CDF MeetUp - 23.10.2017 - Bezpieczeństwo w rozwiązaniach ... · • 802.1xwymusza autentykację i...

Bezpieczeństwo w rozwiązaniach współpracy Cisco Collaboration

Cisco Digital Forum MeetUpPiotr Głosek, Consulting Systems Engineer

CCIE Collaboration

• Bezpieczeństwo w Warstwach• Szyfrowanie• Zarządzanie certyfikatami• Bezpieczeństwo Cisco Spark

Agenda

Co to jest “PreferowanaArchitektura”?

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public

Preferowana Architektura dla rozwiązańklasy Enterprise

4


Preferowana Architektura dla Collaboration Cisco Validated Design (CVD) w rozwiązaniach dla przedsiębiorstwa

• Funkcje: Dial Plan (Dialing Habits, Endpoints/ILS/GDPR), Trunking, SRST, CTI, DNS, EM

Call ControlUCM, IM&P, ISR, CUBE

• Funkcje: Instant, Permanent, Scheduled, CMR, CMR Hybrid, Personal Multiparty

KonferencjeUCM, Cisco Meeting Server,

TMS• Funkcje: Mobile Remote Access (MRA),

B2B, IM&P Federation, PSTN Access, ISDN Video

BramyUCM, Expressway, CUBE, ISR

• Funkcje: Applications and Tools: VM Deployment, Licensing, Voice Messaging

AplikacjeUnity Connection, PCD, PLM

• Funkcje: QoS and Admission ControlZarządzanie pasmem• Funkcje: Sizing numbers for products

built on a set of calculated assumptionsWymiarowanie

Architektura: Rolakomponentów, HA, Bezpieczeństwo, Skalowalność

Wdrożenie: Etapowanie, Konfiguracja

Wymiarowanie

5

Bezpieczeństwo w Warstwach

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 7

Przykłady zagrożeń w systemach współpracy• Denial of Service (DoS)

Wpływa na jakość, możliwe zablokowanie usługi

• SPAMSPIM, SPIT - czyli różne rodzaje spamu

• Toll fraud i kosztyNieautoryzowane i kosztowne wykorzystanie usług

• Przechwycenie informacji prywatnejCaller ID, DTMF, hasła/konta, plan numeracji, informacje Presence

• Podsłuchy rozmówPodsłuchanie konwersacji, kradzież wartościintelektualnej

• Fałszowanie mediów

• Modyfikacja danych

• Podszycie się pod inną osobęKradzież tożsamości

• Powtórzenia sesjiAtaki na kanały telefoniczne w serwisachtransakcyjnych (np. w bankach)


Bezpieczeństwo na poziomie fizycznym• Pierwsza linia obrony• Jeżeli atakujący albo użytkownik posiada dostęp fizyczny do jednego z

urządzeń sieciowych, różne problemy mogą się zdarzyć…

• Rekomendacje:• Bezpieczny dostęp do budynku

• Bezpieczny dostęp do Data Center i serwerów servers (DoS, dostęp do zarządzania, password recovery)

• Bezpieczeństwo urządzeń końcowych

8


Bezpieczeństwo infrastuktury w sieciSegmentacja i segregacja ruchu• Sieci Virtual LAN (VLAN) dla oddzielenia głosu od danych

• Listy VLAN Access Control Lists (VACLs) limitują ruch pomiędzy urządzeniami w sieci głosowej VLAN

• QoS markowanie pakietów zapewnia priorytetyzację ruchu głosowego i wideo

Warstwa 2

• DHCP Snooping tworzy tabelę powiązań DHCP• Dynamic ARP Inspection (DAI) egzaminuje ARP & GARP pod kątem niezgodności• Port Security ogranicza ilość adresów MAC na porcie• 802.1x wymusza autentykację i ogranicza dostęp do sieci poprzez przypisanie do VLANu

•Multi-Domain Authentication (MDA) – powiązanie dwóch urządzeń na porcie do dwóch VLANów•MAC Authentication Bypass (MAB) – kontrola dla urządzeń bez wsparcia 802.1x

Warstwa 3• Mechanizm IP Source Guard egzaminuje port fizyczny, VLAN, adres IP oraz MAC i wykrywa

nieprawidłowości9


Zabezpieczenia przez nieautoryzowanym dostępem– Platforma sterująca i aplikacje Collaboration

Utwardzona platforma• Host Based Intrusion Protection (SELinux)• host based firewall (iptables)• Zablokowane opcje instalacji dodatków i programów innych firm• Jedna paczka do instalacji OS i aplikacji• Zablokowanie konta root• Podpisany software• Bezpieczne zarządzanie (HTTPS, SSH, SFTP)• Logowanie zdarzeń - Audit logging

