Cisco Unity Arasındaki Bağlantının Güvenliğini Sağlama
Bağlantı, Cisco Tümleşik İletişim
Yönetici ve IP Telefonlar
• Cisco Unity Connection, Cisco Unified Communications Manager ve IP Telefonlar Arasındaki Bağlantının Güvenliğini Sağlama, sayfa 1
Cisco Unity Connection, Cisco Unified Communications Manager ve IP Telefonlar arasındaki Bağlantının Güvenliğini Sağlama
giriiş
Bu bölümde, Cisco Unity Connection, Cisco Unified Communications Manager ve IP telefonları arasındaki bağlantılarla ilgili olası güvenlik sorunlarının açıklamalarını bulacaksınız; yapmanız gereken eylemler hakkında bilgi; karar vermenize yardımcı olacak öneriler; aldığınız kararların sonuçlarının tartışılması; ve en iyi uygulamalar.
Unity Connection ve Cisco Unified Arasındaki Bağlantılara İlişkin Güvenlik Sorunları İletişim Yöneticisi ve IP Telefonlar
Cisco Unity Connection sistemi için potansiyel bir güvenlik açığı noktası, Unity Connection sesli mesajlaşma bağlantı noktaları (SCCP entegrasyonu için) veya bağlantı noktası grupları (SIP entegrasyonu için), Cisco Tümleşik İletişim Yöneticisi ve IP telefonları arasındaki bağlantıdır.
Olası tehditler şunları içerir:
- Ortadaki adam saldırıları (Cisco Unified CM ile Unity Connection arasındaki bilgi akışı gözlemlendiğinde ve değiştirildiğinde)
- Ağ trafiğini dinleme (Cisco Unified CM, Unity Connection ve Cisco Unified CM tarafından yönetilen IP telefonlar arasında akan telefon konuşmalarını ve sinyal bilgilerini yakalamak için yazılım kullanıldığında)
- Unity Connection ve Cisco Unified CM arasındaki çağrı sinyallemesinin değiştirilmesi
- Unity Connection ile uç nokta arasındaki medya akışının değiştirilmesi (örn.ampdosya, bir IP telefon veya bir ağ geçidi)
- Unity Connection'ın kimlik hırsızlığı (Unity Connection olmayan bir cihazın kendisini Cisco Unified CM'ye Unity Connection sunucusu olarak tanıtması)
- Cisco Unified CM sunucusunun kimlik hırsızlığı (Cisco Unified CM olmayan bir sunucu kendisini Unity Connection'a Cisco Unified CM sunucusu olarak sunduğunda)
CiscoUnifiedCommunicationsManagerGüvenlikUnity Bağlantısı İçin Özellikler Sesli Mesajlaşma Bağlantı Noktaları
Cisco Unified CM, Unity Connection ile bağlantıyı Unity Connection, Cisco Unified Communications Manager ve IP Telefonlar arasındaki Bağlantılara ilişkin Güvenlik Sorunları bölümünde listelenen tehditlere karşı güvence altına alabilir.
Unity Connection'ın yararlanabileceği Cisco Unified CM güvenlik özellikleritagBunlardan bazıları Tablo 1: Cisco Unity Connection Tarafından Kullanılan Cisco Unified CM Güvenlik Özellikleri'nde açıklanmaktadır.
