Применение концепций информационной безопасности в...

Применение концепций информационной безопасности в продуктах Cisco Unified Communications

Дамир Назаров Инженер Cisco TAC [email protected]

23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.

Введение

С развитием технологий совместной работы, голосовых продуктов, выхода системы унифицированных коммуникации за пределы корпоративной сети, возможности подключения с любого устройства и из любой точки мира все большее значение приобретает безопасность и защищенность данных коммуникаций. Однако, часто бывает так что настройкой Voice и Security занимаются разные подразделения, говорящие на разных языках. В рамках данной презентации рассматриваются основные концепции и технологии которые используются при настройке безопасности в продуктах Cisco UC с точки зрения голосовых специалистов.

23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 2

Содержание

•  Концепции информационной безопасности •  Цифровые Сертификаты в CUCM •  Security by Default •  Mixed mode •  IP Phone VPN •  Secure Trunks •  Secure SRST •  Cisco Jabber Security •  CUCM 11


Концепции информационной безопасности


Шифрование

•  Шифрование — обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней.

•  Алгоритм – совокупность преобразований приводящих исходное сообщение из незашифрованного в зашифрованный вид. Применяется к данным с использованием ключа.

•  Ключ – выбор конкретного преобразования из совокупности возможных для данного алгоритма.

•  Шифр – пара алгоритмов, реализующих операции шифрования и расшифрования. •  Шифрование применяется для хранения важной информации и передачи её по незащищённым каналам связи.


Синхронное шифрование

Синхронное шифрование – для шифрования и расшифрования используетя один и тот же ключ

§  Ключ должен быть секретным §  Алгоритмы DES, 3DES, AES и тп. §  Высокая скорость работы §  Применяется для шифрования больших объемов данных §  Для начала работы требует наличия секретного ключа у обеих сторон


Асинхронное шифрование

Асинхронное шифрование – для шифрования и расшифрования используются разные ключи (пара ключей). Также называются открытым и закрытым ключом.

§  Публичный ключ известен всем, приватый ключ известен только владельцу §  Алгоритмы RSA, ECC и тп. §  Низкая скорость работы по сравнению с симметричными алгоритмами §  Не требует наличия секретного ключа для начала обмена зашифрованными

сообщениями §  Применяется для передачи симметичного ключа, в цифровых сертификатах и т.д.


Хэш функция

•  Хэш функция – однонаправленная функция создающая хэш сумму некоторого объекта

•  Хэш сумма – сообщение фиксированной длинны генерируемое хэш функцией из данных переменной длинны

•  Изначальное сообщение не может быть воссозданно из хэш суммы •  Алгоритмы MD5, SHA-1, SHA-2, SHA-3 и т.д. •  Используется для проверки целостности данных •  Для аутентификации источника данных хэш функции используются вместе с имитовставкой


Цифровая подпись

§  Цифровая подпись – хэш сумма некоторого сообщения зашифрованная закрытым ключом подписывающего объекта

•  Основана на алгоритме ассиметричного шифрования •  С помощью закрытого ключа цифровая подпись генерируется •  С помощью открытого ключа цифровая подпись проверяется


Распределение открытых ключей

•  Ассиметричное шифрование используется для безопасной передачи ключей симметричного шифрования

•  Система основана на том что все участники процесса знают публичные ключи всех остальных участников

•  Пользователь A может начать шифрованную передачу информации пользователю B. Но он не может идентифицировать его.


Инфраструктура открытых ключей

•  Инфраструктура открытых ключей – система с центральным элементом Certificate Authority. Объекты доверяющие СA доверяют всем объктам получившим свой сертификат от данного CA

•  CA может быть реализован на большом количестве платформ, среди которых Windows Server, Unix системы, Cisco IOS устройства и тп.


Цифровые сертификаты в CUCM


Сертификат

•  Цифровой сертификат представляет собой идентификационные данные объекта, его открытый ключ, подписанные закрытым ключом центра сертификации (CA).

