Introduzione
In questo documento viene descritto come proteggere la segnalazione SIP (Session Initiation Protocol) nel flusso di chiamate completo di Contact Center Enterprise (CCE).
Prerequisiti
La generazione e l'importazione di certificati non rientrano nell'ambito del presente documento, pertanto è necessario creare e importare nei rispettivi componenti certificati per Cisco Unified Communication Manager (CUCM), server di chiamata Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVB) e Cisco Unified Border Element (CUBE). Se si utilizzano certificati autofirmati, lo scambio di certificati deve essere eseguito tra componenti diversi.
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
Componenti usati
Le informazioni fornite in questo documento si basano sulla versione 12.6 di Package Contact Center Enterprise (PCCE), CVP, CVB e CUCM, ma sono valide anche per le versioni precedenti.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Il diagramma successivo mostra i componenti coinvolti nella segnalazione SIP nel flusso chiamate completo del contact center. Quando una chiamata vocale arriva al sistema, prima viene tramite il gateway in entrata o CUBE, quindi avviare configurazioni SIP sicure su CUBE. Quindi, configurare CVP, CVB e CUCM.

Attività 1. Configurazione protetta CUBE
In questa attività configurare CUBE per proteggere i messaggi del protocollo SIP.
Configurazioni richieste:
- Configurare un trust point predefinito per l'agente utente SIP
- Modificare i peer di composizione in modo che utilizzino TLS (Transport Layer Security)
Passaggi:
- Aprire la sessione SSH (Secure Shell) in CUBE.
- Eseguire questi comandi per fare in modo che lo stack SIP utilizzi il certificato CA (Certification Authority) del CUBE. CUBE stabilisce una connessione SIP TLS da/a CUCM (198.18.133.3) e CVP (198.18.133.13).
conf t
sip-ua
transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- Eseguire questi comandi per abilitare TLS sul dial peer in uscita verso CVP. Nell'esempio, il dial-peer tag 6000 viene utilizzato per indirizzare le chiamate a CVP.
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
exit

Attività 2. Configurazione sicura CVP
In questa attività, configurare il server di chiamata CVP per proteggere i messaggi del protocollo SIP (SIP TLS).
Passaggi:
- Accedere a
UCCE Web Administration
.
- Passa a
Call Settings > Route Settings > SIP Server Group
.

In base alle configurazioni configurate, sono presenti gruppi di server SIP configurati per CUCM, CVB e CUBE. Per tutte le porte SIP protette, è necessario impostarle su 5061. Nell'esempio vengono utilizzati i seguenti gruppi di server SIP:
cucm1.dcloud.cisco.com
per CUCM
vvb1.dcloud.cisco.com
per CVB
cube1.dcloud.cisco.com
per CUBE
- Fare clic su
cucm1.dcloud.cisco.com
e quindi nellaMembers
scheda, che mostra i dettagli della configurazione del gruppo di server SIP. Impostate suSecurePort
5061
e fate clic su Save
.

- Fare clic su
vvb1.dcloud.cisco.com
, quindi nellaMembers
scheda. Impostare SecurePort su5061
e fare clic suSave
.

Attività 3. Configurazione sicura di CVB
In questa attività, configurare CVB per proteggere i messaggi del protocollo SIP (SIP TLS).
Passaggi:
- Accedere a
Cisco VVB Administration
topage.
- Passare a
System > System Parameters
.

- Nella
Security Parameters
sezione, scegliereEnable
per TLS(SIP)
. MantieniSupported TLS(SIP) version
comeTLSv1.2
.

- Fare clic su Aggiorna. Fare clic su
Ok
quando richiesto per riavviare il motore CVB.

- Queste modifiche richiedono il riavvio del motore Cisco VB. Per riavviare il motore VB, spostarsi su e
Cisco VVB Serviceability
fare clic suGo
.

- Passa a
Tools > Control Center – Network Services
.

- Selezionate
Engine
e fate clic suRestart
.

Attività 4. Configurazione sicura CUCM
Per proteggere i messaggi SIP su CUCM, effettuare le seguenti configurazioni:
- Impostare la modalità di protezione CUCM sulla modalità mista
- Configurare i profili di sicurezza trunk SIP per CUBE e CVP
- Associa profili di sicurezza trunk SIP ai rispettivi trunk SIP
- Comunicazione dei dispositivi degli agenti sicuri con CUCM
Impostare la modalità di protezione CUCM sulla modalità mista
CUCM supporta due modalità di protezione:
- Modalità non protetta (modalità predefinita)
- Modalità mista (modalità protetta)
Passaggi:
- Per impostare la modalità di protezione su Modalità mista, accedere all'
Cisco Unified CM Administration
interfaccia.

