Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment sécuriser la signalisation SIP (Session Initiation Protocol) dans le flux d'appels complet de Contact Center Enterprise (CCE).
La génération et l'importation de certificats n'étant pas couvertes par ce document, les certificats pour Cisco Unified Communication Manager (CUCM), le serveur d'appels Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVVB) et Cisco Unified Border Element (CUBE) doivent être créés et importés dans les composants respectifs. Si vous utilisez des certificats auto-signés, l'échange de certificats doit être effectué entre différents composants.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur Package Contact Center Enterprise (PCCE), CVP, CVVB et CUCM version 12.6, mais elles s'appliquent également aux versions antérieures.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Le schéma suivant montre les composants impliqués dans la signalisation SIP dans le flux d'appels complet du centre de contact. Lorsqu'un appel vocal arrive sur le système, il arrive d'abord via la passerelle d'entrée ou CUBE. Par conséquent, démarrez les configurations SIP sécurisées sur CUBE. Configurez ensuite CVP, CVVB et CUCM.
Dans cette tâche, configurez CUBE pour sécuriser les messages du protocole SIP.
Configurations requises :
Étapes :
conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit
Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit
Dans cette tâche, configurez le serveur d'appels CVP pour sécuriser les messages de protocole SIP (SIP TLS).
Étapes :
UCCE Web Administration
.Call Settings > Route Settings > SIP Server Group
.
Selon vos configurations, vous avez configuré des groupes de serveurs SIP pour CUCM, CVVB et CUBE. Vous devez définir les ports SIP sécurisés sur 5061 pour chacun d'entre eux. Dans cet exemple, les groupes de serveurs SIP suivants sont utilisés :
cucm1.dcloud.cisco.com
pour CUCMvvb1.dcloud.cisco.com
pour CVVBcube1.dcloud.cisco.com
pour CUBEcucm1.dcloud.cisco.com
et ensuite dans le Members
, qui affiche les détails de la configuration du groupe de serveurs SIP. Jeu SecurePort
par 5061
et cliquez sur Save
.
vvb1.dcloud.cisco.com
et ensuite dans le Members
s'affiche. Définissez SecurePort sur 5061
et cliquez sur Save
.
Dans cette tâche, configurez CVVB pour sécuriser les messages de protocole SIP (SIP TLS).
Étapes :
Cisco VVB Administration
s'affiche.System > System Parameters
.
Security Parameters
, sélectionnez Enable
pour TLS(SIP)
. Conserver Supported TLS(SIP) version
comme TLSv1.2
.
Ok
lorsque vous êtes invité à redémarrer le moteur CVVB.Cisco VVB Serviceability
puis cliquez sur Go
.
Tools > Control Center – Network Services
.
Engine
et cliquez sur Restart
.
Afin de sécuriser les messages SIP sur CUCM, effectuez les configurations suivantes :
CUCM prend en charge deux modes de sécurité :
Étapes :
Cisco Unified CM Administration
interface.
System > Enterprise Parameters
.
Security Parameters
Section, vérifiez si Cluster Security Mode
est défini sur 0
.utils ctl set-cluster mixed-mode
y
et cliquez sur Entrée lorsque vous y êtes invité. Cette commande définit le mode de sécurité du cluster sur le mode mixte.Cisco CallManager
et Cisco CTIManager
services.Cisco Unified Serviceability
.
Tools > Control Center – Feature Services
.
Go
.Cisco CallManager
puis cliquez sur Restart
en haut de la page.
OK
. Attendez que le service redémarre correctement.
Cisco CallManager
, choisissez Cisco CTIManager
puis cliquez sur Restart
bouton de redémarrage Cisco CTIManager
service.
OK
. Attendez que le service redémarre correctement.
Cluster Security Mode
. Maintenant, il doit être défini sur 1
.
Étapes :
CUCM administration
interface.System > Security > SIP Trunk Security Profile
afin de créer un profil de sécurité de périphérique pour CUBE.
Add New
afin d'ajouter un nouveau profil.SIP Trunk Security Profile
comme le montre cette image, puis cliquez sur Save
en bas à gauche de la page pour Save
le.
5. Assurez-vous de définir le Secure Certificate Subject or Subject Alternate Name
au nom commun (CN) du certificat CUBE car il doit correspondre.
6. Cliquez sur Copy
et de modifier le Name
par SecureSipTLSforCVP
et la Secure Certificate Subject
au CN du certificat du serveur d'appels CVP car il doit correspondre. Cliquer
s'affiche.Save
Étapes :
Device > Trunk
.
vCube
. Cliquer Find
.
SIP Information
, puis modifiez la Destination Port
par 5061
.SIP Trunk Security Profile
par SecureSIPTLSForCube
.
