Säkra anslutningen mellan Cisco Unity
Connection, Cisco Unified Communications
Manager och IP-telefoner
• Säkra anslutningen mellan Cisco Unity Connection, Cisco Unified Communications Manager och IP-telefoner, på sidan 1
Säkra anslutningen mellan Cisco Unity Connection, Cisco Unified Communications Manager och IP-telefoner
Introduktion
I det här kapitlet hittar du beskrivningar av potentiella säkerhetsproblem relaterade till anslutningar mellan Cisco Unity Connection, Cisco Unified Communications Manager och IP-telefoner; information om eventuella åtgärder du behöver vidta; rekommendationer som hjälper dig att fatta beslut; diskussion om konsekvenserna av de beslut du fattar; och bästa praxis.
Säkerhetsproblem för anslutningar mellan Unity Connection, Cisco Unified Kommunikationsansvarig och IP-telefoner
En potentiell sårbarhet för ett Cisco Unity Connection-system är anslutningen mellan Unity Connection röstmeddelandeportar (för en SCCP-integration) eller portgrupper (för en SIP-integration), Cisco Unified Communications Manager och IP-telefonerna.
Möjliga hot inkluderar:
- Man-in-the-middle-attacker (när informationsflödet mellan Cisco Unified CM och Unity Connection observeras och modifieras)
- Nätverkstrafiksniffning (när programvara används för att fånga telefonsamtal och signaleringsinformation som flödar mellan Cisco Unified CM, Unity Connection och IP-telefoner som hanteras av Cisco Unified CM)
- Modifiering av samtalssignalering mellan Unity Connection och Cisco Unified CM
- Modifiering av mediaströmmen mellan Unity Connection och slutpunkten (example, en IP-telefon eller en gateway)
- Identitetsstöld av Unity Connection (när en enhet som inte kommer från Unity Connection presenterar sig för Cisco Unified CM som en Unity Connection-server)
- Identitetsstöld av Cisco Unified CM-servern (när en icke-Cisco Unified CM-server presenterar sig för Unity Connection som en Cisco Unified CM-server)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Röstmeddelandeportar
Cisco Unified CM kan säkra anslutningen med Unity Connection mot de hot som anges i säkerhetsproblemen för anslutningar mellan Unity Connection, Cisco Unified Communications Manager och IP-telefoner.
Cisco Unified CM-säkerhetsfunktionerna som Unity Connection kan dra fördel avtage av beskrivs i Tabell 1: Cisco Unified CM-säkerhetsfunktioner som används av Cisco Unity Connection.
Tabell 1: Cisco Unified CM-säkerhetsfunktioner som används av Cisco Unity Connection
| Säkerhetsfunktion | Beskrivning |
| Signalering av autentisering | Processen som använder protokollet Transport Layer Security (TLS) för att validera att inga tampsignaleringspaket har inträffat under överföringen. Signaleringsautentisering bygger på skapandet av Cisco Certificate Trust List (CTL) file. Denna funktion skyddar mot: • Man-in-the-middle-attacker som ändrar informationsflödet mellan Cisco Unified CM och Unity Connection. • Ändring av samtalssignaleringen. • Identitetsstöld av Unity Connection-servern. • Identitetsstöld av Cisco Unified CM-servern. |
| Enhetsautentisering | Processen som validerar enhetens identitet och säkerställer att enheten är vad den utger sig för att vara. Denna process sker mellan Cisco Unified CM och antingen Unity Connection röstmeddelandeportar (för en SCCP-integration) eller Unity Connection-portgrupper (för en SIP-integration) när varje enhet accepterar certifikatet för den andra enheten. När certifikaten accepteras upprättas en säker anslutning mellan enheterna. Enhetsautentisering bygger på skapandet av Cisco Certificate Trust List (CTL) file. Denna funktion skyddar mot: • Man-in-the-middle-attacker som ändrar informationsflödet mellan Cisco Unified CM och Unity Connection. • Modifiering av mediaströmmen. • Identitetsstöld av Unity Connection-servern. • Identitetsstöld av Cisco Unified CM-servern. |
| Kryptering av signaler | Processen som använder kryptografiska metoder för att skydda (genom kryptering) sekretessen för alla SCCP- eller SIP-signaleringsmeddelanden som skickas mellan Unity Connection och Cisco Unified CM. Signaleringskryptering säkerställer att informationen som hänför sig till parterna, DTMF-siffror som skrivs in av parterna, samtalsstatus, mediakrypteringsnycklar och så vidare skyddas mot oavsiktlig eller obehörig åtkomst. Denna funktion skyddar mot: • Man-in-the-middle-attacker som observerar informationsflödet mellan Cisco Unified CM och Unity Connection. • Nätverkstrafiksniffning som observerar signaleringsinformationsflödet mellan Cisco Unified CM och Unity Connection. |
| Mediekryptering | Processen genom vilken medias konfidentialitet sker genom användning av kryptografiska procedurer. Denna process använder Secure Real Time Protocol (SRTP) enligt definitionen i IETF RFC 3711, och säkerställer att endast den avsedda mottagaren kan tolka mediaströmmarna mellan Unity Connection och slutpunkten (t.ex.ample, en telefon eller gateway). Support inkluderar endast ljudströmmar. Mediekryptering inkluderar att skapa ett nyckelpar för mediaspelaren för enheterna, att leverera nycklarna till Unity Connection och slutpunkten och att säkra leveransen av nycklarna medan nycklarna är under transport. Unity Connection och slutpunkten använder nycklarna för att kryptera och dekryptera mediaströmmen. Denna funktion skyddar mot: • Man-in-the-middle-attacker som lyssnar på mediaströmmen mellan Cisco Unified CM och Unity Connection. • Nätverkstrafiksnuffning som avlyssnar telefonsamtal som flyter mellan Cisco Unified CM, Unity Connection och IP-telefoner som hanteras av Cisco Unified CM. |
Autentisering och signalkryptering fungerar som minimikrav för mediekryptering; det vill säga, om enheterna inte stöder signalkryptering och autentisering kan mediekryptering inte ske.
