Configurer la signalisation SIP sécurisée dans Contact Center Enterprise

Introduction

Ce document décrit comment sécuriser la signalisation SIP (Session Initiation Protocol) dans le flux d'appels complet de Contact Center Enterprise (CCE).

Conditions préalables

La génération et l'importation de certificats n'étant pas couvertes par ce document, les certificats pour Cisco Unified Communication Manager (CUCM), le serveur d'appels Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVVB) et Cisco Unified Border Element (CUBE) doivent être créés et importés dans les composants respectifs. Si vous utilisez des certificats auto-signés, l'échange de certificats doit être effectué entre différents composants.

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• CCE
• CVP
• CUBE
• CUCM
• CVVB

Composants utilisés

Les informations contenues dans ce document sont basées sur Package Contact Center Enterprise (PCCE), CVP, CVVB et CUCM version 12.6, mais elles s'appliquent également aux versions antérieures.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurer

Le schéma suivant montre les composants impliqués dans la signalisation SIP dans le flux d'appels complet du centre de contact. Lorsqu'un appel vocal arrive sur le système, il arrive d'abord via la passerelle d'entrée ou CUBE, donc démarrez les configurations SIP sécurisées sur CUBE. Configurez ensuite CVP, CVVB et CUCM.

Tâche 1. Configuration sécurisée de CUBE

Dans cette tâche, configurez CUBE pour sécuriser les messages du protocole SIP.

Configurations requises :

• Configuration d'un point de confiance par défaut pour l'agent utilisateur SIP
• Modifier les terminaux de numérotation dial-peer pour utiliser TLS (Transport Layer Security)

Étapes:

1. Ouvrez une session Secure Shell (SSH) vers CUBE.
2. Exécutez ces commandes pour que la pile SIP utilise le certificat de l'autorité de certification du CUBE. CUBE établit une connexion SIP TLS de/vers CUCM (198.18.133.3) et CVP (198.18.133.13).

conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

3. Exécutez ces commandes pour activer TLS sur le terminal de numérotation dial-peer sortant vers CVP. Dans cet exemple, la balise dial-peer 6000 est utilisée pour acheminer les appels vers CVP.

Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

Tâche 2. Configuration sécurisée de CVP

Dans cette tâche, configurez le serveur d'appels CVP pour sécuriser les messages de protocole SIP (SIP TLS).

Étapes:

1. Connectez-vous àUCCE Web Administration.
2. Naviguez jusqu'à  Call Settings > Route Settings > SIP Server Group.
   

Selon vos configurations, vous avez configuré des groupes de serveurs SIP pour CUCM, CVVB et CUBE. Vous devez définir les ports SIP sécurisés sur 5061 pour chacun d'entre eux. Dans cet exemple, les groupes de serveurs SIP suivants sont utilisés :

• cucm1.dcloud.cisco.com pour CUCM
• vvb1.dcloud.cisco.com pour CVVB
• cube1.dcloud.cisco.com  pour CUBE

3. Cliquez surcucm1.dcloud.cisco.compuis dans l'Membersonglet, qui affiche les détails de la configuration du groupe de serveurs SIP. DéfinissezSecurePortsur5061et cliquez sur  Save .
   
   

4. Cliquez survvb1.dcloud.cisco.com, puis dans l'Membersonglet. Définissez SecurePort sur5061et cliquez surSave.
   
   

Tâche 3. Configuration sécurisée de CVB

Dans cette tâche, configurez CVVB pour sécuriser les messages de protocole SIP (SIP TLS).

Étapes:

1. Connectez-vous à la  Cisco VVB Administration  page.
2. Accédez àSystem > System Parameters.
   
   

3. Dans laSecurity Parameterssection, sélectionnezEnablepour TLS(SIP). Conserver Supported TLS(SIP) versioncommeTLSv1.2.
   
   

4. Cliquez sur Update. Cliquez surOklorsque vous êtes invité à redémarrer le moteur CVVB.
   
   

5. Ces modifications nécessitent un redémarrage du moteur Cisco VVB. Pour redémarrer le moteur VVB, accédez àCisco VVB Serviceability, puis cliquez surGo.
   
   

6. Naviguez jusqu'à  Tools > Control Center – Network Services.


7. ChoisissezEngineet cliquez surRestart.
   
   

Tâche 4. Configuration sécurisée de CUCM

Afin de sécuriser les messages SIP sur CUCM, effectuez les configurations suivantes :

• Définir le mode de sécurité CUCM sur Mixed Mode
• Configuration des profils de sécurité de la ligne principale SIP pour CUBE et CVP
• Associer des profils de sécurité de liaison SIP aux liaisons SIP respectives
• Communication sécurisée des périphériques des agents avec CUCM

Définir le mode de sécurité CUCM sur Mixed Mode

CUCM prend en charge deux modes de sécurité :

• Mode non sécurisé (mode par défaut)
• Mode mixte (mode sécurisé)

Étapes:

1. Afin de définir le mode de sécurité sur Mixed Mode, connectez-vous à l'Cisco Unified CM Administrationinterface.
   
   

