确保 Cisco Unity 之间的连接安全
连接,思科统一通信
经理和 IP 电话
• 确保 Cisco Unity Connection、Cisco Unified Communications Manager 和 IP 电话之间的连接安全,第 1 页
确保 Cisco Unity Connection、Cisco Unified Communications Manager 和 IP 电话之间的连接安全
介绍
在本章中,您将找到与 Cisco Unity Connection、Cisco Unified Communications Manager 和 IP 电话之间的连接相关的潜在安全问题的描述;有关您需要采取的任何行动的信息;帮助您做出决策的建议;讨论您所做决定的后果;和最佳实践。
Unity Connection、Cisco Unified 之间连接的安全问题 通信管理器和 IP 电话
Cisco Unity Connection 系统的一个潜在漏洞点是 Unity Connection 语音消息发送端口(对于 SCCP 集成)或端口组(对于 SIP 集成)、Cisco Unified Communications Manager 和 IP 电话之间的连接。
可能的威胁包括:
- 中间人攻击(当观察并修改 Cisco Unified CM 和 Unity Connection 之间的信息流时)
- 网络流量嗅探(当使用软件捕获 Cisco Unified CM、Unity Connection 和 Cisco Unified CM 管理的 IP 电话之间流动的电话对话和信令信息时)
- 修改 Unity Connection 和 Cisco Unified CM 之间的呼叫信令
- 修改 Unity Connection 和端点之间的媒体流(例如amp文件、IP 电话或网关)
- Unity Connection 的身份盗窃(当非 Unity Connection 设备将自身作为 Unity Connection 服务器呈现给 Cisco Unified CM 时)
- Cisco Unified CM 服务器的身份盗窃(当非 Cisco Unified CM 服务器将自己作为 Cisco Unified CM 服务器呈现给 Unity Connection 时)
适用于 Unity Connection 语音消息传送端口的 Cisco Unified Communications Manager 安全功能
Cisco Unified CM 可以保护 Unity Connection 的连接免受 Unity Connection、Cisco Unified Communications Manager 和 IP 电话之间连接的安全问题中列出的威胁。
Unity Connection 可以利用的 Cisco Unified CM 安全功能tag表 1:Cisco Unity Connection 使用的 Cisco Unified CM 安全功能中介绍了这些功能。
表 1:Cisco Unity Connection 使用的 Cisco Unified CM 安全功能
| 安全功能 | 描述 |
| 信令认证 | 使用传输层安全 (TLS) 协议来验证没有 t 的过程amp信令数据包在传输过程中发生了错误。 信令身份验证依赖于 Cisco 证书信任列表 (CTL) 的创建 file. 此功能可防止: • 修改Cisco Unified CM 和Unity Connection 之间信息流的中间人攻击。 • 修改呼叫信令。 • Unity Connection 服务器的身份盗窃。 • Cisco Unified CM 服务器的身份盗窃。 |
| 设备认证 | 验证设备身份并确保实体与其声称的相符的过程。当每个设备接受其他设备的证书时,此过程会在 Cisco Unified CM 与 Unity Connection 语音消息发送端口(对于 SCCP 集成)或 Unity Connection 端口组(对于 SIP 集成)之间发生。接受证书后,设备之间就会建立安全连接。设备身份验证依赖于思科证书信任列表 (CTL) 的创建 file. 此功能可防止: • 修改Cisco Unified CM 和Unity Connection 之间信息流的中间人攻击。 • 媒体流的修改。 • Unity Connection 服务器的身份盗窃。 • Cisco Unified CM 服务器的身份盗窃。 |
| 信令加密 | 使用加密方法(通过加密)保护在 Unity Connection 和 Cisco Unified CM 之间发送的所有 SCCP 或 SIP 信令消息的机密性的过程。信令加密可确保与各方相关的信息、各方输入的 DTMF 数字、呼叫状态、媒体加密密钥等免受意外或未经授权的访问。 此功能可防止: • 观察Cisco Unified CM 和Unity Connection 之间信息流的中间人攻击。 • 网络流量嗅探,用于观察Cisco Unified CM 和Unity Connection 之间的信令信息流。 |
