资料下载

安全的CallManager Express通信-具有SRTP和TLS的加密VoIP会话

由管理员撰写。发表于 思科VoIP / CCME-CallManager-Unity Express

3.375 1 1 1 1 1 评分3.38(8投票)
压住他

 

VoIP加密的需求


IP语音(VoIP)对于大多数企业而言不仅仅需要几个小时。他们的业务在某种程度上取决于没有IP通讯的情况,他们的业务流程和收入流将分崩离析。在这种情况下,不用说;语音网络的安全性是涉及智力资本和客户数据安全性的主要问题之一。通常,第一个想法就是如何保护IP电话/统一通信(UC)应用程序利用的VoIP网络本身。

那么,在确保VoIP网络安全中不可或缺的安全控制中,最常见的是什么呢?你的猜测和我的一样好 加密!现在,您完全有权问为什么难以捉摸?简单的答案是–加密可以帮助您成功并保护通信的隐私,同时也可能不利于各种功能/组织,例如监视安全呼叫不是一件容易的事,对所有端点进行加密都会影响平台的大小和性能。

在本文中,我们讨论有关Cisco UC不可或缺的一部分的Cisco Unified Communications Manager Express(CUCME)的安全性。还有更多Cisco Express Call处理机制。

身份验证和加密的使用有助于保护机密性,并使恶意内部人员或外部人员更难以篡改信令和媒体流,CUCME路由器和IP电话。启用CUCME安全功能(即媒体流(SRTP)和呼叫信令(TLS))后,Cisco Unified IP电话与CUCME以及电话之间的通信将被加密,如图1所示:

思科语音CME安全语音 图1-CUCME到Cisco IP电话SRTP和TLS

在深入研究CUCME安全配置之前,让我们先了解一些假设,要求和警告。

 

中国工商管理学院加密的假设

  • 假定CUCME已配置且可运行(没有适当的安全性);本文仅用于阐明在CUCME上实现身份验证和加密的过程
  • 还必须理解,当讨论围绕加密时,身份验证是整个安全性结构的组成部分。身份验证提供完整性,而加密提供隐私。有关身份验证和加密以及密码学基础的更多信息,请参阅附录A。 保护Cisco IP电话网络的安全.

 

中国工商管理学院加密的要求

  • 启用CUCME加密需要Cisco IOS功能集高级企业服务(adventerprisek9)或高级IP服务(advipservicesk9)
  • 需要提供媒体加密的CUCME 4.2或更高版本
  • 支持的平台包括2800、2900、3200、3800和3900系列路由器
  • 必须启用网络时间协议(NTP),以确保证书日期正确并检查证书的有效性
  • IOS 认证机构 签署各种证书(与CUCME在同一路由器上或在不同路由器上)


中国工商管理学院加密警告

  • 因此,不支持安全的三方软件会议,而在会议中,呼叫将退回到普通RTP。但是,如果某方退出三方会议,则其余两方之间的呼叫将返回到安全状态(如果两个端点均配置为加密)
  • 媒体和信令加密需要Cisco CTL客户端服务
  • 呼叫Cisco Unity Express(CUE)分别不支持SRTP或TLS用于媒体和信令
  • 保留音乐(MOH)不支持加密
  • 调制解调器中继和T.3传真中继呼叫不支持加密
  • 安全CUCME不支持会话发起协议(SIP)中继,仅支持H.323中继(使用IPSec进行信令保护)

有鉴于此,让我们深入研究CUCME上Cisco Unified IP电话的安全性(加密,身份验证)。


在端点的CUCME上启用SRTP和TLS

与任何PKI层次结构一样,要在CUCME上启用加密(和身份验证),则需要使用 证书颁发机构 (认证机构 )服务器/进程。 认证机构 可以在运行CUCME应用程序的同一路由器上配置,也可以是其他IOS路由器(专用于组织中的CA功能)。 认证机构 的CUCME安全性的主要功能是提供证书,证书有效期限以及通过证书在不同实体之间的信任关系。

