La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come proteggere la segnalazione SIP (Session Initiation Protocol) nel flusso di chiamate completo di Contact Center Enterprise (CCE).
La generazione e l'importazione di certificati non rientrano nell'ambito del presente documento, pertanto è necessario creare e importare nei rispettivi componenti certificati per Cisco Unified Communication Manager (CUCM), server di chiamata Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVB) e Cisco Unified Border Element (CUBE). Se si utilizzano certificati autofirmati, lo scambio di certificati deve essere eseguito tra componenti diversi.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulla versione 12.6 di Package Contact Center Enterprise (PCCE), CVP, CVB e CUCM, ma sono valide anche per le versioni precedenti.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Il diagramma successivo mostra i componenti coinvolti nella segnalazione SIP nel flusso chiamate completo del contact center. Quando una chiamata vocale arriva al sistema, prima viene tramite il gateway in entrata o CUBE, quindi avviare configurazioni SIP sicure su CUBE. Quindi, configurare CVP, CVB e CUCM.
In questa attività configurare CUBE per proteggere i messaggi del protocollo SIP.
Configurazioni richieste:
Passaggi:
conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit
Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit
In questa attività, configurare il server di chiamata CVP per proteggere i messaggi del protocollo SIP (SIP TLS).
Passaggi:
UCCE Web Administration
.Call Settings > Route Settings > SIP Server Group
.
In base alle configurazioni configurate, sono presenti gruppi di server SIP configurati per CUCM, CVB e CUBE. Per tutte le porte SIP protette, è necessario impostarle su 5061. Nell'esempio vengono utilizzati i seguenti gruppi di server SIP:
cucm1.dcloud.cisco.com
per CUCMvvb1.dcloud.cisco.com
per CVBcube1.dcloud.cisco.com
per CUBEcucm1.dcloud.cisco.com
e quindi nella Members
che mostra i dettagli della configurazione del gruppo di server SIP. Imposta SecurePort
a 5061
e fare clic su Save
.
vvb1.dcloud.cisco.com
e quindi nella Members
scheda. Imposta SecurePort su 5061
e fare clic su Save
.
In questa attività, configurare CVB per proteggere i messaggi del protocollo SIP (SIP TLS).
Passaggi:
Cisco VVB Administration
pagina.System > System Parameters
.
Security Parameters
, scegliere Enable
per TLS(SIP)
. Mantieni Supported TLS(SIP) version
come TLSv1.2
.
Ok
quando viene richiesto di riavviare il motore CVB.Cisco VVB Serviceability
quindi fare clic su Go
.
Tools > Control Center – Network Services
.
Engine
e fare clic su Restart
.
Per proteggere i messaggi SIP su CUCM, effettuare le seguenti configurazioni:
CUCM supporta due modalità di protezione:
Passaggi:
Cisco Unified CM Administration
interfaccia.
System > Enterprise Parameters
.
Security Parameters
Sezione, controlla se Cluster Security Mode
è impostato su 0
.utils ctl set-cluster mixed-mode
y
e fare clic su Invio quando richiesto. Con questo comando viene impostata la modalità di protezione cluster su mista.Cisco CallManager
e Cisco CTIManager
servizi.Cisco Unified Serviceability
.
Tools > Control Center – Feature Services
.
Go
.Cisco CallManager
quindi fare clic su Restart
nella parte superiore della pagina.
OK
. Attendere il riavvio del servizio.
Cisco CallManager
, scegliere Cisco CTIManager
quindi fare clic su Restart
pulsante per il riavvio Cisco CTIManager
servizio.
OK
. Attendere il riavvio del servizio.
Cluster Security Mode
. Ora deve essere impostato su 1
.
Passaggi:
CUCM administration
interfaccia.System > Security > SIP Trunk Security Profile
per creare un profilo di sicurezza del dispositivo per CUBE.
Add New
per aggiungere un nuovo profilo.SIP Trunk Security Profile
come mostrato nell'immagine, quindi fare clic su Save
in basso a sinistra per Save
e'.
5. Assicurarsi di impostare Secure Certificate Subject or Subject Alternate Name
al nome comune (CN) del certificato CUBE in quanto deve corrispondere.
6. Fare clic su Copy
e modificare il Name
a SecureSipTLSforCVP
e Secure Certificate Subject
al CN del certificato del server di chiamata CVP come deve corrispondere. Clic
pulsante.Save
Passaggi:
Device > Trunk
.
vCube
. Clic Find
.
