Bảo mật kết nối giữa Cisco Unity
Kết nối, Truyền thông Hợp nhất của Cisco
Trình quản lý và Điện thoại IP
• Bảo mật kết nối giữa Cisco Unity Connection, Trình quản lý truyền thông hợp nhất của Cisco và Điện thoại IP, trên trang 1
Bảo mật kết nối giữa Cisco Unity Connection, Trình quản lý truyền thông hợp nhất của Cisco và Điện thoại IP
Giới thiệu
Trong chương này, bạn sẽ tìm thấy mô tả về các vấn đề bảo mật tiềm ẩn liên quan đến kết nối giữa Cisco Unity Connection, Trình quản lý Truyền thông Hợp nhất của Cisco và điện thoại IP; thông tin về bất kỳ hành động nào bạn cần thực hiện; những khuyến nghị giúp bạn đưa ra quyết định; thảo luận về kết quả của các quyết định bạn đưa ra; và thực hành tốt nhất.
Sự cố bảo mật đối với các kết nối giữa Unity Connection, Cisco Unified Trình quản lý truyền thông và điện thoại IP
Điểm dễ bị tổn thương tiềm ẩn đối với hệ thống Cisco Unity Connection là kết nối giữa các cổng nhắn tin thoại Unity Connection (để tích hợp SCCP) hoặc các nhóm cổng (để tích hợp SIP), Trình quản lý Truyền thông Hợp nhất của Cisco và điện thoại IP.
Các mối đe dọa có thể bao gồm:
- Các cuộc tấn công trung gian (khi luồng thông tin giữa Cisco Unified CM và Unity Connection được quan sát và sửa đổi)
- Đánh hơi lưu lượng truy cập mạng (khi phần mềm được sử dụng để ghi lại các cuộc trò chuyện qua điện thoại và thông tin báo hiệu truyền giữa Cisco Unified CM, Unity Connection và điện thoại IP do Cisco Unified CM quản lý)
- Sửa đổi tín hiệu cuộc gọi giữa Unity Connection và Cisco Unified CM
- Sửa đổi luồng phương tiện giữa Unity Connection và điểm cuối (ví dụ:ample, điện thoại IP hoặc cổng)
- Đánh cắp danh tính của Unity Connection (khi một thiết bị không phải Unity Connection tự hiển thị với Cisco Unified CM dưới dạng máy chủ Unity Connection)
- Đánh cắp danh tính của máy chủ Cisco Unified CM (khi máy chủ CM hợp nhất không phải của Cisco tự hiển thị với Unity Connection dưới dạng máy chủ Cisco Unified CM)
CiscoUnifiedCommunicationsManagerSecurityFeaturesforUnity Connection Cổng nhắn tin thoại
Cisco Unified CM có thể bảo mật kết nối bằng Unity Connection trước các mối đe dọa được liệt kê trong Sự cố bảo mật đối với kết nối giữa Unity Connection, Trình quản lý truyền thông hợp nhất của Cisco và Điện thoại IP.
Các tính năng bảo mật Cisco Unified CM mà Unity Connection có thể tận dụngtage được mô tả trong Bảng 1: Các tính năng bảo mật CM hợp nhất của Cisco được sử dụng bởi Cisco Unity Connection.
