Zabezpieczanie połączenia między Cisco Unity
Połączenie, Cisco Unified Communications
Menedżer i telefony IP
• Zabezpieczanie połączenia między Cisco Unity Connection, Cisco Unified Communications Manager i telefonami IP, na stronie 1
Zabezpieczanie połączenia między Cisco Unity Connection, Cisco Unified Communications Manager i telefonami IP
Wstęp
W tym rozdziale znajdziesz opisy potencjalnych problemów bezpieczeństwa związanych z połączeniami pomiędzy Cisco Unity Connection, Cisco Unified Communications Manager i telefonami IP; informacje o wszelkich działaniach, które należy podjąć; rekomendacje, które pomogą Ci podjąć decyzję; omówienie konsekwencji podjętych decyzji; i najlepsze praktyki.
Problemy bezpieczeństwa połączeń między Unity Connection i Cisco Unified Menedżer ds. komunikacji i telefony IP
Potencjalnym punktem luk w zabezpieczeniach systemu Cisco Unity Connection jest połączenie między portami wiadomości głosowych Unity Connection (w przypadku integracji SCCP) lub grupami portów (w przypadku integracji SIP), programem Cisco Unified Communications Manager i telefonami IP.
Możliwe zagrożenia obejmują:
- Ataki typu man-in-the-middle (kiedy obserwuje się i modyfikuje przepływ informacji pomiędzy Cisco Unified CM i Unity Connection)
- Podsłuchiwanie ruchu sieciowego (gdy oprogramowanie jest używane do przechwytywania rozmów telefonicznych i sygnalizowania informacji przepływających między Cisco Unified CM, Unity Connection i telefonami IP zarządzanymi przez Cisco Unified CM)
- Modyfikacja sygnalizacji połączeń pomiędzy Unity Connection i Cisco Unified CM
- Modyfikacja strumienia multimediów pomiędzy Unity Connection a punktem końcowym (npample, telefon IP lub bramka)
- Kradzież tożsamości Unity Connection (kiedy urządzenie inne niż Unity Connection przedstawia się Cisco Unified CM jako serwer Unity Connection)
- Kradzież tożsamości serwera Cisco Unified CM (kiedy serwer innej firmy niż Cisco Unified CM przedstawia się Unity Connection jako serwer Cisco Unified CM)
CiscoUnifiedCommunicationsManagerFunkcje zabezpieczeń dla portów wiadomości głosowych Unity Connection
Cisco Unified CM może zabezpieczyć połączenie z Unity Connection przed zagrożeniami wymienionymi w temacie Zagadnienia bezpieczeństwa dotyczące połączeń między Unity Connection, Cisco Unified Communications Manager i telefonami IP.
Funkcje zabezpieczeń Cisco Unified CM, które Unity Connection może wykorzystać z wyprzedzeniemtagNiektóre z nich opisano w Tabeli 1: Funkcje zabezpieczeń Cisco Unified CM używane przez Cisco Unity Connection.
