cisco logotip

Zaščita povezave med Cisco Unity
Povezava, poenotene komunikacije Cisco
Manager in IP telefoni

CISCO Unity Connection Unified Communications Manager

• Zaščita povezave med Cisco Unity Connection, Cisco Unified Communications Manager in IP telefoni, na strani 1
Zaščita povezave med Cisco Unity Connection, Cisco Unified Communications Manager in IP telefoni

Vsebina skriti
1 Uvod
2 Samošifrirni pogon
3 Dokumenti / Viri
3.1 Reference

Uvod

V tem poglavju boste našli opise možnih varnostnih težav, povezanih s povezavami med Cisco Unity Connection, Cisco Unified Communications Manager in telefoni IP; informacije o vseh ukrepih, ki jih morate izvesti; priporočila, ki vam pomagajo pri odločanju; razprava o posledicah odločitev, ki jih sprejmete; in najboljše prakse.

Varnostne težave za povezave med Unity Connection, Cisco Unified Communications Manager in IP telefoni
Potencialna točka ranljivosti za sistem Cisco Unity Connection je povezava med vrati za glasovno sporočanje Unity Connection (za integracijo SCCP) ali skupinami vrat (za integracijo SIP), Cisco Unified Communications Manager in telefoni IP.

Možne grožnje vključujejo:

  • Napadi Man-in-the-middle (ko se opazuje in spreminja pretok informacij med Cisco Unified CM in Unity Connection)
  • Vohanje omrežnega prometa (ko se programska oprema uporablja za zajemanje telefonskih pogovorov in informacij o signalizaciji, ki tečejo med Cisco Unified CM, Unity Connection in telefoni IP, ki jih upravlja Cisco Unified CM)
  • Sprememba signalizacije klica med Unity Connection in Cisco Unified CM
  • Sprememba medijskega toka med Unity Connection in končno točko (nprample, telefon IP ali prehod)
  • Kraja identitete Unity Connection (ko se naprava, ki ni Unity Connection, predstavi Cisco Unified CM kot strežnik Unity Connection)
  • Kraja identitete strežnika Cisco Unified CM (ko se strežnik CM, ki ni Cisco Unified, predstavi Unity Connection kot strežnik Cisco Unified CM)

CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Vrata za glasovno sporočanje
Cisco Unified CM lahko zaščiti povezavo z Unity Connection pred grožnjami, navedenimi v Varnostnih težavah za povezave med Unity Connection, Cisco Unified Communications Manager in IP telefoni.
Varnostne funkcije Cisco Unified CM, ki jih lahko izkoristi Unity Connectiontage so opisane v tabeli 1: Varnostne funkcije Cisco Unified CM, ki jih uporablja Cisco Unity Connection.

Tabela 1: Varnostne funkcije Cisco Unified CM, ki jih uporablja Cisco Unity Connection

Varnostna funkcija Opis
Signalna avtentikacija Postopek, ki uporablja protokol Transport Layer Security (TLS) za preverjanje, ali ni tampmed prenosom je prišlo do napake v signalnih paketih.
Preverjanje pristnosti signaliziranja temelji na ustvarjanju Cisco Certificate Trust List (CTL) file.
Ta funkcija ščiti pred:
• Napadi človek v sredini, ki spreminjajo pretok informacij med Cisco Unified CM in Unity Connection.
• Sprememba klicne signalizacije.
• Kraja identitete strežnika Unity Connection.
• Kraja identitete strežnika Cisco Unified CM.
Preverjanje pristnosti naprave Postopek, ki potrdi identiteto naprave in zagotovi, da je entiteta to, za kar se predstavlja. Ta postopek poteka med Cisco Unified CM in vrati za glasovno sporočanje Unity Connection (za integracijo SCCP) ali skupinami vrat Unity Connection (za integracijo SIP), ko vsaka naprava sprejme potrdilo druge naprave. Ko so potrdila sprejeta, se vzpostavi varna povezava med napravama. Preverjanje pristnosti naprave temelji na ustvarjanju Cisco Certificate Trust List (CTL) file.
Ta funkcija ščiti pred:
• Napadi človek v sredini, ki spreminjajo pretok informacij med Cisco Unified CM in Unity Connection.
• Sprememba medijskega toka.
• Kraja identitete strežnika Unity Connection.
• Kraja identitete strežnika Cisco Unified CM.
Šifriranje signalov Postopek, ki uporablja kriptografske metode za zaščito (s šifriranjem) zaupnosti vseh signalnih sporočil SCCP ali SIP, ki se pošiljajo med Unity Connection in Cisco Unified CM. Šifriranje signaliziranja zagotavlja, da so informacije, ki se nanašajo na stranke, številke DTMF, ki jih vnesejo stranke, status klica, ključi za šifriranje medijev itd., zaščitene pred nenamernim ali nepooblaščenim dostopom.
Ta funkcija ščiti pred:
• Napadi človek v sredini, ki opazujejo pretok informacij med Cisco Unified CM in Unity Connection.
• Vohanje omrežnega prometa, ki opazuje pretok signalnih informacij med Cisco Unified CM in Unity Connection.
Šifriranje medijev Postopek, pri katerem pride do zaupnosti medija z uporabo kriptografskih postopkov.
Ta postopek uporablja varen protokol v realnem času (SRTP), kot je opredeljen v IETF RFC 3711, in zagotavlja, da lahko samo predvideni prejemnik interpretira predstavnostne tokove med Unity Connection in končno točko (npr.ample, telefon ali prehod). Podpora vključuje samo zvočne tokove. Šifriranje medijev vključuje ustvarjanje para ključev predvajalnika Media Player za naprave, dostavo ključev v Unity Connection in končno točko ter varovanje dostave ključev, medtem ko so ključi v transportu. Unity Connection in končna točka uporabljata ključe za šifriranje in dešifriranje medijskega toka.
Ta funkcija ščiti pred:
• Napadi Man-in-the-middle, ki poslušajo medijski tok med Cisco Unified CM in Unity Connection.
• Vohanje omrežnega prometa, ki prisluškuje telefonskim pogovorom, ki potekajo med Cisco Unified CM, Unity Connection in telefoni IP, ki jih upravlja Cisco Unified CM.