Bảng 1: Các tính năng bảo mật CM hợp nhất của Cisco được sử dụng bởi Cisco Unity Connection
| Tính năng bảo mật | Sự miêu tả |
| Xác thực báo hiệu | Quá trình sử dụng giao thức Bảo mật lớp vận chuyển (TLS) để xác thực rằng khôngampering đã xảy ra với các gói báo hiệu trong quá trình truyền. Xác thực báo hiệu dựa vào việc tạo Danh sách tin cậy chứng chỉ Cisco (CTL) file. Tính năng này bảo vệ chống lại: • Các cuộc tấn công trung gian làm thay đổi luồng thông tin giữa Cisco Unified CM và Unity Connection. • Sửa đổi tín hiệu cuộc gọi. • Đánh cắp danh tính của máy chủ Unity Connection. • Đánh cắp danh tính của máy chủ Cisco Unified CM. |
| Xác thực thiết bị | Quá trình xác thực danh tính của thiết bị và đảm bảo rằng thực thể đó đúng như những gì nó tuyên bố. Quá trình này xảy ra giữa Cisco Unified CM và các cổng nhắn tin thoại Unity Connection (để tích hợp SCCP) hoặc các nhóm cổng Unity Connection (để tích hợp SIP) khi mỗi thiết bị chấp nhận chứng chỉ của thiết bị kia. Khi chứng chỉ được chấp nhận, kết nối an toàn giữa các thiết bị sẽ được thiết lập. Xác thực thiết bị dựa vào việc tạo Danh sách tin cậy chứng chỉ Cisco (CTL) file. Tính năng này bảo vệ chống lại: • Các cuộc tấn công trung gian làm thay đổi luồng thông tin giữa Cisco Unified CM và Unity Connection. • Sửa đổi luồng phương tiện truyền thông. • Đánh cắp danh tính của máy chủ Unity Connection. • Đánh cắp danh tính của máy chủ Cisco Unified CM. |
| Mã hóa tín hiệu | Quy trình sử dụng các phương pháp mã hóa để bảo vệ (thông qua mã hóa) tính bảo mật của tất cả các tin nhắn báo hiệu SCCP hoặc SIP được gửi giữa Unity Connection và Cisco Unified CM. Mã hóa tín hiệu đảm bảo rằng thông tin liên quan đến các bên, chữ số DTMF được các bên nhập, trạng thái cuộc gọi, khóa mã hóa phương tiện, v.v. được bảo vệ khỏi sự truy cập ngoài ý muốn hoặc trái phép. Tính năng này bảo vệ chống lại: • Các cuộc tấn công trung gian nhằm quan sát luồng thông tin giữa Cisco Unified CM và Unity Connection. • Đánh hơi lưu lượng mạng nhằm quan sát luồng thông tin báo hiệu giữa Cisco Unified CM và Unity Connection. |
| Mã hóa phương tiện | Quá trình trong đó tính bảo mật của phương tiện truyền thông xảy ra thông qua việc sử dụng các thủ tục mật mã. Quá trình này sử dụng Giao thức thời gian thực an toàn (SRTP) như được xác định trong IETF RFC 3711 và đảm bảo rằng chỉ người nhận dự định mới có thể diễn giải các luồng phương tiện giữa Unity Connection và điểm cuối (ví dụ:ample, điện thoại hoặc cổng). Hỗ trợ chỉ bao gồm các luồng âm thanh. Mã hóa phương tiện bao gồm tạo cặp khóa Media Player cho thiết bị, phân phối khóa tới Unity Connection và điểm cuối, đồng thời đảm bảo việc phân phối khóa trong khi khóa đang được vận chuyển. Unity Connection và điểm cuối sử dụng các khóa để mã hóa và giải mã luồng phương tiện. Tính năng này bảo vệ chống lại: • Các cuộc tấn công man-in-the-miền nghe luồng truyền thông giữa Cisco Unified CM và Unity Connection. • Đánh hơi lưu lượng truy cập mạng để nghe lén các cuộc trò chuyện qua điện thoại giữa Cisco Unified CM, Unity Connection và điện thoại IP do Cisco Unified CM quản lý. |
Xác thực và mã hóa tín hiệu đóng vai trò là yêu cầu tối thiểu đối với mã hóa phương tiện; nghĩa là, nếu các thiết bị không hỗ trợ mã hóa và xác thực tín hiệu thì việc mã hóa phương tiện không thể xảy ra.
Bảo mật Cisco Unified CM (xác thực và mã hóa) chỉ bảo vệ các cuộc gọi đến Unity Connection. Các tin nhắn được ghi trên kho lưu trữ tin nhắn không được bảo vệ bởi các tính năng mã hóa và xác thực Cisco Unified CM nhưng có thể được bảo vệ bằng tính năng nhắn tin bảo mật riêng tư của Unity Connection. Để biết chi tiết về tính năng nhắn tin bảo mật của Unity Connection, hãy xem phần Xử lý tin nhắn được đánh dấu riêng tư và bảo mật.
Ổ đĩa tự mã hóa
Cisco Unity Connection cũng hỗ trợ các ổ đĩa tự mã hóa (SED). Điều này còn được gọi là Mã hóa toàn bộ đĩa (FDE). FDE là một phương pháp mã hóa được sử dụng để mã hóa tất cả dữ liệu có sẵn trên ổ cứng.
