Uzingatiaji wa FIPS katika Muunganisho wa Cisco Unity
Uzingatiaji wa FIPS katika Muunganisho wa Cisco Unity
Utangulizi
FIPS, au Federal Information Processing Standard, ni kiwango cha uidhinishaji wa serikali ya Marekani na Kanada ambacho hufafanua mahitaji ambayo moduli za kriptografia lazima zifuate.
Tahadhari
Hali ya FIPS inatumika tu kwa matoleo ambayo yamepitia utiifu wa FIPS. Onywa kuwa hali ya FIPS inapaswa kuzimwa kabla ya kupata toleo jipya la utiifu la Cisco Unity Connection.
Kwa habari kuhusu matoleo ambayo yanatii FIPS na view vyeti vyao, tazama hati ya FIPS 140 kwenye kiungo : https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications/fips-140.html
Matoleo fulani ya Unity Connection yanatii FIPS 140-2, kwa mujibu wa Taasisi ya Kitaifa ya Viwango ya Marekani (NIST). Wanaweza kufanya kazi katika hali ya FIPS, kufuata kiwango cha 1.
Hali ya FIPS hutumia moduli zifuatazo za FIPS 140-2 za kiwango cha 1 zilizothibitishwa:
- CiscoSSL 1.1.1n.7.2.390 yenye Moduli FIPS CiscoSSL FOM 7.2a
- CiscoSSH -1.9.29
- RSA CryptoJ 6_2_3
- BC FIPS -1.0.2.3.jar
- BCTLS FIPS - 1.0.12.3.jar
- BCPKIX FIPS -1.0.5.jar
- Libreswan -3.25-9
- NSS -3.67
Kumbuka
Kwa habari zaidi juu ya uboreshaji wa Uunganisho wa Umoja, ona Kuboresha Aina sehemu ya sura ya "Kuboresha Muunganisho wa Cisco Unity" ya Mwongozo wa Kusakinisha, Kuboresha na Matengenezo kwa Toleo la 14 la Cisco Unity Connection linalopatikana katika https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.
Inaendesha Amri za CLI kwa FIPS
Ili kuwezesha kipengele cha FIPS katika Muunganisho wa Cisco Unity, unatumia fips ya utils kuwasha amri ya CLI. Kwa kuongezea hii, amri zifuatazo za CLI zinapatikana pia:
- utils fips disable- Tumia kuzima kipengele cha FIPS.
- utils fips status- Tumia kuangalia hali ya kufuata kwa FIPS.
Kwa habari zaidi juu ya utils fips Amri za CLI, angalia Kiolesura cha Mstari wa Amri kinachotumika
Mwongozo wa Marejeleo wa Suluhu za Mawasiliano za Cisco Unified katika http://www.cisco.com/c/en/us/support/unified-communications/unity-connection/products-maintenance-guides-list.html.
Tahadhari
Baada ya kuwezesha au kuzima hali ya FIPS, seva ya Cisco Unity Connection inaanza upya kiotomatiki.
Tahadhari
Ikiwa seva ya Uunganisho wa Cisco Unity iko kwenye nguzo, usibadilishe mipangilio ya FIPS kwenye nodi nyingine yoyote hadi utendakazi wa FIPS kwenye nodi ya sasa ukamilike na mfumo uhifadhiwe nakala na kufanya kazi.
Kumbuka
Kabla ya kuwezesha hali ya FIPS kwenye seva ya Uunganisho wa Umoja, hakikisha kwamba urefu wa nenosiri la usalama ni angalau vibambo 14. Katika kesi ya kuboresha Uunganisho wa Umoja, nenosiri linahitaji kusasishwa ikiwa toleo la awali liliwezeshwa na FIPS.
Vyeti vyote vipya vimetiwa saini kwa kutumia algoriti ya hashing ya SHA-256 katika hali ya FIPS. Unapotoa cheti cha kujiandikisha au Ombi la Kutia Sahihi Cheti, unaweza kuchagua SHA-256 pekee kama kanuni ya hashing.