Dodatkowo dostępne opcje• Ustawienia dla polityki haseł (np. Expressway, TelePresence)• Wyłączenie zbędnych protokołów

10


Zabezpieczenia przez nieautoryzowanymdostępem - Bramy

Expressway• Wbudowany Host-based Firewall, reguły Firewall

• Opcja Host Based Intrusion Protection (fail2ban - wymaga włączenia)

CUBE oraz bramy głosowe – mechanizmy wspierające• IP TRUST LIST: odpowiedź na SIP INVITE tylko do odp. adresów IP z zaufanej listy

• CALL THRESHOLD: Ochrona zasobów CPU, pamięci oraz ustawienie limitów połączen CPS podczas natłoku(Call spike)

• CALL SPIKE PROTECTION: Ochrona przed natłokiem w zdefiniowanym oknie czasowym

• BANDWIDTH BASED CAC: Kontrola pasma dla mediów

• MEDIA POLICING: Ochrona przed natłokiem mediów RTP Floods (algorytm Leaky Bucket Algorithm - LBA)

• Reguły NBAR : Ochrona i limitowanie ilości ruchu (dla SIP, RTP) także z zaufanych źródeł

• Reguły głosowe: identyfikacja patternów, które mogą naruszyć reguły.11


Zabezpieczenia przez nieautoryzowanymdostępem – Urządzenia końcowe

• Mechanizmy bezpieczeństwa uruchomione domyślnie• Podpisany firmware (rozszerzenie .sbn)• Podpisane pliki konfiguracyjne (<devicename>.cnf.xml.sgn)

Uwaga: dla Jabber, system Unified CM musi być w trybie Mixed-Mode, aby oferować plikCTL

• Pozwala na autentykację firmware/konfiguracji urządzeń końcowych

Dodatkowo dostępne opcje• Fizyczne bezpieczeństwo telefonów• Wyłączenie Gratuitous ARP• Konfiguracja 802.1X• Wyłączenie lub ograniczenie dostępu webowego i ssh• Wyłączenie portu PC w telefonie• Włączenie szyfrowanie pliku konfiguracyjnego TFTP

12


Ochrona przed nadużyciami - Toll FraudMoże oznaczać ataki z zewnątrz lub wewnętrzne w różnych miejscach:

• System przetwarzania połączeń Unified CM

• Poczta głosowa Unity Connection

• Bramy oraz urządzenia brzegowe (CUBE, bramy głosowe, Expressway)

13


Ochrona przed nadużyciami – zarządzaniepołączeniami Unified CM• Blokowanie połączeń nieautoryzowanych

• Mechanizmy uprawnień - Partitions oraz Calling search spaces (CSS)

• Blokowanie przekierowań: “Block offnet to offnet transfer”, także dla VM (Unity Connection)

• Limitowanie urządzeń w auto-rejestracji

• Routing czasowy “Time of day routing”

• Zastosowanie kodów autoryzacyjnych “Forced Authentication Codes”

• Opcja rozłączania konferencji “Drop Ad hoc Conferences”

• Monitorowanie CDR (Call Detail Records)

• Wielopoziomowa administracja

14


Włączenie szyfrowania

• Zapobiega podsłuchaniu rozmów, modyfikacji danych, atakom powtórzeniowym,

• Zapewnia prywatność, integralność oraz autentykację• Autentykacja na bazie certyfikatów• Autentykacja jedno oraz dwustronna - Mutual authentication (MTLS)

15

Szyfrowanie

1010 1000101010101000111 011 01011011101001 00010


Co szyfrujemy?• Dostęp administracyjny oraz portal użytkownika

• Szyfrowanie HTTS• Autentykacja przez LDAP z SSL

• Połączenia SIP trunks• Wszystkie możliwe relacje: aplikacje, bramy, konferencje• Tryb zdalny (MRA) oraz połączenia B2B

• Komunikację urządzeń końcowych• TLS oraz sRTP, czat IM• Ikona połączenia szyfrowanego

• Wewnątrz Data Center• IPSec

• Między klastrami – usługi ILS, LBM17

SRTP

Mixed-Mode

Zarządzanie certyfikatami


Do czego potrzebujemy certyfikatów?• Co to jest Digital Certificate?

