Cisco Unity қосылымындағы FIPS сәйкестігі

Cisco Unity қосылымындағы FIPS сәйкестігі

Кіріспе

FIPS немесе ақпаратты өңдеудің федералдық стандарты — криптографиялық модульдер орындайтын талаптарды анықтайтын АҚШ және Канада үкіметінің сертификаттау стандарты.

Абайлаңыз
FIPS режиміне тек FIPS сәйкестігі арқылы өткен шығарылымдарда қолдау көрсетіледі. Cisco Unity Connection бағдарламасының FIPS сәйкес келмейтін нұсқасына жаңарту алдында FIPS режимін өшіру керек екенін ескертіңіз.
Қандай шығарылымдар FIPS және сәйкес келетіні туралы ақпарат алу үшін view олардың сертификаттары үшін FIPS 140 құжатын мына сілтемеден қараңыз: https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications/fips-140.html

Unity Connection бағдарламасының кейбір нұсқалары АҚШ Ұлттық Стандарттар Институтына (NIST) сәйкес FIPS 140-2 стандартына сәйкес келеді. Олар FIPS режимінде, 1-деңгей сәйкестігінде жұмыс істей алады.
FIPS режимі келесі FIPS 140-2 1-деңгейдің расталған криптографиялық модульдерін пайдаланады:

• FIPS модулі бар CiscoSSL 1.1.1n.7.2.390 CiscoSSL FOM 7.2a
• CiscoSSH -1.9.29
• RSA CryptoJ 6_2_3
• BC FIPS -1.0.2.3.jar
• BCTLS FIPS – 1.0.12.3.jar
• BCPKIX FIPS -1.0.5.jar
• Либресван -3.25-9
• NSS -3.67

Ескерту
Unity Connection жаңартулары туралы қосымша ақпаратты қараңыз Жаңарту түрлері Cisco Unity Connection Release 14 үшін орнату, жаңарту және техникалық қызмет көрсету нұсқаулығының «Cisco Unity қосылымын жаңарту» тарауының мына мекенжайда қолжетімді.  https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.

FIPS үшін CLI пәрмендерін іске қосу

Cisco Unity Connection жүйесінде FIPS мүмкіндігін қосу үшін utils fips enable CLI пәрменін пайдаланасыз. Бұған қоса, келесі CLI пәрмендері де қол жетімді:

• utils fips disable - FIPS мүмкіндігін өшіру үшін пайдаланыңыз.
• utils fips status- FIPS сәйкестік күйін тексеру үшін пайдаланыңыз.

fips CLI пәрмендері туралы қосымша ақпарат алу үшін тиісті пәрмен жолы интерфейсін қараңыз.
Cisco Unified Communications Solutions үшін анықтамалық нұсқаулық http://www.cisco.com/c/en/us/support/unified-communications/unity-connection/products-maintenance-guides-list.html.

Абайлаңыз
FIPS режимін қосқаннан немесе өшіргеннен кейін Cisco Unity Connection сервері автоматты түрде қайта іске қосылады.

Абайлаңыз
Егер Cisco Unity Connection сервері кластерде болса, ағымдағы түйіндегі FIPS әрекеті аяқталмайынша және жүйе сақтық көшірме жасап, іске қосылғанша кез келген басқа түйіндегі FIPS параметрлерін өзгертпеңіз.

Ескерту
Unity Connection серверінде FIPS режимін қоспас бұрын, қауіпсіздік құпия сөзінің ұзындығы кемінде 14 таңба екенін тексеріңіз. Unity Connection жаңартылған жағдайда, алдыңғы нұсқа FIPS қосылған болса, құпия сөзді жаңарту қажет.

Барлық жаңа сертификаттарға FIPS режимінде SHA-256 хэштеу алгоритмі арқылы қол қойылады. Өздігінен қол қойылған сертификатты немесе Сертификатқа қол қою сұрауын жасағанда, хэштеу алгоритмі ретінде тек SHA-256 таңдай аласыз.

FIPS сертификаттарын қалпына келтіру

Түбірлік сертификаттарды қалпына келтіру

Бұрыннан бар телефония интеграциялары бар Cisco Unity Connection серверлерінде FIPS режимін қосқаннан немесе өшіргеннен кейін түбірлік сертификат қолмен қайта жасалған болуы керек. Телефонияны біріктіру аутентификацияланған немесе шифрланған қауіпсіздік режимін пайдаланса,  қалпына келтірілген түбірлік куәлікті кез келген сәйкес Cisco Unified Communications Manager серверлеріне қайта жүктеп салу қажет. Жаңа орнатулар үшін телефония біріктіруін қоспас бұрын FIPS режимін қосу арқылы түбірлік куәлікті қалпына келтіруді болдырмауға болады.

