Configurazione della segnalazione SIP protetta in Contact Center Enterprise

Introduzione

In questo documento viene descritto come proteggere la segnalazione SIP (Session Initiation Protocol) nel flusso di chiamate completo di Contact Center Enterprise (CCE).

Prerequisiti

La generazione e l'importazione di certificati non rientrano nell'ambito del presente documento, pertanto è necessario creare e importare nei rispettivi componenti certificati per Cisco Unified Communication Manager (CUCM), server di chiamata Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVB) e Cisco Unified Border Element (CUBE). Se si utilizzano certificati autofirmati, lo scambio di certificati deve essere eseguito tra componenti diversi.

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• CCE
• CVP
• CUBO
• CUCM
• CVB

Componenti usati

Le informazioni fornite in questo documento si basano sulla versione 12.6 di Package Contact Center Enterprise (PCCE), CVP, CVB e CUCM, ma sono valide anche per le versioni precedenti.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Il diagramma successivo mostra i componenti coinvolti nella segnalazione SIP nel flusso chiamate completo del contact center. Quando una chiamata vocale arriva al sistema, prima viene tramite il gateway in entrata o CUBE, quindi avviare configurazioni SIP sicure su CUBE. Quindi, configurare CVP, CVB e CUCM.

Attività 1. Configurazione protetta CUBE

In questa attività configurare CUBE per proteggere i messaggi del protocollo SIP.

Configurazioni richieste:

• Configurare un trust point predefinito per l'agente utente SIP
• Modificare i peer di composizione in modo che utilizzino TLS (Transport Layer Security)

Passaggi:

1. Aprire la sessione SSH (Secure Shell) in CUBE.
2. Eseguire questi comandi per fare in modo che lo stack SIP utilizzi il certificato CA (Certification Authority) del CUBE. CUBE stabilisce una connessione SIP TLS da/a CUCM (198.18.133.3) e CVP (198.18.133.13).

conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

3. Eseguire questi comandi per abilitare TLS sul dial peer in uscita verso CVP. Nell'esempio, il dial-peer tag 6000 viene utilizzato per indirizzare le chiamate a CVP.

Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

Attività 2. Configurazione sicura CVP

In questa attività, configurare il server di chiamata CVP per proteggere i messaggi del protocollo SIP (SIP TLS).

Passaggi:

1. Accedere aUCCE Web Administration.
2. Passa a  Call Settings > Route Settings > SIP Server Group.
   

In base alle configurazioni configurate, sono presenti gruppi di server SIP configurati per CUCM, CVB e CUBE. Per tutte le porte SIP protette, è necessario impostarle su 5061. Nell'esempio vengono utilizzati i seguenti gruppi di server SIP:

• cucm1.dcloud.cisco.com per CUCM
• vvb1.dcloud.cisco.com per CVB
• cube1.dcloud.cisco.com  per CUBE

3. Fare clic sucucm1.dcloud.cisco.come quindi nellaMembersscheda, che mostra i dettagli della configurazione del gruppo di server SIP. Impostate suSecurePort5061e fate clic su  Save .
   
   

4. Fare clic suvvb1.dcloud.cisco.com, quindi nellaMembersscheda. Impostare SecurePort su5061e fare clic suSave.
   
   

Attività 3. Configurazione sicura di CVB

In questa attività, configurare CVB per proteggere i messaggi del protocollo SIP (SIP TLS).

Passaggi:

1. Accedere a  Cisco VVB Administration  topage.
2. Passare aSystem > System Parameters.
   
   

3. NellaSecurity Parameterssezione, scegliereEnableper TLS(SIP). MantieniSupported TLS(SIP) versioncomeTLSv1.2.
   
   

4. Fare clic su Aggiorna. Fare clic suOkquando richiesto per riavviare il motore CVB.
   
   

5. Queste modifiche richiedono il riavvio del motore Cisco VB. Per riavviare il motore VB, spostarsi su eCisco VVB Serviceabilityfare clic suGo.
   
   

6. Passa a  Tools > Control Center – Network Services.


7. SelezionateEnginee fate clic suRestart.
   
   

Attività 4. Configurazione sicura CUCM

Per proteggere i messaggi SIP su CUCM, effettuare le seguenti configurazioni:

• Impostare la modalità di protezione CUCM sulla modalità mista
• Configurare i profili di sicurezza trunk SIP per CUBE e CVP
• Associa profili di sicurezza trunk SIP ai rispettivi trunk SIP
• Comunicazione dei dispositivi degli agenti sicuri con CUCM

Impostare la modalità di protezione CUCM sulla modalità mista

CUCM supporta due modalità di protezione:

• Modalità non protetta (modalità predefinita)
• Modalità mista (modalità protetta)

Passaggi:

1. Per impostare la modalità di protezione su Modalità mista, accedere all'Cisco Unified CM Administrationinterfaccia.
   
   

2. Dopo aver eseguito correttamente l'accesso a CUCM, passare aSystem > Enterprise Parameters.
   
   

3. Al di sotto della Security Parameters sezione, verificare seCluster Security Modeè impostato su0.
   
   

4. Se la modalità di protezione del cluster è impostata su 0, significa che la modalità di protezione del cluster è impostata su non protetta. è necessario abilitare la modalità mista dalla CLI.
5. Aprire una sessione SSH su CUCM.
6. Dopo aver eseguito correttamente il login a CUCM tramite SSH, eseguire questo comando: utils ctl set-cluster mixed-mode

7. Digitateye fate clic su Invio quando richiesto. Con questo comando viene impostata la modalità di protezione cluster su mista.
   
