Sikre forbindelsen mellom Cisco Unity
Tilkobling, Cisco Unified Communications
Manager og IP-telefoner
• Sikre forbindelsen mellom Cisco Unity Connection, Cisco Unified Communications Manager og IP-telefoner, på side 1
Sikre forbindelsen mellom Cisco Unity Connection, Cisco Unified Communications Manager og IP-telefoner
Introduksjon
I dette kapittelet finner du beskrivelser av potensielle sikkerhetsproblemer knyttet til tilkoblinger mellom Cisco Unity Connection, Cisco Unified Communications Manager og IP-telefoner; informasjon om eventuelle handlinger du må ta; anbefalinger som hjelper deg å ta avgjørelser; diskusjon om konsekvensene av avgjørelsene du tar; og beste praksis.
Sikkerhetsproblemer for tilkoblinger mellom Unity Connection, Cisco Unified Kommunikasjonssjef og IP-telefoner
Et potensielt sårbarhetspunkt for et Cisco Unity Connection-system er forbindelsen mellom Unity Connection-talemeldingsporter (for en SCCP-integrasjon) eller portgrupper (for en SIP-integrasjon), Cisco Unified Communications Manager og IP-telefonene.
Mulige trusler inkluderer:
- Man-in-the-middle-angrep (når informasjonsflyten mellom Cisco Unified CM og Unity Connection observeres og endres)
- Nettverkstrafikksniffing (når programvare brukes til å fange opp telefonsamtaler og signaliseringsinformasjon som flyter mellom Cisco Unified CM, Unity Connection og IP-telefoner som administreres av Cisco Unified CM)
- Endring av samtalesignalering mellom Unity Connection og Cisco Unified CM
- Endring av mediestrømmen mellom Unity Connection og endepunktet (f.eksample, en IP-telefon eller en gateway)
- Identitetstyveri av Unity Connection (når en ikke-Unity Connection-enhet presenterer seg for Cisco Unified CM som en Unity Connection-server)
- Identitetstyveri av Cisco Unified CM-serveren (når en ikke-Cisco Unified CM-server presenterer seg for Unity Connection som en Cisco Unified CM-server)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Talemeldingsporter
Cisco Unified CM kan sikre forbindelsen med Unity Connection mot truslene som er oppført i sikkerhetsproblemer for tilkoblinger mellom Unity Connection, Cisco Unified Communications Manager og IP-telefoner.
Cisco Unified CM-sikkerhetsfunksjonene som Unity Connection kan dra nytte avtage av er beskrevet i Tabell 1: Cisco Unified CM-sikkerhetsfunksjoner som brukes av Cisco Unity Connection.
Tabell 1: Cisco Unified CM-sikkerhetsfunksjoner som brukes av Cisco Unity Connection
| Sikkerhetsfunksjon | Beskrivelse |
| Signalering av autentisering | Prosessen som bruker TLS-protokollen (Transport Layer Security) for å validere at ingen tampDet har skjedd signaleringspakker under overføring. Signalering autentisering er avhengig av opprettelsen av Cisco Certificate Trust List (CTL) file. Denne funksjonen beskytter mot: • Man-in-the-middle-angrep som endrer informasjonsflyten mellom Cisco Unified CM og Unity Connection. • Endring av samtalesignalering. • Identitetstyveri av Unity Connection-serveren. • Identitetstyveri av Cisco Unified CM-serveren. |
| Enhetsautentisering | Prosessen som validerer enhetens identitet og sikrer at enheten er det den utgir seg for å være. Denne prosessen skjer mellom Cisco Unified CM og enten Unity Connection-talemeldingsporter (for en SCCP-integrasjon) eller Unity Connection-portgrupper (for en SIP-integrasjon) når hver enhet godtar sertifikatet til den andre enheten. Når sertifikatene er akseptert, opprettes en sikker forbindelse mellom enhetene. Enhetsautentisering er avhengig av opprettelsen av Cisco Certificate Trust List (CTL) file. Denne funksjonen beskytter mot: • Man-in-the-middle-angrep som endrer informasjonsflyten mellom Cisco Unified CM og Unity Connection. • Endring av mediestrømmen. • Identitetstyveri av Unity Connection-serveren. • Identitetstyveri av Cisco Unified CM-serveren. |
| Signalkryptering | Prosessen som bruker kryptografiske metoder for å beskytte (gjennom kryptering) konfidensialiteten til alle SCCP- eller SIP-signaleringsmeldinger som sendes mellom Unity Connection og Cisco Unified CM. Signalkryptering sikrer at informasjonen som gjelder partene, DTMF-siffere som legges inn av partene, samtalestatus, mediekrypteringsnøkler og så videre er beskyttet mot utilsiktet eller uautorisert tilgang. Denne funksjonen beskytter mot: • Man-in-the-middle-angrep som observerer informasjonsflyten mellom Cisco Unified CM og Unity Connection. • Nettverkstrafikksniffing som observerer signalinformasjonsflyten mellom Cisco Unified CM og Unity Connection. |
| Mediekryptering | Prosessen der konfidensialiteten til media skjer gjennom bruk av kryptografiske prosedyrer. Denne prosessen bruker Secure Real Time Protocol (SRTP) som definert i IETF RFC 3711, og sikrer at bare den tiltenkte mottakeren kan tolke mediestrømmene mellom Unity Connection og endepunktet (f.eks.ample, en telefon eller gateway). Støtte inkluderer kun lydstrømmer. Mediekryptering inkluderer å opprette et Media Player-nøkkelpar for enhetene, levere nøklene til Unity Connection og endepunktet, og sikre levering av nøklene mens nøklene er under transport. Unity Connection og endepunktet bruker nøklene til å kryptere og dekryptere mediestrømmen. Denne funksjonen beskytter mot: • Man-in-the-midten-angrep som lytter til mediestrømmen mellom Cisco Unified CM og Unity Connection. • Nettverkstrafikksniffing som avlytter telefonsamtaler som flyter mellom Cisco Unified CM, Unity Connection og IP-telefoner som administreres av Cisco Unified CM. |
Autentisering og signalkryptering fungerer som minimumskravene for mediekryptering; det vil si at hvis enhetene ikke støtter signalkryptering og autentisering, kan ikke mediekryptering forekomme.