 

配置IOS证书颁发机构(CA)

需要以下命令来配置IOSCA。对于以下示例,我们在与CUCME相同的路由器上启用CA。

首先,我们必须确保启用路由器上的HTTP服务器,因为默认情况下,端口80(TCP)将用于授予证书和接受IOS 认证机构 的证书签名请求。

中国工商管理学院(配置)# ip http服务器

现在,我们需要配置CA流程并启用CA流程:

中国工商管理学院(配置)# 加密PKI服务器CA
中国工商管理学院(ca-server)#数据库级别已完成
中国工商管理学院(ca-server)#数据库URL nvram:
中国工商管理学院(CA-服务器)#自动授予
中国工商管理学院(CA服务器)#生命周期证书1095
中国工商管理学院(CA服务器)#生命周期CA证书1095
中国工商管理学院(ca-server)#不关闭

最后,定义CA信任点并定义(全局)注册URL:

中国工商管理学院(配置)# 加密ca信任点CA
中国工商管理学院(ca-trustpoint)# enrollment url http://10.10.10.1:80
中国工商管理学院(ca-trustpoint)#吊销-检查无

目前,我们已经完成了CA服务器定义。下一步是开始定义将用于CUCME安全过程(CME,TFTP,CAPF等)的各种证书。

 

生成用于启用安全性的证书

必须创建信任点并将其注册到CA,以在CUCME上启用各种安全过程,才能生成许多证书。尽管CUCME支持为所有证书功能使用单个信任点,但是一个领先的实践建议是为不同的证书功能使用不同的信任点,因此,更容易管理不同的证书到期,吊销,重新生成等。

所需的不同证书 SRTP TLS 是:

  • 中国工商管理学院
  • TFTP
  • 认证机构 PF
  • SAST令牌

 

 

为CUCME,TFTP,CAPF,SAST1和SAST2流程创建证书

以下命令概述了为安全CME功能生成证书的过程:

中国工商管理学院(配置)# 加密PKI Trustpoint 中国工商管理学院
中国工商管理学院(ca-trustpoint)# enrollment url http://10.10.10.1:80
中国工商管理学院(ca-trustpoint)#吊销-检查无
中国工商管理学院(ca-trustpoint)#rsakeypair 中国工商管理学院

创建证书的下一步是对证书颁发机构进行身份验证并注册信任点。

注意:每个命令(即trustpoint身份验证和注册)均提供交互式提示。多余的输出已被省略

验证CUCME信任点:

中国工商管理学院(配置)# 加密PKI认证CUCME
<output omitted>
%您接受此证书吗? [是/否]:是
接受Trustpoint 认证机构 证书。


注册CUCME信任点:
中国工商管理学院(配置)# 加密货币PKI注册CUCME
%开始证书注册..
<output omitted>
密码:*******
重新输入密码: *******
<output omitted>
要求CA颁发证书? [是/否]:是
发送给证书颁发机构的证书请求百分比

 

接下来,我们定义其他trsutpoint,进行身份验证并注册 证书颁发机构.

TFTP Trustpoint定义:

中国工商管理学院(配置)# 加密PKI Trustpoint TFTP
中国工商管理学院(ca-trustpoint)# enrollment url http://10.10.10.1:80
中国工商管理学院(ca-trustpoint)#吊销-检查无
中国工商管理学院(ca-trustpoint)#rsakeypair TFTP


认证和注册TFTP信任点:
中国工商管理学院(配置)# 加密pki验证TFTP
<output omitted>
!
中国工商管理学院(配置)# 加密PKI注册TFTP
<output omitted>


认证机构 PF Trustpoint定义:
中国工商管理学院(配置)# 加密PKI Trustpoint 认证机构 PF
中国工商管理学院(ca-trustpoint)# enrollment url http://10.10.10.1:80
中国工商管理学院(ca-trustpoint)#吊销-检查无
中国工商管理学院(ca-trustpoint)#rsakeypair 认证机构 PF


