Configurazione di Secure RTP in Contact Center Enterprise

Introduzione

Questo documento descrive come proteggere il traffico SRTP (Real-time Transport Protocol) nel flusso completo delle chiamate di Contact Center Enterprise (CCE).

Prerequisiti

La generazione e l'importazione di certificati non rientrano nell'ambito del presente documento, pertanto è necessario creare e importare nei rispettivi componenti certificati per Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP) Call Server, Cisco Virtual Voice Browser (CVB) e Cisco Unified Border Element (CUBE). Se si utilizzano certificati autofirmati, lo scambio di certificati deve essere eseguito tra componenti diversi.

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• CCE
• CVP
• CUBO
• CUCM
• CVB

Componenti usati

Le informazioni di questo documento si basano sulla versione 12.6 di Package Contact Center Enterprise (PCCE), CVP, CVB e CUCM, ma sono valide anche per le versioni precedenti.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Nota: Nel flusso di chiamata completo del contact center, per abilitare il RTP sicuro, è necessario abilitare i segnali SIP sicuri. Pertanto, le configurazioni descritte in questo documento consentono sia il SIP sicuro che l'SRTP.

Il diagramma seguente mostra i componenti coinvolti nei segnali SIP e RTP nel flusso di chiamata completo del contact center. Quando una chiamata vocale arriva al sistema, viene prima effettuata tramite il gateway in entrata o CUBE, quindi avviare le configurazioni su CUBE. Quindi, configurare CVP, CVB e CUCM.

Attività 1: Configurazione protetta CUBE

In questa attività, è possibile configurare CUBE per proteggere i messaggi del protocollo SIP e il protocollo RTP.

Configurazioni richieste:

• Configurare un trust point predefinito per l'interfaccia utente SIP
• Modificare i peer di composizione per l'utilizzo di TLS e SRTP

Passaggi:

1. Aprire una sessione SSH in CUBE.

2. Eseguire questi comandi per fare in modo che lo stack SIP utilizzi il certificato CA del CUBO. CUBE stabilisce la connessione SIP TLS da/a CUCM (198.18.133.3) e CVP (198.18.133.13):

Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

3. Eseguire questi comandi per abilitare TLS sul dial peer in uscita verso CVP. Nell'esempio, il dial-peer tag 6000 viene usato per indirizzare le chiamate a CVP:

Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

Attività 2: Configurazione sicura CVP

In questa attività, configurare il server di chiamata CVP per proteggere i messaggi del protocollo SIP (SIP TLS).

Passaggi:

1. Accedere aUCCE Web Administration.
2. Passare aCall Settings > Route Settings > SIP Server Group.
   
   

In base alle configurazioni, sono stati configurati i gruppi di server SIP per CUCM, CVB e CUBE. È necessario impostare le porte SIP sicure su 5061 per tutte le porte. Nell'esempio vengono utilizzati i seguenti gruppi di server SIP:

• cucm1.dcloud.cisco.com per CUCM
• vvb1.dcloud.cisco.com per CVB
• cube1.dcloud.cisco.com  per CUBE

3. Fare clic sucucm1.dcloud.cisco.come quindi nellaMembersscheda contenente i dettagli delle configurazioni dei gruppi di server SIP. Impostate suSecurePort5061e fate clic suSave.
   
   

4. Fare clic suvvb1.dcloud.cisco.com, quindi nellaMembersscheda, impostareSecurePortsu5061e fare clic suSave.
   
   

Attività 3: Configurazione sicura CVB

In questa attività, configurare CVB per proteggere i messaggi del protocollo SIP (SIP TLS) e SRTP.

Passaggi:

1. Aprire laCisco VVB Adminpagina.
2. Passare aSystem > System Parameters.
   
   

3. NellaSecurity Parameterssezione, scegliereEnableperTLS (SIP) . Mantenere ilSupported TLS(SIP) version as TLSv1.2e scegliereEnableperSRTP.
   
   

4. Fare clic su .Update Fare clic suOkquando richiesto per riavviare il motore CVB.
   
   

5. Queste modifiche richiedono il riavvio del motore Cisco VB. Per riavviare il motore VB, passare allaCisco VVB Serviceability, quindi fare clic suGo.
   
