Súlad s FIPS v Cisco Unity Connection

Súlad s FIPS v Cisco Unity Connection

Úvod

FIPS alebo Federal Information Processing Standard je americký a kanadský vládny certifikačný štandard, ktorý definuje požiadavky, ktoré musia kryptografické moduly spĺňať.

Pozor
Režim FIPS je podporovaný iba vo vydaniach, ktoré sú v súlade s FIPS. Upozorňujeme, že pred inováciou na verziu Cisco Unity Connection, ktorá nie je v súlade s FIPS, by mal byť režim FIPS deaktivovaný.
Informácie o tom, ktoré vydania sú v súlade s FIPS a pre ktoré view ich certifikácie nájdete v dokumente FIPS 140 na odkaze: https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications/fips-140.html

Niektoré verzie Unity Connection sú v súlade s FIPS 140-2 v súlade s americkým Národným inštitútom pre štandardy (NIST). Môžu pracovať v režime FIPS, úroveň 1 zhody.
Režim FIPS používa nasledujúce overené kryptografické moduly FIPS 140-2 úrovne 1:

• CiscoSSL 1.1.1n.7.2.390 s modulom FIPS CiscoSSL FOM 7.2a
• CiscoSSH -1.9.29
• RSA CryptoJ 6_2_3
• BC FIPS -1.0.2.3.jar
• BCTLS FIPS – 1.0.12.3.jar
• BCPKIX FIPS -1.0.5.jar
• Libreswan -3.25-9
• NSS -3.67

Poznámka
Ďalšie informácie o aktualizáciách Unity Connection nájdete v časti Typy inovácie časť kapitoly „Inovácia pripojenia Cisco Unity“ v Príručke inštalácie, inovácie a údržby pre Cisco Unity Connection Release 14, ktorá je k dispozícii na  https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.

Spustenie príkazov CLI pre FIPS

Ak chcete povoliť funkciu FIPS v Cisco Unity Connection, použite príkaz utils fips enable CLI. Okrem toho sú k dispozícii aj nasledujúce príkazy CLI:

• utils fips disable- Používa sa na deaktiváciu funkcie FIPS.
• utils fips status- Používa sa na kontrolu stavu súladu s FIPS.

Pre viac informácií o utils fips Príkazy CLI nájdete v príslušnom rozhraní príkazového riadka
Referenčná príručka pre riešenia Cisco Unified Communications na adrese http://www.cisco.com/c/en/us/support/unified-communications/unity-connection/products-maintenance-guides-list.html.

Pozor
Po povolení alebo zakázaní režimu FIPS sa server Cisco Unity Connection automaticky reštartuje.

Pozor
Ak je server Cisco Unity Connection v klastri, nemeňte nastavenia FIPS na žiadnom inom uzle, kým sa operácia FIPS na aktuálnom uzle nedokončí a systém nebude opäť spustený.

Poznámka
Pred povolením režimu FIPS na serveri Unity Connection sa uistite, že dĺžka bezpečnostného hesla je minimálne 14 znakov. V prípade inovácie Unity Connection je potrebné aktualizovať heslo, ak bola predchádzajúca verzia povolená FIPS.

Všetky nové certifikáty sú podpísané pomocou hashovacieho algoritmu SHA-256 v režime FIPS. Keď vygenerujete certifikát s vlastným podpisom alebo žiadosť o podpis certifikátu, môžete si ako hašovací algoritmus vybrať iba SHA-256.

Obnovenie certifikátov pre FIPS

Obnovenie koreňových certifikátov

Servery Cisco Unity Connection s už existujúcimi telefónnymi integráciami musia mať po povolení alebo zakázaní režimu FIPS manuálne vygenerovaný koreňový certifikát. Ak integrácia telefonovania používa režim overeného alebo šifrovaného zabezpečenia, vygenerovaný koreňový certifikát sa musí znova nahrať na všetky zodpovedajúce servery Cisco Unified Communications Manager. Pri nových inštaláciách sa obnoveniu koreňového certifikátu možno vyhnúť povolením režimu FIPS pred pridaním integrácie telefónie.