Tablo 1: Cisco Unity Connection Tarafından Kullanılan Cisco Unified CM Güvenlik Özellikleri
| Güvenlik Özelliği | Tanım |
| Sinyal kimlik doğrulaması | olmadığını doğrulamak için Aktarım Katmanı Güvenliği (TLS) protokolünü kullanan işlemampİletim sırasında sinyal paketlerinde bir bozulma meydana geldi. Sinyal kimlik doğrulaması, Cisco Sertifika Güven Listesinin (CTL) oluşturulmasına dayanır file. Bu özellik aşağıdakilere karşı koruma sağlar: • Cisco Unified CM ve Unity Connection arasındaki bilgi akışını değiştiren ortadaki adam saldırıları. • Çağrı sinyalinin değiştirilmesi. • Unity Connection sunucusunun kimlik hırsızlığı. • Cisco Unified CM sunucusunun kimlik hırsızlığı. |
| Cihaz kimlik doğrulaması | Cihazın kimliğini doğrulayan ve varlığın iddia ettiği gibi olmasını sağlayan süreç. Bu işlem, Cisco Unified CM ile Unity Connection sesli mesajlaşma bağlantı noktaları (SCCP entegrasyonu için) veya Unity Connection bağlantı noktası grupları (SIP entegrasyonu için) arasında, her cihaz diğer cihazın sertifikasını kabul ettiğinde gerçekleşir. Sertifikalar kabul edildiğinde cihazlar arasında güvenli bir bağlantı kurulur. Cihaz kimlik doğrulaması, Cisco Sertifika Güven Listesinin (CTL) oluşturulmasına dayanır file. Bu özellik aşağıdakilere karşı koruma sağlar: • Cisco Unified CM ve Unity Connection arasındaki bilgi akışını değiştiren ortadaki adam saldırıları. • Medya akışının değiştirilmesi. • Unity Connection sunucusunun kimlik hırsızlığı. • Cisco Unified CM sunucusunun kimlik hırsızlığı. |
| Sinyal şifreleme | Unity Connection ile Cisco Unified CM arasında gönderilen tüm SCCP veya SIP sinyalleşme mesajlarının gizliliğini korumak (şifreleme yoluyla) için kriptografik yöntemler kullanan süreç. Sinyal şifreleme, taraflara ait bilgilerin, taraflarca girilen DTMF rakamlarının, çağrı durumunun, medya şifreleme anahtarlarının vb. istenmeyen veya yetkisiz erişime karşı korunmasını sağlar. Bu özellik aşağıdakilere karşı koruma sağlar: • Cisco Unified CM ve Unity Connection arasındaki bilgi akışını gözlemleyen ortadaki adam saldırıları. • Cisco Unified CM ve Unity Connection arasındaki sinyalleşme bilgisi akışını gözlemleyen ağ trafiğini dinleme. |
| Medya şifreleme | Medyanın gizliliğinin kriptografik prosedürlerin kullanılması yoluyla gerçekleştiği süreç. Bu işlem, IETF RFC 3711'de tanımlandığı gibi Güvenli Gerçek Zamanlı Protokolü (SRTP) kullanır ve Unity Connection ile uç nokta arasındaki medya akışlarını yalnızca amaçlanan alıcının yorumlayabilmesini sağlar (örn.ampdosya, telefon veya ağ geçidi). Destek yalnızca ses akışlarını içerir. Medya şifreleme, cihazlar için bir Medya Oynatıcı anahtar çifti oluşturmayı, anahtarları Unity Connection'a ve uç noktaya teslim etmeyi ve anahtarlar aktarılırken tesliminin güvenliğini sağlamayı içerir. Unity Connection ve uç nokta, medya akışını şifrelemek ve şifresini çözmek için anahtarları kullanır. Bu özellik aşağıdakilere karşı koruma sağlar: • Cisco Unified CM ve Unity Connection arasındaki medya akışını dinleyen ortadaki adam saldırıları. • Cisco Unified CM, Unity Connection ve Cisco Unified CM tarafından yönetilen IP telefonları arasında gerçekleşen telefon konuşmalarını gizlice dinleyen ağ trafiğini dinleme. |
Kimlik doğrulama ve sinyal şifrelemesi, medya şifrelemesi için minimum gereksinim olarak hizmet eder; yani, cihazlar sinyal şifrelemeyi ve kimlik doğrulamayı desteklemiyorsa medya şifrelemesi gerçekleşemez.
Cisco Unified CM güvenliği (kimlik doğrulama ve şifreleme) yalnızca Unity Connection'a yapılan çağrıları korur. Mesaj deposuna kaydedilen mesajlar, Cisco Unified CM kimlik doğrulama ve şifreleme özellikleri tarafından korunmaz ancak Unity Connection özel güvenli mesajlaşma özelliği tarafından korunabilir. Unity Connection güvenli mesajlaşma özelliği hakkında ayrıntılar için Özel ve Güvenli Olarak İşaretlenen Mesajları İşleme bölümüne bakın.
Kendi kendini şifreleyen sürücü
Cisco Unity Connection aynı zamanda kendi kendini şifreleyen sürücüleri (SED) de destekler. Buna Tam Disk Şifreleme (FDE) de denir. FDE, sabit sürücüde bulunan tüm verileri şifrelemek için kullanılan bir şifreleme yöntemidir.
