Introducción
En este documento se describe cómo proteger el tráfico del protocolo de transporte en tiempo real (SRTP) en el flujo de llamadas completo de Contact Center Enterprise (CCE).
Prerequisites
La generación e importación de certificados no están incluidas en el ámbito de este documento, por lo que se deben crear e importar certificados para Cisco Unified Communication Manager (CUCM), el servidor de llamadas del portal de voz del cliente (CVP), Cisco Virtual Voice Browser (CVVB) y Cisco Unified Border Element (CUBE) en los componentes respectivos. Si utiliza certificados autofirmados, el intercambio de certificados debe realizarse entre los diferentes componentes.
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
Componentes Utilizados
La información de este documento se basa en Package Contact Center Enterprise (PCCE), CVP, CVB y CUCM versión 12.6, pero también es aplicable a las versiones anteriores.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Nota: En el flujo de llamadas completo del centro de contacto, para habilitar el RTP seguro, deben habilitarse las señales SIP seguras. Por lo tanto, las configuraciones en este documento habilitan tanto el SIP seguro como el SRTP.
El siguiente diagrama muestra los componentes implicados en las señales SIP y RTP en el flujo de llamadas completo del centro de contacto. Cuando el sistema recibe una llamada de voz, primero se realiza a través del gateway de entrada o CUBE, por lo que debe iniciar las configuraciones en CUBE. A continuación, configure CVP, CVB y CUCM.

Tarea 1: Configuración segura de CUBE
En esta tarea, configure CUBE para proteger los mensajes del protocolo SIP y RTP.
Configuraciones necesarias:
- Configuración de un punto de confianza predeterminado para SIP UA
- Modificar los pares de marcado para utilizar TLS y SRTP
Pasos:
- Abra una sesión SSH en CUBE.
- Ejecute estos comandos para que la pila SIP utilice el certificado CA del CUBE. CUBE establece una conexión SIP TLS desde/hacia CUCM (198.18.133.3) y CVP (198.18.133.13):
Conf t
Sip-ua
Transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- Ejecute estos comandos para habilitar TLS en el par de marcado saliente para CVP. En este ejemplo, la etiqueta dial-peer 6000 se utiliza para rutear llamadas a CVP:
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
srtp
exit

Tarea 2: Configuración segura de CVP
En esta tarea, configure el servidor de llamadas CVP para proteger los mensajes del protocolo SIP (SIP TLS).
Pasos:
- Inicie sesión en el
UCCE Web Administration
.
- Vaya a .
Call Settings > Route Settings > SIP Server Group

Según sus configuraciones, tiene grupos de servidores SIP configurados para CUCM, CVB y CUBE. Debe establecer los puertos SIP seguros en 5061 para todos ellos. En este ejemplo, se utilizan estos grupos de servidores SIP:
cucm1.dcloud.cisco.com
para CUCM
vvb1.dcloud.cisco.com
para CVVB
cube1.dcloud.cisco.com
para CUBE
- Haga clic en
cucm1.dcloud.cisco.com
y, a continuación, en laMembers
ficha que muestra los detalles de las configuraciones de grupo de servidores SIP. EstablezcaSecurePort
en5061
y haga clic en
Save
.

- Haga clic
vvb1.dcloud.cisco.com
en y, a continuación, en laMembers
ficha, establezca elSecurePort
en5061
y haga clic enSave
.

Tarea 3: Configuración segura de CVB
En esta tarea, configure CVB para proteger los mensajes de protocolo SIP (SIP TLS) y SRTP.
Pasos:
- Abra la
Cisco VVB Admin
página.
- Vaya a .
System > System Parameters

- En la
Security Parameters
sección, elijaEnable
paraTLS (SIP)
. Guarde el ySupported TLS(SIP) version as TLSv1.2
elijaEnable
paraSRTP
.

- Haga clic en
Update
. Haga clic enOk
cuando se le solicite reiniciar el motor CVB.

- Estos cambios requieren que se reinicie el motor Cisco VB. Para reiniciar el motor VVB, navegue hasta la
Cisco VVB Serviceability
y haga clic enGo
.

- Vaya a .
Tools > Control Center – Network Services

- Elija
Engine
y haga clic enRestart
.