Poznámka
V prípade klastrov vykonajte nasledujúce kroky na všetkých uzloch.

1. Prihláste sa do Cisco Unity Connection Administration.
2. Vyberte položky Telephony Integrations > Security > Root Certificate.
3. Na View Na stránke koreňového certifikátu kliknite na položku Generovať nový.
4. Ak integrácia telefonovania používa overený alebo šifrovaný bezpečnostný režim, pokračujte krokmi 5-10, v opačnom prípade prejdite na krok 12.
5. Na View Na stránke koreňový certifikát kliknite pravým tlačidlom myši na položku Uložte koreňový certifikát ako a File odkaz.
6. Vyberte Uložiť ako a prejdite do umiestnenia, kde sa uloží koreňový certifikát Cisco Unity Connection ako a.pem file.
   Poznámka
   Certifikát musí byť uložený ako a file s príponou.pem a nie s príponou.htm, inak Cisco Unified CM certifikát nerozpozná.
7. Skopírujte koreňový certifikát Cisco Unity Connection na všetky servery Cisco Unified CM vykonaním nasledujúcich čiastkových krokov:
   a. Na serveri Cisco Unified CM sa prihláste do Cisco Unified Operating System Administration.
   b. Vyberte možnosť Správa certifikátov z ponuky Zabezpečenie.
   c. Na stránke Zoznam certifikátov vyberte možnosť Nahrať reťazec certifikátov/certifikátov.
   d. Na stránke Upload Certificate/Certificate Chain vyberte možnosť CallManager-trust z rozbaľovacej ponuky Certificate Name.
   e. Do poľa Root Certificate zadajte Cisco Unity Connection Root Certificate.
   f. Kliknite na tlačidlo Prehľadávať v časti Nahrať File vyhľadajte a vyberte koreňový certifikát Cisco Unity Connection, ktorý bol uložený v kroku 5.
   g. Kliknite na tlačidlo Nahrať File.
   h. Kliknite na tlačidlo Zavrieť.
8. Na serveri Cisco Unified CM sa prihláste do služby Cisco Unified Serviceability.
9. V ponuke Nástroje vyberte položku Správa služieb.
10. Na stránke Control Center – Feature Services reštartujte službu Cisco CallManager.
11. Opakujte kroky 5-10 na všetkých zostávajúcich serveroch Cisco Unified CM v klastri Cisco Unified CM.
12. Reštartujte službu Unity Connection Conversation Manager podľa týchto krokov:
    a. Prihláste sa do služby Cisco Unity Connection Service.
    b. V ponuke Nástroje vyberte položku Správa služieb.
    c. Vyberte Zastaviť pre službu Unity Connection Conversation Manager v sekcii Kritické služby.
    d. Keď sa v oblasti Stav zobrazí správa, že služba Unity Connection Conversation Manager bola úspešne zastavená, vyberte pre službu možnosť Spustiť.
13. Nové a už existujúce porty na integráciu telefónov sú teraz správne zaregistrované v Cisco Unified CM.
    FIPS je podporovaný pre integráciu SCCP aj SIP medzi Cisco Unified Communications Manager a Cisco Unity Connection.
    Ďalšie informácie o správe certifikátov nájdete v časti „Spravujte certifikáty a zoznamy dôveryhodných certifikátov“ v kapitole „Zabezpečenie“ v príručke Cisco Unified Communications Operating System Administration Guide for Cisco Unity Connection, ktorá je k dispozícii na  https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html