Veriler şunları içerir: files, işletim sistemi ve yazılım programları. Diskte bulunan donanım, gelen tüm verileri şifreler ve giden tüm verilerin şifresini çözer. Sürücü kilitlendiğinde bir şifreleme anahtarı oluşturulur ve dahili olarak saklanır. Bu sürücüde saklanan tüm veriler bu anahtar kullanılarak şifrelenir ve şifrelenmiş biçimde saklanır. FDE, bir anahtar kimliği ve bir güvenlik anahtarından oluşur.
Daha fazla bilgi için bkz. https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Cisco Unified Communications Manager ve Unity için Güvenlik Modu Ayarları Bağlantı
Cisco Unified Communications Manager ve Cisco Unity Connection, Tablo 2: Sesli mesaj bağlantı noktaları (SCCP entegrasyonları için) veya bağlantı noktası grupları (SIP entegrasyonları için) için Güvenlik Modu Seçenekleri bölümünde gösterilen güvenlik modu seçeneklerine sahiptir.
Dikkat
Unity Connection sesli mesajlaşma bağlantı noktaları (SCCP entegrasyonları için) veya bağlantı noktası grupları (SIP entegrasyonları için) için Küme Güvenliği Modu ayarı, Cisco Unified CM bağlantı noktalarının güvenlik modu ayarıyla eşleşmelidir.
Aksi halde Cisco Unified CM kimlik doğrulaması ve şifrelemesi başarısız olur.
Tablo 2: Güvenlik Modu Seçenekleri
| Ayar | Etki |
| Güvenli değil | Çağrı sinyali mesajları, kimliği doğrulanmış bir TLS bağlantı noktası yerine kimliği doğrulanmamış bir bağlantı noktası aracılığıyla Cisco Unified CM'ye bağlı açık (şifrelenmemiş) metin olarak gönderildiğinden, çağrı sinyalleme mesajlarının bütünlüğü ve gizliliği garanti edilmez. Ayrıca medya akışı şifrelenemez. |
| Doğrulanmış | Çağrı sinyalizasyon mesajlarının bütünlüğü, kimliği doğrulanmış bir TLS bağlantı noktası aracılığıyla Cisco Unified CM'ye bağlandıkları için sağlanır. Ancak Çağrı sinyali mesajlarının gizliliği, açık (şifrelenmemiş) metin olarak gönderildiğinden garanti edilmez. Ayrıca medya akışı şifrelenmez. |
| Şifrelenmiş | Çağrı sinyalleme mesajlarının bütünlüğü ve gizliliği, kimliği doğrulanmış bir TLS bağlantı noktası aracılığıyla Cisco Unified CM'ye bağlandıkları ve çağrı sinyalleme mesajları şifrelendiği için sağlanır. Ayrıca medya akışı şifrelenebilir. Her iki uç noktanın da şifreli modda kaydedilmesi gerekir Medya akışının şifrelenmesi için. Ancak bir uç nokta güvenli olmayan veya kimliği doğrulanmış mod için ayarlandığında ve diğer uç nokta şifreli mod için ayarlandığında medya akışı şifrelenmez. Ayrıca müdahale eden bir cihaz (kod dönüştürücü veya ağ geçidi gibi) şifreleme için etkinleştirilmemişse medya akışı şifrelenmez. |
Unity Connection, Cisco Unified Communications Manager ve IP Telefonlar Arasındaki Bağlantının Güvenliğini Sağlamaya Yönelik En İyi Uygulamalar
Hem Cisco Unity Connection hem de Cisco Unified Communications Manager'daki sesli mesajlaşma bağlantı noktaları için kimlik doğrulamayı ve şifrelemeyi etkinleştirmek istiyorsanız, şu adreste bulunan Unity Connection Sürüm 12.x için Cisco Unified Communications Manager SCCP Entegrasyon Kılavuzu'na bakın.
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Cisco Unity Connection, Cisco Unified Communications Manager ve IP Telefonlar arasındaki Bağlantının Güvenliğini Sağlama
Belgeler / Kaynaklar
 |
CISCO Unity Connection Birleşik İletişim Yöneticisi [pdf] Kullanıcı Kılavuzu Unity Connection Birleşik İletişim Yöneticisi, Connection Birleşik İletişim Yöneticisi, Birleşik İletişim Yöneticisi, İletişim Yöneticisi, Yönetici |