Голосовая связь и система унифицированных коммуникаций : ?????? ?????????? Cisco TelePresence (VCS)

Безопасный RTP между CUCM и VCS или Примером конфигурации скоростной автомагистрали

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как установить безопасный Протокол RTP между Сервером подключения Cisco Video (VCS) и Cisco Unified Communication Manager (CUCM).

Внесенный специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • CUCM
  • VCS Cisco или скоростная автомагистраль Cisco

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • CUCM
  • VCS Cisco или скоростная автомагистраль Cisco

Примечание: Эта статья использует продукты Скоростной автомагистрали Cisco в целях пояснения (кроме, где сообщили), но информация также применяется, если развертывания используют VCS Cisco.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Условия

  • Вызовы Протокола SIP, направленные между CUCM и Скоростной автомагистралью
  • Шифрование носителей наилучшим образом / дополнительное между C скоростной автомагистрали и CUCM

Описание

Были трудности, сообщил для конфигурации шифрования носителей оптимального уровня для вызовов SIP, которые маршрутизируются между CUCM и VCS/Скоростной автомагистралью. Распространенная ошибка конфигурации влияет на сигнализацию зашифрованных сред через Безопасный протокол транспорта в реальном времени (SRTP), который вызывает сбой наилучшим образом зашифрованных вызовов, когда транспорт между CUCM и Скоростной автомагистралью не безопасен.

Если транспорт не безопасен, то сигнализация шифрования носителей могла быть считана eavesdropper. В этом случае сигнальная информация шифрования носителей разделена из Протокола описания сеанса (SDP). Однако возможно настроить CUCM, чтобы передать (и ожидать получать) шифрование носителей, сигнализирующее по необеспеченному соединению. Можно обойти эту неверную конфигурацию одним из двух способов, зависящих от того, являются ли вызовы маршрутизировавшей транковой стороной или стороной канала к CUCM.

Транковая сторона и примеры стороны канала

Транковая сторона: магистраль SIP настроена на CUCM к Скоростной автомагистрали. Соответствующая соседняя зона настроена на Скоростной автомагистрали к CUCM. Вы требовали бы транка, если бы вы хотели зарегистрированный в VCS (Скоростная автомагистраль не является регистратором, но VCS), оконечные точки для вызова CUCM-зарегистрированных оконечных точек. Другой пример должен был бы включить H.323, взаимодействующий в развертываниях.

Сторона канала: вызовы Стороны канала переходят непосредственно к CUCM, не через транк. Если вся регистрация и управление вызовами предоставлены CUCM, развертывания не могли бы потребовать транка к Скоростной автомагистрали. Например, если Скоростная автомагистраль развернута просто для Мобильного и Удаленного доступа (MRA), это проксирует вызовы стороны канала от внешних оконечных точек до CUCM.

Стратегия смягчения

Если существует магистраль SIP между CUCM и Скоростной автомагистралью, сценарий нормализации на CUCM переписывает SDP соответственно так, чтобы наилучшим образом не было отклонено требование шифрования. Этот сценарий автоматически установлен с более поздними версиями CUCM, но если вы наилучшим образом зашифровали отклоненные требования, Cisco рекомендует, чтобы вы загрузили и установили последний сценарий vc-interop для версии CUCM.

Если вызов перейдет сторона канала к CUCM, то CUCM ожидает видеть x-cisco-srtp-fallback заголовок, если шифрование носителей является дополнительным. Если CUCM не видит этот заголовок, он рассматривает вызов быть обязательным шифрованием. Поддержка этого заголовка была добавлена к Скоростной автомагистрали в версии X8.2, таким образом, Cisco рекомендует X8.2 или позже для MRA (край совместной работы).

Настройка

Конфигурация стороны канала

[CUCM] <-наилучшим образом-> [C скоростной автомагистрали] <-обязательный-> [Скоростная-автомагистраль-E] <-обязательный-> [Оконечная точка]

Для включения наилучшим образом шифрования вызовов стороны канала от C скоростной автомагистрали до CUCM:

  • Используйте поддерживаемые развертывания / решение (например, MRA)
  • Используйте Смешанную безопасность Режима на CUCM
  • Гарантируйте, что Скоростная автомагистраль и CUCM доверяют друг другу (Центр сертификации (CA), который подписывается, сертификатам каждой стороны должна доверять другая сторона),
  • Используйте версию X8.2 или позже Скоростной автомагистрали
  • Используйте безопасные телефонные профили на CUCM с набором Режима безопасности устройства к Заверенному или Зашифрованному - для этих режимов, типом передачи является Transport Layer Security (TLS)

