort zijn verbonden met Cisco Unified CM en de oproepsignaleringsberichten zijn gecodeerd. Bovendien kan de mediastream worden gecodeerd. Beide eindpunten moeten in gecodeerde modus worden geregistreerd om de mediastream te versleutelen. Wanneer het ene eindpunt echter is ingesteld op de niet-beveiligde of geverifieerde modus en het andere eindpunt is ingesteld op de gecodeerde modus, wordt de mediastream niet gecodeerd. Als een tussenkomend apparaat (zoals een transcoder of gateway) niet is ingeschakeld voor codering, wordt de mediastream ook niet gecodeerd. |
Best practices voor het beveiligen van de verbinding tussen Unity Connection, Cisco Unified Communications Manager en IP-telefoons
Als u verificatie en codering wilt inschakelen voor de voicemailpoorten op zowel Cisco Unity Connection als Cisco Unified Communications Manager, raadpleegt u de Cisco Unified Communications Manager SCCP Integration Guide for Unity Connection Release 12.x, beschikbaar op
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Beveiliging van de verbinding tussen Cisco Unity Connection, Cisco Unified Communications Manager en IP-telefoons
Documenten / Bronnen
 |
CISCO Unity Connection Unified Communications Manager [pdf] Gebruikershandleiding Unity Connection Unified Communications Manager, Verbinding Unified Communications Manager, Unified Communications Manager, Communicatie Manager, Manager |