Применение концепций информационной безопасности в продуктах Cisco Unified Communications
Дамир Назаров Инженер Cisco TAC [email protected]
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Введение
С развитием технологий совместной работы, голосовых продуктов, выхода системы унифицированных коммуникации за пределы корпоративной сети, возможности подключения с любого устройства и из любой точки мира все большее значение приобретает безопасность и защищенность данных коммуникаций. Однако, часто бывает так что настройкой Voice и Security занимаются разные подразделения, говорящие на разных языках. В рамках данной презентации рассматриваются основные концепции и технологии которые используются при настройке безопасности в продуктах Cisco UC с точки зрения голосовых специалистов.
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 2
Содержание
• Концепции информационной безопасности • Цифровые Сертификаты в CUCM • Security by Default • Mixed mode • IP Phone VPN • Secure Trunks • Secure SRST • Cisco Jabber Security • CUCM 11
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 3
Концепции информационной безопасности
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 4
Шифрование
• Шифрование — обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней.
• Алгоритм – совокупность преобразований приводящих исходное сообщение из незашифрованного в зашифрованный вид. Применяется к данным с использованием ключа.
• Ключ – выбор конкретного преобразования из совокупности возможных для данного алгоритма.
• Шифр – пара алгоритмов, реализующих операции шифрования и расшифрования. • Шифрование применяется для хранения важной информации и передачи её по незащищённым каналам связи.
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 5
Синхронное шифрование
Синхронное шифрование – для шифрования и расшифрования используетя один и тот же ключ
§ Ключ должен быть секретным § Алгоритмы DES, 3DES, AES и тп. § Высокая скорость работы § Применяется для шифрования больших объемов данных § Для начала работы требует наличия секретного ключа у обеих сторон
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 6
Асинхронное шифрование
Асинхронное шифрование – для шифрования и расшифрования используются разные ключи (пара ключей). Также называются открытым и закрытым ключом.
§ Публичный ключ известен всем, приватый ключ известен только владельцу § Алгоритмы RSA, ECC и тп. § Низкая скорость работы по сравнению с симметричными алгоритмами § Не требует наличия секретного ключа для начала обмена зашифрованными
сообщениями § Применяется для передачи симметичного ключа, в цифровых сертификатах и т.д.
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 7
Хэш функция
• Хэш функция – однонаправленная функция создающая хэш сумму некоторого объекта
• Хэш сумма – сообщение фиксированной длинны генерируемое хэш функцией из данных переменной длинны
• Изначальное сообщение не может быть воссозданно из хэш суммы • Алгоритмы MD5, SHA-1, SHA-2, SHA-3 и т.д. • Используется для проверки целостности данных • Для аутентификации источника данных хэш функции используются вместе с имитовставкой
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 8
Цифровая подпись
§ Цифровая подпись – хэш сумма некоторого сообщения зашифрованная закрытым ключом подписывающего объекта
• Основана на алгоритме ассиметричного шифрования • С помощью закрытого ключа цифровая подпись генерируется • С помощью открытого ключа цифровая подпись проверяется
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 9
Распределение открытых ключей
• Ассиметричное шифрование используется для безопасной передачи ключей симметричного шифрования
• Система основана на том что все участники процесса знают публичные ключи всех остальных участников
• Пользователь A может начать шифрованную передачу информации пользователю B. Но он не может идентифицировать его.
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 10
Инфраструктура открытых ключей
• Инфраструктура открытых ключей – система с центральным элементом Certificate Authority. Объекты доверяющие СA доверяют всем объктам получившим свой сертификат от данного CA
• CA может быть реализован на большом количестве платформ, среди которых Windows Server, Unix системы, Cisco IOS устройства и тп.
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 11
Сертификат
• Цифровой сертификат представляет собой идентификационные данные объекта, его открытый ключ, подписанные закрытым ключом центра сертификации (CA).