Ескерту
Кластерлер болған жағдайда барлық түйіндерде келесі қадамдарды орындаңыз.

1. Cisco Unity Connection Administration жүйесіне кіріңіз.
2. Телефония интеграциясы > Қауіпсіздік > Түбірлік сертификат тармағын таңдаңыз.
3. бойынша View Түбірлік сертификат бетінде Жаңасын жасау түймесін басыңыз.
4. Телефонияны біріктіру аутентификацияланған немесе шифрланған қауіпсіздік режимін пайдаланса, 5-10 қадамдармен жалғастырыңыз, әйтпесе 12-қадамға өтіңіз.
5. бойынша View Түбірлік сертификат бетінде Түбірлік сертификатты сақтау үшін тінтуірдің оң жақ түймешігін басыңыз. File сілтеме.
6. Cisco Unity Connection түбірлік сертификатын a.pem ретінде сақтау үшін орынды шолу үшін Басқаша сақтау опциясын таңдаңыз. file.
   Ескерту
   Сертификат ретінде сақталуы керек file htm орнына extension.pem болса, Cisco Unified CM сертификатты танымайды.
7. Келесі ішкі қадамдарды орындау арқылы Cisco Unity Connection түбірлік сертификатын барлық Cisco Unified CM серверлеріне көшіріңіз:
   а. Cisco Unified CM серверінде Cisco Unified Operating System Administration жүйесіне кіріңіз.
   б. Қауіпсіздік мәзірінен Сертификатты басқару опциясын таңдаңыз.
   в. Сертификаттар тізімі бетінде Сертификат/сертификат тізбегін жүктеп салу опциясын таңдаңыз.
   г. Сертификатты/сертификат тізбегін жүктеп салу бетінде Сертификат атауы ашылмалы тізімінен CallManager-сенім опциясын таңдаңыз.
   e. Түбірлік сертификат өрісіне Cisco Unity қосылымының түбірлік сертификатын енгізіңіз.
   f. Жүктеп салуда Шолу түймесін басыңыз File 5-қадамда сақталған Cisco Unity Connection түбірлік сертификатын табу және таңдау үшін өріс.
   g. Жүктеп салу түймесін басыңыз File.
   h. Жабу түймесін басыңыз.
8. Cisco Unified CM серверінде Cisco Unified Serviceability жүйесіне кіріңіз.
9. Құралдар мәзірінен Service Management таңдаңыз.
10. Басқару орталығы – Мүмкіндік қызметтері бетінде Cisco CallManager қызметін қайта іске қосыңыз.
11. Cisco Unified CM кластеріндегі барлық қалған Cisco Unified CM серверлерінде 5-10 қадамдарды қайталаңыз.
12. Мына қадамдарды орындау арқылы Unity Connection Conversation Manager қызметін қайта іске қосыңыз:
    a.Cisco Unity Connection қызмет көрсету мүмкіндігіне кіру.
    б. Құралдар мәзірінен Service Management таңдаңыз.
    в. Критикалық қызметтер бөліміндегі Unity Connection Conversation Manager қызметі үшін Тоқтату опциясын таңдаңыз.
    г. Күй аймағы Unity Connection Conversation Manager қызметі сәтті тоқтатылғаны туралы хабарды көрсеткенде, қызмет үшін Бастау пәрменін таңдаңыз.
13. Жаңа және бұрыннан бар телефония біріктіру порттары енді Cisco Unified CM жүйесінде дұрыс тіркелген.
    FIPS жүйесіне Cisco Unified Communications Manager және Cisco Unity Connection арасындағы SCCP және SIP интеграцияларына қолдау көрсетіледі.
    Сертификаттарды басқару туралы қосымша ақпаратты «Сертификаттар мен сертификаттардың сенімді тізімдерін басқарыңыз» бөлімінде Cisco Unity Connection үшін Cisco Unified Communications операциялық жүйесін басқару нұсқаулығының «Қауіпсіздік» тарауында қол жетімді.  https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html

