Захист з’єднання між Cisco Unity
Підключення, уніфіковані комунікації Cisco
Менеджер та IP телефони
• Захист з’єднання між Cisco Unity Connection, Cisco Unified Communications Manager та IP-телефонами, на сторінці 1
Захист з’єднання між Cisco Unity Connection, Cisco Unified Communications Manager та IP-телефонами
вступ
У цьому розділі ви знайдете опис потенційних проблем безпеки, пов’язаних із з’єднаннями між Cisco Unity Connection, Cisco Unified Communications Manager та IP-телефонами; інформацію про будь-які дії, які вам необхідно виконати; рекомендації, які допомагають приймати рішення; обговорення наслідків рішень, які ви приймаєте; та найкращі практики.
Проблеми безпеки для підключень між Unity Connection, Cisco Unified Менеджер зв'язку та IP-телефони
Потенційною вразливістю для системи Cisco Unity Connection є з’єднання між портами обміну голосовими повідомленнями Unity Connection (для інтеграції SCCP) або групами портів (для інтеграції SIP), Cisco Unified Communications Manager та IP-телефонами.
Серед можливих загроз:
- Атаки типу Man-in-the-middle (коли інформаційний потік між Cisco Unified CM і Unity Connection спостерігається та змінюється)
- Вивчення мережевого трафіку (коли програмне забезпечення використовується для захоплення телефонних розмов і сигнальної інформації, що передається між Cisco Unified CM, Unity Connection та IP-телефонами, якими керує Cisco Unified CM)
- Модифікація сигналізації про виклик між Unity Connection і Cisco Unified CM
- Зміна медіа-потоку між Unity Connection і кінцевою точкою (наприклад,ample, IP-телефон або шлюз)
- Крадіжка ідентифікаційної інформації Unity Connection (коли пристрій, відмінний від Unity Connection, представляє себе Cisco Unified CM як сервер Unity Connection)
- Крадіжка ідентифікаційних даних сервера Cisco Unified CM (коли сервер не Cisco Unified CM представляє себе Unity Connection як сервер Cisco Unified CM)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Порти голосових повідомлень
Cisco Unified CM може захистити з’єднання за допомогою Unity Connection від загроз, перелічених у розділі «Проблеми безпеки для з’єднань між Unity Connection, Cisco Unified Communications Manager та IP-телефонами».
Функції безпеки Cisco Unified CM, якими може скористатися Unity Connectiontage описано в таблиці 1: Функції безпеки Cisco Unified CM, які використовуються Cisco Unity Connection.
Таблиця 1. Функції безпеки Cisco Unified CM, які використовуються Cisco Unity Connection
| Функція безпеки | опис |
| Сигнальна аутентифікація | Процес, який використовує протокол безпеки транспортного рівня (TLS) для перевірки відсутності tampсталася помилка сигнальних пакетів під час передачі. Сигнальна автентифікація базується на створенні довірчого списку сертифікатів Cisco (CTL) file. Ця функція захищає від: • Атаки типу «людина посередині», які змінюють потік інформації між Cisco Unified CM і Unity Connection. • Модифікація сигналізації виклику. • Крадіжка ідентифікаційних даних сервера Unity Connection. • Крадіжка ідентифікаційних даних сервера Cisco Unified CM. |
| Аутентифікація пристрою | Процес, який підтверджує ідентифікацію пристрою та гарантує, що об’єкт є тим, за що себе видає. Цей процес відбувається між Cisco Unified CM і портами обміну голосовими повідомленнями Unity Connection (для інтеграції SCCP) або групами портів Unity Connection (для інтеграції SIP), коли кожен пристрій приймає сертифікат іншого пристрою. Коли сертифікати прийняті, між пристроями встановлюється безпечне з’єднання. Автентифікація пристрою базується на створенні довірчого списку сертифікатів Cisco (CTL) file. Ця функція захищає від: • Атаки типу «людина посередині», які змінюють потік інформації між Cisco Unified CM і Unity Connection. • Модифікація медіа-потоку. • Крадіжка ідентифікаційних даних сервера Unity Connection. • Крадіжка ідентифікаційних даних сервера Cisco Unified CM. |
| Шифрування сигналів | Процес, який використовує криптографічні методи для захисту (через шифрування) конфіденційності всіх сигнальних повідомлень SCCP або SIP, які надсилаються між Unity Connection і Cisco Unified CM. Шифрування сигналів гарантує, що інформація, яка стосується сторін, цифри DTMF, які вводять сторони, статус виклику, ключі шифрування медіа тощо, захищені від ненавмисного або неавторизованого доступу. Ця функція захищає від: • Атаки типу Man-in-the-middle, які спостерігають за потоком інформації між Cisco Unified CM і Unity Connection. • Сніфінг мережевого трафіку, який спостерігає за потоком сигнальної інформації між Cisco Unified CM і Unity Connection. |
| Шифрування медіа | Процес, за допомогою якого конфіденційність медіа відбувається за допомогою криптографічних процедур. Цей процес використовує безпечний протокол реального часу (SRTP), як визначено в IETF RFC 3711, і гарантує, що лише призначений одержувач може інтерпретувати медіа-потоки між Unity Connection і кінцевою точкою (наприклад,ample, телефон або шлюз). Підтримка включає лише аудіопотоки. Шифрування медіафайлів включає створення пари ключів медіапрогравача для пристроїв, доставку ключів до Unity Connection і кінцевої точки, а також забезпечення доставки ключів, поки ключі перебувають у транспортному стані. Unity Connection і кінцева точка використовують ключі для шифрування та дешифрування медіа-потоку. Ця функція захищає від: • Атаки типу Man-in-the-middle, які прослуховують медіа-потік між Cisco Unified CM і Unity Connection. • Прослуховування мережевого трафіку, яке прослуховує телефонні розмови між Cisco Unified CM, Unity Connection та IP-телефонами, якими керує Cisco Unified CM. |
Автентифікація та шифрування сигналів є мінімальними вимогами до шифрування медіа; тобто, якщо пристрої не підтримують шифрування сигналів і автентифікацію, шифрування медіа не може відбутися.