• Формат DER – в бинарном виде • Формат PEM – в текстовом виде
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 13
Certificate Signing Request
• CSR – запрос генерируемый объектом для получения сертификата. • CSR содержит идентификационные данные объекта и его открытый ключ • CA подтвержает данные объекта, генерирует хэш, шифрует получившийся хэш своим закрытым ключом
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 14
Поля сертификата
Version V3 Serial number 2a c0 5c 72 00 00 00 00 00 03 Signature Algorithm RSA Signature Hash Algorithm sha1 Issuer WIN2008-CA, hulk, lab Valid From Friday, 09 October, 2015 10:48:03 PM Valid To Sunday, 08 October, 2017 10:48:03 PM Subject CN = cucm01.hulk.lab, OU = TAC, O = Cisco Public key RSA (2048 Bits) Subject Alt Name DNS Name=cucm01.hulk.lab Certificate Template Name WebServer Thumbprint 5b a2 d5 e1 27 31 ba d4 91 82 62 4c 43 ce 99 2b
af 03 6a bc
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 15
Односерверный сертификат
• Сертификат удостоверяющий подлинность одного сервера • Каждый сервер должен иметь собственный сертификат и уникальную пару ключей, генерируемых локально
• Используются алгоритмы цифровых ключе RSA и EC • Поддержка EC сертификатов появилась с CUCM версии 11
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 16
Мультисерверный сертификат
• Мультисерверный сертификат удостоверяет подлинность нескольких серверов
• Все сервера используют единую пару ключей (приватный ключ реплицируется между нодами)
• Дополнительные сервера указаны в поле SAN
• CN сертификата содержит приставку –ms
• Поддержка сертификата в CUCM появилась начиная с версии 10.5
• Рекомендуется использовать с CUCM версии 10.5.2.12900 (10.5.2 SU2)
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 17
Wildcard сертификат
• Сертификат формата *.example.com. Может идентифицировать все объекты в домене example.com. Например: mail.example.com, dns.example.com
• Предполагает выгрузку приватного ключа с сервера для загрузки на другие системы или использования TLS Proxy
• Не поддерживается CUCM
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 18
Сертификаты CUCM и Presence
User facing • Callmanager – подписывает конфигурационные файлы, CTL, ITL, шифрованные
подключения к сторонним системам, подключения Cisco Jabber клиентов; • Tomcat CUCM – web доступ к административному интерфейсу CUCM,
пользовательским страницам, AXL. • Cup-xmpp – сертификат для подключения к Presence серверу. Используется
Cisco Jabber клиентами. • Tomcat Presence – web доступ к административному интерфейсу Presence,
пользовательским страницам, AXL.
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 19
Сертификаты CUCM • CallManager • CallManager-ECDSA • Tomcat • IPSec • CAPF • TVS • ITLRecovery
Сертификаты Presence • Cup • Tomcat • IPSec • Cup-xmpp • Cup-xmpp-s2s
Загрузка сертификатов в CUCM
• По умолчанию все сертификаты CUCM самоподписанные • Trust сертификаты – сертификаты являющиеся доверенными для CUCM • Для загрузки подписанного сертификата в CUCM он должен доверять
(иметь trust сертификат) серверу выдавшему данный сертификат • Обычно trust сертификатами являются сертификаты Root CA, Sub CA, Iss
CA, в зависимости от архитектуры центра сертификации • Trust сертификат для каждого сервиса загружается отдельно (callmanager,
tomcat и т.п.)
