Configurar o RTP seguro no Contact Center Enterprise

Introdução

Este documento descreve como proteger o tráfego do protocolo de transporte em tempo real (SRTP) no fluxo de chamadas abrangente do Contact Center Enterprise (CCE).

Pré-requisitos

A geração e a importação de certificados estão fora do escopo deste documento, portanto, os certificados do Cisco Unified Communication Manager (CUCM), do Customer Voice Portal (CVP) Call Server, do Cisco Virtual Voice Browser (CVB) e do Cisco Unified Border Element (CUBE) devem ser criados e importados para os respectivos componentes. Se você usar certificados autoassinados, a troca de certificados deve ser feita entre componentes diferentes.

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• CCE
• CVP
• CUBO
• CUCM
• CVB

Componentes Utilizados

As informações neste documento são baseadas no Package Contact Center Enterprise (PCCE), CVP, CVB e CUCM versão 12.6, mas também se aplicam às versões anteriores.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Note: No fluxo de chamadas abrangente da central de contatos, para habilitar o RTP seguro, sinais SIP seguros devem ser habilitados. Portanto, as configurações neste documento habilitam o SIP e o SRTP seguros.

O próximo diagrama mostra os componentes envolvidos em sinais SIP e RTP no fluxo de chamadas abrangente da central de contatos. Quando uma chamada de voz chega ao sistema, ela vem primeiro através do gateway de entrada ou CUBE, portanto, inicie as configurações no CUBE. Em seguida, configure CVP, CVB e CUCM.

Tarefa 1: Configuração segura do CUBE

Nesta tarefa, você configura o CUBE para proteger mensagens de protocolo SIP e RTP.

Configurações necessárias:

• Configurar um ponto de confiança padrão para o SIP UA
• Modifique os correspondentes de discagem para usar TLS e SRTP

Etapas:

1. Abra uma sessão SSH para o CUBE.

2. Execute esses comandos para que a pilha SIP use o certificado CA do CUBE. O CUBE estabelece uma conexão SIP TLS de/para o CUCM (198.18.133.3) e o CVP (198.18.133.13):

Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

3. Execute estes comandos para ativar o TLS no peer de discagem de saída para o CVP. Neste exemplo, a tag de peer de discagem 6000 é usada para rotear chamadas para o CVP:

Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

Tarefa 2: Configuração segura do CVP

Nesta tarefa, configure o servidor de chamadas CVP para proteger as mensagens de protocolo SIP (SIP TLS).

Etapas:

1. Faça login noUCCE Web Administration.
2. Navegue atéCall Settings > Route Settings > SIP Server Group.
   
   

Com base em suas configurações, você tem Grupos de servidores SIP configurados para CUCM, CVB e CUBE. Você precisa definir portas SIP seguras como 5061 para todas elas. Neste exemplo, estes grupos de servidores SIP são usados:

• cucm1.dcloud.cisco.com para CUCM
• vvb1.dcloud.cisco.com para CVVB
• cube1.dcloud.cisco.com  para CUBE

3. Clique emcucm1.dcloud.cisco.come, em seguida, naMembersguia que mostra os detalhes das Configurações do grupo de servidores SIP. DefinaSecurePortcomo5061e clique emSave.
   
   

4. Clique emvvb1.dcloud.cisco.come, em seguida, naMembersguia, defina oSecurePortcomo5061e clique emSave.
   
   

Tarefa 3: Configuração segura do CVB

Nesta tarefa, configure o CVB para proteger as mensagens do protocolo SIP (SIP TLS) e o SRTP.

Etapas:

1. Abra aCisco VVB Adminpágina.
2. Navegue atéSystem > System Parameters.
   
   

3. NaSecurity Parametersseção, escolhaEnableparaTLS (SIP) . Mantenha oSupported TLS(SIP) version as TLSv1.2e escolhaEnableparaSRTP.
   
   

4. Clique em .Update CliqueOkquando solicitado para reiniciar o mecanismo CVB.
   
   

5. Essas alterações exigem uma reinicialização do mecanismo Cisco VB. Para reiniciar o mecanismo do VVB, navegue para oCisco VVB Serviceabilitye clique emGo.
   
