Upload
trinhbao
View
214
Download
0
Embed Size (px)
Citation preview
Bezpieczeństwo w rozwiązaniach współpracy Cisco Collaboration
Cisco Digital Forum MeetUpPiotr Głosek, Consulting Systems Engineer
CCIE Collaboration
• Bezpieczeństwo w Warstwach• Szyfrowanie• Zarządzanie certyfikatami• Bezpieczeństwo Cisco Spark
Agenda
Co to jest “PreferowanaArchitektura”?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Preferowana Architektura dla rozwiązańklasy Enterprise
4
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Preferowana Architektura dla Collaboration Cisco Validated Design (CVD) w rozwiązaniach dla przedsiębiorstwa
• Funkcje: Dial Plan (Dialing Habits, Endpoints/ILS/GDPR), Trunking, SRST, CTI, DNS, EM
Call ControlUCM, IM&P, ISR, CUBE
• Funkcje: Instant, Permanent, Scheduled, CMR, CMR Hybrid, Personal Multiparty
KonferencjeUCM, Cisco Meeting Server,
TMS• Funkcje: Mobile Remote Access (MRA),
B2B, IM&P Federation, PSTN Access, ISDN Video
BramyUCM, Expressway, CUBE, ISR
• Funkcje: Applications and Tools: VM Deployment, Licensing, Voice Messaging
AplikacjeUnity Connection, PCD, PLM
• Funkcje: QoS and Admission ControlZarządzanie pasmem• Funkcje: Sizing numbers for products
built on a set of calculated assumptionsWymiarowanie
Architektura: Rolakomponentów, HA, Bezpieczeństwo, Skalowalność
Wdrożenie: Etapowanie, Konfiguracja
Wymiarowanie
5
Bezpieczeństwo w Warstwach
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
Przykłady zagrożeń w systemach współpracy• Denial of Service (DoS)
Wpływa na jakość, możliwe zablokowanie usługi
• SPAMSPIM, SPIT - czyli różne rodzaje spamu
• Toll fraud i kosztyNieautoryzowane i kosztowne wykorzystanie usług
• Przechwycenie informacji prywatnejCaller ID, DTMF, hasła/konta, plan numeracji, informacje Presence
• Podsłuchy rozmówPodsłuchanie konwersacji, kradzież wartościintelektualnej
• Fałszowanie mediów
• Modyfikacja danych
• Podszycie się pod inną osobęKradzież tożsamości
• Powtórzenia sesjiAtaki na kanały telefoniczne w serwisachtransakcyjnych (np. w bankach)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Bezpieczeństwo na poziomie fizycznym• Pierwsza linia obrony• Jeżeli atakujący albo użytkownik posiada dostęp fizyczny do jednego z
urządzeń sieciowych, różne problemy mogą się zdarzyć…
• Rekomendacje:• Bezpieczny dostęp do budynku
• Bezpieczny dostęp do Data Center i serwerów servers (DoS, dostęp do zarządzania, password recovery)
• Bezpieczeństwo urządzeń końcowych
8
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Bezpieczeństwo infrastuktury w sieciSegmentacja i segregacja ruchu• Sieci Virtual LAN (VLAN) dla oddzielenia głosu od danych
• Listy VLAN Access Control Lists (VACLs) limitują ruch pomiędzy urządzeniami w sieci głosowej VLAN
• QoS markowanie pakietów zapewnia priorytetyzację ruchu głosowego i wideo
Warstwa 2
• DHCP Snooping tworzy tabelę powiązań DHCP• Dynamic ARP Inspection (DAI) egzaminuje ARP & GARP pod kątem niezgodności• Port Security ogranicza ilość adresów MAC na porcie• 802.1x wymusza autentykację i ogranicza dostęp do sieci poprzez przypisanie do VLANu
•Multi-Domain Authentication (MDA) – powiązanie dwóch urządzeń na porcie do dwóch VLANów•MAC Authentication Bypass (MAB) – kontrola dla urządzeń bez wsparcia 802.1x
Warstwa 3• Mechanizm IP Source Guard egzaminuje port fizyczny, VLAN, adres IP oraz MAC i wykrywa
nieprawidłowości9
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Zabezpieczenia przez nieautoryzowanym dostępem– Platforma sterująca i aplikacje Collaboration
Utwardzona platforma• Host Based Intrusion Protection (SELinux)• host based firewall (iptables)• Zablokowane opcje instalacji dodatków i programów innych firm• Jedna paczka do instalacji OS i aplikacji• Zablokowanie konta root• Podpisany software• Bezpieczne zarządzanie (HTTPS, SSH, SFTP)• Logowanie zdarzeń - Audit logging