Dữ liệu bao gồm files, hệ điều hành và các chương trình phần mềm. Phần cứng có sẵn trên đĩa sẽ mã hóa tất cả dữ liệu đến và giải mã tất cả dữ liệu đi. Khi ổ đĩa bị khóa, khóa mã hóa sẽ được tạo và lưu trữ nội bộ. Tất cả dữ liệu được lưu trữ trên ổ đĩa này được mã hóa bằng khóa đó và được lưu trữ ở dạng mã hóa. FDE bao gồm ID khóa và khóa bảo mật.
Để biết thêm thông tin, hãy xem https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Cài đặt Chế độ Bảo mật cho Trình quản lý Truyền thông Hợp nhất của Cisco và Unity Sự liên quan
Trình quản lý Truyền thông Hợp nhất của Cisco và Cisco Unity Connection có các tùy chọn chế độ bảo mật được hiển thị trong Bảng 2: Tùy chọn Chế độ Bảo mật cho các cổng nhắn tin thoại (để tích hợp SCCP) hoặc các nhóm cổng (để tích hợp SIP).
Thận trọng
Cài đặt Chế độ bảo mật cụm cho các cổng nhắn tin thoại Unity Connection (để tích hợp SCCP) hoặc nhóm cổng (để tích hợp SIP) phải khớp với cài đặt chế độ bảo mật cho các cổng Cisco Unified CM.
Nếu không, quá trình xác thực và mã hóa Cisco Unified CM sẽ không thành công.
Bảng 2: Tùy chọn chế độ bảo mật
| Cài đặt | Tác dụng |
| Không an toàn | Tính toàn vẹn và quyền riêng tư của các tin nhắn báo hiệu cuộc gọi không được đảm bảo vì các tin nhắn báo hiệu cuộc gọi được gửi dưới dạng văn bản rõ ràng (không được mã hóa) được kết nối với Cisco Unified CM thông qua cổng không được xác thực thay vì cổng TLS được xác thực. Ngoài ra, luồng phương tiện không thể được mã hóa. |
| Chứng thực | Tính toàn vẹn của các tin nhắn báo hiệu cuộc gọi được đảm bảo vì chúng được kết nối với Cisco Unified CM thông qua cổng TLS được xác thực. Tuy nhiên, Tính riêng tư của tin nhắn báo hiệu cuộc gọi không được đảm bảo vì chúng được gửi dưới dạng văn bản rõ ràng (không được mã hóa). Ngoài ra, luồng phương tiện không được mã hóa. |
| Đã mã hóa | Tính toàn vẹn và quyền riêng tư của các tin nhắn báo hiệu cuộc gọi được đảm bảo vì chúng được kết nối với Cisco Unified CM thông qua cổng TLS được xác thực và các tin nhắn báo hiệu cuộc gọi được mã hóa. Ngoài ra, luồng phương tiện có thể được mã hóa. Cả hai điểm cuối phải được đăng ký ở chế độ mã hóa để luồng phương tiện được mã hóa. Tuy nhiên, khi một điểm cuối được đặt ở chế độ không bảo mật hoặc được xác thực và điểm cuối còn lại được đặt ở chế độ mã hóa thì luồng phương tiện sẽ không được mã hóa. Ngoài ra, nếu một thiết bị can thiệp (chẳng hạn như bộ chuyển mã hoặc cổng) không được bật để mã hóa thì luồng phương tiện sẽ không được mã hóa. |
Các phương pháp thực hành tốt nhất để bảo mật kết nối giữa Unity Connection, Trình quản lý truyền thông hợp nhất của Cisco và Điện thoại IP
Nếu bạn muốn bật xác thực và mã hóa cho các cổng nhắn tin thoại trên cả Cisco Unity Connection và Cisco Unified Communications Manager, hãy xem Hướng dẫn tích hợp SCCP của Cisco Unified Communications Manager cho Bản phát hành kết nối Unity 12.x, có sẵn tại
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
Bảo mật kết nối giữa Cisco Unity Connection, Trình quản lý truyền thông hợp nhất của Cisco và Điện thoại IP
Tài liệu / Tài nguyên
 |
Trình quản lý truyền thông hợp nhất của CISCO Unity Connection [tập tin pdf] Hướng dẫn sử dụng Unity Connection Trình quản lý truyền thông hợp nhất, Trình quản lý truyền thông hợp nhất Connection, Trình quản lý truyền thông hợp nhất, Trình quản lý truyền thông, Người quản lý |