Configurar a sinalização SIP segura no Contact Center Enterprise

Introdução

Este documento descreve como proteger a sinalização do Session Initiation Protocol (SIP) no fluxo de chamadas abrangente do Contact Center Enterprise (CCE).

Pré-requisitos

A geração e a importação de certificados estão fora do escopo deste documento, portanto, os certificados para o Cisco Unified Communication Manager (CUCM), o servidor de chamadas do Customer Voice Portal (CVP), o Cisco Virtual Voice Browser (CVB) e o Cisco Unified Border Element (CUBE) devem ser criados e importados para os respectivos componentes. Se você usar certificados autoassinados, a troca de certificados deve ser feita entre componentes diferentes.

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• CCE
• CVP
• CUBO
• CUCM
• CVB

Componentes Utilizados

As informações neste documento são baseadas no Package Contact Center Enterprise (PCCE), CVP, CVB e CUCM versão 12.6, mas também se aplicam às versões anteriores.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

O próximo diagrama mostra os componentes envolvidos na sinalização SIP no fluxo de chamadas abrangente da central de contatos. Quando uma chamada de voz chega ao sistema, primeiro vem através do gateway de entrada ou CUBE, portanto, inicie configurações SIP seguras no CUBE. Em seguida, configure CVP, CVB e CUCM.

Tarefa 1. Configuração segura do CUBE

Nesta tarefa, configure o CUBE para proteger as mensagens do protocolo SIP.

Configurações necessárias:

• Configurar um ponto de confiança padrão para o agente de usuário (UA) do SIP
• Modifique os correspondentes de discagem para usar o protocolo TLS

Etapas:

1. Abra a sessão Secure Shell (SSH) para o CUBE.
2. Execute esses comandos para que a pilha SIP use o certificado de Autoridade de certificação (CA) do CUBE. O CUBE estabelece uma conexão SIP TLS de/para CUCM (198.18.133.3) e CVP (198.18.133.13).

conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

3. Execute estes comandos para ativar o TLS no peer de discagem de saída para o CVP. Neste exemplo, a tag de peer de discagem 6000 é usada para rotear chamadas para o CVP.

Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

Tarefa 2. Configuração segura do CVP

Nesta tarefa, configure o servidor de chamadas CVP para proteger as mensagens de protocolo SIP (SIP TLS).

Etapas:

1. Faça login noUCCE Web Administration.
2. Navegue até  Call Settings > Route Settings > SIP Server Group.
   

Com base em suas configurações, você tem grupos de servidores SIP configurados para CUCM, CVB e CUBE. Você precisa definir portas SIP seguras como 5061 para todas elas. Neste exemplo, estes grupos de servidores SIP são usados:

• cucm1.dcloud.cisco.com para CUCM
• vvb1.dcloud.cisco.com para CVVB
• cube1.dcloud.cisco.com  para CUBE

3. Clique emcucm1.dcloud.cisco.come, em seguida, naMembersguia, que mostra os detalhes da configuração do grupo de servidores SIP. DefinaSecurePortcomo5061e clique em  Save .
   
   

4. Clique emvvb1.dcloud.cisco.come, em seguida, naMembersguia. Defina SecurePort como5061e clique emSave.
   
   

Tarefa 3. Configuração segura do CVB

Nesta tarefa, configure o CVB para proteger as mensagens de protocolo SIP (SIP TLS).

Etapas:

1. Faça login  Cisco VVB Administration  na página.
2. Navegue atéSystem > System Parameters.
   
   

3. Na Security Parametersseção, escolhaEnablepara TLS(SIP). Mantenha Supported TLS(SIP) versioncomo TLSv1.2.
   
   

4. Clique em Update. CliqueOkquando solicitado para reiniciar o mecanismo CVB.
   
   

5. Essas alterações exigem uma reinicialização do mecanismo Cisco VB. Para reiniciar o mecanismo do VVB, navegue paraCisco VVB Serviceabilitye clique emGo.
   
   

6. Navegue até  Tools > Control Center – Network Services.


7. EscolhaEnginee clique emRestart.
   
   

Tarefa 4. Configuração segura do CUCM

Para proteger as mensagens SIP no CUCM, execute as próximas configurações:

• Definir o modo de segurança do CUCM para o modo misto
• Configurar perfis de segurança de tronco SIP para CUBE e CVP
• Associar perfis de segurança de tronco SIP aos respectivos troncos SIP
• Comunicação segura de dispositivos de agentes com o CUCM

Definir o modo de segurança do CUCM para o modo misto

O CUCM suporta dois modos de segurança:

• Modo não seguro (modo padrão)
• Modo misto (modo seguro)

Etapas:

1. Para definir o modo de segurança como Mixed Mode, faça login naCisco Unified CM Administrationinterface.
   
   