Tarea 4: Configuración segura de CUCM
Para proteger los mensajes SIP y RTP en CUCM, realice estas configuraciones:
- Establecer el modo de seguridad de CUCM en modo mixto
- Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP
- Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas y habilitar SRTP
- Comunicación de dispositivos de agentes seguros con CUCM
Establecer el modo de seguridad de CUCM en modo mixto
CUCM admite dos modos de seguridad:
- Modo no seguro (modo predeterminado)
- Modo mixto (modo seguro)
Pasos:
- Inicie sesión en la interfaz de administración de CUCM.

- Al iniciar sesión en CUCM, puede navegar hasta
System > Enterprise Parameters
.

- En la
Security Parameters
sección, compruebe si elCluster Security Mode
está establecido en0
.

- Si el modo de seguridad de clúster está establecido en 0, significa que el modo de seguridad de clúster está establecido en no seguro. Debe habilitar el modo mixto desde CLI.
- Abra una sesión SSH en CUCM.
- Tras iniciar sesión correctamente en CUCM a través de SSH, ejecute este comando:
utils ctl set-cluster xed-mode
- Escriba
y
y haga clicEnter
cuando se le solicite. Este comando establece el modo de seguridad del clúster en modo mixto.

- Para que los cambios surtan efecto, reinicie el
Cisco CallManager
y losCisco CTIManager
servicios.
- Para reiniciar los servicios, navegue e inicie sesión en
Cisco Unified Serviceability
.

- Después de iniciar sesión correctamente, vaya a
Tools > Control Center – Feature Services
.

- Elija el servidor y haga clic en
Go
.

- Debajo de Servicios CM, elija el
Cisco CallManager
y, a continuación, haga clic en el botónRestart
situado en la parte superior de la página.

- Confirme el mensaje emergente y haga clic en
OK
. Espere a que el servicio se reinicie correctamente.

- Después del reinicio correcto de
Cisco CallManager
, seleccione el botónCisco CTIManager
y haga clic enRestart
para reiniciar Cisco CTIManager
servicio.

- Confirme el mensaje emergente y haga clic en
OK
. Espere a que el servicio se reinicie correctamente.

- Después de reiniciar correctamente los servicios, para verificar que el modo de seguridad del clúster está configurado en modo mixto, navegue hasta la administración de CUCM como se explicó en el Paso 5 y luego verifique el
Cluster Security Mode
. Ahora debe configurarse en1
.

Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP
Pasos:
- Inicie sesión en la interfaz de administración de CUCM.
- Después de iniciar sesión correctamente en CUCM, navegue hasta
System > Security > SIP Trunk Security Profile
para crear un perfil de seguridad de dispositivo para CUBE.

- En la parte superior izquierda, haga clic en Add New para agregar un nuevo perfil.

- Configure
SIP Trunk Security Profile
Save
como esta imagen y, a continuación, haga clic en la parte inferior izquierda de la página.

5. Asegúrese de establecer elSecure Certificate Subject or Subject Alternate Name
en el nombre común (CN) del certificado de CUBE, ya que debe coincidir.
6. Haga clic en elCopy
botón y cambie elName
aSecureSipTLSforCVP
. CambieSecure Certificate Subject
al CN del certificado del servidor de llamadas CVP, ya que debe coincidir. Haga clic en elSave
botón.

Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas y habilitar SRTP
Pasos:
- En la página Administración de CUCM, desplácese a
Device > Trunk
.

- Busque el troncal CUBE. En este ejemplo, el nombre del troncal de CUBE es
vCube
y, a continuación, haga clic enFind
.

- Haga clic
vCUBE
para abrir la página de configuración del troncal de vCUBE.
- En
Device Information
la sección, marque laSRTP Allowed
casilla de verificación para habilitar SRTP.

- Desplácese hacia abajo hasta la
SIP Information
sección y cambie elDestination Port
a5061
.
- Cambie
SIP Trunk Security Profile
aSecureSIPTLSForCube
.

- Haga clic en
Save
entoncesRest
para save
y aplicar los cambios.


- Navegue hasta
Device > Trunk
, busque el troncal de CVP; en este ejemplo, el nombre del troncal de CVP escvp-SIP-Trunk
. Haga clic enFind
.

- Haga clic
CVP-SIP-Trunk
para abrir la página de configuración del troncal de CVP.
- En la
Device Information
sección, marqueSRTP Allowed
la casilla de verificación para habilitar SRTP.

