Защита соединения между Cisco Unity
Соединение, унифицированные коммуникации Cisco
Менеджер и IP-телефоны
• Защита соединения между Cisco Unity Connection, Cisco Unified Communications Manager и IP-телефонами, на странице 1.
Защита соединения между Cisco Unity Connection, Cisco Unified Communications Manager и IP-телефонами
Введение
В этой главе вы найдете описания потенциальных проблем безопасности, связанных с соединениями между Cisco Unity Connection, Cisco Unified Communications Manager и IP-телефонами; информация о любых действиях, которые вам необходимо предпринять; рекомендации, помогающие принимать решения; обсуждение последствий принимаемых вами решений; и лучшие практики.
Проблемы безопасности для соединений между Unity Connection, Cisco Unified Менеджер по коммуникациям и IP-телефонам
Потенциальной точкой уязвимости системы Cisco Unity Connection является соединение между портами голосовых сообщений Unity Connection (для интеграции SCCP) или группами портов (для интеграции SIP), Cisco Unified Communications Manager и IP-телефонами.
Возможные угрозы включают в себя:
- Атаки «человек посередине» (когда информационный поток между Cisco Unified CM и Unity Connection наблюдается и изменяется)
- Анализ сетевого трафика (когда программное обеспечение используется для захвата телефонных разговоров и сигнальной информации, передаваемой между Cisco Unified CM, Unity Connection и IP-телефонами, управляемыми Cisco Unified CM)
- Изменение сигнализации вызова между Unity Connection и Cisco Unified CM
- Изменение медиапотока между Unity Connection и конечной точкой (например,ample, IP-телефон или шлюз)
- Кража личных данных Unity Connection (когда устройство, отличное от Unity Connection, представляется Cisco Unified CM как сервер Unity Connection)
- Кража личных данных сервера Cisco Unified CM (когда сервер Unified CM, отличный от Cisco, представляется Unity Connection как сервер Cisco Unified CM)
CiscoUnifiedCommunicationsManagerSecurityFeaturesдля портов голосовых сообщений Unity Connection
Cisco Unified CM может защитить соединение с помощью Unity Connection от угроз, перечисленных в разделе «Проблемы безопасности соединений между Unity Connection, Cisco Unified Communications Manager и IP-телефонами».
Функции безопасности Cisco Unified CM, которые Unity Connection может использоватьtage из них описаны в Таблице 1: Функции безопасности Cisco Unified CM, используемые Cisco Unity Connection.
Таблица 1. Функции безопасности Cisco Unified CM, используемые Cisco Unity Connection
| Функция безопасности | Описание |
| Сигнальная аутентификация | Процесс, который использует протокол Transport Layer Security (TLS) для проверки того, что неampВо время передачи произошло изменение пакетов сигнализации. Аутентификация сигнализации основана на создании списка доверия сертификатов Cisco (CTL). file. Эта функция защищает от: • Атаки «человек посередине», которые изменяют поток информации между Cisco Unified CM и Unity Connection. • Модификация сигнализации вызова. • Кража личных данных сервера Unity Connection. • Кража личных данных сервера Cisco Unified CM. |
| Аутентификация устройства | Процесс, который проверяет подлинность устройства и гарантирует, что объект соответствует тому, за что он выдает себя. Этот процесс происходит между Cisco Unified CM и портами голосовых сообщений Unity Connection (для интеграции SCCP) или группами портов Unity Connection (для интеграции SIP), когда каждое устройство принимает сертификат другого устройства. Когда сертификаты приняты, между устройствами устанавливается безопасное соединение. Аутентификация устройства основана на создании списка доверия сертификатов Cisco (CTL). file. Эта функция защищает от: • Атаки «человек посередине», которые изменяют поток информации между Cisco Unified CM и Unity Connection. • Модификация медиапотока. • Кража личных данных сервера Unity Connection. • Кража личных данных сервера Cisco Unified CM. |
| Шифрование сигнализации | Процесс, использующий криптографические методы для защиты (посредством шифрования) конфиденциальности всех сигнальных сообщений SCCP или SIP, которые передаются между Unity Connection и Cisco Unified CM. Шифрование сигналов гарантирует, что информация, относящаяся к сторонам, цифры DTMF, вводимые сторонами, статус вызова, ключи шифрования мультимедиа и т. д., защищены от непреднамеренного или несанкционированного доступа. Эта функция защищает от: • Атаки «человек посередине», которые наблюдают за потоком информации между Cisco Unified CM и Unity Connection. • Анализ сетевого трафика, который отслеживает поток сигнальной информации между Cisco Unified CM и Unity Connection. |
| Шифрование медиа | Процесс, при котором конфиденциальность средств массовой информации обеспечивается за счет использования криптографических процедур. Этот процесс использует протокол безопасного реального времени (SRTP), как определено в IETF RFC 3711, и гарантирует, что только предполагаемый получатель может интерпретировать медиапотоки между Unity Connection и конечной точкой (например,ample, телефон или шлюз). Поддержка включает только аудиопотоки. Шифрование мультимедиа включает в себя создание пары ключей Media Player для устройств, доставку ключей Unity Connection и конечной точке, а также обеспечение безопасности доставки ключей во время их транспортировки. Unity Connection и конечная точка используют ключи для шифрования и дешифрования медиапотока. Эта функция защищает от: • Атаки «человек посередине», которые прослушивают медиапоток между Cisco Unified CM и Unity Connection. • Анализ сетевого трафика, который подслушивает телефонные разговоры между Cisco Unified CM, Unity Connection и IP-телефонами, управляемыми Cisco Unified CM. |
Аутентификация и шифрование сигналов служат минимальными требованиями для шифрования мультимедиа; то есть, если устройства не поддерживают шифрование сигналов и аутентификацию, шифрование мультимедиа невозможно.
Безопасность Cisco Unified CM (аутентификация и шифрование) защищает только вызовы Unity Connection. Сообщения, записанные в хранилище сообщений, не защищены функциями аутентификации и шифрования Cisco Unified CM, но могут быть защищены функцией частного безопасного обмена сообщениями Unity Connection. Подробную информацию о функции безопасного обмена сообщениями Unity Connection см. в разделе «Обработка сообщений, помеченных как конфиденциальные и безопасные».
Самошифрующийся диск
Cisco Unity Connection также поддерживает диски с самошифрованием (SED). Это также называется полнодисковым шифрованием (FDE). FDE — это криптографический метод, используемый для шифрования всех данных, доступных на жестком диске.
Данные включают в себя files, операционная система и программное обеспечение. Аппаратное обеспечение, имеющееся на диске, шифрует все входящие данные и расшифровывает все исходящие данные. Когда диск заблокирован, ключ шифрования создается и хранится внутри. Все данные, хранящиеся на этом диске, зашифрованы с помощью этого ключа и хранятся в зашифрованном виде. FDE содержит идентификатор ключа и ключ безопасности.
Для получения более подробной информации см. https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Настройки режима безопасности для Cisco Unified Communications Manager и Unity Связь
Cisco Unified Communications Manager и Cisco Unity Connection имеют параметры режима безопасности, показанные в Таблице 2: Параметры режима безопасности для портов голосовых сообщений (для интеграции SCCP) или групп портов (для интеграции SIP).
Осторожность
Настройка режима безопасности кластера для портов голосовых сообщений Unity Connection (для интеграции SCCP) или групп портов (для интеграции SIP) должна соответствовать настройке режима безопасности для портов Cisco Unified CM.
В противном случае аутентификация и шифрование Cisco Unified CM не удастся.
Таблица 2: Параметры режима безопасности
| Параметр | Эффект |
| Небезопасный | Целостность и конфиденциальность сообщений сигнализации вызова не гарантируются, поскольку сообщения сигнализации вызова отправляются в виде открытого (незашифрованного) текста, подключенного к Cisco Unified CM через неаутентифицированный порт, а не аутентифицированный порт TLS. Кроме того, медиапоток не может быть зашифрован. |
| Проверенный | Целостность сообщений сигнализации вызова обеспечивается, поскольку они подключаются к Cisco Unified CM через аутентифицированный порт TLS. Однако конфиденциальность сообщений сигнализации вызова не обеспечивается, поскольку они передаются в виде открытого (незашифрованного) текста. Кроме того, медиапоток не шифруется. |
| Зашифровано | Целостность и конфиденциальность сообщений сигнализации о вызове гарантируются, поскольку они подключаются к Cisco Unified CM через аутентифицированный порт TLS, а сообщения сигнализации о вызове шифруются. Кроме того, медиапоток может быть зашифрован. Обе конечные точки должны быть зарегистрированы в зашифрованном режиме. для шифрования медиапотока. Однако если одна конечная точка установлена для незащищенного режима или режима с проверкой подлинности, а другая конечная точка установлена для зашифрованного режима, медиапоток не шифруется. Кроме того, если промежуточное устройство (например, транскодер или шлюз) не поддерживает шифрование, медиапоток не шифруется. |
Рекомендации по обеспечению безопасности соединения между Unity Connection, Cisco Unified Communications Manager и IP-телефонами
Если вы хотите включить аутентификацию и шифрование для портов голосовых сообщений как в Cisco Unity Connection, так и в Cisco Unified Communications Manager, см. Руководство по интеграции Cisco Unified Communications Manager SCCP для Unity Connection Release 12.x, доступное по адресу
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Защита соединения между Cisco Unity Connection, Cisco Unified Communications Manager и IP-телефонами
Документы/Ресурсы
 |
Менеджер унифицированных коммуникаций CISCO Unity Connection [pdf] Руководство пользователя Менеджер унифицированных коммуникаций Unity Connection, Менеджер унифицированных коммуникаций Connection, Менеджер унифицированных коммуникаций, Менеджер коммуникаций, Менеджер |