2. Depois de fazer login com êxito no CUCM, navegue atéSystem > Enterprise Parameters.
   
   

3. Abaixo da Security Parameters Seção, verifique seCluster Security Modeestá definido como0.
   
   

4. Se o Modo de segurança de cluster estiver definido como 0, isso significa que o modo de segurança de cluster está definido como não seguro. Você precisa ativar o modo misto a partir do CLI.
5. Abra uma sessão SSH para o CUCM.
6. Depois de fazer login com êxito no CUCM via SSH, execute este comando: utils ctl set-cluster mixed-mode

7. Digiteye clique em Enter quando solicitado. Este comando define o modo de segurança de cluster para o modo misto.
   
   

8. Para que as alterações entrem em vigor, reinicieCisco CallManagereCisco CTIManagerserviços.
9. Para reiniciar os serviços, navegue e faça login no Cisco Unified Serviceability.
   
   

10. Depois de fazer login com êxito, navegue atéTools > Control Center – Feature Services.
    
    

11. Escolha o servidor e clique emGo.
    
    

12. Abaixo dos serviços CM, escolha Cisco CallManager  e clique noRestartbotão na parte superior da página.
    
    

13. Confirme a mensagem pop-up e clique emOK. Aguarde até que o serviço seja reiniciado com êxito.
    
    

14. Após uma reinicialização bem-sucedida doCisco CallManager, escolha CiscoCTIManagere clique noRestartbotão para reiniciar oCisco CTIManagerserviço.
    
    

15. Confirme a mensagem pop-up e clique emOK. Aguarde até que o serviço seja reiniciado com êxito.
    
    

16. Depois que os serviços forem reiniciados com êxito, verifique se o modo de segurança do cluster está definido como modo misto, navegue até a administração do CUCM conforme explicado na Etapa 5. em seguida, verifique oCluster Security Mode. Agora ele deve ser definido como1.
    
    

Configurar perfis de segurança de tronco SIP para CUBE e CVP

Etapas:

1. Faça login naCUCM administrationinterface.
2. Após fazer login com êxito no CUCM, navegue para System > Security > SIP Trunk Security Profile  a para criar um perfil de segurança de dispositivo para o CUBE.
   
   

3. Na parte superior esquerda, cliqueAdd Newpara adicionar um novo perfil.
   
   

4. ConfigureSIP Trunk Security Profileconforme mostrado nesta imagem e clique emSavena parte inferior esquerda da página paraSavela.
   
   

5. Certifique-se de definir oSecure Certificate Subject or Subject Alternate Namepara o Nome comum (CN) do certificado CUBE, pois ele deve ser correspondente.

6. Clique noCopybotão e altere oNameparaSecureSipTLSforCVP e o Secure Certificate Subject para o CN do certificado do servidor de chamada CVP, pois ele deve corresponder. Clique noSavebotão.

Associar perfis de segurança de tronco SIP aos respectivos troncos SIP

Etapas:

1. Na página Administração do CUCM, navegue paraDevice > Trunk.
   
   

2. Procure o tronco CUBE. Neste exemplo, o nome do tronco CUBE é vCube. CliqueFind.
   
   

3. Clique em vCUBE para abrir a página de configuração do tronco vCUBE.
4. Role para baixo atéSIP Informationsection e altere oDestination Portpara 5061.
5. AltereSIP Trunk Security ProfileparaSecureSIPTLSForCube.
   
   

6. Clique emSavethenRestparaSavee aplicar as alterações.
   
   

7. Navegue atéDevice > Trunke procure o tronco CVP. Neste exemplo, o nome do tronco CVP é cvp-SIP-Trunk. CliqueFind.
   
   

8. CliqueCVP-SIP-Trunkpara abrir a página de configuração do tronco CVP.
9. Role para baixo atéSIP Informationsection e altereDestination Portpara 5061.
10. AltereSIP Trunk Security ProfileparaSecureSIPTLSForCvp.
    
    

11. Clique emSavethenRestpara save e aplicar as alterações.
    
    

Comunicação segura de dispositivos de agentes com o CUCM

Para habilitar recursos de segurança para um dispositivo, você deve instalar um LSC (Locally Significant Certificate) e atribuir um perfil de segurança a esse dispositivo. O LSC possui a chave pública para o ponto final, que é assinada pela chave privada CAPF (Certificate Authority Proxy Function). Por padrão, ele não é instalado nos telefones.

Etapas:

1. Faça login noCisco Unified Serviceability Interface.
2. Navegue até  Tools > Service Activation.
   
   

3. Escolha o servidor CUCM e clique em  Go .
   
   

4. MarqueCisco Certificate Authority Proxy Functione clique emSavepara ativar o serviço. CliqueOkpara confirmar.
   
   

5. Verifique se o serviço está ativado e navegue atéCisco Unified CM Administration.
   
   

6. Depois de fazer login com êxito na administração do CUCM, navegue paraSystem > Security > Phone Security Profilepara criar um perfil de segurança de dispositivo para o dispositivo do agente.
   