•  Формат DER – в бинарном виде •  Формат PEM – в текстовом виде


Certificate Signing Request

•  CSR – запрос генерируемый объектом для получения сертификата. •  CSR содержит идентификационные данные объекта и его открытый ключ •  CA подтвержает данные объекта, генерирует хэш, шифрует получившийся хэш своим закрытым ключом


Поля сертификата

Version V3 Serial number 2a c0 5c 72 00 00 00 00 00 03 Signature Algorithm RSA Signature Hash Algorithm sha1 Issuer WIN2008-CA, hulk, lab Valid From ‎Friday, ‎09 ‎October, ‎2015 10:48:03 PM Valid To ‎Sunday, ‎08 ‎October, ‎2017 10:48:03 PM Subject CN = cucm01.hulk.lab, OU = TAC, O = Cisco Public key RSA (2048 Bits) Subject Alt Name DNS Name=cucm01.hulk.lab Certificate Template Name WebServer Thumbprint 5b a2 d5 e1 27 31 ba d4 91 82 62 4c 43 ce 99 2b

af 03 6a bc


Односерверный сертификат

•  Сертификат удостоверяющий подлинность одного сервера •  Каждый сервер должен иметь собственный сертификат и уникальную пару ключей, генерируемых локально

•  Используются алгоритмы цифровых ключе RSA и EC •  Поддержка EC сертификатов появилась с CUCM версии 11


Мультисерверный сертификат

•  Мультисерверный сертификат удостоверяет подлинность нескольких серверов

•  Все сервера используют единую пару ключей (приватный ключ реплицируется между нодами)

•  Дополнительные сервера указаны в поле SAN

•  CN сертификата содержит приставку –ms

•  Поддержка сертификата в CUCM появилась начиная с версии 10.5

•  Рекомендуется использовать с CUCM версии 10.5.2.12900 (10.5.2 SU2)


Wildcard сертификат

•  Сертификат формата *.example.com. Может идентифицировать все объекты в домене example.com. Например: mail.example.com, dns.example.com

•  Предполагает выгрузку приватного ключа с сервера для загрузки на другие системы или использования TLS Proxy

•  Не поддерживается CUCM


Сертификаты CUCM и Presence

User facing •  Callmanager – подписывает конфигурационные файлы, CTL, ITL, шифрованные

подключения к сторонним системам, подключения Cisco Jabber клиентов; •  Tomcat CUCM – web доступ к административному интерфейсу CUCM,

пользовательским страницам, AXL. •  Cup-xmpp – сертификат для подключения к Presence серверу. Используется

Cisco Jabber клиентами. •  Tomcat Presence – web доступ к административному интерфейсу Presence,

пользовательским страницам, AXL.


Сертификаты CUCM •  CallManager •  CallManager-ECDSA •  Tomcat •  IPSec •  CAPF •  TVS •  ITLRecovery

Сертификаты Presence •  Cup •  Tomcat •  IPSec •  Cup-xmpp •  Cup-xmpp-s2s

Certificate alert


Загрузка сертификатов в CUCM

•  По умолчанию все сертификаты CUCM самоподписанные •  Trust сертификаты – сертификаты являющиеся доверенными для CUCM •  Для загрузки подписанного сертификата в CUCM он должен доверять

(иметь trust сертификат) серверу выдавшему данный сертификат •  Обычно trust сертификатами являются сертификаты Root CA, Sub CA, Iss

CA, в зависимости от архитектуры центра сертификации •  Trust сертификат для каждого сервиса загружается отдельно (callmanager,

tomcat и т.п.)