Cisco Unified CM-sikkerhet (autentisering og kryptering) beskytter kun anrop til Unity Connection. Meldinger som er tatt opp i meldingslageret er ikke beskyttet av Cisco Unified CM-autentiserings- og krypteringsfunksjonene, men kan beskyttes av Unity Connections private sikker meldingsfunksjon. For detaljer om Unity Connection sikker meldingsfunksjon, se Håndtering av meldinger merket som private og sikre.
Selvkrypterende stasjon
Cisco Unity Connection støtter også selvkrypterende stasjoner (SED). Dette kalles også Full Disk Encryption (FDE). FDE er en kryptografisk metode som brukes til å kryptere all data som er tilgjengelig på harddisken.
Dataene inkluderer files, operativsystem og programvare. Maskinvaren som er tilgjengelig på disken krypterer alle innkommende data og dekrypterer alle utgående data. Når stasjonen er låst, opprettes en krypteringsnøkkel som lagres internt. Alle data som er lagret på denne stasjonen er kryptert med den nøkkelen og lagret i kryptert form. FDE består av en nøkkel-ID og en sikkerhetsnøkkel.
For mer informasjon, se https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Sikkerhetsmodusinnstillinger for Cisco Unified Communications Manager og Unity Forbindelse
Cisco Unified Communications Manager og Cisco Unity Connection har sikkerhetsmodusalternativene vist i Tabell 2: Sikkerhetsmodusalternativer for talemeldingsporter (for SCCP-integrasjoner) eller portgrupper (for SIP-integrasjoner).
Forsiktighet
Cluster Security Mode-innstillingen for Unity Connection-talemeldingsporter (for SCCP-integrasjoner) eller portgrupper (for SIP-integrasjoner) må samsvare med sikkerhetsmodusinnstillingen for Cisco Unified CM-portene.
Ellers mislykkes Cisco Unified CM-autentisering og kryptering.
Tabell 2: Alternativer for sikkerhetsmodus
| Innstilling | Effekt |
| Ikke-sikker | Integriteten og personvernet til anropssignaleringsmeldinger er ikke sikret fordi anropssignaleringsmeldinger sendes som klar (ukryptert) tekst koblet til Cisco Unified CM gjennom en ikke-autentisert port i stedet for en autentisert TLS-port. I tillegg kan ikke mediestrømmen krypteres. |
| Godkjente | Integriteten til anropssignaleringsmeldinger er sikret fordi de er koblet til Cisco Unified CM via en autentisert TLS-port. Imidlertid personvernet til anropssignaleringsmeldinger er ikke sikret fordi de sendes som klar (ukryptert) tekst. I tillegg er ikke mediestrømmen kryptert. |
| Kryptert | Integriteten og personvernet til anropssignaleringsmeldinger er sikret fordi de er koblet til Cisco Unified CM gjennom en autentisert TLS-port, og anropssignaleringsmeldingene er kryptert. I tillegg kan mediestrømmen krypteres. Begge endepunktene må registreres i kryptert modus for at mediestrømmen skal krypteres. Når det ene endepunktet er satt for ikke-sikker eller autentisert modus og det andre endepunktet er satt til kryptert modus, krypteres ikke mediestrømmen. Dessuten, hvis en inngripende enhet (som en transkoder eller gateway) ikke er aktivert for kryptering, blir ikke mediestrømmen kryptert. |
Beste praksis for å sikre forbindelsen mellom Unity Connection, Cisco Unified Communications Manager og IP-telefoner
Hvis du vil aktivere autentisering og kryptering for talemeldingsportene på både Cisco Unity Connection og Cisco Unified Communications Manager, se Cisco Unified Communications Manager SCCP Integration Guide for Unity Connection Release 12.x, tilgjengelig på
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Sikre forbindelsen mellom Cisco Unity Connection, Cisco Unified Communications Manager og IP-telefoner
Dokumenter / Ressurser
 |
CISCO Unity Connection Unified Communications Manager [pdfBrukerhåndbok Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Kommunikasjonssjef, Leder |