Kuunda upya Vyeti vya FIPS
Kuzalisha upya vyeti vya mizizi
Seva za Muunganisho wa Cisco Unity zilizo na viunganishi vya simu vilivyokuwepo awali lazima ziwe na cheti cha mizizi kuzalishwa upya baada ya kuwezesha au kuzima hali ya FIPS. Ikiwa muunganisho wa simu unatumia modi ya Usalama Iliyoidhinishwa au Iliyosimbwa kwa Njia Fiche, cheti cha mizizi iliyozalishwa upya lazima ipakwe upya kwa seva zozote zinazolingana za Kidhibiti cha Mawasiliano cha Cisco Unified. Kwa usakinishaji mpya, kuunda upya cheti kikuu kunaweza kuepukwa kwa kuwezesha hali ya FIPS kabla ya kuongeza muunganisho wa simu.
Kumbuka
Katika kesi ya makundi, fanya hatua zifuatazo kwenye nodes zote.
- Ingia katika Utawala wa Muunganisho wa Cisco Unity.
- Chagua Viunganishi vya Simu> Usalama> Cheti cha Mizizi.
- Juu ya View Ukurasa wa Cheti cha Mizizi, bofya Unda Mpya.
- Ikiwa ujumuishaji wa simu unatumia modi ya Usalama Iliyoidhinishwa au Iliyosimbwa kwa Njia Fiche, endelea na hatua 5-10, vinginevyo ruka hadi hatua ya 12.
- Juu ya View Ukurasa wa Cheti cha Mizizi, bofya kulia-kulia ili Hifadhi Cheti cha Mizizi kama File kiungo.
- Chagua Hifadhi Kama ili kuvinjari hadi eneo ili kuhifadhi cheti cha msingi cha Muunganisho wa Cisco kama a.pem file.
Kumbuka
Cheti lazima kihifadhiwe kama a file kwa kiendelezi.pem badala ya.htm, sivyo Cisco Unified CM haitatambua cheti. - Nakili cheti kikuu cha Cisco Unity Connection kwa seva zote za Cisco Unified CM kwa kutekeleza hatua ndogo zifuatazo:
a. Kwenye seva ya Cisco Unified CM, ingia katika Utawala wa Mfumo wa Uendeshaji wa Cisco Unified.
b. Chagua chaguo la Usimamizi wa Cheti kutoka kwa menyu ya Usalama.
c. Chagua Pakia Msururu wa Cheti/Cheti kwenye ukurasa wa Orodha ya Cheti.
d. Kwenye ukurasa wa Msururu wa Cheti/Cheti, chagua chaguo la uaminifu la CallManager kutoka kwenye menyu kunjuzi ya Jina la Cheti.
e. Ingiza Cheti cha Msingi cha Uunganisho wa Cisco kwenye uwanja wa Cheti cha Mizizi.
f. Bofya Vinjari katika Upakiaji File shamba kupata na kuchagua cheti cha mizizi cha Cisco Unity Connection ambacho kilihifadhiwa katika Hatua ya 5.
g. Bofya Pakia File.
h. Bofya Funga. - Kwenye seva ya Cisco Unified CM, ingia kwenye Cisco Unified Serviceability.
- Chagua Usimamizi wa Huduma kutoka kwa menyu ya Zana.
- Kwenye Kituo cha Kudhibiti - ukurasa wa Huduma za Kipengele, fungua upya huduma ya Cisco CallManager.
- Rudia hatua 5-10 kwenye seva zote zilizosalia za Cisco Unified CM katika nguzo ya Cisco Unified CM.