Tomcat сертификаттарын қалпына келтіру

Unity Connection SIP Integration көмегімен қауіпсіз қоңырауларды конфигурациялау үшін RSA кілтіне негізделген Tomcat сертификаттарын ғана қолдайды. Бұл SIP қауіпсіз қоңырауы үшін өздігінен қол қойылған, сондай-ақ үшінші тараптың CA қол қойылған сертификатын пайдалануға мүмкіндік береді.
Бұрыннан бар телефония интеграциялары бар Cisco Unity Connection серверлерінде FIPS режимін қосқаннан немесе өшіргеннен кейін Tomcat сертификаты қолмен қайта жасалған болуы керек. Телефонияны біріктіру аутентификацияланған немесе шифрланған қауіпсіздік режимін пайдаланса,  қалпына келтірілген tomcat сертификатын кез келген сәйкес Cisco Unified Communications Manager серверлеріне қайта жүктеп салу керек. Жаңа орнатулар үшін, телефония біріктіруін қоспас бұрын FIPS режимін қосу арқылы tomcat сертификатын қалпына келтіруді болдырмауға болады. Куәліктерді қалпына келтіру жолын білу үшін бөлімді қараңыз RSA кілтіне негізделген сертификаттарға арналған параметрлер Cisco Unified Communications Manager бағдарламасындағы «Cisco Unified Communications Manager SIP Trunk Integration орнату» тарауының Cisco Unity  Connection 14-шығарылымына арналған SIP біріктіру нұсқаулығы мына жерден қолжетімді: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/integration/cucm_sip/b_14cucintcucmsip.html.

Ескерту
SIP Trunk Security Pro жүйесіндегі X.509 Subject Name өрісіне енгізілген мәнді тексеріңізfile Cisco Unified Communication Manager конфигурациялау беті Unity Connection серверінің FQDN болып табылады.

FIPS режимін пайдалану кезінде қосымша параметрлерді конфигурациялау

FIPS сәйкестігін сақтау үшін келесі мүмкіндіктер үшін қосымша конфигурациялар міндетті:

• Желілер: Сайт ішілік, Сайтаралық, VPIM
• Бірыңғай хабар алмасу: Бірыңғай хабар алмасу қызметтері.

FIPS режимін пайдалану кезінде желіні конфигурациялаңыз
Cisco Unity қосылымынан басқа серверге қосылу IPsec саясаты арқылы қорғалуы керек. Бұған сайт аралық сілтемелер, сайт ішіндегі сілтемелер және VPIM орындары кіреді. Қашықтағы сервер өзінің FIPS сәйкестігін қамтамасыз етуге жауапты.

Ескерту
IPsec саясаты конфигурацияланбайынша, Secure Messages FIPS стандартымен үйлесімді түрде жіберілмейді.

FIPS режимін пайдалану кезінде бірыңғай хабар алмасуды теңшеңіз
Unified Messaging Services келесі конфигурацияны қажет етеді:

• Cisco Unity Connection және Microsoft Exchange арасындағы IPsec саясатын теңшеңіз.
• орнатыңыз Web-Unity Connection Administration ішіндегі Бірыңғай хабар алмасу қызметін өңдеу бетіндегі Негізгі аутентификация режимінің параметрі. NTLM web аутентификация режиміне FIPS режимінде қолдау көрсетілмейді.

Абайлаңыз
Серверлер арасындағы IPsec саясаты Basic бағдарламасының кәдімгі мәтіндік сипатын қорғау үшін қажет web аутентификация.

FIPS режимін пайдаланып IPsec саясаттарын конфигурациялаңыз
IPsec саясаттарын орнату туралы ақпаратты мына жерден қараңыз: Cisco Unity Connection үшін Cisco Unified Communications операциялық жүйесін басқару нұсқаулығының «Қауіпсіздік» тарауындағы «IPSec басқару» бөлімін мына жерден қараңыз. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html.
Unity Connection арқылы IPsec саясаттарының әсері туралы ақпаратты мына жерден қол жетімді Cisco Unity Connection Release 14 үшін орнату, жаңарту және техникалық қызмет көрсету нұсқаулығының «Cisco Unity қосылымын жаңарту» тарауын қараңыз.
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.

FIPS режимін пайдалану кезіндегі қолдау көрсетілмейтін мүмкіндіктер
FIPS режимі қосылғанда келесі Cisco Unity Connection мүмкіндіктеріне қолдау көрсетілмейді:

• СөйлеуView Транскрипция қызметі.
• SIP Digest Authentication (SIP Telephony Integrations үшін конфигурацияланған).
• SIP NTLM аутентификациясы (SIP телефония интеграциясы үшін конфигурацияланған).
• Бейнехабарлама.

Дауыстық пошта PIN кодын сенсорлы сөйлесу пайдаланушылары үшін жүйеге кіру үшін теңшеу

Cisco Unity Connection жүйесінде FIPS қосу келесі опциялардың екеуі де дұрыс болса, дауыстық хабарларды ойнату немесе жіберу немесе пайдаланушы параметрлерін өзгерту үшін сенсорлық сөйлесу пайдаланушысының жүйеге кіруіне жол бермейді:

• Пайдаланушы Cisco Unity 5.x немесе одан бұрынғы нұсқасында жасалып, Қосылымға көшірілді.
• Unity Connection пайдаланушысында әлі де Cisco Unity 5.x немесе одан бұрынғы нұсқасында тағайындалған дауыстық пошта PIN коды бар.