Безпека Cisco Unified CM (автентифікація та шифрування) захищає лише виклики до Unity Connection. Повідомлення, записані в сховищі повідомлень, не захищені функціями автентифікації та шифрування Cisco Unified CM, але можуть бути захищені функцією приватного безпечного обміну повідомленнями Unity Connection. Докладніше про функцію безпечного обміну повідомленнями Unity Connection див. у розділі «Обробка повідомлень, позначених як приватні та безпечні».
Диск із самошифруванням
Cisco Unity Connection також підтримує диски з самошифруванням (SED). Це також називається повним дисковим шифруванням (FDE). FDE — це криптографічний метод, який використовується для шифрування всіх даних, доступних на жорсткому диску.
Дані включають files, операційна система та програмне забезпечення. Апаратне забезпечення, наявне на диску, шифрує всі вхідні дані та розшифровує всі вихідні дані. Коли диск заблоковано, ключ шифрування створюється та зберігається всередині. Усі дані, які зберігаються на цьому диску, шифруються за допомогою цього ключа та зберігаються в зашифрованому вигляді. FDE складається з ідентифікатора ключа та ключа безпеки.
Для отримання додаткової інформації див https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Параметри режиму безпеки для Cisco Unified Communications Manager і Unity Підключення
Cisco Unified Communications Manager і Cisco Unity Connection мають параметри режиму безпеки, наведені в таблиці 2: Параметри режиму безпеки для портів обміну голосовими повідомленнями (для інтеграції SCCP) або груп портів (для інтеграції SIP).
Обережно
Налаштування режиму безпеки кластера для портів обміну голосовими повідомленнями Unity Connection (для інтеграції SCCP) або груп портів (для інтеграції SIP) має збігатися з налаштуванням режиму безпеки для портів Cisco Unified CM.
В іншому випадку автентифікація та шифрування Cisco Unified CM не вдасться.
Таблиця 2: Параметри режиму безпеки
| Налаштування | Ефект |
| Небезпечний | Цілісність і конфіденційність повідомлень сигналізації виклику не гарантується, оскільки повідомлення сигналізації виклику надсилаються як чистий (незашифрований) текст, підключений до Cisco Unified CM через неавтентифікований порт, а не через автентифікований порт TLS. Крім того, медіа-потік неможливо зашифрувати. |
| Перевірені | Цілісність повідомлень про виклики забезпечується, оскільки вони підключені до Cisco Unified CM через автентифікований порт TLS. Однак, конфіденційність повідомлень про виклик не забезпечується, оскільки вони надсилаються як чистий (незашифрований) текст. Крім того, медіа-потік не шифрується. |
| Зашифровано | Цілісність і конфіденційність повідомлень сигналізації виклику забезпечується, оскільки вони підключені до Cisco Unified CM через автентифікований порт TLS, а повідомлення сигналізації виклику зашифровані. Крім того, медіа-потік може бути зашифрований. Обидві кінцеві точки повинні бути зареєстровані в зашифрованому режимі щоб медіапотік був зашифрований. Однак, коли одна кінцева точка налаштована на незахищений або автентифікований режим, а інша кінцева точка налаштована на зашифрований режим, медіапотік не шифрується. Крім того, якщо проміжний пристрій (наприклад, транскодер або шлюз) не ввімкнено для шифрування, медіа-потік не шифрується. |
Найкращі методи захисту з’єднання між Unity Connection, Cisco Unified Communications Manager та IP-телефонами
Якщо ви хочете ввімкнути автентифікацію та шифрування для портів обміну голосовими повідомленнями як на Cisco Unity Connection, так і на Cisco Unified Communications Manager, перегляньте Посібник з інтеграції Cisco Unified Communications Manager SCCP для Unity Connection Release 12.x, доступний за адресою
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Захист з’єднання між Cisco Unity Connection, Cisco Unified Communications Manager та IP-телефонами
Документи / Ресурси
 |
CISCO Unity Connection Unified Communications Manager [pdfПосібник користувача Unity Connection Unified Communications Manager, Connection Unified Communications Manager, Unified Communications Manager, Communications Manager, Manager |