SIP Information
e modificare la Destination Port
a 5061
.SIP Trunk Security Profile
a SecureSIPTLSForCube
.
Save
quindi Rest
per Save
e applicare le modifiche.
Device > Trunk
e cercare CVP trunk. In questo esempio, il nome del trunk CVP è cvp-SIP-Trunk
. Clic Find
.
CVP-SIP-Trunk
per aprire la pagina di configurazione di CVP trunk.SIP Information
e modifica Destination Port
a 5061
.SIP Trunk Security Profile
a SecureSIPTLSForCvp
.
Save
quindi Rest
per save
e applicare le modifiche.
Per abilitare le funzionalità di protezione per un dispositivo, è necessario installare un certificato LSC (Locally Significant Certificate) e assegnare un profilo di protezione al dispositivo. Il servizio LSC possiede la chiave pubblica per l'endpoint, firmata dalla chiave privata CAPF (Certificate Authority Proxy Function). Per impostazione predefinita, non è installato sui telefoni.
Passaggi:
Cisco Unified Serviceability Interface
.Tools > Service Activation
.
Go
.
Cisco Certificate Authority Proxy Function
e fare clic su Save
per attivare il servizio. Clic Ok
per confermare.
Cisco Unified CM Administration
.
System > Security > Phone Security Profile
per creare un profilo di sicurezza per il dispositivo agente.
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Clic Copy
per copiare il profilo.
Cisco Unified Client Services Framework - Secure Profile
, modificare i parametri come mostrato nell'immagine, quindi fare clic su Save
in alto a sinistra nella pagina.
Device > Phone
.
Find
per elencare tutti i telefoni disponibili, fare clic su telefono agente.Certification Authority Proxy Function (CAPF) Information
sezione. Per installare LSC, impostare Certificate Operation
a Install/Upgrade
e Operation Completes by
a qualsiasi data futura.
Protocol Specific Information
sezione. Cambia Device Security Profile
a Cisco Unified Client Services Framework – Secure Profile
.
Save
in alto a sinistra nella pagina. Assicurarsi che le modifiche siano state salvate correttamente e fare clic su Reset
.
Reset
per confermare l'azione.
Certification Authority Proxy Function (CAPF) Information
sezione, Certificate Operation
deve essere impostato su No Pending Operation
,e Certificate Operation Status
è impostato su Upgrade Success
.
Per verificare che la segnalazione SIP sia protetta correttamente, procedere come segue:
show sip-ua connections tcp tls detail
e confermare che al momento non vi è alcuna connessione TLS stabilita con CVP (198.18.133.13).Nota: al momento, solo una sessione TLS attiva con CUCM, per le opzioni SIP è abilitata su CUCM (198.18.13.3). Se non è attivata alcuna opzione SIP, non esiste alcuna connessione SIP TLS.
ip.addr == 198.18.133.226 && tls && tcp.port==5061
Verifica: la connessione SIP over TLS è stata stabilita? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUBE sono protetti.
5. Controllare la connessione SIP TLS tra CVP e CVB. Nella stessa sessione di Wireshark, eseguire questo filtro:
ip.addr == 198.18.133.143 && tls && tcp.port==5061
Verifica: la connessione SIP over TLS è stata stabilita? In caso affermativo, l'uscita conferma che i segnali SIP tra CVP e CVB sono protetti.
6. È inoltre possibile verificare la connessione SIP TLS con CVP da CUBE. Passare alla sessione SSH vCUBE ed eseguire questo comando per controllare i segnali sip sicuri:show sip-ua connections tcp tls detail
Verifica: la connessione SIP over TLS è stabilita con CVP? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUBE sono protetti.
7. Al momento, la chiamata è attiva e si ascolta Music on Hold (MOH) poiché non è disponibile alcun agente per rispondere alla chiamata.
8. Rendere disponibile l'agente per rispondere alla chiamata.
.
9. L'agente viene riservato e la chiamata viene indirizzata a lui/lei. Clic Answer
per rispondere alla chiamata.
10. La chiamata si connette all'agente.
11. Per verificare i segnali SIP tra CVP e CUCM, passare alla sessione CVP ed eseguire questo filtro in Wireshark:ip.addr == 198.18.133.3 && tls && tcp.port==5061
Controllare: tutte le comunicazioni SIP con CUCM (198.18.133.3) over TLS? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUCM sono protetti.
Se TLS non viene stabilito, eseguire questi comandi su CUBE per abilitare il debug TLS alla risoluzione dei problemi:
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
23-Nov-2022 |
Versione iniziale |