logo cisco

Zabezpečenie spojenia medzi Cisco Unity
Pripojenie, Cisco Unified Communications
manažér a IP telefóny

Správca jednotnej komunikácie CISCO Unity Connection

• Zabezpečenie spojenia medzi Cisco Unity Connection, Cisco Unified Communications Manager a IP telefónmi, na strane 1
Zabezpečenie spojenia medzi Cisco Unity Connection, Cisco Unified Communications Manager a IP telefónmi

Obsah skryť
1 Úvod
2 Samošifrovací disk
3 Dokumenty / zdroje
3.1 Referencie

Úvod

V tejto kapitole nájdete popisy možných bezpečnostných problémov súvisiacich s pripojeniami medzi Cisco Unity Connection, Cisco Unified Communications Manager a IP telefónmi; informácie o akýchkoľvek akciách, ktoré musíte vykonať; odporúčania, ktoré vám pomôžu pri rozhodovaní; diskusia o dôsledkoch rozhodnutí, ktoré urobíte; a osvedčených postupov.

Bezpečnostné problémy pre pripojenia medzi Unity Connection, Cisco Unified Správca komunikácie a IP telefóny
Potenciálnym bodom zraniteľnosti systému Cisco Unity Connection je spojenie medzi portami hlasových správ Unity Connection (pre integráciu SCCP) alebo skupinami portov (pre integráciu SIP), Cisco Unified Communications Manager a IP telefónmi.

Medzi možné hrozby patria:

  • Útoky typu Man-in-the-middle (keď sa sleduje a upravuje tok informácií medzi Cisco Unified CM a Unity Connection)
  • Snímanie sieťovej prevádzky (keď sa softvér používa na zachytávanie telefonických rozhovorov a signalizačných informácií, ktoré prechádzajú medzi Cisco Unified CM, Unity Connection a IP telefónmi, ktoré spravuje Cisco Unified CM)
  • Úprava signalizácie hovoru medzi Unity Connection a Cisco Unified CM
  • Úprava toku médií medzi Unity Connection a koncovým bodom (naprample, IP telefón alebo brána)
  • Krádež identity Unity Connection (keď sa zariadenie, ktoré nie je Unity Connection, prezentuje Cisco Unified CM ako server Unity Connection)
  • Krádež identity servera Cisco Unified CM (keď sa server Cisco Unified CM neprezentuje na Unity Connection ako server Cisco Unified CM)

CiscoUnifiedCommunicationsManager Funkcie zabezpečenia pre pripojenie Unity Porty hlasových správ
Cisco Unified CM dokáže zabezpečiť pripojenie pomocou Unity Connection proti hrozbám uvedeným v časti Bezpečnostné problémy pre pripojenia medzi Unity Connection, Cisco Unified Communications Manager a IP telefónmi.
Funkcie zabezpečenia Cisco Unified CM, ktoré Unity Connection môžu využiťtagNiektoré z nich sú popísané v tabuľke 1: Funkcie zabezpečenia Cisco Unified CM používané službou Cisco Unity Connection.

Tabuľka 1: Funkcie zabezpečenia Cisco Unified CM používané službou Cisco Unity Connection

Funkcia zabezpečenia Popis
Signalizačné overenie Proces, ktorý používa protokol Transport Layer Security (TLS) na overenie, že nie je tamppočas prenosu došlo k signalizácii paketov.
Signalizačná autentifikácia závisí od vytvorenia Cisco Certificate Trust List (CTL) file.
Táto funkcia chráni pred:
• Útoky typu Man-in-the-middle, ktoré upravujú tok informácií medzi Cisco Unified CM a Unity Connection.
• Úprava signalizácie hovoru.
• Krádež identity servera Unity Connection.
• Krádež identity servera Cisco Unified CM.
Autentifikácia zariadenia Proces, ktorý overuje identitu zariadenia a zabezpečuje, že entita je taká, za akú sa vydáva. Tento proces prebieha medzi Cisco Unified CM a portmi hlasových správ Unity Connection (pre integráciu SCCP) alebo skupinami portov Unity Connection (pre integráciu SIP), keď každé zariadenie akceptuje certifikát druhého zariadenia. Po prijatí certifikátov sa vytvorí zabezpečené spojenie medzi zariadeniami. Autentifikácia zariadenia závisí od vytvorenia Cisco Certificate Trust List (CTL) file.
Táto funkcia chráni pred:
• Útoky typu Man-in-the-middle, ktoré upravujú tok informácií medzi Cisco Unified CM a Unity Connection.
• Úprava toku médií.
• Krádež identity servera Unity Connection.
• Krádež identity servera Cisco Unified CM.
Šifrovanie signalizácie Proces, ktorý využíva kryptografické metódy na ochranu (prostredníctvom šifrovania) dôvernosti všetkých signalizačných správ SCCP alebo SIP, ktoré sa odosielajú medzi Unity Connection a Cisco Unified CM. Šifrovanie signalizácie zabezpečuje, že informácie, ktoré sa týkajú účastníkov, číslice DTMF, ktoré účastníci zadávajú, stav hovoru, šifrovacie kľúče médií atď., sú chránené pred neúmyselným alebo neoprávneným prístupom.
Táto funkcia chráni pred:
• Útoky typu Man-in-the-middle, ktoré sledujú tok informácií medzi Cisco Unified CM a Unity Connection.
• Snímanie sieťovej prevádzky, ktoré sleduje tok signalizačných informácií medzi Cisco Unified CM a Unity Connection.
Šifrovanie médií Proces, pri ktorom k dôvernosti médií dochádza pomocou kryptografických postupov.
Tento proces využíva protokol Secure Real Time Protocol (SRTP), ako je definovaný v IETF RFC 3711, a zabezpečuje, že mediálne toky medzi Unity Connection a koncovým bodom môže interpretovať iba určený príjemca (napr.ample, telefón alebo brána). Podpora zahŕňa iba audio streamy. Šifrovanie médií zahŕňa vytvorenie páru kľúčov prehrávača médií pre zariadenia, doručenie kľúčov do Unity Connection a koncového bodu a zabezpečenie doručenia kľúčov počas prepravy kľúčov. Unity Connection a koncový bod používajú kľúče na šifrovanie a dešifrovanie mediálneho toku.
Táto funkcia chráni pred:
• Útoky typu Man-in-the-middle, ktoré počúvajú mediálny tok medzi Cisco Unified CM a Unity Connection.
• Sledovanie sieťového prenosu, ktoré odpočúva telefonické rozhovory medzi Cisco Unified CM, Unity Connection a IP telefónmi, ktoré spravuje Cisco Unified CM.