Tabela 1: Funkcje zabezpieczeń Cisco Unified CM używane przez Cisco Unity Connection
| Funkcja bezpieczeństwa | Opis |
| Uwierzytelnienie sygnalizacji | Proces korzystający z protokołu Transport Layer Security (TLS) w celu sprawdzenia, czy nieampwystąpiło zakłócenie pakietów sygnalizacyjnych podczas transmisji. Uwierzytelnianie sygnalizacji opiera się na utworzeniu listy zaufania certyfikatów Cisco (CTL) file. Ta funkcja chroni przed: • Ataki typu man-in-the-middle modyfikujące przepływ informacji pomiędzy Cisco Unified CM i Unity Connection. • Modyfikacja sygnalizacji wywołania. • Kradzież tożsamości serwera Unity Connection. • Kradzież tożsamości serwera Cisco Unified CM. |
| Uwierzytelnianie urządzenia | Proces weryfikujący tożsamość urządzenia i zapewniający, że podmiot jest tym, za co się podaje. Ten proces zachodzi pomiędzy Cisco Unified CM a portami wiadomości głosowych Unity Connection (w przypadku integracji SCCP) lub grupami portów Unity Connection (w przypadku integracji SIP), gdy każde urządzenie akceptuje certyfikat drugiego urządzenia. Po zaakceptowaniu certyfikatów zostaje nawiązane bezpieczne połączenie pomiędzy urządzeniami. Uwierzytelnianie urządzenia polega na utworzeniu listy zaufania certyfikatów Cisco (CTL) file. Ta funkcja chroni przed: • Ataki typu man-in-the-middle modyfikujące przepływ informacji pomiędzy Cisco Unified CM i Unity Connection. • Modyfikacja strumienia multimediów. • Kradzież tożsamości serwera Unity Connection. • Kradzież tożsamości serwera Cisco Unified CM. |
| Szyfrowanie sygnalizacji | Proces wykorzystujący metody kryptograficzne w celu ochrony (poprzez szyfrowanie) poufności wszystkich komunikatów sygnalizacyjnych SCCP lub SIP przesyłanych między Unity Connection i Cisco Unified CM. Szyfrowanie sygnalizacji zapewnia, że informacje dotyczące stron, wprowadzane przez strony cyfry DTMF, status połączenia, klucze szyfrowania multimediów itp. są chronione przed niezamierzonym lub nieuprawnionym dostępem. Ta funkcja chroni przed: • Ataki typu man-in-the-middle, które obserwują przepływ informacji pomiędzy Cisco Unified CM i Unity Connection. • Podsłuchiwanie ruchu sieciowego, które obserwuje przepływ informacji sygnalizacyjnych pomiędzy Cisco Unified CM i Unity Connection. |
| Szyfrowanie multimediów | Proces, w ramach którego poufność mediów osiągana jest poprzez zastosowanie procedur kryptograficznych. Proces ten wykorzystuje protokół Secure Real Time Protocol (SRTP) zgodnie z definicją w IETF RFC 3711 i zapewnia, że tylko zamierzony odbiorca może interpretować strumienie multimediów między Unity Connection a punktem końcowym (np.ample, telefon lub bramka). Wsparcie obejmuje tylko strumienie audio. Szyfrowanie multimediów obejmuje utworzenie pary kluczy Media Player dla urządzeń, dostarczenie kluczy do Unity Connection i punktu końcowego oraz zabezpieczenie dostarczenia kluczy podczas transportu. Unity Connection i punkt końcowy używają kluczy do szyfrowania i deszyfrowania strumienia multimediów. Ta funkcja chroni przed: • Ataki typu man-in-the-middle, które podsłuchują strumień multimediów pomiędzy Cisco Unified CM i Unity Connection. • Podsłuchiwanie ruchu sieciowego, które podsłuchuje rozmowy telefoniczne przepływające pomiędzy Cisco Unified CM, Unity Connection i telefonami IP zarządzanymi przez Cisco Unified CM. |
Uwierzytelnianie i szyfrowanie sygnalizacji stanowią minimalne wymagania dotyczące szyfrowania multimediów; oznacza to, że jeśli urządzenia nie obsługują szyfrowania i uwierzytelniania sygnalizacji, szyfrowanie multimediów nie może nastąpić.
Zabezpieczenia Cisco Unified CM (uwierzytelnianie i szyfrowanie) chronią tylko połączenia z Unity Connection. Wiadomości zapisane w magazynie wiadomości nie są chronione przez funkcje uwierzytelniania i szyfrowania Cisco Unified CM, ale mogą być chronione przez funkcję bezpiecznych wiadomości prywatnych Unity Connection. Aby uzyskać szczegółowe informacje na temat funkcji bezpiecznej komunikacji Unity Connection, zobacz Obsługa wiadomości oznaczonych jako prywatne i bezpieczne.
Dysk samoszyfrujący
Cisco Unity Connection obsługuje także dyski samoszyfrujące (SED). Nazywa się to również szyfrowaniem całego dysku (FDE). FDE to metoda kryptograficzna służąca do szyfrowania wszystkich danych dostępnych na dysku twardym.