- Anzisha tena Huduma ya Kidhibiti cha Mazungumzo ya Unity Connection kwa kufuata hatua hizi:
a.Ingia katika Huduma ya Muunganisho wa Cisco Unity.
b. Chagua Usimamizi wa Huduma kutoka kwa menyu ya Zana.
c. Chagua Sitisha kwa huduma ya Kidhibiti cha Mazungumzo cha Umoja katika sehemu ya Huduma Muhimu.
d. Wakati eneo la Hali linaonyesha ujumbe kwamba huduma ya Kidhibiti cha Mazungumzo ya Muunganisho wa Umoja imesimamishwa kwa ufanisi, chagua Anza kwa huduma. - Bandari mpya na zilizokuwepo awali za kuunganisha simu sasa zimesajiliwa ipasavyo na Cisco Unified CM.
FIPS inatumika kwa miunganisho ya SCCP na SIP kati ya Meneja wa Mawasiliano wa Cisco Unified na Cisco Unity Connection.
Kwa habari zaidi juu ya udhibiti wa vyeti, angalia "Dhibiti Vyeti na Orodha za Uaminifu za Cheti” sehemu ya sura ya “Usalama” ya Mwongozo wa Utawala wa Mfumo wa Uendeshaji wa Cisco Unified Communications kwa Muunganisho wa Cisco Unity unaopatikana katika https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html
Kuzalisha upya Vyeti vya Tomcat
Unity Connection inaauni ufunguo wa RSA pekee wa vyeti vya Tomcat ili kusanidi simu salama kwa kutumia SIP Integration.Hii inaruhusu utumizi wa cheti cha kusainiwa mwenyewe na vile vile cheti cha watu wengine kilichosainiwa na CA kwa simu salama ya SIP.
Seva za Cisco Unity Connection zilizo na viunganishi vya simu vilivyokuwepo awali lazima cheti cha Tomcat kiwe kimeundwa upya baada ya kuwezesha au kuzima hali ya FIPS. Ikiwa muunganisho wa simu unatumia modi ya Usalama Iliyoidhinishwa au Iliyosimbwa kwa Njia Fiche, cheti cha tomcat kilichoundwa upya lazima kipakiwe tena kwa seva zozote zinazolingana za Kidhibiti cha Mawasiliano cha Cisco Unified. Kwa usakinishaji mpya, kuunda upya cheti cha tomcat kunaweza kuepukwa kwa kuwezesha hali ya FIPS kabla ya kuongeza muunganisho wa simu. Ili kujifunza jinsi ya kuunda upya vyeti, angalia sehemu Mipangilio ya vyeti vya Msingi vya RSA ya sura ya "Kuweka Msimamizi wa Mawasiliano wa Cisco Unified SIP Ujumuishaji wa Shina" katika Mwongozo wa Ujumuishaji wa Cisco Unified SIP kwa Cisco Unity Connection Toleo la 14 linalopatikana katika https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/integration/cucm_sip/b_14cucintcucmsip.html.
Kumbuka
Thibitisha kuwa thamani iliyoingizwa katika sehemu ya Jina la Somo la X.509 kwenye SIP Trunk Security Profile Ukurasa wa usanidi wa Kidhibiti cha Mawasiliano cha Umoja wa Cisco ni FQDN ya seva ya Uunganisho wa Umoja.
Inasanidi Mipangilio ya Ziada Unapotumia Hali ya FIPS
Ili kudumisha utiifu wa FIPS, usanidi wa ziada ni wa lazima kwa vipengele vifuatavyo:
- Mitandao: Intrasite, Intersite, VPIM
- Ujumbe Pamoja: Huduma Zilizounganishwa za Ujumbe.
Sanidi Mitandao Unapotumia Hali ya FIPS
Mtandao kutoka kwa Cisco Unity Connection hadi kwa seva nyingine lazima ulindwe na sera ya IPsec. Hii inajumuisha viungo vya kati, viungo vya ndani, na maeneo ya VPIM. Seva ya mbali ina jukumu la kuhakikisha utiifu wake wa FIPS.