Cisco Unified CM-säkerhet (autentisering och kryptering) skyddar endast samtal till Unity Connection. Meddelanden som spelats in i meddelandearkivet skyddas inte av Cisco Unified CM-autentiserings- och krypteringsfunktionerna men kan skyddas av Unity Connections privata säkra meddelandefunktioner. Mer information om Unity Connections säkra meddelandefunktion finns i Hantera meddelanden som är markerade som privata och säkra.
Självkrypterande enhet
Cisco Unity Connection stöder även självkrypterande enheter (SED). Detta kallas även Full Disk Encryption (FDE). FDE är en kryptografisk metod som används för att kryptera all data som finns tillgänglig på hårddisken.
Uppgifterna inkluderar files, operativsystem och program. Hårdvaran som finns tillgänglig på disken krypterar all inkommande data och dekrypterar all utgående data. När enheten är låst skapas en krypteringsnyckel som lagras internt. All data som lagras på denna enhet krypteras med den nyckeln och lagras i krypterad form. FDE innefattar ett nyckel-ID och en säkerhetsnyckel.
För mer information, se https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Säkerhetslägesinställningar för Cisco Unified Communications Manager och Unity Förbindelse
Cisco Unified Communications Manager och Cisco Unity Connection har säkerhetslägesalternativen som visas i Tabell 2: Säkerhetslägesalternativ för röstmeddelandeportar (för SCCP-integrationer) eller portgrupper (för SIP-integrationer).
Försiktighet
Cluster Security Mode-inställningen för Unity Connection-röstmeddelandeportar (för SCCP-integrationer) eller portgrupper (för SIP-integrationer) måste matcha säkerhetslägesinställningen för Cisco Unified CM-portarna.
Annars misslyckas Cisco Unified CM-autentisering och kryptering.
Tabell 2: Säkerhetslägesalternativ
| Miljö | Effekt |
| Osäker | Integriteten och integriteten för samtalssignaleringsmeddelanden säkerställs inte eftersom samtalssignaleringsmeddelanden skickas som klar (okrypterad) text kopplad till Cisco Unified CM via en icke-autentiserad port snarare än en autentiserad TLS-port. Dessutom kan mediaströmmen inte krypteras. |
| Autentiserad | Integriteten hos samtalssignaleringsmeddelanden säkerställs eftersom de är anslutna till Cisco Unified CM via en autentiserad TLS-port. Men den sekretess för samtalssignaleringsmeddelanden säkerställs inte eftersom de skickas som klar (okrypterad) text. Dessutom är mediaströmmen inte krypterad. |
| Krypterad | Integriteten och integriteten för samtalssignaleringsmeddelanden säkerställs eftersom de är anslutna till Cisco Unified CM via en autentiserad TLS-port, och samtalssignaleringsmeddelandena är krypterade. Dessutom kan mediaströmmen krypteras. Båda slutpunkterna måste registreras i krypterat läge för att mediaströmmen ska krypteras. Men när en slutpunkt är inställd för icke-säkert eller autentiserat läge och den andra slutpunkten är inställd för krypterat läge, krypteras inte mediaströmmen. Dessutom, om en ingripande enhet (som en transkoder eller gateway) inte är aktiverad för kryptering, krypteras inte mediaströmmen. |
Bästa metoder för att säkra anslutningen mellan Unity Connection, Cisco Unified Communications Manager och IP-telefoner
Om du vill aktivera autentisering och kryptering för röstmeddelandeportarna på både Cisco Unity Connection och Cisco Unified Communications Manager, se Cisco Unified Communications Manager SCCP Integration Guide for Unity Connection Release 12.x, tillgänglig på
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Säkra anslutningen mellan Cisco Unity Connection, Cisco Unified Communications Manager och IP-telefoner
Dokument/resurser
 |
CISCO Unity Connection Unified Communications Manager [pdf] Användarhandbok Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager |