การรักษาความปลอดภัยการเชื่อมต่อระหว่าง Cisco Unity
การเชื่อมต่อ Cisco Unified Communications
ผู้จัดการและโทรศัพท์ไอพี
• การรักษาความปลอดภัยการเชื่อมต่อระหว่าง Cisco Unity Connection, Cisco Unified Communications Manager และโทรศัพท์ IP ในหน้าที่ 1
การรักษาความปลอดภัยการเชื่อมต่อระหว่าง Cisco Unity Connection, Cisco Unified Communications Manager และโทรศัพท์ IP
การแนะนำ
ในบทนี้ คุณจะพบคำอธิบายปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นซึ่งเกี่ยวข้องกับการเชื่อมต่อระหว่าง Cisco Unity Connection, Cisco Unified Communications Manager และโทรศัพท์ IP ข้อมูลเกี่ยวกับการดำเนินการใด ๆ ที่คุณต้องดำเนินการ คำแนะนำที่ช่วยคุณในการตัดสินใจ การอภิปรายเกี่ยวกับผลที่ตามมาของการตัดสินใจของคุณ และแนวปฏิบัติที่ดีที่สุด
ปัญหาด้านความปลอดภัยสำหรับการเชื่อมต่อระหว่าง Unity Connection, Cisco Unified ผู้จัดการฝ่ายสื่อสารและโทรศัพท์ IP
จุดที่อาจเกิดช่องโหว่สำหรับระบบ Cisco Unity Connection คือการเชื่อมต่อระหว่างพอร์ตข้อความเสียงของ Unity Connection (สำหรับการรวม SCCP) หรือกลุ่มพอร์ต (สำหรับการรวม SIP), Cisco Unified Communications Manager และโทรศัพท์ IP
ภัยคุกคามที่เป็นไปได้ ได้แก่:
- การโจมตีแบบแทรกกลาง (เมื่อมีการสังเกตและแก้ไขการไหลของข้อมูลระหว่าง Cisco Unified CM และ Unity Connection)
- การดมกลิ่นการรับส่งข้อมูลเครือข่าย (เมื่อใช้ซอฟต์แวร์เพื่อบันทึกการสนทนาทางโทรศัพท์และข้อมูลการส่งสัญญาณที่ไหลระหว่าง Cisco Unified CM, Unity Connection และโทรศัพท์ IP ที่จัดการโดย Cisco Unified CM)
- การปรับเปลี่ยนการส่งสัญญาณการโทรระหว่าง Unity Connection และ Cisco Unified CM
- การปรับเปลี่ยนสตรีมสื่อระหว่าง Unity Connection และจุดสิ้นสุด (เช่นample, โทรศัพท์ IP หรือเกตเวย์)
- การขโมยข้อมูลประจำตัวของ Unity Connection (เมื่ออุปกรณ์ที่ไม่ใช่ Unity Connection แสดงตัวเองต่อ Cisco Unified CM เป็นเซิร์ฟเวอร์ Unity Connection)
- การขโมยข้อมูลประจำตัวของเซิร์ฟเวอร์ Cisco Unified CM (เมื่อเซิร์ฟเวอร์ที่ไม่ใช่ Cisco Unified CM แสดงตัวเองต่อ Unity Connection เป็นเซิร์ฟเวอร์ Cisco Unified CM)
CiscoUnifiedCommunicationsManagerคุณลักษณะด้านความปลอดภัยสำหรับพอร์ตข้อความเสียงการเชื่อมต่อ Unity
Cisco Unified CM สามารถรักษาความปลอดภัยการเชื่อมต่อกับ Unity Connection กับภัยคุกคามที่ระบุไว้ในปัญหาด้านความปลอดภัยสำหรับการเชื่อมต่อระหว่าง Unity Connection, Cisco Unified Communications Manager และโทรศัพท์ IP
คุณสมบัติการรักษาความปลอดภัยของ Cisco Unified CM ที่ Unity Connection สามารถนำมาใช้ได้tage ของ ได้อธิบายไว้ในตารางที่ 1: คุณลักษณะการรักษาความปลอดภัยของ Cisco Unified CM ที่ใช้โดย Cisco Unity Connection
ตารางที่ 1: คุณสมบัติการรักษาความปลอดภัยของ Cisco Unified CM ที่ใช้โดย Cisco Unity Connection
| คุณลักษณะด้านความปลอดภัย | คำอธิบาย |
| การรับรองความถูกต้องของการส่งสัญญาณ | กระบวนการที่ใช้โปรโตคอล Transport Layer Security (TLS) เพื่อตรวจสอบว่าไม่มีampเกิดการส่งสัญญาณแพ็กเก็ตระหว่างการส่ง การตรวจสอบสิทธิ์การส่งสัญญาณขึ้นอยู่กับการสร้าง Cisco Certificate Trust List (CTL) file. คุณสมบัตินี้จะป้องกัน: • การโจมตีแบบแทรกกลางที่แก้ไขการไหลของข้อมูลระหว่าง Cisco Unified CM และ Unity Connection • การปรับเปลี่ยนสัญญาณการโทร • การโจรกรรมข้อมูลประจำตัวของเซิร์ฟเวอร์ Unity Connection • การโจรกรรมข้อมูลประจำตัวของเซิร์ฟเวอร์ Cisco Unified CM |
| การตรวจสอบอุปกรณ์ | กระบวนการที่ตรวจสอบตัวตนของอุปกรณ์และรับรองว่าเอนทิตีคือสิ่งที่อ้างว่าเป็น กระบวนการนี้เกิดขึ้นระหว่าง Cisco Unified CM และพอร์ตข้อความเสียง Unity Connection (สำหรับการรวม SCCP) หรือกลุ่มพอร์ต Unity Connection (สำหรับการรวม SIP) เมื่ออุปกรณ์แต่ละเครื่องยอมรับใบรับรองของอุปกรณ์อื่น เมื่อยอมรับใบรับรองแล้ว การเชื่อมต่อที่ปลอดภัยระหว่างอุปกรณ์จะถูกสร้างขึ้น การตรวจสอบอุปกรณ์อาศัยการสร้าง Cisco Certificate Trust List (CTL) file. คุณสมบัตินี้จะป้องกัน: • การโจมตีแบบแทรกกลางที่แก้ไขการไหลของข้อมูลระหว่าง Cisco Unified CM และ Unity Connection • การปรับเปลี่ยนกระแสสื่อ • การโจรกรรมข้อมูลประจำตัวของเซิร์ฟเวอร์ Unity Connection • การโจรกรรมข้อมูลประจำตัวของเซิร์ฟเวอร์ Cisco Unified CM |
| การเข้ารหัสการส่งสัญญาณ | กระบวนการที่ใช้วิธีการเข้ารหัสเพื่อปกป้อง (ผ่านการเข้ารหัส) การรักษาความลับของข้อความส่งสัญญาณ SCCP หรือ SIP ทั้งหมดที่ส่งระหว่าง Unity Connection และ Cisco Unified CM การเข้ารหัสสัญญาณช่วยให้แน่ใจว่าข้อมูลที่เกี่ยวข้องกับคู่สัญญา, หลัก DTMF ที่คู่สัญญาป้อน, สถานะการโทร, คีย์การเข้ารหัสสื่อ และอื่นๆ ได้รับการปกป้องจากการเข้าถึงโดยไม่ได้ตั้งใจหรือไม่ได้รับอนุญาต คุณสมบัตินี้จะป้องกัน: • การโจมตีแบบแทรกกลางที่สังเกตการไหลของข้อมูลระหว่าง Cisco Unified CM และ Unity Connection • การดักจับการรับส่งข้อมูลเครือข่ายที่สังเกตการไหลของข้อมูลการส่งสัญญาณระหว่าง Cisco Unified CM และ Unity Connection |
| การเข้ารหัสสื่อ | กระบวนการที่การรักษาความลับของสื่อเกิดขึ้นผ่านการใช้ขั้นตอนการเข้ารหัส กระบวนการนี้ใช้ Secure Real Time Protocol (SRTP) ตามที่กำหนดไว้ใน IETF RFC 3711 และทำให้แน่ใจว่าเฉพาะผู้รับที่ต้องการเท่านั้นที่สามารถตีความสตรีมสื่อระหว่าง Unity Connection และจุดสิ้นสุด (เช่นample โทรศัพท์หรือเกตเวย์) การสนับสนุนรวมถึงการสตรีมเสียงเท่านั้น การเข้ารหัสสื่อประกอบด้วยการสร้างคู่คีย์ Media Player สำหรับอุปกรณ์ การส่งคีย์ไปยัง Unity Connection และจุดสิ้นสุด และการรักษาความปลอดภัยของการส่งคีย์ในขณะที่คีย์อยู่ในระหว่างการขนส่ง Unity Connection และอุปกรณ์ปลายทางใช้คีย์เพื่อเข้ารหัสและถอดรหัสสตรีมมีเดีย คุณสมบัตินี้จะป้องกัน: • การโจมตีแบบแทรกกลางที่ฟังสตรีมสื่อระหว่าง Cisco Unified CM และ Unity Connection • การดักฟังการรับส่งข้อมูลเครือข่ายที่ดักฟังการสนทนาทางโทรศัพท์ที่ไหลระหว่าง Cisco Unified CM, Unity Connection และโทรศัพท์ IP ที่จัดการโดย Cisco Unified CM |
การเข้ารหัสการรับรองความถูกต้องและการส่งสัญญาณทำหน้าที่เป็นข้อกำหนดขั้นต่ำสำหรับการเข้ารหัสสื่อ นั่นคือหากอุปกรณ์ไม่รองรับการเข้ารหัสและการตรวจสอบการส่งสัญญาณ การเข้ารหัสสื่อจะไม่สามารถเกิดขึ้นได้
การรักษาความปลอดภัย Cisco Unified CM (การตรวจสอบสิทธิ์และการเข้ารหัส) ปกป้องการโทรไปยัง Unity Connection เท่านั้น ข้อความที่บันทึกไว้ในที่เก็บข้อความไม่ได้รับการป้องกันโดยคุณสมบัติการตรวจสอบสิทธิ์และการเข้ารหัสของ Cisco Unified CM แต่สามารถป้องกันได้ด้วยคุณสมบัติการส่งข้อความที่ปลอดภัยส่วนตัวของ Unity Connection สำหรับรายละเอียดเกี่ยวกับคุณสมบัติการส่งข้อความที่ปลอดภัยของ Unity Connection โปรดดูที่การจัดการข้อความที่ทำเครื่องหมายเป็นส่วนตัวและปลอดภัย
ไดรฟ์ที่เข้ารหัสด้วยตนเอง
Cisco Unity Connection ยังรองรับไดรฟ์ที่เข้ารหัสด้วยตนเอง (SED) สิ่งนี้เรียกว่าการเข้ารหัสดิสก์แบบเต็ม (FDE) FDE เป็นวิธีการเข้ารหัสที่ใช้ในการเข้ารหัสข้อมูลทั้งหมดที่มีอยู่ในฮาร์ดไดรฟ์
ข้อมูลได้แก่ fileระบบปฏิบัติการ และโปรแกรมซอฟต์แวร์ ฮาร์ดแวร์ที่มีอยู่ในดิสก์จะเข้ารหัสข้อมูลขาเข้าทั้งหมดและถอดรหัสข้อมูลขาออกทั้งหมด เมื่อไดรฟ์ถูกล็อค คีย์เข้ารหัสจะถูกสร้างขึ้นและจัดเก็บไว้ภายใน ข้อมูลทั้งหมดที่จัดเก็บไว้ในไดรฟ์นี้จะถูกเข้ารหัสโดยใช้คีย์นั้นและจัดเก็บไว้ในรูปแบบที่เข้ารหัส FDE ประกอบด้วยรหัสคีย์และคีย์ความปลอดภัย
สำหรับข้อมูลเพิ่มเติมโปรดดูที่ https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
การตั้งค่าโหมดความปลอดภัยสำหรับ Cisco Unified Communications Manager และ Unity การเชื่อมต่อ
Cisco Unified Communications Manager และ Cisco Unity Connection มีตัวเลือกโหมดความปลอดภัยที่แสดงในตารางที่ 2: ตัวเลือกโหมดความปลอดภัยสำหรับพอร์ตการรับส่งข้อความเสียง (สำหรับการรวม SCCP) หรือกลุ่มพอร์ต (สำหรับการรวม SIP)
คำเตือน
การตั้งค่าโหมดความปลอดภัยของคลัสเตอร์สำหรับพอร์ตข้อความเสียงของ Unity Connection (สำหรับการรวม SCCP) หรือกลุ่มพอร์ต (สำหรับการรวม SIP) จะต้องตรงกับการตั้งค่าโหมดความปลอดภัยสำหรับพอร์ต Cisco Unified CM