   

7. Localize os perfis de segurança de acordo com o tipo de dispositivo do seu agente. Neste exemplo, um softphone é usado, então escolha Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile. Clique Copy para copiar este perfil.
   
   

8. Renomeie o perfil paraCisco Unified Client Services Framework - Secure Profile, altere os parâmetros como mostrado nesta imagem e cliqueSaveno canto superior esquerdo da página.
   
   

9. Após a criação bem-sucedida do perfil do dispositivo telefônico, navegue atéDevice > Phone.
   
   

10. CliqueFindpara listar todos os telefones disponíveis e, em seguida, clique em telefone do agente.
11. A página Configuração do telefone do agente é aberta. LocalizarCertification Authority Proxy Function (CAPF) Informationseção. Para instalar o LSC, definaCertificate OperationcomoInstall/UpgradeeOperation Completes bycomo qualquer data futura.
    
    

12. LocalizarProtocol Specific Informationseção. AltereDevice Security ProfileparaCisco Unified Client Services Framework – Secure Profile.
    
    

13. CliqueSavena parte superior esquerda da página. Verifique se as alterações foram salvas com êxito e clique emReset.
    
    

14. Uma janela pop-up será aberta. CliqueResetpara confirmar a ação.
    
    

15. Depois que o dispositivo do agente se registrar novamente no CUCM, atualize a página atual e verifique se o LSC foi instalado com êxito. A seção de verificaçãoCertification Authority Proxy Function (CAPF) Information,Certificate Operationdeve ser definida comoNo Pending Operation, eCertificate Operation Statusestá definida comoUpgrade Success.
    
    

16. Consulte as Etapas. 7-13 para proteger outros dispositivos de agentes que você deseja usar para proteger o SIP com o CUCM.

Verificar

Para validar se a sinalização SIP está protegida corretamente, execute estas etapas:

1. Abra a sessão SSH para o vCUBE, execute o comandoshow sip-ua connections tcp tls detaile confirme se não há conexão TLS estabelecida no momento com o CVP (198.18.133.13).
   
   

Note: Neste momento, apenas uma sessão TLS ativa com CUCM, para opções SIP, está habilitada no CUCM (198.18.133.3). Se nenhuma opção SIP estiver habilitada, não haverá conexão SIP TLS.

2. Faça login no CVP e inicie o Wireshark.
3. Faça uma chamada de teste para o número da central de contatos.
4. Navegar para a sessão do CVP; no Wireshark, execute este filtro para verificar a sinalização SIP com CUBE:
   ip.addr == 198.18.133.226 && tls && tcp.port==5061
   
   

Verificar: A conexão SIP sobre TLS foi estabelecida? Se sim, a saída confirma que os sinais SIP entre o CVP e o CUBE estão protegidos.

5. Verifique a conexão SIP TLS entre o CVP e o CVB. Na mesma sessão do Wireshark, execute este filtro:

ip.addr == 198.18.133.143 && tls && tcp.port==5061

Verificar: A conexão SIP sobre TLS foi estabelecida? Se sim, a saída confirma que os sinais SIP entre o CVP e o CVB estão protegidos.

6. Você também pode verificar a conexão SIP TLS com o CVP a partir do CUBE. Navegue até a sessão vCUBE SSH e execute este comando para verificar os sinais sip seguros:
show sip-ua connections tcp tls detail

Verificar: A conexão SIP sobre TLS foi estabelecida com o CVP? Se sim, a saída confirma que os sinais SIP entre o CVP e o CUBE estão protegidos.

7. Neste momento, a chamada está ativa e você ouve o Music on Hold (MOH), pois não há agente disponível para atender a chamada.

8. Disponibilize o agente para atender a chamada.

.

9. O agente é reservado e a chamada é roteada para ele. CliqueAnswerpara atender a chamada.

10. A chamada se conecta ao agente.

11. Para verificar os sinais SIP entre o CVP e o CUCM, navegue para a sessão CVP e execute este filtro no Wireshark:
ip.addr == 198.18.133.3 && tls && tcp.port==5061

Verificar: Todas as comunicações SIP são feitas com CUCM (198.18.133.3) sobre TLS? Se sim, a saída confirma que os sinais SIP entre o CVP e o CUCM estão protegidos.

Troubleshooting

Se o TLS não estiver estabelecido, execute estes comandos no CUBE para permitir que o TLS de depuração solucione problemas:

• Debug ssl openssl errors
• Debug ssl openssl msg
• Debug ssl openssl states