   

8. Per rendere effettive le modifiche, riavviareCisco CallManagereCisco CTIManageri servizi.
9. Per riavviare i servizi, spostarsi e accedere a Cisco Unified Serviceability.
   
   

10. Dopo aver eseguito correttamente l'accesso, passare aTools > Control Center – Feature Services.
    
    

11. Scegliere il server, quindi fare clic suGo.
    
    

12. Sotto i servizi di CM, scegliere Cisco CallManager  quindi fare clic sulRestartpulsante in alto nella pagina.
    
    

13. Confermare il messaggio popup e fare clic suOK. Attendere il riavvio del servizio.
    
    

14. Dopo aver riavviato correttamente il servizioCisco CallManager, scegliere Cisco,CTIManagerquindi fare clic sulRestartpulsante per riavviare ilCisco CTIManagerservizio.
    
    

15. Confermare il messaggio popup e fare clic suOK. Attendere il riavvio del servizio.
    
    

16. Dopo il riavvio corretto dei servizi, verificare che la modalità di protezione del cluster sia impostata sulla modalità mista, passare all'amministrazione di CUCM come spiegato nel passo 5, quindi controllare laCluster Security Modemodalità. Ora deve essere impostato su1.
    
    

Configurare i profili di sicurezza trunk SIP per CUBE e CVP

Passaggi:

1. Accedere all'CUCM administrationinterfaccia.
2. Dopo aver eseguito correttamente l'accesso a CUCM, passare a System > Security > SIP Trunk Security Profile  per creare un profilo di sicurezza del dispositivo per CUBE.
   
   

3. In alto a sinistra, fare clicAdd Newper aggiungere un nuovo profilo.
   
   

4. ConfigurareSIP Trunk Security Profilecome mostrato nell'immagine, quindi fare clic suSavein basso a sinistra nella pagina perSaveselezionarla.
   
   

5. Assicurarsi di impostare ilSecure Certificate Subject or Subject Alternate Namenome comune (CN) del certificato CUBE come deve corrispondere.

6. Fare clic sulCopypulsante e modificareNameinSecureSipTLSforCVP e Secure Certificate Subject in il CN del certificato del server di chiamata CVP in quanto deve corrispondere. Fare clic sulSavepulsante.

Associa profili di sicurezza trunk SIP ai rispettivi trunk SIP

Passaggi:

1. Nella pagina Amministrazione CUCM, passare aDevice > Trunk.
   
   

2. Cerca il trunk CUBE. In questo esempio, il nome del trunk CUBE è vCube. Fare clic suFind.
   
   

3. Fare clic su vCUBE per aprire la pagina di configurazione del trunk vCUBE.
4. Scorrere verso il basso fino allaSIP Informationsezione e modificare laDestination Portsezione in 5061.
5. CambiareSIP Trunk Security ProfileinSecureSIPTLSForCube.
   
   

6. Fare clic suSave, quindiRestper applicareSavele modifiche.
   
   

7. IndividuareDevice > Trunke cercare CVP trunk. In questo esempio, il nome del trunk CVP è cvp-SIP-Trunk. Fare clic suFind.
   
   

8. Fare clic suCVP-SIP-Trunkper aprire la pagina di configurazione del trunk CVP.
9. Scorrere verso il basso finoSIP Informationalla sezione e modificareDestination Portin 5061.
10. CambiareSIP Trunk Security ProfileinSecureSIPTLSForCvp.
    
    

11. Fare clic suSave, quindiRestper save visualizzare e applicare le modifiche.
    
    

Comunicazione dei dispositivi degli agenti sicuri con CUCM

Per abilitare le funzionalità di protezione per un dispositivo, è necessario installare un certificato LSC (Locally Significant Certificate) e assegnare un profilo di protezione al dispositivo. Il servizio LSC possiede la chiave pubblica per l'endpoint, firmata dalla chiave privata CAPF (Certificate Authority Proxy Function). Per impostazione predefinita, non è installato sui telefoni.

Passaggi:

1. Accedere aCisco Unified Serviceability Interface.
2. Passa a  Tools > Service Activation.
   
   

3. Scegliere il server CUCM e fare clic su  Go .
   
   

4. SelezionareCisco Certificate Authority Proxy Functione fare clic suSaveper attivare il servizio. Fare clic perOkconfermare.
   
