Inleiding
In dit document wordt beschreven hoe u de SIP-signalering (Session Initiation Protocol) kunt beveiligen in de uitgebreide oproepstroom van Contact Center Enterprise (CCE).
Voorwaarden
Het genereren en importeren van certificaten valt buiten het bereik van dit document, dus certificaten voor Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP)-callserver, Cisco Virtual Voice Browser (CVVB) en Cisco Unified Border Element (CUBE) moeten worden gemaakt en geïmporteerd in de respectieve componenten. Als u zelf ondertekende certificaten gebruikt, moet certificaatuitwisseling tussen verschillende componenten worden uitgevoerd.
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
Gebruikte componenten
De informatie in dit document is gebaseerd op Package Contact Center Enterprise (PCCE), CVP, CVVB en CUCM versie 12.6, maar is ook van toepassing op de eerdere versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Het volgende diagram toont de componenten die betrokken zijn bij SIP-signalering in de uitgebreide oproepstroom van het contactcentrum. Wanneer een spraakoproep naar het systeem komt, komt deze eerst via de ingangsgateway of CUBE, dus start beveiligde SIP-configuraties op CUBE. Configureer vervolgens CVP, CVVB en CUCM.

Taak 1. CUBE Secure Configuration
Configureer in deze taak CUBE om de SIP-protocolberichten te beveiligen.
Vereiste configuraties:
- Een standaard Trustpoint configureren voor de SIP User Agent (UA)
- Wijzig de inbelpeers om Transport Layer Security (TLS) te gebruiken
Stappen:
- Open Secure Shell (SSH) sessie naar CUBE.
- Voer deze opdrachten uit zodat de SIP-stapel het certificaat Certificate Authority (CA) van de CUBE gebruikt. CUBE zorgt voor een SIP TLS-verbinding van/naar CUCM (198.18.133.3) en CVP (198.18.133.13).
conf t
sip-ua
transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- Voer deze opdrachten uit om TLS in te schakelen op de uitgaande kiesschijf peer to CVP. In dit voorbeeld wordt dial-peer tag 6000 gebruikt om oproepen naar CVP te routeren.
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
exit

Taak 2. CVP Secure-configuratie
Configureer in deze taak de CVP-oproepserver om de SIP-protocolberichten (SIP TLS) te beveiligen.
Stappen:
- Log in bij
UCCE Web Administration
.
- Navigeer naar
Call Settings > Route Settings > SIP Server Group
.

Op basis van uw configuraties hebt u SIP-servergroepen geconfigureerd voor CUCM, CVVB en CUBE. U moet voor alle SIP-poorten 5061 instellen. In dit voorbeeld worden deze SIP-servergroepen gebruikt:
cucm1.dcloud.cisco.com
voor CUCM
vvb1.dcloud.cisco.com
voor CVVB
cube1.dcloud.cisco.com
voor CUBE
- Klik op
cucm1.dcloud.cisco.com
en vervolgens op hetMembers
tabblad, dat de details van de groepsconfiguratie van de SIP-server weergeeft. InstellenSecurePort
op en5061
klikken Save
.

- Klik op
vvb1.dcloud.cisco.com
en vervolgens op hetMembers
tabblad. Stel SecurePort in op5061
en klik opSave
.

Taak 3. CVVB Secure Configuration
In deze taak configureert u CVVB om de SIP-protocolberichten (SIP TLS) te beveiligen.
Stappen:
- Log in
Cisco VVB Administration
topage.
- Navigeer naar
System > System Parameters
Europa.

- Kies in het
Security Parameters
gedeelteEnable
voor TLS(SIP)
. BlijfSupported TLS(SIP) version
zoalsTLSv1.2
jij.

- Klik op Bijwerken. Klik
Ok
wanneer u wordt gevraagd de CVVB-engine opnieuw te starten.

- Deze veranderingen vereisen een herstart van de Cisco VVB-engine. Om de VVB-engine opnieuw te starten, navigeert u naar
Cisco VVB Serviceability
en klikt uGo
op.

- Navigeer naar
Tools > Control Center – Network Services
.

- Kies
Engine
en klikRestart
op.

Taak 4. CUCM Secure Configuration
Voer de volgende configuraties uit om SIP-berichten op CUCM te beveiligen:
- CUCM-beveiligingsmodus instellen op Gemengde modus
- SIP Trunk-beveiligingsprofielen configureren voor CUBE en CVP
- Beveiligingsprofielen van SIP Trunk koppelen aan respectieve SIP Trunks
- Apparaatcommunicatie van beveiligde agents met CUCM
CUCM-beveiligingsmodus instellen op Gemengde modus
CUCM ondersteunt twee beveiligingsmodi:
- Niet-beveiligde modus (standaardmodus)
- Gemengde modus (veilige modus)
Stappen:
- Meld u aan bij de
Cisco Unified CM Administration
interface om de beveiligingsmodus in te stellen op Gemengde modus.

- Nadat u met succes bent ingelogd op CUCM, navigeert u naar
System > Enterprise Parameters
.