Dodatkowo dostępne opcje• Ustawienia dla polityki haseł (np. Expressway, TelePresence)• Wyłączenie zbędnych protokołów
10
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Zabezpieczenia przez nieautoryzowanymdostępem - Bramy
Expressway• Wbudowany Host-based Firewall, reguły Firewall
• Opcja Host Based Intrusion Protection (fail2ban - wymaga włączenia)
CUBE oraz bramy głosowe – mechanizmy wspierające• IP TRUST LIST: odpowiedź na SIP INVITE tylko do odp. adresów IP z zaufanej listy
• CALL THRESHOLD: Ochrona zasobów CPU, pamięci oraz ustawienie limitów połączen CPS podczas natłoku(Call spike)
• CALL SPIKE PROTECTION: Ochrona przed natłokiem w zdefiniowanym oknie czasowym
• BANDWIDTH BASED CAC: Kontrola pasma dla mediów
• MEDIA POLICING: Ochrona przed natłokiem mediów RTP Floods (algorytm Leaky Bucket Algorithm - LBA)
• Reguły NBAR : Ochrona i limitowanie ilości ruchu (dla SIP, RTP) także z zaufanych źródeł
• Reguły głosowe: identyfikacja patternów, które mogą naruszyć reguły.11
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Zabezpieczenia przez nieautoryzowanymdostępem – Urządzenia końcowe
• Mechanizmy bezpieczeństwa uruchomione domyślnie• Podpisany firmware (rozszerzenie .sbn)• Podpisane pliki konfiguracyjne (<devicename>.cnf.xml.sgn)
Uwaga: dla Jabber, system Unified CM musi być w trybie Mixed-Mode, aby oferować plikCTL
• Pozwala na autentykację firmware/konfiguracji urządzeń końcowych
Dodatkowo dostępne opcje• Fizyczne bezpieczeństwo telefonów• Wyłączenie Gratuitous ARP• Konfiguracja 802.1X• Wyłączenie lub ograniczenie dostępu webowego i ssh• Wyłączenie portu PC w telefonie• Włączenie szyfrowanie pliku konfiguracyjnego TFTP
12
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ochrona przed nadużyciami - Toll FraudMoże oznaczać ataki z zewnątrz lub wewnętrzne w różnych miejscach:
• System przetwarzania połączeń Unified CM
• Poczta głosowa Unity Connection
• Bramy oraz urządzenia brzegowe (CUBE, bramy głosowe, Expressway)
13
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ochrona przed nadużyciami – zarządzaniepołączeniami Unified CM• Blokowanie połączeń nieautoryzowanych
• Mechanizmy uprawnień - Partitions oraz Calling search spaces (CSS)
• Blokowanie przekierowań: “Block offnet to offnet transfer”, także dla VM (Unity Connection)
• Limitowanie urządzeń w auto-rejestracji
• Routing czasowy “Time of day routing”
• Zastosowanie kodów autoryzacyjnych “Forced Authentication Codes”
• Opcja rozłączania konferencji “Drop Ad hoc Conferences”
• Monitorowanie CDR (Call Detail Records)
• Wielopoziomowa administracja
14
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Włączenie szyfrowania
• Zapobiega podsłuchaniu rozmów, modyfikacji danych, atakom powtórzeniowym,
• Zapewnia prywatność, integralność oraz autentykację• Autentykacja na bazie certyfikatów• Autentykacja jedno oraz dwustronna - Mutual authentication (MTLS)
15
Szyfrowanie
1010 1000101010101000111 011 01011011101001 00010
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Co szyfrujemy?• Dostęp administracyjny oraz portal użytkownika
• Szyfrowanie HTTS• Autentykacja przez LDAP z SSL
• Połączenia SIP trunks• Wszystkie możliwe relacje: aplikacje, bramy, konferencje• Tryb zdalny (MRA) oraz połączenia B2B
• Komunikację urządzeń końcowych• TLS oraz sRTP, czat IM• Ikona połączenia szyfrowanego
• Wewnątrz Data Center• IPSec
• Między klastrami – usługi ILS, LBM17
SRTP
Mixed-Mode
Zarządzanie certyfikatami
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Do czego potrzebujemy certyfikatów?• Co to jest Digital Certificate?
