Protegendo a conexão entre o Cisco Unity
Conexão, Comunicações Unificadas Cisco
Gerenciador e telefones IP
• Protegendo a conexão entre o Cisco Unity Connection, o Cisco Unified Communications Manager e os telefones IP, na página 1
Protegendo a conexão entre o Cisco Unity Connection, o Cisco Unified Communications Manager e os telefones IP
Introdução
Neste capítulo, você encontrará descrições de possíveis problemas de segurança relacionados às conexões entre o Cisco Unity Connection, o Cisco Unified Communications Manager e os telefones IP; informações sobre quaisquer ações que você precise realizar; recomendações que ajudam você a tomar decisões; discussão das ramificações das decisões que você toma; e melhores práticas.
Problemas de segurança para conexões entre Unity Connection e Cisco Unified Gerente de comunicações e telefones IP
Um ponto potencial de vulnerabilidade para um sistema Cisco Unity Connection é a conexão entre portas de mensagens de voz do Unity Connection (para uma integração SCCP) ou grupos de portas (para uma integração SIP), o Cisco Unified Communications Manager e os telefones IP.
Possíveis ameaças incluem:
- Ataques man-in-the-middle (quando o fluxo de informações entre o Cisco Unified CM e o Unity Connection é observado e modificado)
- Detecção de tráfego de rede (quando o software é usado para capturar conversas telefônicas e sinalizar informações que fluem entre o Cisco Unified CM, o Unity Connection e os telefones IP gerenciados pelo Cisco Unified CM)
- Modificação da sinalização de chamada entre Unity Connection e Cisco Unified CM
- Modificação do fluxo de mídia entre o Unity Connection e o endpoint (por exemploamparquivo, um telefone IP ou um gateway)
- Roubo de identidade do Unity Connection (quando um dispositivo que não seja do Unity Connection se apresenta ao Cisco Unified CM como um servidor do Unity Connection)
- Roubo de identidade do servidor Cisco Unified CM (quando um servidor não Cisco Unified CM se apresenta ao Unity Connection como um servidor Cisco Unified CM)
Recursos de segurança do Cisco Unified Communications Manager para portas de mensagens de voz do Unity Connection
O Cisco Unified CM pode proteger a conexão com o Unity Connection contra as ameaças listadas em Problemas de segurança para conexões entre o Unity Connection, o Cisco Unified Communications Manager e os telefones IP.
Os recursos de segurança do Cisco Unified CM que o Unity Connection pode aproveitartagTodos estão descritos na Tabela 1: Recursos de segurança do Cisco Unified CM usados pelo Cisco Unity Connection.
Tabela 1: Recursos de segurança do Cisco Unified CM usados pelo Cisco Unity Connection
| Recurso de Segurança | Descrição |
| Autenticação de sinalização | O processo que usa o protocolo Transport Layer Security (TLS) para validar que nãoampocorreu uma alteração nos pacotes de sinalização durante a transmissão. A autenticação de sinalização depende da criação da Cisco Certificate Trust List (CTL) file. Este recurso protege contra: • Ataques man-in-the-middle que modificam o fluxo de informações entre o Cisco Unified CM e o Unity Connection. • Modificação da sinalização de chamada. • Roubo de identidade do servidor Unity Connection. • Roubo de identidade do servidor Cisco Unified CM. |
| Autenticação de dispositivo | O processo que valida a identidade do dispositivo e garante que a entidade é o que afirma ser. Esse processo ocorre entre o Cisco Unified CM e as portas de mensagens de voz do Unity Connection (para uma integração SCCP) ou grupos de portas do Unity Connection (para uma integração SIP) quando cada dispositivo aceita o certificado do outro dispositivo. Quando os certificados são aceitos, é estabelecida uma conexão segura entre os dispositivos. A autenticação do dispositivo depende da criação da Cisco Certificate Trust List (CTL) file. Este recurso protege contra: • Ataques man-in-the-middle que modificam o fluxo de informações entre o Cisco Unified CM e o Unity Connection. • Modificação do fluxo de mídia. • Roubo de identidade do servidor Unity Connection. • Roubo de identidade do servidor Cisco Unified CM. |
| Criptografia de sinalização | O processo que usa métodos criptográficos para proteger (por meio da criptografia) a confidencialidade de todas as mensagens de sinalização SCCP ou SIP enviadas entre o Unity Connection e o Cisco Unified CM. A criptografia de sinalização garante que as informações pertencentes às partes, os dígitos DTMF inseridos pelas partes, o status da chamada, as chaves de criptografia de mídia e assim por diante sejam protegidos contra acesso não intencional ou não autorizado. Este recurso protege contra: • Ataques man-in-the-middle que observam o fluxo de informações entre o Cisco Unified CM e o Unity Connection. • Sniffing de tráfego de rede que observa o fluxo de informações de sinalização entre o Cisco Unified CM e o Unity Connection. |
| Criptografia de mídia | O processo pelo qual a confidencialidade da mídia ocorre através da utilização de procedimentos criptográficos. Este processo usa Secure Real Time Protocol (SRTP), conforme definido no IETF RFC 3711, e garante que apenas o destinatário pretendido possa interpretar os fluxos de mídia entre o Unity Connection e o endpoint (por exemplo,ampexemplo, um telefone ou gateway). O suporte inclui apenas fluxos de áudio. A criptografia de mídia inclui a criação de um par de chaves do Media Player para os dispositivos, a entrega das chaves ao Unity Connection e ao endpoint e a proteção da entrega das chaves enquanto elas estão em transporte. O Unity Connection e o endpoint usam as chaves para criptografar e descriptografar o fluxo de mídia. Este recurso protege contra: • Ataques man-in-the-middle que escutam o fluxo de mídia entre o Cisco Unified CM e o Unity Connection. • Detecção de tráfego de rede que espiona conversas telefônicas que fluem entre o Cisco Unified CM, o Unity Connection e os telefones IP gerenciados pelo Cisco Unified CM. |
A autenticação e a criptografia de sinalização servem como requisitos mínimos para a criptografia de mídia; isto é, se os dispositivos não suportarem criptografia e autenticação de sinalização, a criptografia de mídia não poderá ocorrer.