   

6. Navegue atéTools > Control Center – Network Services.
   
   

7. EscolhaEnginee clique emRestart.
   
   

Tarefa 4: Configuração segura do CUCM

Para proteger mensagens SIP e RTP no CUCM, execute estas configurações:

• Definir o modo de segurança do CUCM para o modo misto
• Configurar perfis de segurança de tronco SIP para CUBE e CVP
• Associe perfis de segurança de tronco SIP aos respectivos troncos SIP e habilite o SRTP
• Comunicação de dispositivo de Agentes Seguros com CUCM

Definir o modo de segurança do CUCM para o modo misto

O CUCM suporta dois modos de segurança:

• Modo não seguro (modo padrão)
• Modo misto (modo seguro)

Etapas:

1. Faça login na interface de administração do CUCM.
   
   

2. Ao fazer login no CUCM, você pode navegar paraSystem > Enterprise Parameters.
   
   

3. NaSecurity Parametersseção, verifique seCluster Security Modeestá definido como0.
   
   

4. Se o Modo de Segurança de Cluster estiver definido como 0, isso significa que o modo de segurança de cluster está definido como não seguro. Você precisa ativar o modo misto a partir do CLI.
5. Abra uma sessão SSH para o CUCM.
6. Após o login bem-sucedido no CUCM via SSH, execute este comando:

utils ctl set-cluster mixed-mode

7. Digiteye cliqueEnterquando solicitado. Este comando define o modo de segurança de cluster para o modo misto.
   
   

8. Para que as alterações entrem em vigor, reinicie os serviçosCisco CallManagereCisco CTIManager.
9. Para reiniciar os serviços, navegue e faça login noCisco Unified Serviceability.
   
   

10. Após o login bem-sucedido, navegue atéTools > Control Center – Feature Services.
    
    

11. Escolha o servidor e clique emGo.
    
    

12. Abaixo dos serviços CM, escolha o botãoCisco CallManagere, em seguida, clique noRestartbotão na parte superior da página.
    
    

13. Confirme a mensagem pop-up e clique emOK. Aguarde até que o serviço seja reiniciado com êxito.
    
    

14. Após a reinicialização bem-sucedida doCisco CallManager, escolha oCisco CTIManagere clique noRestartbotão para reiniciar  Cisco CTIManager serviço.
    
    

15. Confirme a mensagem pop-up e clique emOK. Aguarde até que o serviço seja reiniciado com êxito.
    
    

16. Após a reinicialização bem-sucedida dos serviços, para verificar se o modo de segurança do cluster está definido como modo misto, navegue até a administração do CUCM, conforme explicado na Etapa 5. e verifique oCluster Security Mode. Agora ele deve ser definido como1.
    
    

Configurar perfis de segurança de tronco SIP para CUBE e CVP

Etapas:

1. Faça login na interface de administração do CUCM.
2. Após fazer login com êxito no CUCM, navegue atéSystem > Security > SIP Trunk Security Profilepara criar um perfil de segurança de dispositivo para o CUBE.
   
   

3. Na parte superior esquerda, clique em Add New para adicionar um novo perfil.
   
   

4. ConfigureSIP Trunk Security Profilecomo esta imagem e clique emSavena parte inferior esquerda da página.
   
   

5. Certifique-se de definir oSecure Certificate Subject or Subject Alternate Namepara o Nome comum (CN) do certificado CUBE, pois ele deve ser correspondente.

6. Clique noCopybotão e altere oNameparaSecureSipTLSforCVP. AltereSecure Certificate Subjectpara o CN do certificado de servidor de chamada CVP, pois ele deve corresponder. Clique noSave  botão .

Associe perfis de segurança de tronco SIP aos respectivos troncos SIP e habilite o SRTP

Etapas:

1. Na página Administração do CUCM, navegue paraDevice > Trunk.
   
   

2. Procure o tronco CUBE. Neste exemplo, o nome do tronco CUBE évCubee, em seguida, clique emFind.
   
   

3. CliquevCUBEpara abrir a página de configuração do tronco vCUBE.
4. NaDevice Informationseção, marque a caixaSRTP Allowedde seleção para habilitar o SRTP.
   
   

5. Role para baixo até a seçãoSIP Informatione altere oDestination Portpara5061.
6. AltereSIP Trunk Security ProfileparaSecureSIPTLSForCube.
   
   

7. Clique emSave, em seguidaRest, em save e aplique as alterações.
   
   

8. Navegue atéDevice > Trunk, procure por tronco CVP, neste exemplo, o nome do tronco CVP écvp-SIP-Trunk. Clique em .Find
   
   

9. CliqueCVP-SIP-Trunkpara abrir a página de configuração do tronco CVP.
10. NaDevice Informationseção, marqueSRTP Alloweda caixa de seleção para habilitar o SRTP.
    