Obnovenie certifikátov Tomcat

Unity Connection podporuje iba certifikáty Tomcat založené na kľúči RSA na konfiguráciu bezpečných hovorov pomocou integrácie SIP. To umožňuje použitie certifikátu s vlastným podpisom, ako aj certifikátu podpísaného CA tretej strany pre bezpečné volanie SIP.
Servery Cisco Unity Connection s už existujúcimi telefónnymi integráciami musia mať certifikát Tomcat manuálne vygenerovaný po povolení alebo zakázaní režimu FIPS. Ak integrácia telefonovania používa režim overeného alebo šifrovaného zabezpečenia, vygenerovaný certifikát kocúra sa musí znova nahrať na všetky zodpovedajúce servery Cisco Unified Communications Manager. Pri nových inštaláciách sa obnoveniu certifikátu kocúra dá vyhnúť povolením režimu FIPS pred pridaním integrácie telefónie. Informácie o tom, ako obnoviť certifikáty, nájdete v časti Nastavenia pre certifikáty RSA Key Based kapitoly „Nastavenie integrácie SIP kmeňa Cisco Unified Communications Manager“ v príručke Cisco Unified Communications Manager SIP Integration Guide for Cisco Unity Connection Release 14 k dispozícii na https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/integration/cucm_sip/b_14cucintcucmsip.html.

Poznámka
Skontrolujte, či je hodnota zadaná v poli X.509 Subject Name na SIP Trunk Security Profile Konfiguračná stránka Cisco Unified Communication Manager je FQDN servera Unity Connection.

Konfigurácia ďalších nastavení pri používaní režimu FIPS

V záujme zachovania súladu s FIPS sú povinné ďalšie konfigurácie pre nasledujúce funkcie:

• Networking: Intrasite, Intersite, VPIM
• Unified Messaging: Unified Messaging Services.

Konfigurácia siete pri používaní režimu FIPS
Sieť z Cisco Unity Connection na iný server musí byť zabezpečená politikou IPsec. Patria sem prepojenia medzi lokalitami, prepojenia medzi lokalitami a umiestnenia VPIM. Vzdialený server je zodpovedný za zabezpečenie súladu s FIPS.

Poznámka
Bezpečné správy sa neposielajú v súlade s FIPS, pokiaľ nie je nakonfigurovaná politika IPsec.

Konfigurácia Unified Messaging pri používaní režimu FIPS
Unified Messaging Services vyžadujú nasledujúcu konfiguráciu:

• Nakonfigurujte politiku IPsec medzi Cisco Unity Connection a Microsoft Exchange.
• Nastavte Web-Nastavenie režimu overenia založeného na overení na možnosť Základné na stránke Upraviť službu Unified Messaging Service v Správe pripojenia Unity. NTLM web režim overenia nie je podporovaný v režime FIPS.

Pozor
Politika IPsec medzi servermi je potrebná na ochranu povahy obyčajného textu Basic web autentifikácia.

Nakonfigurujte politiky IPsec pomocou režimu FIPS
Informácie o nastavení politík IPsec nájdete v časti „Správa IPSec“ v kapitole „Zabezpečenie“ v príručke Cisco Unified Communications Operating System Administration Guide for Cisco Unity Connection na adrese https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html.
Informácie o vplyve politík IPsec s Unity Connection nájdete v kapitole „Inovácia pripojenia Cisco Unity Connection“ v Príručke pre inštaláciu, inováciu a údržbu pre Cisco Unity Connection Release 14 dostupnú na
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.

Nepodporované funkcie pri používaní režimu FIPS
Nasledujúce funkcie Cisco Unity Connection nie sú podporované, keď je povolený režim FIPS:

• RečView Prepisová služba.
• SIP Digest Authentication (konfigurované pre integráciu SIP telefónie).
• Autentifikácia SIP NTLM (nakonfigurovaná pre integráciu SIP telefónie).
• Video správy.

Konfigurácia PIN hlasovej schránky pre používateľov konverzácie s tónovou voľbou na prihlásenie

Povolenie FIPS v Cisco Unity Connection zabráni používateľovi konverzácie s dotykovým tónom prihlásiť sa na prehrávanie alebo odosielanie hlasových správ alebo na zmenu používateľských nastavení, ak sú splnené obe nasledujúce možnosti:

• Používateľ bol vytvorený v Cisco Unity 5.x alebo staršom a migroval na Connection.
• Používateľ Unity Connection má stále PIN hlasovej schránky, ktorý bol priradený v Cisco Unity 5.x alebo staršom.