   

6. Passare aTools > Control Center – Network Services.
   
   

7. SelezionateEnginee fate clic suRestart.
   
   

Attività 4: Configurazione sicura CUCM

Per proteggere i messaggi SIP e RTP su CUCM, eseguire le seguenti configurazioni:

• Impostare la modalità di protezione CUCM sulla modalità mista
• Configurare i profili di sicurezza trunk SIP per CUBE e CVP
• Associare i profili di sicurezza trunk SIP ai rispettivi trunk SIP e abilitare SRTP
• Comunicazione dei dispositivi degli agenti di sicurezza con CUCM

Impostare la modalità di protezione CUCM sulla modalità mista

CUCM supporta due modalità di protezione:

• Modalità non protetta (modalità predefinita)
• Modalità mista (modalità protetta)

Passaggi:

1. Accedere all'interfaccia di amministrazione CUCM.
   
   

2. Quando si accede a CUCM, è possibile passare aSystem > Enterprise Parameters.
   
   

3. Sotto la sezione,Security Parametersverificare se l'impostazioneCluster Security Modeè0.
   
   

4. Se la modalità di protezione del cluster è impostata su 0, significa che la modalità di protezione del cluster è impostata su non protetta. è necessario abilitare la modalità mista dalla CLI.
5. Aprire una sessione SSH su CUCM.
6. Dopo aver eseguito correttamente l'accesso a CUCM tramite SSH, eseguire questo comando:

utils ctl set-cluster mixed-mode

7. Digitateye fate clic suEnterquando richiesto. Con questo comando viene impostata la modalità di protezione cluster su mista.
   
   

8. Per rendere effettive le modifiche, riavviareCisco CallManagere i servizi diCisco CTIManager.
9. Per riavviare i servizi, spostarsi e accedere aCisco Unified Serviceability.
   
   

10. Dopo aver eseguito correttamente l'accesso, passare aTools > Control Center – Feature Services.
    
    

11. Scegliere il server e fare clic suGo.
    
    

12. Sotto Servizi CM, scegliere il pulsanteCisco CallManager, quindi fare clicRestartsul pulsante nella parte superiore della pagina.
    
    

13. Confermare il messaggio popup e fare clic suOK. Attendere il riavvio del servizio.
    
    

14. Una volta riavviato correttamente diCisco CallManager, scegliere ilCisco CTIManagerpulsante e fare clic sulRestartpulsante per riavviare  Cisco CTIManager servizio.
    
    

15. Confermare il messaggio popup e fare clic suOK. Attendere il riavvio del servizio.
    
    

16. Dopo il riavvio corretto dei servizi, per verificare che la modalità di protezione del cluster sia impostata su mista, passare all'amministrazione di CUCM come spiegato al passo 5. e quindi controllare laCluster Security Mode. Ora deve essere impostato su1.
    
    

Configurare i profili di sicurezza trunk SIP per CUBE e CVP

Passaggi:

1. Accedere all'interfaccia di amministrazione CUCM.
2. Dopo aver eseguito correttamente l'accesso a CUCM, passare aSystem > Security > SIP Trunk Security Profileper creare un profilo di sicurezza del dispositivo per CUBE.
   
   

3. In alto a sinistra, fare clic su Add New (Aggiungi nuovo) per aggiungere un nuovo profilo.
   
   

4. ConfiguraSIP Trunk Security Profilecome immagine e fai clicSavein basso a sinistra nella pagina.
   
   

5. Assicurarsi di impostare ilSecure Certificate Subject or Subject Alternate Namenome comune (CN) del certificato CUBE come deve corrispondere.

6. Fare clic sulCopypulsante e modificare ilNameinSecureSipTLSforCVP. ModificareSecure Certificate Subjectil CN del certificato del server di chiamata CVP in modo che corrisponda. Fare clic suSave  pulsante.

Associazione dei profili di sicurezza trunk SIP ai rispettivi trunk SIP e abilitazione SRTP

Passaggi:

1. Nella pagina Amministrazione CUCM, passare aDevice > Trunk.
   
   

2. Cerca il trunk CUBE. In questo esempio, il nome del trunk CUBE èvCube, quindi fare clic suFind.
   
   

3. Fare clic suvCUBEper aprire la pagina di configurazione del trunk vCUBE.
4. NellaDevice Informationsezione, selezionare la casellaSRTP Alloweddi controllo per abilitare SRTP.
   
   

5. Scorrere verso il basso fino allaSIP Informationsezione e modificare laDestination Portin5061.
6. CambiareSIP Trunk Security ProfileinSecureSIPTLSForCube.
   
   

7. Fare clic suSavequindiRestper applicare save le modifiche.
   
   

8. Passare aDevice > Trunk, cercare CVP trunk, in questo esempio il nome del CVP trunk ècvp-SIP-Trunk. Fare clic su .Find
   
   

9. Fare clic suCVP-SIP-Trunkper aprire la pagina di configurazione del trunk CVP.
10. NellaDevice Informationsezione, selezionareSRTP Allowedla casella di controllo per abilitare SRTP.
    