Save
puis Rest
afin de Save
et d'appliquer les modifications.
Device > Trunk
et recherchez la ligne principale CVP. Dans cet exemple, le nom de la liaison CVP est cvp-SIP-Trunk
. Cliquer Find
.
CVP-SIP-Trunk
afin d'ouvrir la page de configuration du trunk CVP.SIP Information
et de modifier Destination Port
par 5061
.SIP Trunk Security Profile
par SecureSIPTLSForCvp
.
Save
puis Rest
afin de save
et d'appliquer les modifications.
Afin d'activer les fonctions de sécurité pour un périphérique, vous devez installer un certificat LSC (Locally Significative Certificate) et attribuer un profil de sécurité à ce périphérique. Le LSC possède la clé publique pour le terminal, qui est signée par la clé privée CAPF (Certificate Authority Proxy Function). Il n'est pas installé sur les téléphones par défaut.
Étapes :
Cisco Unified Serviceability Interface
.Tools > Service Activation
.
Go
.
Cisco Certificate Authority Proxy Function
et cliquez sur Save
pour activer le service. Cliquer Ok
pour confirmer.
Cisco Unified CM Administration
.
System > Security > Phone Security Profile
afin de créer un profil de sécurité de périphérique pour le périphérique agent.
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Cliquer Copy
afin de copier ce profil.
Cisco Unified Client Services Framework - Secure Profile
, modifiez les paramètres comme indiqué dans cette image, puis cliquez sur Save
en haut à gauche de la page.
Device > Phone
.
Find
pour afficher la liste de tous les téléphones disponibles, cliquez sur téléphone de l'agent.Certification Authority Proxy Function (CAPF) Information
de l'Aide. Afin d'installer LSC, définissez Certificate Operation
par Install/Upgrade
et Operation Completes by
à une date ultérieure.
Protocol Specific Information
de l'Aide. Changement Device Security Profile
par Cisco Unified Client Services Framework – Secure Profile
.
Save
en haut à gauche de la page. Vérifiez que les modifications ont été enregistrées et cliquez sur Reset
.
Reset
pour confirmer l'action.
Certification Authority Proxy Function (CAPF) Information
section, Certificate Operation
doit être défini sur No Pending Operation
,et Certificate Operation Status
est défini sur Upgrade Success
.
Afin de valider que la signalisation SIP est correctement sécurisée, effectuez ces étapes :
show sip-ua connections tcp tls detail
, et vérifiez qu'aucune connexion TLS n'est établie avec CVP (198.18.133.13).Remarque : actuellement, une seule session TLS active avec CUCM, pour les options SIP, est activée sur CUCM (198.18.133.3). Si aucune option SIP n'est activée, aucune connexion SIP TLS n'existe.
ip.addr == 198.18.133.226 && tls && tcp.port==5061
Vérification : la connexion SIP sur TLS est-elle établie ? Si oui, la sortie confirme que les signaux SIP entre CVP et CUBE sont sécurisés.
5. Vérifiez la connexion SIP TLS entre CVP et CVVB. Dans la même session Wireshark, exécutez ce filtre :
ip.addr == 198.18.133.143 && tls && tcp.port==5061
Vérification : la connexion SIP sur TLS est-elle établie ? Si oui, la sortie confirme que les signaux SIP entre CVP et CVVB sont sécurisés.
6. Vous pouvez également vérifier la connexion SIP TLS avec CVP depuis CUBE. Accédez à la session SSH vCUBE et exécutez cette commande pour vérifier les signaux SIP sécurisés :show sip-ua connections tcp tls detail
Vérification : la connexion SIP sur TLS est-elle établie avec CVP ? Si oui, la sortie confirme que les signaux SIP entre CVP et CUBE sont sécurisés.
7. À ce moment, l'appel est actif et vous entendez MUSIQUE D'ATTENTE (MOH) car aucun agent n'est disponible pour répondre à l'appel.
8. Rendre l'agent disponible pour répondre à l'appel.
.
9. L'agent est réservé et l'appel lui est acheminé. Cliquer Answer
pour répondre à l'appel.
10. L'appel se connecte à l'agent.
11. Afin de vérifier les signaux SIP entre CVP et CUCM, accédez à la session CVP et exécutez ce filtre dans Wireshark :ip.addr == 198.18.133.3 && tls && tcp.port==5061
Vérification : toutes les communications SIP avec CUCM (198.18.133.3) sont-elles effectuées via TLS ? Si oui, la sortie confirme que les signaux SIP entre CVP et CUCM sont sécurisés.
Si TLS n'est pas établi, exécutez ces commandes sur CUBE pour activer la commande debug TLS pour le dépannage :
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
23-Nov-2022 |
Première publication |