• Zawiera klucz publiczny, nazwę i dane oraz podpis posiadacza
• Cel• Autentykacja oraz szyfrowanie
• Dwa typu autentykacji• Jednokierunkowa – przeglądarki www, logowanie Cisco Jabber (do UDS, XMPP, Unity
Connection visual voice mail)• Dwukierunkowa – terminale w trybie szyfrowania, trunki w trybie MTLS (np. SIP trunk z
Unified CM do Expressway)
19
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Certyfikaty dla terminali
• Wymagane do szyfrowania mediów i sygnalizacji oraz pliku TFTP
• Można wykorzystać w VPN w telefonie oraz do 802.1x• Gdy obydwa są zainstalowane ważniejszy jest LSC
• Włączenie szyfrowania, funkcja CAPF w CUCM rozdziela i uruchamiacertyfikaty LSC dla telefonów
Fabryczny - MICManufacturer Installed Certificate
Lokalny (własny) - LSCLocally Significant Certificate
Typ
20
Cisco CA
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Certyfikaty w Cisco UCM• Typy certyfikatów:
» Tomcat RSA oraz ECDSA (nowy w wersji 11.5): web services» CallManager RSA oraz ECDSA (new in 11.0): SIP/SCCP TLS, podpis konfiguracji TFTP,
etc.)» CAPF (certyfikat CA do podpisania LSC w CUCM – serwer Publisher)» IPSEC (tunele ipsec tunnels do innych bram i innych Unified CM)» TVS (Trust Verification Service, jako część pakietu funkcji “security by default”)» ITLRecovery (odzyskiwanie urządeń – funkcja “recover trust” dla terminali)
• UWAGA:• Domyślnie certyfikaty są typu self-signed, ważne 5 lat• Opcja podpisu z innych CA • Klucz:
• Certyfikaty RSA: klucz do 4096 (do 2048 przed wersją 11.5), SHA1 or SHA256• Certyfikaty ECDSA: klucz do 521 oraz hash do SHA512
21
Bezpieczeństwo Cisco Spark
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Zagadnienia bezpieczeństwa w platformiechmurowej Cisco SparkBezpieczeństwo komunikacji:
• Szyfrowanie danych end-to-end
• Szybkie przeszukiwanie treści
• Identyfikacja użytkownika i dostęp do uprawnionych obszarów
• Wymuszanie polityki bezpieczeństwa na urządzeniach końcowych
• Opcja umieszczenia serwera zarządzania kluczami (KMS) u siebie
23
https://www.cisco.com/c/en/us/solutions/collaboration/ciscospark/security-compliance-management.html
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Zagadnienia bezpieczeństwa w platformiechmurowej Cisco SparkOchrona danych:
• Polityka retencji danych
• Uprawnienia wyszukiwania i kontroli zawartości przez administratorazgodności/bezpieczeństwa
• Współpraca z systemami typu “data loss prevention” (DLP)
• Narzędzia i API do archiwizacji
24
https://www.cisco.com/c/en/us/solutions/collaboration/ciscospark/security-compliance-management.html
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Zagadnienia bezpieczeństwa w platformiechmurowej Cisco SparkZarządzanie i analityka:
• Współpraca z serwisami pojedynczego podpisu “single sign-on” (SSO)
• Integracja z AD
• Monitorowanie wydajności oraz statystyki wykorzystania
25
https://www.cisco.com/c/en/us/solutions/collaboration/ciscospark/security-compliance-management.html
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Zagadnienia bezpieczeństwa w platformieCisco Spark – normy, inicjatywy, standardy• Wszystkie centra danych DC hostujące usługi Cisco Spark są zgodne z ISO
27001
• Regularne i automatyczne testy podatności Cisco Security and Trust Organization
• Rozwój Cisco Spark zodny z Cisco Secure Development Lifecycle.
• Zespoły inżynierskie pracują zgodnie z zaleceniami Cisco PSIRT
• Zapewnienie SLA dla incydentów security.
• Cisco Spark jest zgodny z EU-US Privacy Shield, EU-Swiss Privacy Shield, APEC Cross Border Privacy Rules System. EU Model Clauses są dostępne.
• Certyfikacje ISO 27001, SOC 2 Type 1 and Type 2, oraz HITRUST są w trakcie aplikacji w zakresie usług bazowych oraz Cisco Spark for Developers.
• Cisco podąża w kierunku wymagań EU General Data Protection Regulation (GDPR).
26
Podsumowanie
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Podsumowanie• Bezpieczeństwo w Warstwach• Szyfrowanie• Zarządzanie certyfikatami• Bezpieczeństwo Cisco Spark
• Co dalej? • Ustalenie i wdrożenie polityki bezpieczeństwa• Utrzymanie i zarządzanie• Bądź na bieżąco z Cisco Security Center
https://tools.cisco.com/security/center/home.x• Product Security Incident Response Team (PSIRT)• Bieżące notyfikacje dla systemów Collaboration
28
Dziękuję