2. Une fois que vous êtes connecté à CUCM, accédez àSystem > Enterprise Parameters.
   
   

3. Sous la section, Security Parameters vérifiez siCluster Security Modeest défini sur0.
   
   

4. Si le mode de sécurité du cluster est défini sur 0, cela signifie que le mode de sécurité du cluster est défini sur non sécurisé. Vous devez activer le mode mixte à partir de l'interface de ligne de commande.
5. Ouvrez une session SSH sur le CUCM.
6. Après vous être connecté à CUCM via SSH, exécutez cette commande : utils ctl set-cluster mixed-mode

7. Tapezyet cliquez sur Entrée lorsque vous y êtes invité. Cette commande définit le mode de sécurité du cluster sur le mode mixte.
   
   

8. Pour que les modifications prennent effet, redémarrezCisco CallManageretCisco CTIManagerservices.
9. Afin de redémarrer les services, naviguez et connectez-vous à Cisco Unified Serviceability.
   
   

10. Une fois que vous êtes connecté, accédez àTools > Control Center – Feature Services.
    
    

11. Sélectionnez le serveur, puis cliquez surGo.
    
    

12. Sous les services CM, choisissez Cisco CallManager  puis cliquez surRestartle bouton en haut de la page.
    
    

13. Confirmez le message contextuel et cliquez surOK. Attendez que le service redémarre correctement.
    
    

14. Après un redémarrage réussi deCisco CallManager, choisissez CiscoCTIManagerpuis cliquez surRestartle bouton pour redémarrer leCisco CTIManagerservice.
    
    

15. Confirmez le message contextuel et cliquez surOK. Attendez que le service redémarre correctement.
    
    

16. Après le redémarrage réussi des services, vérifiez que le mode de sécurité du cluster est défini sur le mode mixte, accédez à l'administration de CUCM comme expliqué à l'étape 5. puis vérifiez laCluster Security Mode. Maintenant, il doit être défini sur1.
    
    

Configuration des profils de sécurité de la ligne principale SIP pour CUBE et CVP

Étapes:

1. Connectez-vous à l'CUCM administrationinterface.
2. Une fois la connexion à CUCM réussie, accédez à System > Security > SIP Trunk Security Profile  afin de créer un profil de sécurité de périphérique pour CUBE.
   
   

3. En haut à gauche, cliquez surAdd Newafin d'ajouter un nouveau profil.
   
   

4. ConfigurezSIP Trunk Security Profilecomme indiqué dans cette image, puis cliquezSaveen bas à gauche de la page pourSavey accéder.
   
   

5. Assurez-vous de définir leSecure Certificate Subject or Subject Alternate Namenom commun (CN) du certificat CUBE, car il doit correspondre.

6. Cliquez surCopyle bouton et changez leNameenSecureSipTLSforCVP et le Secure Certificate Subject au CN du certificat du serveur d'appels CVP car il doit correspondre. Cliquez sur le boutonSave.

Associer des profils de sécurité de liaison SIP aux liaisons SIP respectives

Étapes:

1. Sur la page CUCM Administration, accédez àDevice > Trunk.
   
   

2. Recherchez la ligne principale CUBE. Dans cet exemple, le nom de la liaison CUBE est vCube. Cliquez surFind.
   
   

3. Cliquez sur vCUBE pour ouvrir la page de configuration de la liaison vCUBE.
4. Faites défiler jusqu'à la sectionSIP Information, puis changez laDestination Porten 5061.
5. RemplacezSIP Trunk Security ProfileparSecureSIPTLSForCube.
   
   

6. CliquezSaveensuite surRestafin de modifierSaveet d'appliquer les modifications.
   
   

7. Naviguez jusqu'àDevice > Trunket recherchez le trunk CVP. Dans cet exemple, le nom de la liaison CVP est cvp-SIP-Trunk. Cliquez surFind.
   
   

8. Cliquez surCVP-SIP-Trunkafin d'ouvrir la page de configuration de la liaison CVP.
9. Faites défiler jusqu'àSIP Informationsection, puis passezDestination Portà 5061.
10. RemplacezSIP Trunk Security ProfileparSecureSIPTLSForCvp.
    
    

11. CliquezSaveensuiteRestafin de save modifier et d'appliquer les modifications.
    
    

Communication sécurisée des périphériques des agents avec CUCM

Afin d'activer les fonctions de sécurité pour un périphérique, vous devez installer un certificat LSC (Locally Significative Certificate) et attribuer un profil de sécurité à ce périphérique. Le LSC possède la clé publique pour le terminal, qui est signée par la clé privée CAPF (Certificate Authority Proxy Function). Il n'est pas installé sur les téléphones par défaut.

Étapes:

1. Connectez-vous àCisco Unified Serviceability Interface.
2. Naviguez jusqu'à  Tools > Service Activation.
   
   

3. Sélectionnez le serveur CUCM et cliquez sur  Go .
   
   

4. CochezCisco Certificate Authority Proxy Functionet cliquez surSavepour activer le service. Cliquez surOkpour confirmer.
   
