確保 Cisco Unity 之間的連線安全
連接,思科統一通信
經理和 IP 電話
• 確保 Cisco Unity Connection、Cisco Unified Communications Manager 與 IP 電話之間的連線安全,第 1 頁
確保 Cisco Unity Connection、Cisco Unified Communications Manager 和 IP 電話之間的連線安全
介紹
在本章中,您將找到與 Cisco Unity Connection、Cisco Unified Communications Manager 和 IP 電話之間的連線相關的潛在安全問題的說明;有關您需要採取的任何行動的資訊;幫助您做出決策的建議;討論您所做決定的後果;和最佳實踐。
Unity Connection、Cisco Unified 之間連線的安全性問題 通訊管理器和 IP 電話
Cisco Unity Connection 系統的一個潛在漏洞點是 Unity Connection 語音訊息傳送埠(適用於 SCCP 整合)或連接埠群組(針對 SIP 整合)、Cisco Unified Communications Manager 和 IP 電話之間的連線。
可能的威脅包括:
- 中間人攻擊(當觀察並修改 Cisco Unified CM 和 Unity Connection 之間的資訊流時)
- 網路流量嗅探(使用軟體擷取 Cisco Unified CM、Unity Connection 和 Cisco Unified CM 管理的 IP 電話之間流動的電話對話和訊號資訊時)
- 修改 Unity Connection 和 Cisco Unified CM 之間的呼叫訊號
- 修改 Unity Connection 和端點之間的媒體串流(例如amp文件、IP 電話或網關)
- Unity Connection 的身份竊盜(當非 Unity Connection 裝置將自己呈現為 Unity Connection 伺服器給 Cisco Unified CM 時)
- Cisco Unified CM 伺服器的身份竊取(當非 Cisco Unified CM 伺服器將自己呈現為 Cisco Unified CM 伺服器呈現給 Unity Connection 時)
適用於 Unity Connection 語音訊息傳送埠的 Cisco Unified Communications Manager 安全功能
Cisco Unified CM 可保護 Unity Connection 的連線免受 Unity Connection、Cisco Unified Communications Manager 和 IP 電話之間連線的安全性問題中所列的威脅。
Unity Connection 可以利用的 Cisco Unified CM 安全功能tag表 1:Cisco Unity Connection 使用的 Cisco Unified CM 安全功能中介紹了這些功能。
表 1:Cisco Unity Connection 使用的 Cisco Unified CM 安全功能
| 安全功能 | 描述 |
| 訊號認證 | 使用傳輸層安全性 (TLS) 協定來驗證沒有 t 的過程amp信令資料包在傳輸過程中發生了錯誤。 訊號驗證依賴 Cisco 憑證信任清單 (CTL) 的創建 file. 此功能可防止: • 修改Cisco Unified CM 和Unity Connection 之間資訊流的中間人攻擊。 • 修改呼叫訊號。 • Unity Connection 伺服器的身份盜竊。 • Cisco Unified CM 伺服器的身分盜竊。 |
| 設備認證 | 驗證設備身分並確保實體與其聲稱的相符的過程。當每個裝置接受其他裝置的憑證時,此程序會在 Cisco Unified CM 與 Unity Connection 語音訊息傳送埠(適用於 SCCP 整合)或 Unity Connection 連接埠群組(適用於 SIP 整合)之間發生。接受證書後,設備之間就會建立安全連線。裝置驗證依賴於思科憑證信任清單 (CTL) 的創建 file. 此功能可防止: • 修改Cisco Unified CM 和Unity Connection 之間資訊流的中間人攻擊。 • 媒體串流的修改。 • Unity Connection 伺服器的身份盜竊。 • Cisco Unified CM 伺服器的身分盜竊。 |
| 訊號加密 | 使用加密方法(透過加密)保護在 Unity Connection 和 Cisco Unified CM 之間發送的所有 SCCP 或 SIP 訊號訊息的機密性的程序。訊號加密可確保與各方相關的資訊、各方輸入的 DTMF 數字、呼叫狀態、媒體加密金鑰等免受意外或未經授權的存取。 此功能可防止: • 觀察Cisco Unified CM 和Unity Connection 之間訊息流的中間人攻擊。 • 網路流量嗅探,用於觀察Cisco Unified CM 和Unity Connection 之間的訊號訊息流。 |