Конфигурация транковой стороны

  • Используйте поддерживаемые развертывания / решение
  • Используйте Смешанную безопасность Режима на CUCM
  • Гарантируйте, что Скоростная автомагистраль и CUCM доверяют друг другу (CA, который подписывается, сертификатам каждой стороны должна доверять другая сторона),
  • Выберите оптимальный уровень в качестве режима шифрования, и TLS как транспорт на соседней зоне от Скоростной автомагистрали до CUCM (эти значения автоматически предварительно заполнены в случае стороны канала),
  • Выберите TLS как входящий и исходящий транспорт на Профиле безопасности магистрального SIP-канала
  • Проверьте Позволенный SRTP (см. оператор Caution) на магистрали SIP от CUCM до Скоростной автомагистрали
  • Проверьте для и применитесь при необходимости, корректный сценарий нормализации для версий CUCM и Скоростной автомагистрали

Внимание.  : При проверке флажка SRTP Allowed Cisco строго рекомендует использовать зашифрованный профиль TLS так, чтобы ключи и другая связанная с безопасностью информация не становились представленными во время согласований вызова. При использовании незащищенного профиля SRTP будет все еще работать. Однако ключи будут представлены в сигнализации и следах. В этом случае необходимо гарантировать безопасность сети между CUCM и стороной - получателем транка.

Опции шифрования носителей

Нет

Шифрование не позволено. Вызовы, которые требуют шифрования, должны отказать, потому что они не могут быть безопасными. CUCM и Скоростная автомагистраль являются непротиворечивыми в сигнализации для этого случая.

CUCM и Скоростная автомагистраль оба использования m=RTP/AVP для описания сред в SDP. Нет никаких крипто-атрибутов (нет a=crypto... линии в разделах сред SDP).

Обязательный

Шифрование носителей требуется. Незашифрованные вызовы должны всегда отказывать; никакая нейтрализация не позволена. CUCM и Скоростная автомагистраль являются непротиворечивыми в сигнализации для этого случая.

CUCM и Скоростная автомагистраль оба использования m=RTP/SAVP для описания сред в SDP. SDP имеет крипто-атрибуты (a=crypto... линии в разделах сред SDP).

«Максимальные усилия»

Зашифрованы вызовы, которые могут быть зашифрованы. Если шифрование не может быть установлено, вызовы могли бы и должны переключиться на незашифрованные среды. CUCM и Скоростная автомагистраль противоречивы в этом случае.

Если транспортом является Протокол TCP или Протокол UDP, скоростная автомагистраль всегда отказывается от шифрования. Если вы хотите шифрование носителей, необходимо защитить транспорт между CUCM и Скоростной автомагистралью.

SDP (поскольку CUCM пишет его): Зашифрованные среды описаны как m=RTP/SAVP и a=crypto линии записаны в SDP. Это - корректная сигнализация для шифрования носителей, но крипто-линии читаемы, если транспорт не безопасен.

Если CUCM видит x-cisco-srtp-fallback заголовок, это позволяет вызову переключиться на незашифрованный. Если этот заголовок отсутствует, CUCM предполагает, что вызов требует шифрования (не позволяет нейтрализацию).

С X8.2 Скоростная автомагистраль делает оптимальный уровень тот же путь, как CUCM делает в случае стороны канала.

SDP (поскольку Скоростная автомагистраль пишет транковую сторону): Зашифрованные среды описаны как m=RTP/AVP и a=crypto линии записаны в SDP.

Однако существует две причины, что линии a=crypto могли отсутствовать:

  1. Когда транспортный переход к или от прокси SIP на Скоростной автомагистрали не безопасен, прокси разделяет крипто-линии для предотвращения их от воздействия на небезопасном переходе.
  2. Сторона ответа разделяет крипто-линии, чтобы сигнализировать, что она не может или не делать шифрования.

Использование корректного сценария нормализации SIP на CUCM смягчает эту проблему.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Дополнительные сведения

Связанное чтение

Связанные RFC

  • RFC 3261 SIP: Протокол инициализации сеанса (SIP)
  • RFC 4566 SDP : протокол описания сеанса
  • RFC 4568 SDP : описания безопасности

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.