   

5. Assurez-vous que le service est activé, puis accédez àCisco Unified CM Administration.
   
   

6. Après vous être connecté à l'administration de CUCM, accédez àSystem > Security > Phone Security Profileafin de créer un profil de sécurité de périphérique pour le périphérique agent.
   
   

7. Recherchez les profils de sécurité correspondant au type de périphérique de votre agent. Dans cet exemple, un téléphone logiciel est utilisé, alors choisissez Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile. Cliquez sur Copy afin de copier ce profil.
   
   

8. Renommez le profil enCisco Unified Client Services Framework - Secure Profile, modifiez les paramètres comme indiqué dans cette image, puis cliquez surSaveen haut à gauche de la page.
   
   

9. Une fois le profil de périphérique téléphonique créé, accédez àDevice > Phone.
   
   

10. Cliquez surFindafin de répertorier tous les téléphones disponibles, puis cliquez sur téléphone de l'agent.
11. La page Agent phone configuration s'ouvre. RechercherCertification Authority Proxy Function (CAPF) Informationune section. Afin d'installer LSC, définissezCertificate OperationsurInstall/Upgradeet surOperation Completes bytoute date ultérieure.
    
    

12. RechercherProtocol Specific Informationune section. RemplacezDevice Security ProfileparCisco Unified Client Services Framework – Secure Profile.
    
    

13. Cliquez surSaveen haut à gauche de la page. Vérifiez que les modifications ont été enregistrées et cliquez surReset.
    
    

14. Une fenêtre contextuelle s'ouvre. Cliquez surResetpour confirmer l'action.
    
    

15. Une fois que le périphérique agent s'est à nouveau enregistré auprès de CUCM, actualisez la page en cours et vérifiez que le contrôleur LSC est correctement installé. VérifierCertification Authority Proxy Function (CAPF) Informationla section,Certificate Operationdoit être défini surNo Pending Operation, et estCertificate Operation Statusdéfini surUpgrade Success.
    
    

16. Reportez-vous aux étapes. 7-13 afin de sécuriser les autres agents et les périphériques que vous souhaitez utiliser pour sécuriser SIP avec CUCM.

Vérifier

Afin de valider que la signalisation SIP est correctement sécurisée, effectuez ces étapes :

1. Ouvrez une session SSH vers vCUBE, exécutez la commandeshow sip-ua connections tcp tls detailet vérifiez qu'aucune connexion TLS n'est établie pour le moment avec CVP (198.18.133.13).
   
   

Remarque : Actuellement, une seule session TLS active avec CUCM, pour Options SIP, est activée sur CUCM (198.18.133.3). Si aucune option SIP n'est activée, aucune connexion SIP TLS n'existe.

2. Connectez-vous à CVP et démarrez Wireshark.
3. Effectuez un test d'appel vers le numéro du centre de contact.
4. Accédez à la session CVP ; sur Wireshark, exécutez ce filtre afin de vérifier la signalisation SIP avec CUBE :
   ip.addr == 198.18.133.226 && tls && tcp.port==5061
   
   

Vérifier : La connexion SIP sur TLS est-elle établie ? Si oui, la sortie confirme que les signaux SIP entre CVP et CUBE sont sécurisés.

5. Vérifiez la connexion SIP TLS entre CVP et CVVB. Dans la même session Wireshark, exécutez ce filtre :

ip.addr == 198.18.133.143 && tls && tcp.port==5061

Vérifier : La connexion SIP sur TLS est-elle établie ? Si oui, la sortie confirme que les signaux SIP entre CVP et CVVB sont sécurisés.

6. Vous pouvez également vérifier la connexion SIP TLS avec CVP depuis CUBE. Accédez à la session SSH vCUBE et exécutez cette commande pour vérifier les signaux SIP sécurisés :
show sip-ua connections tcp tls detail

Vérifier : La connexion SIP sur TLS est-elle établie avec CVP ? Si oui, la sortie confirme que les signaux SIP entre CVP et CUBE sont sécurisés.

7. À ce moment, l'appel est actif et vous entendez MUSIQUE D'ATTENTE (MOH) car aucun agent n'est disponible pour répondre à l'appel.

8. Rendre l'agent disponible pour répondre à l'appel.

.

9. L'agent est réservé et l'appel lui est acheminé. Cliquez surAnswerpour répondre à l'appel.

10. L'appel se connecte à l'agent.

11. Afin de vérifier les signaux SIP entre CVP et CUCM, accédez à la session CVP et exécutez ce filtre dans Wireshark :
ip.addr == 198.18.133.3 && tls && tcp.port==5061

Vérifier : Toutes les communications SIP avec CUCM (198.18.133.3) passent-elles par TLS ? Si oui, la sortie confirme que les signaux SIP entre CVP et CUCM sont sécurisés.

Dépannage

Si TLS n'est pas établi, exécutez ces commandes sur CUBE pour activer la commande debug TLS pour le dépannage :

• Debug ssl openssl errors
• Debug ssl openssl msg
• Debug ssl openssl states