- Controleer onder het
Security Parameters
gedeelte ofCluster Security Mode
is ingesteld op0
.

- Als de beveiligingsmodus voor clusters is ingesteld op 0, betekent dit dat de beveiligingsmodus voor clusters is ingesteld op niet-beveiligd. U moet de gemengde modus van CLI inschakelen.
- Open een SSH-sessie naar de CUCM.
- Voer deze opdracht uit nadat u zich via SSH hebt aangemeld bij CUCM:
utils ctl set-cluster mixed-mode
- Typ
y
en klik op Enter wanneer u daarom wordt gevraagd. Met deze opdracht wordt de beveiligingsmodus voor het cluster ingesteld op de modus voor gemengd.

- De wijzigingen kunnen pas van kracht worden als u opnieuw start
Cisco CallManager
enCisco CTIManager
services aanbiedt.
- Om de services opnieuw op te starten, navigeert u en logt u in op
Cisco Unified Serviceability
.

- Nadat u bent ingelogd, navigeert u naar
Tools > Control Center – Feature Services
.

- Kies de server en klik op
Go
.

- Kies onder de CM-services
Cisco CallManager
en klik op deRestart
knop boven aan de pagina.

- Bevestig het pop-upbericht en klik op
OK
. Wacht tot de service opnieuw is gestart.

- Nadat de
Cisco CallManager
service opnieuw is gestart, kiest u CiscoCTIManager
en klikt u op deRestart
Cisco CTIManager
knop om de service opnieuw te starten.

- Bevestig het pop-upbericht en klik op
OK
. Wacht tot de service opnieuw is gestart.

- Nadat de services opnieuw zijn gestart, controleert u of de clusterbeveiligingsmodus is ingesteld op de gemengde modus en navigeert u naar CUCM-beheer, zoals uitgelegd in stap 5. Controleer vervolgens de
Cluster Security Mode
. Nu moet het op1
nul worden gezet.

SIP Trunk-beveiligingsprofielen configureren voor CUBE en CVP
Stappen:
- Log in op de
CUCM administration
interface.
- Nadat u zich succesvol hebt aangemeld bij CUCM, navigeert u naar om een
System > Security > SIP Trunk Security Profile
apparaatbeveiligingsprofiel voor CUBE te maken.

- Klik linksboven op
Add New
om een nieuw profiel toe te voegen.

- Configureer
SIP Trunk Security Profile
zoals weergegeven in deze afbeelding en klikSave
linksonder op de pagina om deze teSave
openen.

5. Zorg ervoor dat deSecure Certificate Subject or Subject Alternate Name
naam wordt ingesteld op de gemeenschappelijke benaming (GN) van het certificaat CUBE, zoals deze moet overeenkomen.
6. Klik op deCopy
knop en wijzig deName
naarSecureSipTLSforCVP
en de Secure Certificate Subject
naar de CN van het CVP-callservercertificaat, omdat deze moet overeenkomen. Klik op deSave
knop.

Beveiligingsprofielen van SIP Trunk koppelen aan respectieve SIP Trunks
Stappen:
- Navigeer op de pagina CUCM-beheer naar
Device > Trunk
.

- Zoeken naar CUBE trunk. In dit voorbeeld is de naam CUBE trunk
vCube
. Klik op de knop .Find

- Klik op vCUBE om de configuratiepagina van de vCUBE-trunk te openen.
- Scroll naar beneden naar
SIP Information
sectie en verander deDestination Port
richting 5061
.
- Veranderen
SIP Trunk Security Profile
naarSecureSIPTLSForCube
school.

- Klik
Save
vervolgens opRest
om wijzigingen toe teSave
passen en te wijzigen.


- Navigeer naar
Device > Trunk
en zoek naar CVP-trunk. In dit voorbeeld is de naam van de CVP-stam cvp-SIP-Trunk
. Klik op de knop .Find

- Klik
CVP-SIP-Trunk
om de CVP trunk configuratiepagina te openen.
- Scroll naar beneden naar
SIP Information
sectie en veranderDestination Port
in 5061
.
- Veranderen
SIP Trunk Security Profile
naarSecureSIPTLSForCvp
Lexus.

- Klik
Save
vervolgens opRest
om wijzigingen toe te save
passen.


Apparaatcommunicatie van beveiligde agents met CUCM
Om beveiligingsfuncties voor een apparaat in te schakelen, moet u een lokaal significant certificaat (LSC) installeren en een beveiligingsprofiel aan dat apparaat toewijzen. De LSC beschikt over de publieke sleutel voor het eindpunt, die is ondertekend door de private sleutel van de Certificate Authority Proxy Function (CAPF). Het is standaard niet geïnstalleerd op telefoons.
Stappen:
- Log in bij
Cisco Unified Serviceability Interface
.
- Navigeer naar
Tools > Service Activation
.

- Kies de CUCM-server en klik op
Go
.

- Controleer
Cisco Certificate Authority Proxy Function
en klikSave
om de service te activeren. KlikOk
om te bevestigen.

- Zorg ervoor dat de service is geactiveerd en navigeer vervolgens naar
Cisco Unified CM Administration
.