Сенсорлы сөйлесу пайдаланушысы идентификатор (әдетте пайдаланушының кеңейтімі) және дауыстық пошта PIN кодын енгізу арқылы жүйеге кіреді.
Идентификатор мен PIN коды пайдаланушы жасалған кезде тағайындалады. Әкімші немесе пайдаланушы PIN кодын өзгерте алады.
Әкімшілердің Connection Administration қолданбасында PIN кодтарына кіруіне жол бермеу үшін PIN кодтары хэштелген. Cisco Unity 5.x және одан бұрынғы нұсқаларында Cisco Unity FIPS сәйкес келмейтін MD5 хэштеу алгоритмін пайдалану арқылы PIN кодын хэштеді. Cisco Unity 7.x және одан кейінгі нұсқаларында және  Unity Connection жүйесінде PIN коды шифрын ашу әлдеқайда қиын және FIPS сәйкес келетін SHA-1 алгоритмін пайдалану арқылы хэштелген.

Бірлік қосылымында SHA-1 алгоритмімен барлық дауыстық пошта PIN кодын хэштеу
FIPS қосылған кезде, Cisco Unity Connection енді пайдаланушының дауыстық пошта PIN коды MD5 немесе SHA-1 алгоритмімен хэштелгенін анықтау үшін дерекқорды тексермейді. Unity Connection барлық дауыстық пошта PIN кодтарын SHA-1 көмегімен хэштейді және оны Unity Connection дерекқорындағы хэштелген  PIN кодымен салыстырады. Пайдаланушы енгізген MD5 хэштелген дауыстық пошта PIN коды дерекқордағы SHA-1 хэштелген дауыстық пошта PIN кодымен сәйкес келмесе, пайдаланушыға кіруге рұқсат етілмейді.

FIPS режимінің шектеулері

Ерекшелік	Шектеулер
SNMP v3	FIPS режимі MD3 немесе DES бар SNMP v5 нұсқасын қолдамайды. FIPS режимі қосылған кезде конфигурацияланған SNMP v3 болса, SHA аутентификация протоколы және AES128 құпиялылық протоколы ретінде конфигурациялауыңыз керек.
SFTP сервері	Әдепкі бойынша JSCH кітапханасы SFTP қосылымы үшін ssh-rsa қолданды, бірақ FIPS режимі ssh-rsa тілін қолдамайды. CentOS соңғы жаңартуына байланысты JSCH кітапханасы өзгертулерден кейінгі FIPS мәніне байланысты ssh-rsa  (SHA1withRSA) немесе rsa-sha2-256 (SHA256withRSA) екеуін де қолдайды. Бұл, Ескерту • FIPS режимі тек rsa-sha2-256 тілін қолдайды. • FIPS емес режим ssh-rsa және rsa-sha2-256 екеуін де қолдайды. rsa-sha2-256 (SHA256WithRSA) қолдауы тек OpenSSH 6.8  нұсқасынан  бастап қолжетімді. FIPS режимінде тек OpenSSH 6.8 нұсқасымен жұмыс істейтін SFTP серверлері rsa-sha2-256 (SHA256WithRSA) қолдайды.
SSH хост кілтінің алгоритмдері	Ескірген алгоритм: • ssh-rsa (SHAlwithRSA) Жаңа қолдау көрсетілетін алгоритм: • rsa-sha2-256 • rsa-sha2-512 Ескерту Жаңартпас бұрын мынаны қарауды ұсынамыз Жаңарту түрлері Cisco Unity Connection Release 14 үшін орнату, жаңарту және техникалық қызмет көрсету нұсқаулығының «Cisco Unity қосылымын жаңарту» тарауының мына мекенжайда қолжетімді. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.
IPSec саясаты	Сертификат негізіндегі IPSec саясаты көшу кезінде жұмыс істемейді FIPS емес, FIPS немесе керісінше. FIPS емес режимінен көшкен кезде келесі әрекеттерді орындаңыз FIPS немесе керісінше. Егер сізде сертификатқа негізделген IPSec саясаты болса және ол қосылған күйде: 1. FIPS немесе вице-ге көшу алдында IPSec саясатын өшіріңіз керісінше 2. Куәлікті қайта куәландырыңыз және жаңа куәлікті ауыстырыңыз FIPS режиміне көшкеннен кейін немесе керісінше. 3. IPSec саясатын қосыңыз.

Құжаттар / Ресурстар

	CISCO Release 14 Unity Connection [pdf] Пайдаланушы нұсқаулығы 14 шығарылым Бірлік қосылымы, 14 шығарылым, Бірлік қосылымы, қосылым
	CISCO Release 14 Unity Connection [pdf] Пайдаланушы нұсқаулығы 14 шығарылым Бірлік қосылымы, Бірлік қосылымы, Қосылым

Анықтамалар

• Пайдаланушы нұсқаулығы