Kumbuka
Ujumbe Salama hautumwi kwa njia inayotii FIPS isipokuwa Sera ya IPsec imesanidiwa.
Sanidi Ujumbe Mmoja Wakati Unatumia Hali ya FIPS
Huduma Zilizounganishwa za Ujumbe zinahitaji usanidi ufuatao:
- Sanidi sera ya IPsec kati ya Cisco Unity Connection na Microsoft Exchange.
- Weka Web-Mpangilio wa Hali ya Uthibitishaji Kulingana na Msingi hadi Msingi kwenye ukurasa wa Huduma ya Utumaji Ujumbe Iliyounganishwa katika Utawala wa Muunganisho wa Umoja. NTLM web hali ya uthibitishaji haitumiki katika hali ya FIPS.
Tahadhari
Sera ya IPsec kati ya seva inahitajika ili kulinda asili ya maandishi wazi ya Msingi web uthibitishaji.
Sanidi Sera za IPsec Kwa Kutumia Hali ya FIPS
Kwa maelezo kuhusu kusanidi sera za IPsec, angalia sehemu ya "IPSec Management" katika sura ya "Usalama" ya Mwongozo wa Utawala wa Mfumo wa Uendeshaji wa Cisco Unified Communications kwa Muunganisho wa Cisco Unity huko. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html.
Kwa maelezo kuhusu athari za sera za IPsec na Unity Connection, angalia sura ya "Kuboresha Muunganisho wa Cisco Unity" katika Mwongozo wa Kusakinisha, Kuboresha na Matengenezo kwa Toleo la 14 la Cisco Unity Connection linalopatikana katika
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.
Vipengele Visivyotumika Unapotumia Hali ya FIPS
Vipengele vifuatavyo vya Muunganisho wa Cisco Unity havitumiki wakati hali ya FIPS imewashwa:
- HotubaView Huduma ya Unukuzi.
- Uthibitishaji wa Digest ya SIP (imesanidiwa kwa Miunganisho ya Simu ya SIP).
- Uthibitishaji wa SIP NTLM (imesanidiwa kwa Uunganishaji wa Simu ya SIP).
- Ujumbe wa Video.
Inasanidi PIN ya Ujumbe wa Sauti Kwa Watumiaji wa Mazungumzo ya Touchtone Ili Kuingia
Kuwasha FIPS katika Muunganisho wa Cisco Unity huzuia mtumiaji wa mazungumzo ya toni ya mguso kuingia ili kucheza au kutuma ujumbe wa sauti au kubadilisha mipangilio ya mtumiaji ikiwa chaguo zote mbili zifuatazo ni kweli:
- Mtumiaji aliundwa katika Cisco Unity 5.x au mapema zaidi, na kuhamishiwa kwenye Muunganisho.
- Mtumiaji wa Unity Connection bado ana PIN ya barua ya sauti ambayo ilitolewa katika Cisco Unity 5.x au mapema zaidi.
Mtumiaji wa mazungumzo ya toni ya mguso huingia kwa kuingiza kitambulisho (kawaida kiendelezi cha mtumiaji) na PIN ya barua ya sauti.
Kitambulisho na PIN hupewa mtumiaji anapoundwa. Msimamizi au mtumiaji anaweza kubadilisha PIN.
Ili kuzuia wasimamizi kufikia PIN katika Utawala wa Muunganisho, PIN huharakishwa. Katika Cisco Unity 5.x na mapema, Cisco Unity iliharakisha PIN kwa kutumia algoriti ya hashing ya MD5, ambayo haiambatani na FIPS. Katika Cisco Unity 7.x na baadaye, na katika Unity Connection, PIN huharakishwa kwa kutumia algoriti ya SHA-1, ambayo ni ngumu zaidi kusimbua na inatii FIPS.