   

5. Verificare che il servizio sia attivato, quindi passare aCisco Unified CM Administration.
   
   

6. Dopo aver eseguito correttamente l'accesso all'amministrazione CUCM, passare aSystem > Security > Phone Security Profileper creare un profilo di sicurezza per il dispositivo agente.
   
   

7. Individuare i profili di sicurezza corrispondenti al tipo di dispositivo agente. In questo esempio, viene utilizzato un soft phone, quindi scegliere Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile. Fare clic Copy per copiare il profilo.
   
   

8. Rinominare il profilo inCisco Unified Client Services Framework - Secure Profile, modificare i parametri come mostrato nell'immagine, quindi fare clic suSavein alto a sinistra nella pagina.
   
   

9. Dopo aver creato correttamente il profilo del dispositivo telefonico, passare aDevice > Phone.
   
   

10. Fare clic suFindper elencare tutti i telefoni disponibili, quindi fare clic su Telefono agente.
11. Verrà visualizzata la pagina Configurazione telefono agente. TrovaCertification Authority Proxy Function (CAPF) Informationsezione. Per installare LSC, impostareCertificate OperationsuInstall/Upgradee su una data futuraOperation Completes by.
    
    

12. TrovaProtocol Specific Informationsezione. CambiareDevice Security ProfileinCisco Unified Client Services Framework – Secure Profile.
    
    

13. Fare clic suSavenell'angolo superiore sinistro della pagina. Accertatevi che le modifiche siano state salvate correttamente e fate clic suReset.
    
    

14. Viene visualizzata una finestra popup. Fare clicResetper confermare l'azione.
    
    

15. Una volta che il dispositivo agente si è registrato nuovamente con CUCM, aggiornare la pagina corrente e verificare che LSC sia installato correttamente. SelezionareCertification Authority Proxy Function (CAPF) Informationla sezione,Certificate Operationdeve essere impostato suNo Pending Operation, eCertificate Operation StatussuUpgrade Success.
    
    

16. Fare riferimento alla sezione Passi. 7-13 per proteggere altri agenti e dispositivi che si desidera utilizzare per proteggere il SIP con CUCM.

Verifica

Per verificare che la segnalazione SIP sia protetta correttamente, procedere come segue:

1. Aprire la sessione SSH su vCUBE, eseguire il comandoshow sip-ua connections tcp tls detaile confermare che al momento non è presente alcuna connessione TLS stabilita con CVP (198.18.133.13).
   
   

Nota: Al momento, solo una sessione TLS attiva con CUCM, per le opzioni SIP, è abilitata su CUCM (198.18.13.3). Se non è attivata alcuna opzione SIP, non esiste alcuna connessione SIP TLS.

2. Accedere a CVP e avviare Wireshark.
3. Effettua una chiamata di prova al numero del contact center.
4. passare alla sessione CVP; su Wireshark, eseguire questo filtro per controllare la segnalazione SIP con CUBE:
   ip.addr == 198.18.133.226 && tls && tcp.port==5061
   
   

Verifica: La connessione SIP over TLS è stata stabilita? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUBE sono protetti.

5. Controllare la connessione SIP TLS tra CVP e CVB. Nella stessa sessione di Wireshark, eseguire questo filtro:

ip.addr == 198.18.133.143 && tls && tcp.port==5061

Verifica: La connessione SIP over TLS è stata stabilita? In caso affermativo, l'uscita conferma che i segnali SIP tra CVP e CVB sono protetti.

6. È inoltre possibile verificare la connessione SIP TLS con CVP da CUBE. Passare alla sessione SSH vCUBE ed eseguire questo comando per controllare i segnali sip sicuri:
show sip-ua connections tcp tls detail

Verifica: La connessione SIP over TLS viene stabilita con CVP? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUBE sono protetti.

7. Al momento, la chiamata è attiva e si ascolta Music on Hold (MOH) poiché non è disponibile alcun agente per rispondere alla chiamata.

8. Rendere disponibile l'agente per rispondere alla chiamata.

.

9. L'agente viene riservato e la chiamata viene indirizzata a lui/lei. Fare clic per rispondereAnsweralla chiamata.

10. La chiamata si connette all'agente.

11. Per verificare i segnali SIP tra CVP e CUCM, passare alla sessione CVP ed eseguire questo filtro in Wireshark:
ip.addr == 198.18.133.3 && tls && tcp.port==5061

Verifica: Tutte le comunicazioni SIP con CUCM (198.18.133.3) sono su TLS? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUCM sono protetti.

Risoluzione dei problemi

Se TLS non viene stabilito, eseguire questi comandi su CUBE per abilitare il debug TLS alla risoluzione dei problemi:

• Debug ssl openssl errors
• Debug ssl openssl msg
• Debug ssl openssl states