- Nadat u zich met succes hebt aangemeld bij CUCM-beheer, navigeert u naar
System > Security > Phone Security Profile
om een apparaatbeveiligingsprofiel voor het agentapparaat te maken.

- Zoek de beveiligingsprofielen die overeenkomen met het apparaattype van uw agent. In dit voorbeeld wordt een zachte telefoon gebruikt, dus kies
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Klik op de knop Copy
om dit profiel te kopiëren.

- Wijzig de naam van het profiel in
Cisco Unified Client Services Framework - Secure Profile
, wijzig de parameters zoals weergegeven in deze afbeelding en klik links bovenaan de pagina opSave
.

- Nadat het profiel van het telefoonapparaat is gemaakt, navigeert u naar
Device > Phone
.

- Klik op
Find
om alle beschikbare telefoons weer te geven en klik vervolgens op Telefoonagent.
- De configuratiepagina van de telefoonagent wordt geopend. Zoeken naar
Certification Authority Proxy Function (CAPF) Information
sectie. Om LSC te installeren, moet u dezeCertificate Operation
opInstall/Upgrade
en op een toekomstige datumOperation Completes by
instellen.

- Zoeken naar
Protocol Specific Information
sectie. VeranderenDevice Security Profile
naarCisco Unified Client Services Framework – Secure Profile
school.

- Klik linksboven
Save
op de pagina. Controleer of de wijzigingen zijn opgeslagen en klik opReset
.

- Er wordt een pop-upvenster geopend. Klik hierop om
Reset
de actie te bevestigen.

- Nadat het agentapparaat zich opnieuw heeft geregistreerd bij CUCM, moet u de huidige pagina vernieuwen en controleren of de LSC is geïnstalleerd. Controleer
Certification Authority Proxy Function (CAPF) Information
sectie,Certificate Operation
moet worden ingesteld opNo Pending Operation
, en is ingesteldCertificate Operation Status
opUpgrade Success
.

- Verwijs stappen. 7-13 om andere agents en apparaten die u wilt gebruiken om SIP met CUCM te beveiligen.
Verifiëren
Voer de volgende stappen uit om te controleren of de SIP-signalering goed is beveiligd:
- Open SSH-sessie naar vCUBE, voer de opdracht uit
show sip-ua connections tcp tls detail
en bevestig dat er momenteel geen TLS-verbinding met CVP is gemaakt (198.18.133.13).

Opmerking: op dit moment is slechts één actieve TLS-sessie met CUCM voor SIP-opties ingeschakeld op CUCM (198.18.133.3). Als geen SIP-opties zijn ingeschakeld, bestaat er geen SIP TLS-verbinding.
- Meld u aan bij CVP en start Wireshark.
- Maak een proefgesprek met het nummer van het contactcentrum.
- Navigeer naar de CVP-sessie; voer op Wireshark dit filter uit om SIP-signalering met CUBE te controleren:
ip.addr == 198.18.133.226 && tls && tcp.port==5061

Controleer: is SIP over TLS-verbinding tot stand gebracht? Zo ja, dan bevestigt de uitvoer dat SIP-signalen tussen CVP en CUBE zijn beveiligd.
5. Controleer de SIP TLS-verbinding tussen CVP en CVVB. Voer in dezelfde Wireshark-sessie dit filter uit:
ip.addr == 198.18.133.143 && tls && tcp.port==5061

Controleer: is SIP over TLS-verbinding tot stand gebracht? Zo ja, dan bevestigt de uitgang dat SIP-signalen tussen CVP en CVVB zijn beveiligd.
6. U kunt de SIP TLS-verbinding met CVP ook controleren vanuit CUBE. Navigeer naar de vCUBE SSH-sessie en voer deze opdracht uit om beveiligde sip-signalen te controleren:
show sip-ua connections tcp tls detail

Controleer: is SIP over TLS-verbinding tot stand gebracht met CVP? Zo ja, dan bevestigt de uitvoer dat SIP-signalen tussen CVP en CUBE zijn beveiligd.
7. Op dit moment is de oproep actief en hoort u Music on Hold (MOH) omdat er geen agent beschikbaar is om de oproep te beantwoorden.
8. De agent beschikbaar stellen om de oproep te beantwoorden.
.
9. Agent wordt gereserveerd en de oproep wordt naar hem / haar doorgestuurd. KlikAnswer
om de oproep te beantwoorden.

10. Oproep maakt verbinding met de agent.
11. Om SIP-signalen tussen CVP en CUCM te verifiëren, navigeert u naar de CVP-sessie en voert u dit filter uit in Wireshark:
ip.addr == 198.18.133.3 && tls && tcp.port==5061

Controleer: zijn alle SIP-communicatie met CUCM (198.18.133.3) via TLS? Zo ja, dan bevestigt de uitvoer dat SIP-signalen tussen CVP en CUCM zijn beveiligd.
Problemen oplossen
Als TLS niet is ingesteld, voert u deze opdrachten uit op CUBE om foutopsporingssoftware voor TLS in te schakelen voor het oplossen van problemen:
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states