A segurança do Cisco Unified CM (autenticação e criptografia) protege apenas chamadas para o Unity Connection. As mensagens gravadas no armazenamento de mensagens não são protegidas pelos recursos de autenticação e criptografia do Cisco Unified CM, mas podem ser protegidas pelo recurso de mensagens seguras privadas do Unity Connection. Para obter detalhes sobre o recurso de mensagens seguras do Unity Connection, consulte Tratamento de mensagens marcadas como privadas e seguras.
Unidade com criptografia automática
O Cisco Unity Connection também suporta unidades com criptografia automática (SED). Isso também é chamado de criptografia completa de disco (FDE). FDE é um método criptográfico usado para criptografar todos os dados disponíveis no disco rígido.
Os dados incluem files, sistema operacional e programas de software. O hardware disponível no disco criptografa todos os dados recebidos e descriptografa todos os dados enviados. Quando a unidade está bloqueada, uma chave de criptografia é criada e armazenada internamente. Todos os dados armazenados nesta unidade são criptografados usando essa chave e armazenados na forma criptografada. O FDE compreende um ID de chave e uma chave de segurança.
Para mais informações, consulte https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Configurações do modo de segurança para Cisco Unified Communications Manager e Unity Conexão
O Cisco Unified Communications Manager e o Cisco Unity Connection têm as opções de modo de segurança mostradas na Tabela 2: Opções de modo de segurança para portas de mensagens de voz (para integrações SCCP) ou grupos de portas (para integrações SIP).
Cuidado
A configuração do modo de segurança do cluster para portas de mensagens de voz do Unity Connection (para integrações SCCP) ou grupos de portas (para integrações SIP) deve corresponder à configuração do modo de segurança para as portas Cisco Unified CM.
Caso contrário, a autenticação e a criptografia do Cisco Unified CM falharão.
Tabela 2: Opções do modo de segurança
| Contexto | Efeito |
| Não seguro | A integridade e a privacidade das mensagens de sinalização de chamada não são garantidas porque as mensagens de sinalização de chamada são enviadas como texto não criptografado (não criptografado) conectado ao Cisco Unified CM por meio de uma porta não autenticada em vez de uma porta TLS autenticada. Além disso, o fluxo de mídia não pode ser criptografado. |
| Autenticado | A integridade das mensagens de sinalização de chamada é garantida porque elas estão conectadas ao Cisco Unified CM por meio de uma porta TLS autenticada. No entanto, o a privacidade das mensagens de sinalização de chamada não é garantida porque são enviadas como texto não criptografado. Além disso, o fluxo de mídia não é criptografado. |
| Criptografado | A integridade e a privacidade das mensagens de sinalização de chamada são garantidas porque elas estão conectadas ao Cisco Unified CM por meio de uma porta TLS autenticada e as mensagens de sinalização de chamada são criptografadas. Além disso, o fluxo de mídia pode ser criptografado. Ambos os terminais devem ser registrados em modo criptografado para que o fluxo de mídia seja criptografado. No entanto, quando um ponto final é definido para o modo não seguro ou autenticado e o outro ponto final é definido para o modo criptografado, o fluxo de mídia não é criptografado. Além disso, se um dispositivo interveniente (como um transcodificador ou gateway) não estiver habilitado para criptografia, o fluxo de mídia não será criptografado. |
Melhores práticas para proteger a conexão entre Unity Connection, Cisco Unified Communications Manager e telefones IP
Se você quiser ativar a autenticação e a criptografia para as portas de mensagens de voz no Cisco Unity Connection e no Cisco Unified Communications Manager, consulte o Guia de integração SCCP do Cisco Unified Communications Manager para o Unity Connection versão 12.x, disponível em
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Protegendo a conexão entre o Cisco Unity Connection, o Cisco Unified Communications Manager e os telefones IP
Documentos / Recursos
 |
Gerenciador de comunicações unificadas do CISCO Unity Connection [pdf] Guia do Usuário Gerenciador de comunicações unificadas do Unity Connection, Gerenciador de comunicações unificadas de conexão, Gerenciador de comunicações unificadas, Gerenciador de comunicações, Gerenciador |