    

11. Role para baixo até a seçãoSIP Informatione altere oDestination Portpara5061.
12. AltereSIP Trunk Security ProfileparaSecureSIPTLSForCvp.
    
    

13. Clique emSavee emRestpara save e aplicar as alterações.
    
    

Comunicação segura de dispositivos de agentes com o CUCM

Para habilitar recursos de segurança para um dispositivo, você deve instalar um LSC (Locally Significant Certificate) e atribuir o perfil de segurança a esse dispositivo. O LSC possui a chave pública para o endpoint, que é assinada pela chave privada CUCM CAPF. Por padrão, ele não é instalado nos telefones.

Etapas:

1. Faça login naCisco Unified Serviceabilityinterface.
2. Navegue atéTools > Service Activation.
   
   

3. Escolha o servidor CUCM e clique emGo.
   
   

4. MarqueCisco Certificate Authority Proxy Functione clique emSave  para ativar o serviço. CliqueOkpara confirmar.
   
   

5. Verifique se o serviço está ativado e navegue até a administração do CUCM.
   
   

6. Após o login bem-sucedido na administração do CUCM, navegue atéSystem > Security > Phone Security Profilepara criar um perfil de segurança de dispositivo para o dispositivo do agente.
   
   

7. Localize o perfil de segurança referente ao seu tipo de dispositivo de agente. Neste exemplo, um softphone é usado, então escolhaCisco Unified Client Services Framework - Standard SIP Non-Secure Profile. Clique no ícone copiar para copiar este perfil.
   
   

8. Renomeie o perfil comoCisco Unified Client Services Framework - Secure Profile. Altere os parâmetros como nesta imagem e clique em  Save  na parte superior esquerda da página.
   
   

9. Após a criação bem-sucedida do perfil do dispositivo telefônico, navegue atéDevice > Phone.
   
   

10. CliqueFindpara listar todos os telefones disponíveis e clique em telefone do agente.
11. A página Configuração do telefone do agente é aberta. LocalizarCertification Authority Proxy Function (CAPF) Informationseção. Para instalar o LSC, definaCertificate OperationcomoInstall/UpgradeeOperation Completes bycomo qualquer data futura.
    
    

12. LocalizeProtocol Specific Informationa seção e altere oDevice Security ProfileparaCisco Unified Client Services Framework – Secure Profile.
    
    

13. CliqueSavena parte superior esquerda da página. Verifique se as alterações foram salvas com êxito e clique emReset.
    
    

14. Uma janela pop-up será aberta. CliqueResetpara confirmar a ação.
    
    

15. Depois que o dispositivo do agente se registrar novamente no CUCM, atualize a página atual e verifique se o LSC foi instalado com êxito. VerificarCertification Authority Proxy Function (CAPF) Informationseção,Certificate Operationdeve ser definido comoNo Pending OperationeCertificate Operation Statusestá definido como  Upgrade Success.
    
    

16. Consulte as mesmas etapas da Etapa 1. 7 - 13 para proteger os dispositivos de outros agentes que você deseja usar SIP e RTP seguros com CUCM.

Verificar

Para validar se o RTP está protegido corretamente, execute estas etapas:

1. Faça uma chamada de teste para a central de contatos e ouça o prompt IVR.
2. Ao mesmo tempo, abra a sessão SSH para o vCUBE e execute este comando:
   show call active voice brief
   
   

Tip: Verifique se o SRTP estáonentre CUBE e VVB (198.18.133.143). Se sim, isso confirma que o tráfego RTP entre CUBE e VB é seguro.

3. Disponibilize um agente para atender a chamada.
   .
4. O agente é reservado e a chamada é roteada para o agente. Atenda a chamada.
5. A chamada é conectada ao agente. Volte para a sessão vCUBE SSH e execute este comando:
   show call active voice brief
   
   

Tip: Verifique se o SRTP estáonentre o CUBE e os telefones dos agentes (198.18.133.75). Se sim, isso confirma que o tráfego RTP entre o CUBE e o agente está seguro.

6. Além disso, quando a chamada é conectada, um bloqueio de segurança é exibido no dispositivo do agente. Isso também confirma que o tráfego RTP está seguro.
   
   

Para validar se os sinais SIP estão protegidos corretamente, consulte o artigo Configurar Sinalização SIP Segura.