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 21
Security by Default
Как телефон понимает кому можно доверять – концепция Initial Trust List • ITL – список сертификатов загруженный в телефон, которым телефон может
доверять. Функционал появился начиная с CUCM 8.0. • TVS – служба представляющая собой удаленный trust store для телефона
Функции ITL • Аутентификация конфигурационных файлов телефона, скачиваемых с TFTP
сервера • Шифрование конфигурационных файлов (опционально) • Проверка подлинности и доверия сторонних сертфикатов, не входящих в состав
ITL
Состав ITL • SAST (Callmanager сертификат с текущей ноды) • TFTP (с текущей ноды) • CAPF • TVS (со всех нод) • ITLRecovery
ITLRecovery – специальный сертификат для восстановления доверия ITL
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 23
Восстановление ITL
Возможные причины сбоя работы ITL • Одновременная регенераця сертификатов Callmanager и TVS на всех нодах
• Одновременная регенерация сертификатов Сallmanager и TVS, если в CallManager Group указан только один сервер
• Миграция телефонов с одного кластера на другой • Изменение hostname или domain name на single node кластере
Решение проблем с блокировкой ITL
• Использование опции Prepare Cluster for Rollback to Pre 8.0 – заменяет текщий ITL на пустой файл. Таким образом, телефон скачает любой предложенный ITL. При включении данной опции сервисы использующие HTTPS не будут работать
• Восстановление через ITLRecovery – сертификат ITLRecovery может быть использован для подписывания ITL файла. Таким образом, телефон сможет доверять ITL с изменеными сертификатами Callmanager и TVS. ITLRecovery может быть восстановлен только на кластере с тем же Security паролем
• Ручное удаление ITL с каждого телефона
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 25
CUCM Mixed-mode
Mixed-mode • Mixed-mode – режим работы CUCM который включает поддержку шифрования и генерацию CTL. Недоступен для UNRestriicted версий.
• CTL – список сертфикатов которым телефон может доверять • Token-based CTL – CTL файл подписывается специальным USB токеном • Token-less CTL – CTL файл подписывается сертифкатом Callmanager
CUCM Publisher-a. Функционал появился начиная с версии CUCM 10.0. • CAPF – сервис подписывающий сертификаты телефонов
Состав CTL • SAST (USB-токен или Callmanager сертификат) • TFTP (со всех нод) • CAPF • ITLRecovery – был добавлен начиная с CUCM 11 для отказоустойчивости
CTL.
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 27
CAPF и LSC
Телефонные сертфикаты § MIC – сертификат предустановленный на телефон при его изготовлении, подписан Cisco Root CA. Не рекомендуется к использованию.
§ LSC – сертификат генерируемый телефоном и подписываемый службой CAPF. Используется для шифования сообщений и голосового трафика между телефоном и CUCM.
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 29
CAPF § Certificate Authority Proxy Function
– сужба выдачи сертификатов (внутренний CA) телефонам. Работает на CUCM Publisher. Подписывает сетификат на основании пароля, MIC, сущестующего LSC или пустой строки. Хранит копию сертификата и отрытого ключа телефона в базе данных CUCM.
Secure trunks
Общая информация § Сигнальные сообщения и медиа поток шифруются отдельно § Согласование шифрования медиа потока идет через сигнальные сообщения
Secure SIP
§ Обмен CA-signed или self-signed сертификатами § Активация настроек Security Profile § Для шифрации сигнальных сообщений используется TLS
Secure MGCP § Ключи генерируются на CUCM § Активация настоек устройства для передачи SRTP § Для шифрации сигнальных сообщений используется IPsec
Secure H.323 § Ключи генерируются на шлюзе § Активация настоек шлюза для передачи SRTP § Для шифрации сигнальных сообщений используется IPsec
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 31
Secure SIP Trunks
CUBE
§ Доверенные сертификаты § Настройка Security Profile § Поддерживается трансляция звонка как между TLS и TLS, так и между TLS и TCP
call leg CUCM Cluster
§ Доверенные сертификаты § Настройка Security Profile
VCS/Expressway § Доверенные сертификаты § Поддерживается трансляция звонка как между TLS и TLS, так и между TLS и TCP зонами
Lync § Прямой CUCM - Lync SIP транк не поддерживает TLS § TLS/SRTP SIP транк доступен только через VCS
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 32
IP Phone VPN
• IP телефон может работать как VPN клиент (Anyconnect SSL VPN) • Cisco ASA или IOS роутер могут быть использованы как VPN шлюз • Используется для подключения телефона к корпоративной сети удаленно • Функционал появился начиная с CUCM 8.0.1 и прошивки 9.x • Установив VPN соединение телефон может иметь полный доступ ко всем корпортивным ресурсам
• Требует дополнительных лицений на ASA/ISR
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 34
IP Phone VPN
Конфигурация • ASA HTTPS сертификат должен быть загружен на CUCM • CUCM добавляет хэш сертификата ASA и VPN URL в конфигурационный файл телефона
• Для работы VPN клиента, в первый раз телефон должен быть подключен из внутренней сети
• Телефон может подключаться к VPN автоматически, если не обнаружит доступа к TFTP или по запросу пользователя.