• Zawiera klucz publiczny, nazwę i dane oraz podpis posiadacza

• Cel• Autentykacja oraz szyfrowanie

• Dwa typu autentykacji• Jednokierunkowa – przeglądarki www, logowanie Cisco Jabber (do UDS, XMPP, Unity

Connection visual voice mail)• Dwukierunkowa – terminale w trybie szyfrowania, trunki w trybie MTLS (np. SIP trunk z

Unified CM do Expressway)

19


Certyfikaty dla terminali

• Wymagane do szyfrowania mediów i sygnalizacji oraz pliku TFTP

• Można wykorzystać w VPN w telefonie oraz do 802.1x• Gdy obydwa są zainstalowane ważniejszy jest LSC

• Włączenie szyfrowania, funkcja CAPF w CUCM rozdziela i uruchamiacertyfikaty LSC dla telefonów

Fabryczny - MICManufacturer Installed Certificate

Lokalny (własny) - LSCLocally Significant Certificate

Typ

20

Cisco CA


Certyfikaty w Cisco UCM• Typy certyfikatów:

» Tomcat RSA oraz ECDSA (nowy w wersji 11.5): web services» CallManager RSA oraz ECDSA (new in 11.0): SIP/SCCP TLS, podpis konfiguracji TFTP,

etc.)» CAPF (certyfikat CA do podpisania LSC w CUCM – serwer Publisher)» IPSEC (tunele ipsec tunnels do innych bram i innych Unified CM)» TVS (Trust Verification Service, jako część pakietu funkcji “security by default”)» ITLRecovery (odzyskiwanie urządeń – funkcja “recover trust” dla terminali)

• UWAGA:• Domyślnie certyfikaty są typu self-signed, ważne 5 lat• Opcja podpisu z innych CA • Klucz:

• Certyfikaty RSA: klucz do 4096 (do 2048 przed wersją 11.5), SHA1 or SHA256• Certyfikaty ECDSA: klucz do 521 oraz hash do SHA512

21

Bezpieczeństwo Cisco Spark


Zagadnienia bezpieczeństwa w platformiechmurowej Cisco SparkBezpieczeństwo komunikacji:

• Szyfrowanie danych end-to-end

• Szybkie przeszukiwanie treści

• Identyfikacja użytkownika i dostęp do uprawnionych obszarów

• Wymuszanie polityki bezpieczeństwa na urządzeniach końcowych

• Opcja umieszczenia serwera zarządzania kluczami (KMS) u siebie

23

https://www.cisco.com/c/en/us/solutions/collaboration/ciscospark/security-compliance-management.html


Zagadnienia bezpieczeństwa w platformiechmurowej Cisco SparkOchrona danych:

• Polityka retencji danych

• Uprawnienia wyszukiwania i kontroli zawartości przez administratorazgodności/bezpieczeństwa

• Współpraca z systemami typu “data loss prevention” (DLP)

• Narzędzia i API do archiwizacji

24



Zagadnienia bezpieczeństwa w platformiechmurowej Cisco SparkZarządzanie i analityka:

• Współpraca z serwisami pojedynczego podpisu “single sign-on” (SSO)

• Integracja z AD

• Monitorowanie wydajności oraz statystyki wykorzystania

25



Zagadnienia bezpieczeństwa w platformieCisco Spark – normy, inicjatywy, standardy• Wszystkie centra danych DC hostujące usługi Cisco Spark są zgodne z ISO

27001

• Regularne i automatyczne testy podatności Cisco Security and Trust Organization

• Rozwój Cisco Spark zodny z Cisco Secure Development Lifecycle.

• Zespoły inżynierskie pracują zgodnie z zaleceniami Cisco PSIRT

• Zapewnienie SLA dla incydentów security.

• Cisco Spark jest zgodny z EU-US Privacy Shield, EU-Swiss Privacy Shield, APEC Cross Border Privacy Rules System. EU Model Clauses są dostępne.

• Certyfikacje ISO 27001, SOC 2 Type 1 and Type 2, oraz HITRUST są w trakcie aplikacji w zakresie usług bazowych oraz Cisco Spark for Developers.

• Cisco podąża w kierunku wymagań EU General Data Protection Regulation (GDPR).

26

Podsumowanie


Podsumowanie• Bezpieczeństwo w Warstwach• Szyfrowanie• Zarządzanie certyfikatami• Bezpieczeństwo Cisco Spark

• Co dalej? • Ustalenie i wdrożenie polityki bezpieczeństwa• Utrzymanie i zarządzanie• Bądź na bieżąco z Cisco Security Center

https://tools.cisco.com/security/center/home.x• Product Security Incident Response Team (PSIRT)• Bieżące notyfikacje dla systemów Collaboration

28

Dziękuję

CDF MeetUp - 23.10.2017 - Bezpieczeństwo w rozwiązaniach ... · • 802.1xwymusza autentykację i...

Documents

Transcript of CDF MeetUp - 23.10.2017 - Bezpieczeństwo w rozwiązaniach ... · • 802.1xwymusza autentykację i...