    

11. Scorrere verso il basso fino allaSIP Informationsezione, modificare laDestination Portin5061.
12. CambiareSIP Trunk Security ProfileinSecureSIPTLSForCvp.
    
    

13. Fare clic suSavequindiRestper applicare save le modifiche.
    
    

Comunicazione dei dispositivi degli agenti sicuri con CUCM

Per abilitare le funzionalità di protezione per un dispositivo, è necessario installare un certificato LSC (Locally Significant Certificate) e assegnare il profilo di protezione al dispositivo. LSC possiede la chiave pubblica per l'endpoint, firmata dalla chiave privata CAPF CUCM. Per impostazione predefinita, non è installato sui telefoni.

Passaggi:

1. Accedere all'Cisco Unified Serviceabilityinterfaccia.
2. Passare aTools > Service Activation.
   
   

3. Scegliere il server CUCM e fare clic suGo.
   
   

4. SelezionareCisco Certificate Authority Proxy Functione fare clic suSave  per attivare il servizio. Fare clic perOkconfermare.
   
   

5. Assicurarsi che il servizio sia attivato, quindi passare all'amministrazione CUCM.
   
   

6. Dopo aver eseguito correttamente l'accesso all'amministrazione CUCM, passare aSystem > Security > Phone Security Profileper creare un profilo di sicurezza per il dispositivo agente.
   
   

7. Individuare il profilo di sicurezza corrispondente al tipo di dispositivo dell'agente. In questo esempio, viene usato un soft phone, quindi scegliereCisco Unified Client Services Framework - Standard SIP Non-Secure Profile. Fare clic sull'icona Copia per copiare il profilo.
   
   

8. Rinominare il profilo inCisco Unified Client Services Framework - Secure Profile. Modificare i parametri come in questa immagine, quindi fare clic su  Save  in alto a sinistra nella pagina.
   
   

9. Dopo aver creato correttamente il profilo del dispositivo telefonico, passare aDevice > Phone.
   
   

10. Fare clic suFindper elencare tutti i telefoni disponibili, quindi fare clic su Telefono agente.
11. Verrà visualizzata la pagina Configurazione telefono agente. TrovaCertification Authority Proxy Function (CAPF) Informationsezione. Per installare LSC, impostareCertificate OperationsuInstall/Upgradee su una data futuraOperation Completes by.
    
    

12. Trovare la sezioneProtocol Specific Informatione modificare ilDevice Security ProfileinCisco Unified Client Services Framework – Secure Profile.
    
    

13. Fare clic suSavenell'angolo superiore sinistro della pagina. Assicurarsi che le modifiche siano state salvate correttamente, quindi fare clic suReset.
    
    

14. Viene visualizzata una finestra popup. Fare clicResetper confermare l'azione.
    
    

15. Una volta che il dispositivo agente si è registrato nuovamente con CUCM, aggiornare la pagina corrente e verificare che LSC sia installato correttamente. CheckCertification Authority Proxy Function (CAPF) Information,Certificate Operationdeve essere impostato suNo Pending OperationeCertificate Operation Statussu  Upgrade Success.
    
    

16. Fare riferimento agli stessi passaggi del passaggio. 7 - 13 per proteggere i dispositivi di altri agenti che si desidera utilizzare con SIP e RTP sicuri con CUCM.

Verifica

Per verificare che il protocollo RTP sia protetto in modo appropriato, effettuare le seguenti operazioni:

1. Effettuare una chiamata di prova al contact center e ascoltare il prompt IVR.
2. Allo stesso tempo, aprire la sessione SSH su vCUBE ed eseguire questo comando:
   show call active voice brief
   
   

Suggerimento: Verificare se l'SRTP è compresoontra CUBE e VVB (198.18.133.143). In caso affermativo, ciò conferma che il traffico RTP tra CUBE e VB è sicuro.

3. Rendere disponibile un agente per rispondere alla chiamata.
   .
4. L'agente viene riservato e la chiamata viene instradata all'agente. Risponda alla chiamata.
5. La chiamata viene connessa all'agente. Tornare alla sessione SSH vCUBE ed eseguire questo comando:
   show call active voice brief
   
   

Suggerimento: Controllare se l'SRTP si trovaontra CUBE e i telefoni degli agenti (198.18.133.75). In caso affermativo, viene confermato che il traffico RTP tra CUBE e l'agente è sicuro.

6. Inoltre, una volta connessa la chiamata, sul dispositivo agente viene visualizzato un blocco di sicurezza. Ciò conferma anche che il traffico RTP è sicuro.
   
   

Per verificare che i segnali SIP siano protetti correttamente, fare riferimento all'articolo Configure Secure SIP Signaling.