Preverjanje pristnosti in šifriranje signaliziranja sta minimalni zahtevi za šifriranje medijev; to pomeni, da če naprave ne podpirajo šifriranja signalov in avtentikacije, šifriranja medijev ni mogoče izvesti.
Varnost Cisco Unified CM (preverjanje pristnosti in šifriranje) ščiti samo klice v Unity Connection. Sporočila, posneta v shrambi sporočil, niso zaščitena s funkcijami za preverjanje pristnosti in šifriranje Cisco Unified CM, vendar jih je mogoče zaščititi s funkcijo zasebnega varnega sporočanja Unity Connection. Za podrobnosti o funkciji varnega sporočanja Unity Connection glejte Upravljanje sporočil, označenih kot zasebna in varna.

Samošifrirni pogon

Cisco Unity Connection podpira tudi pogone s samošifriranjem (SED). To se imenuje tudi šifriranje celotnega diska (FDE). FDE je kriptografska metoda, ki se uporablja za šifriranje vseh podatkov, ki so na voljo na trdem disku.
Podatki vključujejo files, operacijski sistem in programska oprema. Strojna oprema, ki je na voljo na disku, šifrira vse dohodne podatke in dešifrira vse odhodne podatke. Ko je pogon zaklenjen, se šifrirni ključ ustvari in shrani interno. Vsi podatki, ki so shranjeni na tem disku, so šifrirani s tem ključem in shranjeni v šifrirani obliki. FDE je sestavljen iz ID ključa in varnostnega ključa.
Za več informacij glejte https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.

Nastavitve varnostnega načina za Cisco Unified Communications Manager in Unity Povezava
Cisco Unified Communications Manager in Cisco Unity Connection imata možnosti varnostnega načina, prikazane v tabeli 2: Možnosti varnostnega načina za vrata glasovnega sporočanja (za integracije SCCP) ali skupine vrat (za integracije SIP).

Opozorilna ikona Previdnost
Nastavitev varnostnega načina gruče za vrata za glasovno sporočanje Unity Connection (za integracije SCCP) ali skupine vrat (za integracije SIP) se mora ujemati z nastavitvijo varnostnega načina za vrata Cisco Unified CM.
V nasprotnem primeru preverjanje pristnosti in šifriranje Cisco Unified CM ne uspe.

Tabela 2: Možnosti varnostnega načina

Nastavitev Učinek
Ni varno Celovitost in zasebnost sporočil za klicno signalizacijo nista zagotovljeni, ker so sporočila za klicno signalizacijo poslana kot jasno (nešifrirano) besedilo, povezano s Cisco Unified CM prek nepreverjenih vrat namesto overjenih vrat TLS. Poleg tega medijskega toka ni mogoče šifrirati.
Preverjeno Celovitost sporočil za klicno signalizacijo je zagotovljena, ker so povezana s Cisco Unified CM prek overjenih vrat TLS. Vendar pa je
zasebnost klicno-signalnih sporočil ni zagotovljena, ker so poslana kot jasno (nešifrirano) besedilo. Poleg tega medijski tok ni šifriran.
Šifrirano Celovitost in zasebnost sporočil za klicno signalizacijo sta zagotovljeni, ker so povezana s Cisco Unified CM prek overjenih vrat TLS, sporočila za klicno signalizacijo pa so šifrirana. Poleg tega je medijski tok mogoče šifrirati. Obe končni točki morata biti registrirani v šifriranem načinu
da bo medijski tok šifriran. Če pa je ena končna točka nastavljena za nezaščiten ali overjen način, druga končna točka pa je nastavljena za šifriran način, medijski tok ni šifriran. Tudi če vmesna naprava (kot je transkoder ali prehod) ni omogočena za šifriranje, medijski tok ni šifriran.

Najboljše prakse za zaščito povezave med Unity Connection, Cisco Unified Communications Manager in IP telefoni
Če želite omogočiti preverjanje pristnosti in šifriranje za vrata za glasovno sporočanje na Cisco Unity Connection in Cisco Unified Communications Manager, glejte Cisco Unified Communications Manager SCCP Integration Guide for Unity Connection Release 12.x, ki je na voljo na
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html

Zaščita povezave med Cisco Unity Connection, Cisco Unified Communications Manager in IP telefoni

Dokumenti / Viri

CISCO Unity Connection Unified Communications Manager [pdf] Uporabniški priročnik
Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager

Reference

Pustite komentar

Vaš elektronski naslov ne bo objavljen. Obvezna polja so označena *