- Desplácese hacia abajo hasta la
SIP Information
sección, cambie elDestination Port
a5061
.
- Cambie
SIP Trunk Security Profile
aSecureSIPTLSForCvp
.

- Haga clic en
Save
entoncesRest
para save
y aplicar los cambios.

Comunicación de dispositivos de agentes seguros con CUCM
Para habilitar las funciones de seguridad para un dispositivo, debe instalar un certificado de importancia local (LSC) y asignar el perfil de seguridad a ese dispositivo. El LSC posee la clave pública para el terminal, que está firmada por la clave privada CAPF de CUCM. No está instalado en los teléfonos de forma predeterminada.
Pasos:
- Inicie sesión en la
Cisco Unified Serviceability
interfaz.
- Vaya a .
Tools > Service Activation

- Elija el servidor de CUCM y haga clic en
Go
.

- Marque
Cisco Certificate Authority Proxy Function
y haga clicSave
para activar el servicio. Haga clicOk
para confirmar.

- Asegúrese de que el servicio está activado y, a continuación, acceda a Administración de CUCM.

- Después de iniciar sesión correctamente en la administración de CUCM, navegue hasta
System > Security > Phone Security Profile
para crear un perfil de seguridad de dispositivo para el dispositivo del agente.

- Busque el perfil de seguridad correspondiente a su tipo de dispositivo de agente. En este ejemplo, se utiliza un teléfono basado en software, así que elija
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Haga clic en icono de copia
para copiar este perfil.

- Cambie el nombre del perfil a
Cisco Unified Client Services Framework - Secure Profile
. Cambie los parámetros como en esta imagen y haga clic en Save
en la parte superior izquierda de la página.

- Después de crear correctamente el perfil de dispositivo de teléfono, vaya a
Device > Phone
.

- Haga clic
Find
para mostrar todos los teléfonos disponibles y, a continuación, haga clic en teléfono del agente.
- Se abre la página Configuración del teléfono del agente. Buscar
Certification Authority Proxy Function (CAPF) Information
sección. Para instalar LSC, establezcaCertificate Operation
enInstall/Upgrade
yOperation Completes by
en cualquier fecha futura.

- Busque
Protocol Specific Information
la sección y cambie elDevice Security Profile
aCisco Unified Client Services Framework – Secure Profile
.

- Haga clic
Save
en en la parte superior izquierda de la página. Asegúrese de que los cambios se han guardado correctamente y haga clic enReset
.

- Se abrirá una ventana emergente, haga clic en
Reset
para confirmar la acción.

- Una vez que el dispositivo agente se registre de nuevo en CUCM, actualice la página actual y verifique que el LSC se haya instalado correctamente. Comprobar
Certification Authority Proxy Function (CAPF) Information
sección,Certificate Operation
debe establecerse enNo Pending Operation
yCertificate Operation Status
en Upgrade Success
.

- Consulte los mismos pasos en el paso 1. 7 - 13 para proteger los dispositivos de otros agentes que desea utilizar SIP y RTP seguros con CUCM.
Verificación
Para validar que RTP está asegurado correctamente, siga estos pasos:
- Realice una llamada de prueba al centro de contacto y escuche el mensaje de IVR.
- Al mismo tiempo, abra la sesión SSH en vCUBE y ejecute este comando:
show call active voice brief

Consejo: Verifique si el SRTP estáon
entre CUBE y VVB (198.18.133.143). Si la respuesta es sí, esto confirma que el tráfico RTP entre CUBE y VB es seguro.
- Hacer que un agente esté disponible para contestar la llamada.
.
- El agente se reserva y la llamada se enruta al agente. Conteste la llamada.
- La llamada se conecta con el agente. Vuelva a la sesión SSH de vCUBE y ejecute este comando:
show call active voice brief

Consejo: Verifique si el SRTP estáon
entre el CUBE y los teléfonos de los agentes (198.18.133.75). En caso afirmativo, esto confirma que el tráfico RTP entre CUBE y el agente es seguro.
- Además, una vez conectada la llamada, se muestra un bloqueo de seguridad en el dispositivo del agente. Esto también confirma que el tráfico RTP es seguro.

Para validar que las señales SIP están aseguradas correctamente, consulte el artículo Configure Secure SIP Signaling.