بروتوكول RTP الآمن بين CUCM و VCS أو مثال تكوين Expressway

المقدمة

يوضح هذا المستند كيفية إعداد بروتوكول نقل في الوقت الفعلي الآمن (RTP) بين خادم إتصالات الفيديو (VCS) من Cisco ومدير الاتصالات الموحدة (CUCM) من Cisco.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• CUCM
• Cisco VCS أو Cisco Expressway

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• CUCM
• Cisco VCS أو Cisco Expressway

ملاحظة: تستخدم هذه المقالة منتجات Expressway من Cisco لأغراض التوضيح (ما عدا حيثما تم ذكره)، ولكن المعلومات تنطبق أيضا إذا كان النشر لديك يستخدم بطاقات الرسومات الافتراضية (VCS) من Cisco.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

شروط

• مكالمات بروتوكول بدء جلسة عمل (SIP) الموجهة بين CUCM و Expressway

• يعد تشفير الوسائط هو الأفضل/الاختياري بين Expressway-C و CUCM

الوصف

تم الإبلاغ عن صعوبات في تكوين تشفير وسائط أفضل جهد لمكالمات SIP الموجهة بين CUCM و VCS/Expressway. يؤثر التكوين الخاطئ الشائع على إرسال إشارات الوسائط المشفرة، عبر بروتوكول النقل في الوقت الفعلي الآمن (SRTP)، والذي يتسبب في فشل المكالمات المشفرة بأفضل الجهود عندما يكون النقل بين CUCM و Expressway غير آمن.

إذا لم يكن النقل آمنا، فيمكن قراءة إشارات تشفير الوسائط بواسطة مستشعر. في هذه الحالة، يتم إسقاط معلومات إشارات تشفير الوسائط من بروتوكول وصف الجلسة (SDP). ومع ذلك، من الممكن تكوين CUCM لإرسال إشارات تشفير الوسائط (وتوقع إستلامها) عبر اتصال غير آمن. يمكنك العمل حول هذا التكوين الخاطئ بإحدى الطريقتين، اعتمادا على ما إذا كانت المكالمات على جانب خط الاتصال الموجه أو جانب الخط إلى CUCM.

أمثلة على جانب خط الاتصال وجانب الخط

جانب خط الاتصال: تم تكوين خط اتصال SIP على CUCM باتجاه Expressway. تم تكوين منطقة مجاورة مقابلة على الطريق السريع نحو CUCM. ستحتاج إلى خط اتصال إذا كنت تريد نقاط النهاية VCS-registered (Expressway ليس أمين سجل، ولكن VCS هو) لاستدعاء نقاط النهاية المسجلة من CUCM. وثمة مثال آخر هو تمكين العمل البيني ل H.323 في عملية النشر الخاصة بك.

على جانب الخط: تنتقل المكالمات على جانب الخط مباشرة إلى CUCM، وليس عبر خط اتصال. إذا كانت كل عناصر التحكم في التسجيل والاتصال مقدمة من CUCM، فقد لا يتطلب النشر لديك وجود خط اتصال إلى Expressway. على سبيل المثال، إذا تم نشر ExpressWay فقط للوصول عن بعد أو أثناء التنقل (MRA)، فإنه يقوم بتوكيل المكالمات على جانب الخط من نقاط النهاية الخارجية إلى CUCM.

إستراتيجية التخفيف

إذا كان هناك خط SIP بين CUCM و Expressway، فإن برنامج نصي للتطبيع على CUCM يعيد كتابة SDP بشكل مناسب بحيث لا يتم رفض إستدعاء تشفير أفضل جهد. يتم تثبيت هذا البرنامج النصي تلقائيا مع الإصدارات الأحدث من CUCM، ولكن إذا تم رفض المكالمات المشفرة بأفضل الجهود، فإن Cisco توصيك بتنزيل أحدث برنامج نصي للتفاعل vcs وتثبيته لإصدار CUCM الخاص بك.

إذا جرت المكالمة على جانب الخط إلى CUCM، تتوقع CUCM حينئذ رؤية رأس X-Cisco-SRTP-backback إذا كان تشفير الوسائط إختياريا. إذا لم ير CUCM هذا الرأس، فإنه يعتبر الاستدعاء تشفيرا إلزاميا. تمت إضافة دعم هذا الرأس إلى Expressway في الإصدار X8.2، لذلك توصي Cisco ب X8.2 أو إصدار أحدث ل MRA (حافة التعاون).

التكوين

التكوين على جانب الخط

[CUCM]<-best-effort—>[Expressway-C]<-mandatory—>[Expressway-E]<-mandatory—>[Endpoint]

لتمكين تشفير أفضل الجهود للمكالمات الجانبية للخط من Expressway-C إلى CUCM:

• إستخدام حل / نشر مدعوم (على سبيل المثال، MRA)
• إستخدام أمان الوضع المختلط على CUCM
• ضمان ثقة كل من Expressway و CUCM ببعضها البعض (يجب أن يكون الطرف الآخر هو الجهة المخولة بتوقيع شهادات كل طرف)
• إستخدام الإصدار X8.2 أو إصدار أحدث من Expressway
• أستخدم ملفات تعريف الهاتف الآمنة على CUCM، مع تعيين وضع أمان الجهاز على مصدق أو مشفر - بالنسبة لهذه الأوضاع يكون نوع النقل هو Transport Layer Security (TLS)