Používateľ konverzácie s dotykovým tónom sa prihlási zadaním ID (zvyčajne rozšírenia používateľa) a kódu PIN hlasovej schránky.
ID a PIN sa pridelia pri vytvorení používateľa. Kód PIN môže zmeniť správca alebo používateľ.
Aby sa administrátorom zabránilo v prístupe k PINom v Správe pripojení, PIN kódy sú hašované. V Cisco Unity 5.xa starších verziách Cisco Unity hashovalo PIN pomocou hashovacieho algoritmu MD5, ktorý nie je v súlade s FIPS. V Cisco Unity 7.xa novších verziách a v Unity Connection je kód PIN hašovaný pomocou algoritmu SHA-1, ktorý je oveľa ťažšie dešifrovať a je v súlade s FIPS.

Hašovanie kódu PIN všetkých hlasových správ pomocou algoritmu SHA-1 v spojení Unity
Keď je povolený FIPS, Cisco Unity Connection už nekontroluje databázu, aby zistil, či bol kód PIN používateľa zahašovaný pomocou algoritmu MD5 alebo SHA-1. Unity Connection hashuje všetky PINy hlasovej schránky pomocou SHA-1 a porovnáva ich s hashovaným PIN v databáze Unity Connection. Používateľovi nie je povolené prihlásiť sa, ak sa kód PIN zahašovaný do hlasovej schránky MD5 nezhoduje s kódom PIN zahašovaný do hlasovej schránky SHA-1 v databáze.

Obmedzenia režimu FIPS

Funkcia	Obmedzenia
SNMP v3	Režim FIPS nepodporuje SNMP v3 s MD5 alebo DES. Ak máte nakonfigurovaný SNMP v3, keď je povolený režim FIPS, musíte nakonfigurovať SHA ako overovací protokol a AES128 ako protokol na ochranu osobných údajov.
Server SFTP	Knižnica JSCH štandardne používala na pripojenie SFTP ssh-rsa, ale režim FIPS nepodporuje ssh-rsa. Vďaka nedávnej aktualizácii CentOS knižnica JSCH podporuje ssh-rsa (SHA1withRSA) alebo rsa-sha2-256 (SHA256withRSA) v závislosti od hodnoty FIPS po úpravách. teda Poznámka • Režim FIPS podporuje iba rsa-sha2-256. • Režim non-FIPS podporuje ssh-rsa aj rsa-sha2-256. Podpora rsa-sha2-256 (SHA256WithRSA) je dostupná iba od verzie OpenSSH 6.8 a vyššie. V režime FIPS podporujú rsa-sha6.8-2 (SHA256WithRSA) iba servery SFTP s verziou OpenSSH 256 a novšou.
Algoritmy hostiteľského kľúča SSH	Zastaraný algoritmus: • ssh-rsa (SHAlwithRSA) Nový podporovaný algoritmus: • rsa-sha2-256 • rsa-sha2-512 Poznámka Pred inováciou vám odporúčame pozrieť si Typy inovácie časť kapitoly „Inovácia pripojenia Cisco Unity“ v Príručke inštalácie, inovácie a údržby pre Cisco Unity Connection Release 14, ktorá je k dispozícii na https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.
Politika IPSec	Politika IPSec založená na certifikáte nebude fungovať pri prechode z Non-FIPS na FIPS alebo naopak. Pri prechode z režimu Non-FIPS vykonajte nasledovné na FIPS alebo naopak. Ak máte politiku IPSec založenú na certifikáte a je v aktívnom stave, potom: 1. Pred prechodom na FIPS alebo vice deaktivujte politiku IPSec naopak. 2. Znova certifikujte certifikát a vymeňte nový certifikát po prechode do režimu FIPS alebo naopak. 3. Povoľte politiku IPSec.

Dokumenty / zdroje

	CISCO vydanie 14 Unity Connection [pdf] Používateľská príručka Vydanie 14 Unity Connection, Release 14, Unity Connection, Connection
	CISCO vydanie 14 Unity Connection [pdf] Používateľská príručka Vydanie 14 Unity Connection, Unity Connection, Connection

Referencie

• Používateľská príručka