| 媒体加密 | 通过使用加密程序实现媒体机密性的过程。 此过程使用 IETF RFC 3711 中定义的安全实时协议 (SRTP),并确保只有预期接收者才能解释 Unity Connection 和端点之间的媒体流(例如amp文件、电话或网关)。支持仅包括音频流。媒体加密包括为设备创建媒体播放器密钥对、将密钥传送到 Unity Connection 和端点,以及在密钥传输时确保密钥传送的安全。 Unity Connection 和端点使用密钥来加密和解密媒体流。 此功能可防止: • 监听Cisco Unified CM 和Unity Connection 之间媒体流的中间人攻击。 • 网络流量嗅探,用于窃听Cisco Unified CM、Unity Connection 和Cisco Unified CM 管理的IP 电话之间流动的电话对话。 |
认证和信令加密是媒体加密的最低要求;也就是说,如果设备不支持信令加密和认证,则无法进行媒体加密。
Cisco Unified CM 安全性(身份验证和加密)仅保护对 Unity Connection 的呼叫。消息存储中记录的消息不受 Cisco Unified CM 身份验证和加密功能的保护,但可以受到 Unity Connection 专用安全消息传递功能的保护。有关 Unity Connection 安全消息传递功能的详细信息,请参阅处理标记为私有和安全的消息。
自加密驱动器
Cisco Unity Connection 还支持自加密驱动器 (SED)。这也称为全盘加密 (FDE)。 FDE 是一种加密方法,用于加密硬盘驱动器上的所有可用数据。
数据包括 files、操作系统和软件程序。磁盘上可用的硬件对所有传入数据进行加密并解密所有传出数据。当驱动器被锁定时,将创建一个加密密钥并在内部存储。存储在此驱动器上的所有数据均使用该密钥进行加密并以加密形式存储。 FDE包括密钥ID和安全密钥。
有关详细信息,请参阅For more information, see https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Cisco Unified Communications Manager 和 Unity 的安全模式设置 联系
Cisco Unified Communications Manager 和 Cisco Unity Connection 具有表 2 所示的安全模式选项:语音消息端口(对于 SCCP 集成)或端口组(对于 SIP 集成)的安全模式选项。
警告
Unity Connection 语音消息发送端口(对于 SCCP 集成)或端口组(对于 SIP 集成)的集群安全模式设置必须与 Cisco Unified CM 端口的安全模式设置相匹配。
否则,Cisco Unified CM 身份验证和加密将失败。
表 2:安全模式选项
| 环境 | 影响 |
| 不安全 | 无法确保呼叫信令消息的完整性和私密性,因为呼叫信令消息以明文(未加密)文本的形式发送,并通过未经身份验证的端口而不是经过身份验证的 TLS 端口连接到 Cisco Unified CM。此外,媒体流无法加密。 |
| 已认证 | 呼叫信令消息的完整性得到确保,因为它们通过经过身份验证的 TLS 端口连接到 Cisco Unified CM。但是,那 呼叫信令消息的隐私无法得到保证,因为它们是以明文(未加密)文本发送的。此外,媒体流未加密。 |
| 加密 | 由于呼叫信令消息通过经过身份验证的 TLS 端口连接到 Cisco Unified CM,并且呼叫信令消息已加密,因此可以确保呼叫信令消息的完整性和私密性。此外,还可以对媒体流进行加密。两个端点必须以加密模式注册 用于对媒体流进行加密。然而,当一个端点设置为非安全或认证模式而另一端点设置为加密模式时,媒体流不会被加密。此外,如果中间设备(例如转码器或网关)未启用加密,则媒体流不会加密。 |
确保 Unity Connection、Cisco Unified Communications Manager 和 IP 电话之间连接安全的最佳实践
如果您想要在 Cisco Unity Connection 和 Cisco Unified Communications Manager 上启用语音消息传送端口的身份验证和加密,请参阅《Unity Connection 版本 12.x 的 Cisco Unified Communications Manager SCCP 集成指南》,网址为:
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
确保 Cisco Unity Connection、Cisco Unified Communications Manager 和 IP 电话之间的连接安全
文件/资源
 |
CISCO Unity Connection 统一通信管理器 [pdf] 用户指南 Unity Connection 统一通信管理器、Connection 统一通信管理器、统一通信管理器、通信管理器、管理器 |