验证和注册CAPF信任点:
中国工商管理学院(配置)# 加密pki验证CAPF
<output omitted>
!
中国工商管理学院(config)#crypto pki注册CAPF
<output omitted>


SAST1 Trustpoint定义:
中国工商管理学院(配置)# 加密PKI Trustpoint SAST1
中国工商管理学院(ca-trustpoint)# enrollment url http://10.10.10.1:80
中国工商管理学院(ca-trustpoint)#吊销-检查无
中国工商管理学院(ca-trustpoint)#rsakeypair SAST1


认证和注册SAST1信任点:

中国工商管理学院(配置)# 加密PKI验证SAST1
<output omitted>
!
中国工商管理学院(配置)# 加密PKI注册SAST1
<output omitted>


SAST2 Trustpoint定义:
中国工商管理学院(配置)# 加密PKI Trustpoint SAST2
中国工商管理学院(ca-trustpoint)# enrollment url http://10.10.10.1:80
中国工商管理学院(ca-trustpoint)#吊销-检查无
中国工商管理学院(ca-trustpoint)#rsakeypair SAST2


认证和注册SAST2信任点:
中国工商管理学院(配置)# 加密PKI验证SAST2
<output omitted>
!
中国工商管理学院(config)#crypto pki注册SAST2
<output omitted>


在CUCME上启用CAPF服务器

与CUCM一样,证书身份验证代理功能(CAPF)服务器负责发布CTL签名的本地有效证书(LSC)。以下命令在CUCME上启用CAPF服务器。
中国工商管理学院(配置)# capf服务器
中国工商管理学院(config-capf-server)#信任点标签CUCME
中国工商管理学院(config-capf-server)#证书注册信任点CA密码0 cisco123
中国工商管理学院(config-capf-server)#电话密钥大小1024
中国工商管理学院(config-capf-server)#端口3084
中国工商管理学院(config-capf-server)#身份验证模式空字符串
中国工商管理学院(config-capf-server)#源地址10.10.10.1


调用IOS CTL客户端 
在可以配置电话进行加密和身份验证之前的最后一步是在CUCME上启用证书信任列表(CTL)客户端。 CTL客户端可使用早期生成的证书(CUCME,TFTP,CAPF等)帮助签署可由Cisco IP电话信任的服务器列表。 IP电话将通过TFTP下载CTL文件并将其存储在电话上。这类似于CUCM CTL,并且必须在IOS上显式配置CTL客户端以利用各种证书。
中国工商管理学院(配置)# 客户端
中国工商管理学院(config-ctl-client)#服务器cme 10.10.10.1信任点CUCME
中国工商管理学院(config-ctl-client)#服务器tftp 10.10.10.1信任点TFTP
中国工商管理学院(config-ctl-client)#服务器cme 10.10.10.1信任点CAPF
中国工商管理学院(config-ctl-client)#sast1信任点SAST1
中国工商管理学院(config-ctl-client)#sast2信任点SAST2
中国工商管理学院(config-ctl-client)#重新生成

 

配置电话服务以利用安全性

CUCME支持为SRTP(媒体)和TLS(信令)配置端点。一旦完成了上述步骤,就需要将CUCME配置为将定义的证书用于不同的功能。在电话服务模式下,以下命令有助于启用经过身份验证的TFTP文件传输和用于信令的TLS。
中国工商管理学院(配置)# 电话服务
中国工商管理学院(config-telephony)#安全信令信任点CUCME
中国工商管理学院(config-telephony)#tftp服务器证书信任点TFTP
中国工商管理学院(config-telephony)#服务器安全模式安全
中国工商管理学院(config-telephony)#cnf文件perphone
中国工商管理学院(config-telephony)#cnf文件位置闪存:


配置端点(电子邮件)以提高安全性

最后一步是将电子电话配置为安全模式。现在,有两种方法可以将电子电话配置为安全模式。这两种方式如下:
  • 为所有受支持的电话型号在全局模式下配置电话(设备)安全性
  • 在逐个设备的基础上配置电子邮件(设备)安全模式

在全局级别配置设备安全性
要为支持加密和身份验证的所有Cisco IP电话在CUCME中启用全局级别的安全性,请在全局配置模式下发出以下命令:
中国工商管理学院(配置)# 电话服务
中国工商管理学院(config-telephony)#设备安全模式[已验证|加密]
中国工商管理学院(config-telephony)#load-cfg-file flash:<filename> 别名 <alias> sign create
中国工商管理学院(config-telephony)#全部重置


根据设备配置设备安全性
在某些情况下,可能需要对某些设备进行加密,对其他设备进行身份验证,而对其余电话则没有安全性。在这种情况下,对于每个电子电话,可以逐个电话地在电子电话级别输入命令。

可以发出以下一系列命令来实现逐个电话的安全性:
中国工商管理学院(配置)# 电话110
中国工商管理学院(config-ephone)#mac-address 1234.1234.1234
中国工商管理学院(config-ephone)#设备安全模式[无|已认证加密]
中国工商管理学院(config-ephone)#cert-oper升级auth-mode空字符串
中国工商管理学院(config-ephone)#重置


概要

思科公司 Unified Communications Manager Express(CUCME)是Cisco UC Express产品组合中不可或缺的组件,并具有类似CUCM的功能。此外,CUCME可以使您能够启用CUCME与电话之间的媒体和信令加密,从而提供企业范围的安全性。本文概述了CUCME支持电话和信令加密和身份验证的功能。首先,启用和汇总CUCME安全性的过程似乎令人生畏。它是一次性配置,可以在保护组织的语音通道方面大有帮助。


关于作者

阿基尔·贝尔 是思科高级服务的解决方案架构师,专注于思科协作和安全架构。他领导着全球范围内针对思科高级服务和协作专业服务(CPS)产品组合的协作和安全项目。在担任现职之前,他在Linksys担任了十年的技术支持主管,思科技术支持中心(TAC)的升级工程师以及思科高级服务的网络咨询工程师等职务。 阿基尔拥有印度IP大学的电子和电信技术学士学位,以及印度Symbiosis Institute的企业管理硕士学位。

阿基尔是一个 双重思科认证互联网专家 (CCIE编号19564)中的语音和安全性。他还拥有许多其他行业认证,例如项目管理专业人员(PMP),职业道德黑客(CEH),信息技术基础架构库(ITIL)专业人员,VMware认证专家(VCP)和信息安全管理。他是一位多才多艺的演讲者,在他的职业生涯中,他曾在各种行业论坛上作过演讲并做出了贡献,例如Interop,Enterprise Connect,Cloud Connect,Cloud Summit,印度计算机学会(CSI),Cisco 网络ers,IT Expo和Cisco SECCON。他在不同的国际期刊上发表了多篇值得赞扬的研究论文。

阿基尔 是Cisco Press标题“保护Cisco IP电话网络的安全”,Firewall.cx最近也对其进行了审核。

 图书思科新闻安全IP电话网

http://www.amazon.com/dp/1587142953

http://www.ciscopress.com/title/9781587142956

 

他还是一位狂热的博客作者,并维护有关Cisco UC 安全的博客– http://ucsecurity.wordpress.com

 


 







中国工商管理学院(config)#加密PKI服务器CA

中国工商管理学院(ca-server)#数据库级别已完成

中国工商管理学院(ca-server)#数据库URL nvram:

中国工商管理学院(CA-服务器)#自动授予

中国工商管理学院(CA服务器)#生命周期证书1095

中国工商管理学院(CA服务器)#生命周期CA证书1095

中国工商管理学院(ca-server)#不关闭
压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置