มิฉะนั้น การรับรองความถูกต้องและการเข้ารหัส Cisco Unified CM จะล้มเหลว
ตารางที่ 2: ตัวเลือกโหมดความปลอดภัย
| การตั้งค่า | ผล |
| ไม่ปลอดภัย | ไม่รับประกันความสมบูรณ์และความเป็นส่วนตัวของข้อความสัญญาณการโทร เนื่องจากข้อความสัญญาณการโทรจะถูกส่งเป็นข้อความที่ชัดเจน (ไม่ได้เข้ารหัส) ซึ่งเชื่อมต่อกับ Cisco Unified CM ผ่านพอร์ตที่ไม่ได้รับการรับรองความถูกต้อง แทนที่จะเป็นพอร์ต TLS ที่ได้รับการตรวจสอบสิทธิ์ นอกจากนี้ สตรีมสื่อไม่สามารถเข้ารหัสได้ |
| รับรองความถูกต้อง | รับประกันความสมบูรณ์ของข้อความสัญญาณการโทรเนื่องจากเชื่อมต่อกับ Cisco Unified CM ผ่านพอร์ต TLS ที่ได้รับการรับรองความถูกต้อง อย่างไรก็ตาม ไม่รับประกันความเป็นส่วนตัวของข้อความสัญญาณการโทรเนื่องจากถูกส่งเป็นข้อความที่ชัดเจน (ไม่ได้เข้ารหัส) นอกจากนี้ กระแสข้อมูลสื่อไม่ได้ถูกเข้ารหัส |
| เข้ารหัส | รับประกันความสมบูรณ์และความเป็นส่วนตัวของข้อความสัญญาณการโทรเนื่องจากเชื่อมต่อกับ Cisco Unified CM ผ่านพอร์ต TLS ที่ได้รับการรับรองความถูกต้อง และข้อความสัญญาณการโทรได้รับการเข้ารหัส นอกจากนี้ สตรีมมีเดียยังสามารถเข้ารหัสได้ จุดสิ้นสุดทั้งสองต้องลงทะเบียนในโหมดเข้ารหัส เพื่อให้สตรีมมีเดียได้รับการเข้ารหัส อย่างไรก็ตาม เมื่อจุดสิ้นสุดหนึ่งถูกตั้งค่าสำหรับโหมดที่ไม่ปลอดภัยหรือได้รับการรับรองความถูกต้อง และจุดสิ้นสุดอีกจุดถูกตั้งค่าสำหรับโหมดเข้ารหัส สตรีมสื่อจะไม่ถูกเข้ารหัส นอกจากนี้ หากไม่ได้เปิดใช้งานอุปกรณ์ที่แทรกแซง (เช่น ตัวแปลงรหัสหรือเกตเวย์) สำหรับการเข้ารหัส สตรีมสื่อจะไม่ถูกเข้ารหัส |
แนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัยการเชื่อมต่อระหว่าง Unity Connection, Cisco Unified Communications Manager และโทรศัพท์ IP
หากคุณต้องการเปิดใช้งานการรับรองความถูกต้องและการเข้ารหัสสำหรับพอร์ตข้อความเสียงบนทั้ง Cisco Unity Connection และ Cisco Unified Communications Manager โปรดดูที่ Cisco Unified Communications Manager SCCP Integration Guide สำหรับ Unity Connection Release 12.x ซึ่งมีอยู่ที่
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
การรักษาความปลอดภัยการเชื่อมต่อระหว่าง Cisco Unity Connection, Cisco Unified Communications Manager และโทรศัพท์ IP
เอกสาร / แหล่งข้อมูล
 |
การเชื่อมต่อ CISCO Unity Unified Communications Manager [พีดีเอฟ] คู่มือการใช้งาน Unity Connection Unified Communications Manager, การเชื่อมต่อ Unified Communications Manager, Unified Communications Manager, Communications Manager, ผู้จัดการ |