Autentifikácia a šifrovanie signalizácie slúžia ako minimálne požiadavky na šifrovanie médií; to znamená, že ak zariadenia nepodporujú šifrovanie signalizácie a autentifikáciu, šifrovanie médií nemôže nastať.
Zabezpečenie Cisco Unified CM (overovanie a šifrovanie) chráni iba hovory do Unity Connection. Správy zaznamenané v úložisku správ nie sú chránené funkciami autentifikácie a šifrovania Cisco Unified CM, ale môžu byť chránené funkciou zabezpečenia súkromných správ Unity Connection. Podrobnosti o funkcii bezpečných správ Unity Connection nájdete v časti Spracovanie správ označených ako súkromné ​​a zabezpečené.

Samošifrovací disk

Cisco Unity Connection podporuje aj samošifrovacie jednotky (SED). Toto sa tiež nazýva úplné šifrovanie disku (FDE). FDE je kryptografická metóda, ktorá sa používa na šifrovanie všetkých údajov, ktoré sú k dispozícii na pevnom disku.
Údaje zahŕňajú files, operačný systém a softvérové ​​programy. Hardvér dostupný na disku šifruje všetky prichádzajúce dáta a dešifruje všetky odchádzajúce dáta. Keď je disk uzamknutý, vytvorí sa a interne uloží šifrovací kľúč. Všetky údaje uložené na tomto disku sú zašifrované pomocou tohto kľúča a uložené v zašifrovanej forme. FDE obsahuje ID kľúča a bezpečnostný kľúč.
Ďalšie informácie nájdete v časti https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Nastavenia režimu zabezpečenia pre Cisco Unified Communications Manager a Unity Pripojenie
Cisco Unified Communications Manager a Cisco Unity Connection majú možnosti režimu zabezpečenia uvedené v tabuľke 2: Možnosti režimu zabezpečenia pre porty hlasových správ (pre integrácie SCCP) alebo skupiny portov (pre integrácie SIP).

Výstražná ikona Pozor
Nastavenie režimu zabezpečenia klastra pre porty hlasových správ Unity Connection (pre integrácie SCCP) alebo skupiny portov (pre integrácie SIP) sa musí zhodovať s nastavením režimu zabezpečenia pre porty Cisco Unified CM.
V opačnom prípade overenie a šifrovanie Cisco Unified CM zlyhá.

Tabuľka 2: Možnosti bezpečnostného režimu

Nastavenie Effect
Nezabezpečené Integrita a súkromie správ signalizácie volania nie sú zaručené, pretože správy signalizácie volania sa odosielajú ako čistý (nešifrovaný) text pripojený k Cisco Unified CM cez neoverený port, a nie cez overený port TLS. Navyše mediálny tok nie je možné šifrovať.
overený Integrita správ signalizácie volania je zabezpečená, pretože sú pripojené k Cisco Unified CM cez overený port TLS. Avšak,
súkromie signalizačných správ nie je zabezpečené, pretože sa odosielajú ako čistý (nešifrovaný) text. Stream médií navyše nie je šifrovaný.
Zašifrované Integrita a súkromie signalizačných správ sú zaručené, pretože sú pripojené k Cisco Unified CM cez overený port TLS a správy signalizujúce volanie sú šifrované. Okrem toho môže byť stream médií šifrovaný. Oba koncové body musia byť zaregistrované v šifrovanom režime
aby bol mediálny tok zašifrovaný. Ak je však jeden koncový bod nastavený na nezabezpečený alebo overený režim a druhý koncový bod je nastavený na šifrovaný režim, mediálny tok nie je zašifrovaný. Taktiež, ak zasahujúce zariadenie (napríklad transkodér alebo brána) nie je povolené na šifrovanie, mediálny tok nie je šifrovaný.

Najlepšie postupy na zabezpečenie spojenia medzi Unity Connection, Cisco Unified Communications Manager a IP telefónmi
Ak chcete povoliť autentifikáciu a šifrovanie pre porty hlasových správ na Cisco Unity Connection a Cisco Unified Communications Manager, pozrite si príručku Cisco Unified Communications Manager SCCP Integration Guide for Unity Connection Release 12.x, ktorá je k dispozícii na adrese
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Zabezpečenie spojenia medzi Cisco Unity Connection, Cisco Unified Communications Manager a IP telefónmi

Dokumenty / zdroje

Správca jednotnej komunikácie CISCO Unity Connection [pdf] Používateľská príručka
Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager

Referencie

Zanechajte komentár

Vaša emailová adresa nebude zverejnená. Povinné polia sú označené *