التكوين من جانب خط الاتصال

• إستخدام حل / نشر مدعوم
• إستخدام أمان الوضع المختلط على CUCM
• التأكد من ثقة كل من Expressway و CUCM ببعضها البعض (المرجع المصدق الذي يوقع على شهادات كل طرف يجب أن يكون موثوقا به من قبل الطرف الآخر)
• أختر أفضل جهد كوضع التشفير و TLS كنقل على المنطقة المجاورة من Expressway إلى CUCM (يتم تعميم هذه القيم تلقائيا في حالة جانب الخط)
• تحديد TLS كنقل الوارد والصادر في ملف تعريف أمان خط اتصال SIP
• تدقيق SRTP مسموح به (راجع بيان التحذير) على خط اتصال SIP من CUCM إلى Expressway
• تحقق من وجود برنامج نصي صحيح للتسوية لإصدارات CUCM و Expressway، وقم بتطبيقه إذا لزم الأمر

تحذير: إذا قمت بتحديد خانة الاختيار SRTP Allowed، فإن Cisco توصيك بشدة باستخدام ملف تعريف TLS مشفر حتى لا يتم فضح المفاتيح والمعلومات الأخرى المتعلقة بالأمان أثناء مفاوضات المكالمات. إذا كنت تستخدم ملف تعريف غير آمن، فسيظل SRTP يعمل. ومع ذلك، سيتم فضح المفاتيح في الإشارات والتوابع. في هذه الحالة، أنت ينبغي ضمنت أمن الشبكة بين CUCM والغاية جانب من الشنطة.

خيارات تشفير الوسائط

None

التشفير غير مسموح به. يجب فشل المكالمات التي تتطلب التشفير لأنه لا يمكن أن تكون آمنة. يكون CUCM و Expressway متسقين في إرسال الإشارات لهذه الحالة.

يستخدم CUCM و Expressway m=rtp/AVP لوصف الوسائط في SDP. لا توجد سمات تشفير (لا a=crypto.. خطوط في أقسام الوسائط من SDP).

إلزامي

تشفير الوسائط مطلوب. يجب أن تفشل المكالمات غير المشفرة دائما، ولا يسمح بإجراء نسخ إحتياطي. يكون CUCM و Expressway متسقين في إرسال الإشارات لهذه الحالة.

يستخدم CUCM و Expressway m=rtp/SAVP لوصف الوسائط في SDP. يحتوي بروتوكول SDP على سمات تشفير (a=crypto.. خطوط في أقسام الوسائط من SDP).

بذل قصارى الجهود

يتم تشفير المكالمات التي يمكن تشفيرها. إذا تعذر إنشاء التشفير، فقد يرجع المكالمات إلى وسائط غير مشفرة، ويجب أن يرجع ذلك مرة أخرى. CUCM و Expressway غير متناسقين في هذه الحالة.

يرفض Expressway التشفير دائما إذا كان النقل هو بروتوكول التحكم في الإرسال (TCP) أو بروتوكول مخطط بيانات المستخدم (UDP). يجب تأمين النقل بين CUCM و Expressway إذا كنت تريد تشفير الوسائط.

SDP (كما يكتبه CUCM): يتم وصف الوسائط المشفرة على أنها m=rtp/SAVP وa=crypto lines تكتب في SDP. هذه هي الإشارات الصحيحة لتشفير الوسائط، ولكن خطوط التشفير قابلة للقراءة إذا كان النقل غير آمن.

إذا رأى CUCM رأس x-cisco-srtp-backback، فإنه يسمح بإرجاع المكالمة إلى وضع غير مشفر. إذا كان هذا الرأس غائبا، يفترض CUCM أن الاستدعاء يتطلب التشفير (لا يسمح بالنسخ الاحتياطي).

اعتبارا من X8.2، تبذل Expressway أفضل الجهود بنفس الطريقة التي تفعل CUCM في حالة جانب الخط.

SDP (كما يكتب Expressway جانب خط الاتصال): يتم وصف الوسائط المشفرة على أنها m=RTP/AVP وa=crypto lines تتم كتابتها في SDP.

ومع ذلك، هناك سببان من الممكن أن تكون أسطر a=crypto غير موجودة:

1. عند عدم تأمين خطوة النقل إلى وكيل SIP أو منه على Expressway، يقوم الوكيل بتجريد خطوط التشفير لمنع تعرضها على الخطوة غير الآمنة.
2. يقوم الطرف المستجيب بسحب خطوط التشفير للإشارة إلى أنه لا يمكنه التشفير أو لا يقوم به.

إن إستخدام برنامج SIP الصحيح لتطبيع الاستخدام على CUCM يخفف من هذه المشكلة.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

معلومات ذات صلة

قراءة ذات صلة

• دليل أمان Cisco Unified Communications Manager، الإصدار 10.0(1)
• إجراء مؤتمر محسن ل Cisco Unified Communications Manager ودليل حل Cisco VCS (الإصدار 2.0)
• Cisco Unified Communications Manager مع دليل نشر Cisco Expressway (خط اتصال SIP) (ل Cisco Expressway X8.2 و Unified CM 8.6x و 9.x)
• Cisco Unified Communications Manager مع دليل نشر Cisco VCS (خط اتصال SIP) (ل Cisco VCS X8.2 و Unified CM 8.6.x و 9.x)
• Unified Communications Mobile and Remote Access من خلال Cisco VCS Deployment Guide (ل Cisco VCS X8.2 و Cisco Unified CM 9.1(2)SU1 أو إصدار أحدث)
• Unified Communications Mobile and Remote Access عبر دليل نشر Cisco Expressway (ل Cisco Expressway X8.2 و Cisco Unified CM 9.1(2)SU1 أو إصدار أحدث)
• الدعم التقني والمستندات - Cisco Systems

RFCs ذات الصلة

• RFC 3261 SIP: بروتوكول بدء جلسة العمل
• بروتوكول SDP المتوافق مع المعيار RFC 4566: بروتوكول وصف الجلسات
• المعيار RFC 4568 SDP: مواصفات الأمان