| 媒體加密 | 透過使用加密程序實現媒體機密性的過程。 此程序使用 IETF RFC 3711 中定義的安全即時協定 (SRTP),並確保只有預期接收者才能解釋 Unity Connection 和端點之間的媒體流(例如amp文件、電話或網關)。支援僅包括音訊串流。媒體加密包括為裝置建立媒體播放器金鑰對、將金鑰傳送到 Unity Connection 和端點,以及在金鑰傳輸時確保金鑰傳送的安全。 Unity Connection 和端點使用金鑰來加密和解密媒體串流。 此功能可防止: • 監聽Cisco Unified CM 和Unity Connection 之間媒體串流的中間人攻擊。 • 網路流量嗅探,用於竊聽Cisco Unified CM、Unity Connection 和Cisco Unified CM 管理的IP 電話之間流動的電話對話。 |
認證和訊號加密是媒體加密的最低要求;也就是說,如果裝置不支援訊號加密和認證,則無法進行媒體加密。
Cisco Unified CM 安全性(驗證和加密)僅保護對 Unity Connection 的通話。在訊息儲存中記錄的訊息不受 Cisco Unified CM 驗證和加密功能的保護,但可以受到 Unity Connection 專用安全訊息傳遞功能的保護。有關 Unity Connection 安全訊息傳遞功能的詳細信息,請參閱處理標記為私有和安全的訊息。
自加密驅動器
Cisco Unity Connection 也支援自加密磁碟機 (SED)。這也稱為全磁碟加密 (FDE)。 FDE 是一種加密方法,用於加密硬碟上的所有可用資料。
數據包括 files、作業系統和軟體程式。磁碟上可用的硬體對所有傳入資料進行加密並解密所有傳出資料。當驅動器被鎖定時,將建立一個加密金鑰並在內部儲存。儲存在此磁碟機上的所有資料均使用該金鑰進行加密並以加密形式儲存。 FDE包含金鑰ID和安全金鑰。
有關更多信息,請參閱 https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/2-0/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201/b_Cisco_UCS_C-series_GUI_Configuration_Guide_201_chapter_010011.html#concept_E8C37FA4A71F4C8F8E1B9B94305AD844.
Cisco Unified Communications Manager 和 Unity 的安全模式設定 聯繫
Cisco Unified Communications Manager 和 Cisco Unity Connection 具有表 2 所示的安全模式選項:語音訊息連接埠(適用於 SCCP 整合)或連接埠群組(適用於 SIP 整合)的安全模式選項。
警告
Unity Connection 語音訊息傳送埠(適用於 SCCP 整合)或連接埠群組(適用於 SIP 整合)的叢集安全模式設定必須與 Cisco Unified CM 連接埠的安全模式設定相符。
否則,Cisco Unified CM 身份驗證和加密將會失敗。
表 2:安全模式選項
| 環境 | 影響 |
| 不安全 | 無法確保呼叫信令訊息的完整性和私密性,因為呼叫信令訊息以明文(未加密)文字的形式傳送,並透過未經驗證的連接埠而不是經過驗證的TLS 連接埠連接到Cisco Unified CM 。此外,媒體串流無法加密。 |
| 已認證 | 呼叫訊號訊息的完整性得到確保,因為它們透過經過驗證的 TLS 連接埠連接到 Cisco Unified CM。但是,那 呼叫信令訊息的隱私無法保證,因為它們是以明文(未加密)文字發送的。此外,媒體串流未加密。 |
| 加密 | 由於呼叫訊號訊息透過經過驗證的 TLS 連接埠連接到 Cisco Unified CM,且呼叫訊號訊息已加密,因此可以確保呼叫訊號訊息的完整性和私密性。此外,還可以對媒體串流進行加密。兩個端點必須以加密模式註冊 用於對媒體串流進行加密。然而,當一個端點設定為非安全或認證模式而另一端點設定為加密模式時,媒體串流不會被加密。此外,如果中間裝置(例如轉碼器或網關)未啟用加密,則媒體串流不會加密。 |
確保 Unity Connection、Cisco Unified Communications Manager 和 IP 電話之間連接安全的最佳實踐
如果您想要在 Cisco Unity Connection 和 Cisco Unified Communications Manager 上啟用語音訊息傳送埠的驗證和加密,請參閱《Unity Connection 版本 12.x 的 Cisco Unified Communications Manager SCCP 整合指南》,網址為:
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/12x/integration/guide/cucm_sccp/b_12xcucintcucmskinny.html
確保 Cisco Unity Connection、Cisco Unified Communications Manager 和 IP 電話之間的連線安全
文件/資源
 |
CISCO Unity Connection 統一通訊管理器 [pdf] 使用者指南 Unity Connection 統一通訊管理器、Connection 統一通訊管理器、統一通訊管理器、通訊管理器、管理器 |