Hashing PIN ya Barua Zote ya Sauti yenye Algorithm ya SHA-1 katika Muunganisho wa Umoja
Wakati FIPS imewashwa, Cisco Unity Connection haiangalii tena hifadhidata ili kubaini kama PIN ya ujumbe wa sauti ya mtumiaji iliharakishwa kwa kutumia algoriti ya MD5 au SHA-1. Unity Connection huharakisha PIN zote za barua ya sauti na SHA-1 na kuilinganisha na PIN ya haraka katika hifadhidata ya Unity Connection. Mtumiaji haruhusiwi kuingia ikiwa PIN ya barua ya sauti ya haraka ya MD5 iliyowekwa na mtumiaji hailingani na PIN ya barua ya sauti ya SHA-1 katika hifadhidata.
Vikwazo vya Hali ya FIPS
| Kipengele | Vikwazo |
| SNMP v3 | Hali ya FIPS haitumii SNMP v3 yenye MD5 au DES. Ikiwa umesanidi SNMP v3 huku hali ya FIPS imewezeshwa, lazima usanidi SHA kama Itifaki ya Uthibitishaji na AES128 kama Itifaki ya Faragha. |
| Seva ya SFTP | Kwa Chaguomsingi, maktaba ya JSCH ilikuwa ikitumia ssh-rsa kwa muunganisho wa SFTP lakini hali ya FIPS haitumii ssh-rsa. Kwa sababu ya sasisho la hivi majuzi la CentOS, maktaba ya JSCH inaweza kutumia ssh-rsa (SHA1withRSA) au rsa-sha2-256 (SHA256withRSA) kulingana na thamani ya FIPS baada ya marekebisho. Hiyo ni, Kumbuka • Hali ya FIPS inaauni rsa-sha2-256 pekee. • Hali isiyo ya FIPS inaauni ssh-rsa na rsa-sha2-256. Usaidizi wa rsa-sha2-256 (SHA256WithRSA) unapatikana tu kuanzia toleo la OpenSSH 6.8 kuendelea. Katika hali ya FIPS, ni seva za SFTP pekee zinazotumia toleo la OpenSSH 6.8 kuendelea zinazotumia rsa-sha2-256 (SHA256WithRSA). |
| Algorithms Muhimu ya Mpangishi wa SSH | Algorithm iliyoacha kutumika: • ssh-rsa (SHAlwithRSA) Kanuni Mpya Inayotumika: • rsa-sha2-256 • rsa-sha2-512 Kumbuka Kabla ya kusasisha, tunapendekeza urejelee Kuboresha Aina sehemu ya sura ya "Kuboresha Muunganisho wa Cisco Unity" ya Mwongozo wa Kusakinisha, Kuboresha na Matengenezo kwa Toleo la 14 la Cisco Unity Connection linalopatikana katika https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html. |
| Sera ya IPSec | Sera ya IPSec yenye cheti haitafanya kazi wakati wa kuhama kutoka Isiyo na FIPS kwa FIPS au kinyume chake. Tekeleza yafuatayo unapohama kutoka kwa Hali Isiyo na FIPS kwa FIPS au kinyume chake. Ikiwa una cheti kulingana na sera ya IPSec na iko katika hali iliyowezeshwa basi: 1. Zima sera ya IPSec kabla ya kuhamia FIPS au makamu sawa. 2. Thibitisha tena cheti na ubadilishe cheti kipya baada ya kuhamia hali ya FIPS au kinyume chake. 3. Washa sera ya IPSec. |
Nyaraka / Rasilimali
 |
CISCO Toleo la 14 Muunganisho wa Umoja [pdf] Mwongozo wa Mtumiaji Toa Muunganisho wa Umoja wa 14, Toleo la 14, Muunganisho wa Umoja, Muunganisho |
 |
CISCO Toleo la 14 Muunganisho wa Umoja [pdf] Mwongozo wa Mtumiaji Toa Muunganisho wa Umoja wa 14, Muunganisho wa Umoja, Muunganisho |