Аутентификация • Телефон может быть аутентифицирован по логину и паролю и\или по сертификату.
• Шлюз аутентифицируется по сертификату (производится сравнение с хэшем сертификата записанным в конфигурационном файле)
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 35
Secure Survivable Remote Site Telephony (SRST)
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 36
Secure SRST
• SRST – технология переключения телефонов на локальный шлюз в случае потери связи с основным узлом CUCM
• Secure SRST – телефон использует TLS и SRTP в режиме SRST
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 37
Secure SRST
• SRST шлюз должен иметь подписанный сертификат • Сертификат SRST шлюза загружается на CUCM в момент конфигурации • CUCM добавляет полученный SRST сертификат в конфигурационный файл телефона
• CAPF сертификат должен быть загружен на SRST шлюз srst(config)#crypto pki trustpoint CAPF srst(ca-trustpoint)# enrollment terminal srst(ca-trustpoint)# revocation-check none srst(ca-trustpoint)#exit srst(config)#crypto pki authenticate CAPF
• При регистрации на SRST телефон проверяет сертификат шлюза по хранящемуся у себя в конфигурации сертификату
• Шлюз проверяет сертификат телефона по загруженному сертификату CAPF
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 38
Secure Jabber
• Конфигурация CTL/LSC для Jabber аналогична настольным телефонам • Cisco Jabber не использует ITL • В случае перегенерации сертификата Callmanager Publisher в token-less режиме клиенты Cisco Jabber использующие CTL не смогут зарегистрироваться (исправлено в CUCM 11)
• Список сертификатов запрашиваемых Cisco Jabber клиентом
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 40
Сервер Сертификат CUCM Tomcat, Callmanager CUPS Tomcat, XMPP Unity Connection Tomcat WebEx Meetings Server Tomcat VCS Expressway Server Certificate
CUCM 11
• Поддержка EC сертификатов • Расширенный ITL • Автоматическое удаление сертификатов со всех нод • Загрузка конфигурационного файла по HTTPS • ITLRecovery для CTL файла • Срок действия ITLRecovery увеличен до 20 лет • Поддержка ключей RSAv3
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 42
Video
Russian Cisco Support Community
Data Center Voice Security
Routing and Switching
Contact Center
Unified Communications
Воспользуйтесь возможностью и задайте вопросы на форуме Технической Поддержки Cisco - http://russiansupportforum.cisco.com
Голосовая связь
Системы унифицированных коммуникаций Маршрутизация и коммутация
Видео Контакт центры
Центры Обработки данных
Безопасность CUCM CUBE
UCCX UCCE
Telepresence
ASA VPN IPS
ISR44xx/43xx
Nexus 7000 Cat 4900
4500 7600 6500
VSS Протоколы маршрутизации
IOS XE IOS IOS XR
ISR ISR G2
ASR1000
FWSM
ASR90x ASR9000
GSR12000 CRS
Ждем ваших сообщений с хештегом #CiscoConnectRu
CiscoRu Cisco CiscoRussia CiscoRu
Пожалуйста, заполните анкеты! Ваше мнение очень важно для нас.
Спасибо
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Top Related