- Dopo aver eseguito correttamente l'accesso a CUCM, passare a
System > Enterprise Parameters
.

- Al di sotto della
Security Parameters
sezione, verificare seCluster Security Mode
è impostato su0
.

- Se la modalità di protezione del cluster è impostata su 0, significa che la modalità di protezione del cluster è impostata su non protetta. è necessario abilitare la modalità mista dalla CLI.
- Aprire una sessione SSH su CUCM.
- Dopo aver eseguito correttamente il login a CUCM tramite SSH, eseguire questo comando:
utils ctl set-cluster mixed-mode
- Digitate
y
e fate clic su Invio quando richiesto. Con questo comando viene impostata la modalità di protezione cluster su mista.

- Per rendere effettive le modifiche, riavviare
Cisco CallManager
eCisco CTIManager
i servizi.
- Per riavviare i servizi, spostarsi e accedere a
Cisco Unified Serviceability
.

- Dopo aver eseguito correttamente l'accesso, passare a
Tools > Control Center – Feature Services
.

- Scegliere il server, quindi fare clic su
Go
.

- Sotto i servizi di CM, scegliere
Cisco CallManager
quindi fare clic sulRestart
pulsante in alto nella pagina.

- Confermare il messaggio popup e fare clic su
OK
. Attendere il riavvio del servizio.

- Dopo aver riavviato correttamente il servizio
Cisco CallManager
, scegliere Cisco,CTIManager
quindi fare clic sulRestart
pulsante per riavviare ilCisco CTIManager
servizio.

- Confermare il messaggio popup e fare clic su
OK
. Attendere il riavvio del servizio.

- Dopo il riavvio corretto dei servizi, verificare che la modalità di protezione del cluster sia impostata sulla modalità mista, passare all'amministrazione di CUCM come spiegato nel passo 5, quindi controllare la
Cluster Security Mode
modalità. Ora deve essere impostato su1
.

Configurare i profili di sicurezza trunk SIP per CUBE e CVP
Passaggi:
- Accedere all'
CUCM administration
interfaccia.
- Dopo aver eseguito correttamente l'accesso a CUCM, passare a
System > Security > SIP Trunk Security Profile
per creare un profilo di sicurezza del dispositivo per CUBE.

- In alto a sinistra, fare clic
Add New
per aggiungere un nuovo profilo.

- Configurare
SIP Trunk Security Profile
come mostrato nell'immagine, quindi fare clic suSave
in basso a sinistra nella pagina perSave
selezionarla.

5. Assicurarsi di impostare ilSecure Certificate Subject or Subject Alternate Name
nome comune (CN) del certificato CUBE come deve corrispondere.
6. Fare clic sulCopy
pulsante e modificareName
inSecureSipTLSforCVP
e Secure Certificate Subject
in il CN del certificato del server di chiamata CVP in quanto deve corrispondere. Fare clic sulSave
pulsante.

Associa profili di sicurezza trunk SIP ai rispettivi trunk SIP
Passaggi:
- Nella pagina Amministrazione CUCM, passare a
Device > Trunk
.

- Cerca il trunk CUBE. In questo esempio, il nome del trunk CUBE è
vCube
. Fare clic suFind
.

- Fare clic su vCUBE per aprire la pagina di configurazione del trunk vCUBE.
- Scorrere verso il basso fino alla
SIP Information
sezione e modificare laDestination Port
sezione in 5061
.
- Cambiare
SIP Trunk Security Profile
inSecureSIPTLSForCube
.

- Fare clic su
Save
, quindiRest
per applicareSave
le modifiche.


- Individuare
Device > Trunk
e cercare CVP trunk. In questo esempio, il nome del trunk CVP è cvp-SIP-Trunk
. Fare clic suFind
.

- Fare clic su
CVP-SIP-Trunk
per aprire la pagina di configurazione del trunk CVP.
- Scorrere verso il basso fino
SIP Information
alla sezione e modificareDestination Port
in 5061
.
- Cambiare
SIP Trunk Security Profile
inSecureSIPTLSForCvp
.

- Fare clic su
Save
, quindiRest
per save
visualizzare e applicare le modifiche.


Comunicazione dei dispositivi degli agenti sicuri con CUCM
Per abilitare le funzionalità di protezione per un dispositivo, è necessario installare un certificato LSC (Locally Significant Certificate) e assegnare un profilo di protezione al dispositivo. Il servizio LSC possiede la chiave pubblica per l'endpoint, firmata dalla chiave privata CAPF (Certificate Authority Proxy Function). Per impostazione predefinita, non è installato sui telefoni.
Passaggi:
- Accedere a
Cisco Unified Serviceability Interface
.
- Passa a
Tools > Service Activation
.

- Scegliere il server CUCM e fare clic su
Go
.