Security by Default


Security by Default

Как телефон понимает кому можно доверять – концепция Initial Trust List •  ITL – список сертификатов загруженный в телефон, которым телефон может

доверять. Функционал появился начиная с CUCM 8.0. •  TVS – служба представляющая собой удаленный trust store для телефона

Функции ITL •  Аутентификация конфигурационных файлов телефона, скачиваемых с TFTP

сервера •  Шифрование конфигурационных файлов (опционально) •  Проверка подлинности и доверия сторонних сертфикатов, не входящих в состав

ITL

Состав ITL •  SAST (Callmanager сертификат с текущей ноды) •  TFTP (с текущей ноды) •  CAPF •  TVS (со всех нод) •  ITLRecovery

ITLRecovery – специальный сертификат для восстановления доверия ITL


ITL файл


•  show ITL

Восстановление ITL

Возможные причины сбоя работы ITL •  Одновременная регенераця сертификатов Callmanager и TVS на всех нодах

•  Одновременная регенерация сертификатов Сallmanager и TVS, если в CallManager Group указан только один сервер

•  Миграция телефонов с одного кластера на другой •  Изменение hostname или domain name на single node кластере

Решение проблем с блокировкой ITL

•  Использование опции Prepare Cluster for Rollback to Pre 8.0 – заменяет текщий ITL на пустой файл. Таким образом, телефон скачает любой предложенный ITL. При включении данной опции сервисы использующие HTTPS не будут работать

•  Восстановление через ITLRecovery – сертификат ITLRecovery может быть использован для подписывания ITL файла. Таким образом, телефон сможет доверять ITL с изменеными сертификатами Callmanager и TVS. ITLRecovery может быть восстановлен только на кластере с тем же Security паролем

•  Ручное удаление ITL с каждого телефона


CUCM Mixed-mode


CUCM Mixed-mode

Mixed-mode •  Mixed-mode – режим работы CUCM который включает поддержку шифрования и генерацию CTL. Недоступен для UNRestriicted версий.

•  CTL – список сертфикатов которым телефон может доверять •  Token-based CTL – CTL файл подписывается специальным USB токеном •  Token-less CTL – CTL файл подписывается сертифкатом Callmanager

CUCM Publisher-a. Функционал появился начиная с версии CUCM 10.0. •  CAPF – сервис подписывающий сертификаты телефонов

Состав CTL •  SAST (USB-токен или Callmanager сертификат) •  TFTP (со всех нод) •  CAPF •  ITLRecovery – был добавлен начиная с CUCM 11 для отказоустойчивости

CTL.


CTL файл


•  show CTL

CAPF и LSC

Телефонные сертфикаты §  MIC – сертификат предустановленный на телефон при его изготовлении, подписан Cisco Root CA. Не рекомендуется к использованию.

§  LSC – сертификат генерируемый телефоном и подписываемый службой CAPF. Используется для шифования сообщений и голосового трафика между телефоном и CUCM.


CAPF §  Certificate Authority Proxy Function

– сужба выдачи сертификатов (внутренний CA) телефонам. Работает на CUCM Publisher. Подписывает сетификат на основании пароля, MIC, сущестующего LSC или пустой строки. Хранит копию сертификата и отрытого ключа телефона в базе данных CUCM.

Secure Trunks


Secure trunks

Общая информация §  Сигнальные сообщения и медиа поток шифруются отдельно §  Согласование шифрования медиа потока идет через сигнальные сообщения

Secure SIP

§  Обмен CA-signed или self-signed сертификатами §  Активация настроек Security Profile §  Для шифрации сигнальных сообщений используется TLS

Secure MGCP §  Ключи генерируются на CUCM §  Активация настоек устройства для передачи SRTP §  Для шифрации сигнальных сообщений используется IPsec

Secure H.323 §  Ключи генерируются на шлюзе §  Активация настоек шлюза для передачи SRTP §  Для шифрации сигнальных сообщений используется IPsec


Secure SIP Trunks

CUBE

§  Доверенные сертификаты §  Настройка Security Profile §  Поддерживается трансляция звонка как между TLS и TLS, так и между TLS и TCP

call leg CUCM Cluster

§  Доверенные сертификаты §  Настройка Security Profile

VCS/Expressway §  Доверенные сертификаты §  Поддерживается трансляция звонка как между TLS и TLS, так и между TLS и TCP зонами

Lync §  Прямой CUCM - Lync SIP транк не поддерживает TLS §  TLS/SRTP SIP транк доступен только через VCS