Dane obejmują files, system operacyjny i programy. Sprzęt dostępny na dysku szyfruje wszystkie przychodzące dane i odszyfrowuje wszystkie dane wychodzące. Kiedy dysk jest zablokowany, tworzony jest klucz szyfrujący, który jest przechowywany wewnętrznie. Wszystkie dane przechowywane na tym dysku są szyfrowane przy użyciu tego klucza i przechowywane w zaszyfrowanej formie. FDE składa się z identyfikatora klucza i klucza bezpieczeństwa.
Więcej informacji znajdziesz tutaj https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Ustawienia trybu zabezpieczeń dla Cisco Unified Communications Manager i Unity Połączenie
Cisco Unified Communications Manager i Cisco Unity Connection mają opcje trybu bezpieczeństwa pokazane w Tabeli 2: Opcje trybu zabezpieczeń dla portów wiadomości głosowych (w przypadku integracji SCCP) lub grup portów (w przypadku integracji SIP).
Ostrożność
Ustawienie trybu zabezpieczeń klastra dla portów wiadomości głosowych Unity Connection (w przypadku integracji SCCP) lub grup portów (w przypadku integracji SIP) musi odpowiadać ustawieniu trybu zabezpieczeń dla portów Cisco Unified CM.
W przeciwnym razie uwierzytelnianie i szyfrowanie Cisco Unified CM nie powiedzie się.
Tabela 2: Opcje trybu zabezpieczeń
| Ustawienie | Efekt |
| Niezabezpieczony | Integralność i prywatność wiadomości sygnalizujących połączenia nie są zapewnione, ponieważ wiadomości sygnalizujące połączenia są wysyłane jako czysty (nieszyfrowany) tekst podłączony do Cisco Unified CM przez port nieuwierzytelniony, a nie uwierzytelniony port TLS. Ponadto strumienia multimediów nie można szyfrować. |
| Zalegalizowany | Integralność wiadomości sygnalizujących połączenia jest zapewniona, ponieważ są one podłączone do Cisco Unified CM za pośrednictwem uwierzytelnionego portu TLS. Jednakże prywatność wiadomości sygnalizujących połączenia nie jest zapewniona, ponieważ są wysyłane jako czysty (nieszyfrowany) tekst. Ponadto strumień multimediów nie jest szyfrowany. |
| Zaszyfrowane | Integralność i prywatność wiadomości sygnalizujących połączenia są zapewnione, ponieważ są one podłączone do Cisco Unified CM za pośrednictwem uwierzytelnionego portu TLS, a wiadomości sygnalizujące połączenia są szyfrowane. Ponadto strumień multimediów można szyfrować. Oba punkty końcowe muszą być zarejestrowane w trybie szyfrowanym aby strumień multimediów był szyfrowany. Jeśli jednak jeden punkt końcowy jest ustawiony na tryb niezabezpieczony lub uwierzytelniony, a drugi na tryb szyfrowany, strumień multimediów nie jest szyfrowany. Ponadto, jeśli w urządzeniu pośredniczącym (takim jak transkoder lub brama) nie włączono szyfrowania, strumień multimediów nie jest szyfrowany. |
Najlepsze praktyki dotyczące zabezpieczania połączenia między Unity Connection, Cisco Unified Communications Manager i telefonami IP
Jeśli chcesz włączyć uwierzytelnianie i szyfrowanie dla portów wiadomości głosowych zarówno w Cisco Unity Connection, jak i Cisco Unified Communications Manager, zapoznaj się z Przewodnikiem integracji Cisco Unified Communications Manager SCCP dla Unity Connection Release 12.x, dostępnym pod adresem
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Zabezpieczanie połączenia między Cisco Unity Connection, Cisco Unified Communications Manager i telefonami IP
Dokumenty / Zasoby
 |
Menedżer ujednoliconej komunikacji CISCO Unity Connection [plik PDF] Instrukcja użytkownika Unity Connection Menedżer ujednoliconej komunikacji, Menedżer ujednoliconej komunikacji Connection, Menedżer ujednoliconej komunikacji, Menedżer komunikacji, Menedżer |