- Selezionare
Cisco Certificate Authority Proxy Function
e fare clic suSave
per attivare il servizio. Fare clic perOk
confermare.

- Verificare che il servizio sia attivato, quindi passare a
Cisco Unified CM Administration
.

- Dopo aver eseguito correttamente l'accesso all'amministrazione CUCM, passare a
System > Security > Phone Security Profile
per creare un profilo di sicurezza per il dispositivo agente.

- Individuare i profili di sicurezza corrispondenti al tipo di dispositivo agente. In questo esempio, viene utilizzato un soft phone, quindi scegliere
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Fare clic Copy
per copiare il profilo.

- Rinominare il profilo in
Cisco Unified Client Services Framework - Secure Profile
, modificare i parametri come mostrato nell'immagine, quindi fare clic suSave
in alto a sinistra nella pagina.

- Dopo aver creato correttamente il profilo del dispositivo telefonico, passare a
Device > Phone
.

- Fare clic su
Find
per elencare tutti i telefoni disponibili, quindi fare clic su Telefono agente.
- Verrà visualizzata la pagina Configurazione telefono agente. Trova
Certification Authority Proxy Function (CAPF) Information
sezione. Per installare LSC, impostareCertificate Operation
suInstall/Upgrade
e su una data futuraOperation Completes by
.

- Trova
Protocol Specific Information
sezione. CambiareDevice Security Profile
inCisco Unified Client Services Framework – Secure Profile
.

- Fare clic su
Save
nell'angolo superiore sinistro della pagina. Accertatevi che le modifiche siano state salvate correttamente e fate clic suReset
.

- Viene visualizzata una finestra popup. Fare clic
Reset
per confermare l'azione.

- Una volta che il dispositivo agente si è registrato nuovamente con CUCM, aggiornare la pagina corrente e verificare che LSC sia installato correttamente. Selezionare
Certification Authority Proxy Function (CAPF) Information
la sezione,Certificate Operation
deve essere impostato suNo Pending Operation
, eCertificate Operation Status
suUpgrade Success
.

- Fare riferimento alla sezione Passi. 7-13 per proteggere altri agenti e dispositivi che si desidera utilizzare per proteggere il SIP con CUCM.
Verifica
Per verificare che la segnalazione SIP sia protetta correttamente, procedere come segue:
- Aprire la sessione SSH su vCUBE, eseguire il comando
show sip-ua connections tcp tls detail
e confermare che al momento non è presente alcuna connessione TLS stabilita con CVP (198.18.133.13).

Nota: Al momento, solo una sessione TLS attiva con CUCM, per le opzioni SIP, è abilitata su CUCM (198.18.13.3). Se non è attivata alcuna opzione SIP, non esiste alcuna connessione SIP TLS.
- Accedere a CVP e avviare Wireshark.
- Effettua una chiamata di prova al numero del contact center.
- passare alla sessione CVP; su Wireshark, eseguire questo filtro per controllare la segnalazione SIP con CUBE:
ip.addr == 198.18.133.226 && tls && tcp.port==5061

Verifica: La connessione SIP over TLS è stata stabilita? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUBE sono protetti.
5. Controllare la connessione SIP TLS tra CVP e CVB. Nella stessa sessione di Wireshark, eseguire questo filtro:
ip.addr == 198.18.133.143 && tls && tcp.port==5061

Verifica: La connessione SIP over TLS è stata stabilita? In caso affermativo, l'uscita conferma che i segnali SIP tra CVP e CVB sono protetti.
6. È inoltre possibile verificare la connessione SIP TLS con CVP da CUBE. Passare alla sessione SSH vCUBE ed eseguire questo comando per controllare i segnali sip sicuri:
show sip-ua connections tcp tls detail

Verifica: La connessione SIP over TLS viene stabilita con CVP? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUBE sono protetti.
7. Al momento, la chiamata è attiva e si ascolta Music on Hold (MOH) poiché non è disponibile alcun agente per rispondere alla chiamata.
8. Rendere disponibile l'agente per rispondere alla chiamata.
.
9. L'agente viene riservato e la chiamata viene indirizzata a lui/lei. Fare clic per rispondereAnswer
alla chiamata.

10. La chiamata si connette all'agente.
11. Per verificare i segnali SIP tra CVP e CUCM, passare alla sessione CVP ed eseguire questo filtro in Wireshark:
ip.addr == 198.18.133.3 && tls && tcp.port==5061

Verifica: Tutte le comunicazioni SIP con CUCM (198.18.133.3) sono su TLS? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUCM sono protetti.
Risoluzione dei problemi
Se TLS non viene stabilito, eseguire questi comandi su CUBE per abilitare il debug TLS alla risoluzione dei problemi:
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states