IP Phone VPN Client


IP Phone VPN

•  IP телефон может работать как VPN клиент (Anyconnect SSL VPN) •  Cisco ASA или IOS роутер могут быть использованы как VPN шлюз •  Используется для подключения телефона к корпоративной сети удаленно •  Функционал появился начиная с CUCM 8.0.1 и прошивки 9.x •  Установив VPN соединение телефон может иметь полный доступ ко всем корпортивным ресурсам

•  Требует дополнительных лицений на ASA/ISR


IP Phone VPN

Конфигурация •  ASA HTTPS сертификат должен быть загружен на CUCM •  CUCM добавляет хэш сертификата ASA и VPN URL в конфигурационный файл телефона

•  Для работы VPN клиента, в первый раз телефон должен быть подключен из внутренней сети

•  Телефон может подключаться к VPN автоматически, если не обнаружит доступа к TFTP или по запросу пользователя.

Аутентификация •  Телефон может быть аутентифицирован по логину и паролю и\или по сертификату.

•  Шлюз аутентифицируется по сертификату (производится сравнение с хэшем сертификата записанным в конфигурационном файле)


Secure Survivable Remote Site Telephony (SRST)


Secure SRST

•  SRST – технология переключения телефонов на локальный шлюз в случае потери связи с основным узлом CUCM

•  Secure SRST – телефон использует TLS и SRTP в режиме SRST


Secure SRST

•  SRST шлюз должен иметь подписанный сертификат •  Сертификат SRST шлюза загружается на CUCM в момент конфигурации •  CUCM добавляет полученный SRST сертификат в конфигурационный файл телефона

•  CAPF сертификат должен быть загружен на SRST шлюз srst(config)#crypto pki trustpoint CAPF srst(ca-trustpoint)# enrollment terminal srst(ca-trustpoint)# revocation-check none srst(ca-trustpoint)#exit srst(config)#crypto pki authenticate CAPF

•  При регистрации на SRST телефон проверяет сертификат шлюза по хранящемуся у себя в конфигурации сертификату

•  Шлюз проверяет сертификат телефона по загруженному сертификату CAPF


Secure Jabber


Secure Jabber

•  Конфигурация CTL/LSC для Jabber аналогична настольным телефонам •  Cisco Jabber не использует ITL •  В случае перегенерации сертификата Callmanager Publisher в token-less режиме клиенты Cisco Jabber использующие CTL не смогут зарегистрироваться (исправлено в CUCM 11)

•  Список сертификатов запрашиваемых Cisco Jabber клиентом


Сервер Сертификат CUCM Tomcat, Callmanager CUPS Tomcat, XMPP Unity Connection Tomcat WebEx Meetings Server Tomcat VCS Expressway Server Certificate

CUCM 11. Новые возможности


CUCM 11

•  Поддержка EC сертификатов •  Расширенный ITL •  Автоматическое удаление сертификатов со всех нод •  Загрузка конфигурационного файла по HTTPS •  ITLRecovery для CTL файла •  Срок действия ITLRecovery увеличен до 20 лет •  Поддержка ключей RSAv3


Video

Russian Cisco Support Community

Data Center Voice Security

Routing and Switching

Contact Center

Unified Communications

Воспользуйтесь возможностью и задайте вопросы на форуме Технической Поддержки Cisco - http://russiansupportforum.cisco.com

Голосовая связь

Системы унифицированных коммуникаций Маршрутизация и коммутация

Видео Контакт центры

Центры Обработки данных

Безопасность CUCM CUBE

UCCX UCCE

Telepresence

ASA VPN IPS

ISR44xx/43xx

Nexus 7000 Cat 4900

4500 7600 6500

VSS Протоколы маршрутизации

IOS XE IOS IOS XR

ISR ISR G2

ASR1000

FWSM

ASR90x ASR9000

GSR12000 CRS

Ждем ваших сообщений с хештегом #CiscoConnectRu

CiscoRu Cisco CiscoRussia CiscoRu

Пожалуйста, заполните анкеты! Ваше мнение очень важно для нас.

Спасибо

23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.

Применение концепций информационной безопасности в...

Technology

Transcript of Применение концепций информационной безопасности в...