sábado, 12 de outubro de 2013

Cluster em Mixed Mode

Já que o assunto da moda é a espionagem digital que os EUA andaram fazendo e tal, tive a ideia de começar a fazer uns posts sobre segurança. Até onde eu sei, não faz parte do blueprint atual do CCIE Voice, mas certamente é um conhecimento importante para qualquer profissional da área no dia-a-dia de projetos.

No primeiro post da série, vou mostrar como deixar o cluster em Mixed Mode, ou seja, habilitar a criptografia da sinalização e áudio nos telefones. É bem fácil de fazer, mas existe um pré-requisito, que é adquirir pelo menos dois tokens de segurança (part number KEY-CCM-ADMIN-K9=). Tendo isso, o resto é muito fácil. Vamos lá!

1. Primeiramente, você deve habilitar os serviços de CTL Provider e Certificate Authority Proxy Function (CAPF) no CUCM.

2. Feito isso, baixe do CUCM e instale no seu notebook o CTL Client. O caminho para baixar o plugin é indo em Applications >> Plugins. O notebook deve estar na rede para executar o programa, com o CUCM acessível.

3. Ao executar o CTL Client, insira o IP do Publisher, login e senha


4. Após a autenticação, a seguinte tela aparecerá. Escolha a opção "Set Cisco Unified CallManager Cluster to Mixed Mode"


5. O aplicativo pedirá para você inserir um Security Token. Faça isso e pressione OK. (obs: Insira apenas 1 dos tokens!)


6. As informações do Token serão exibidas. Pressione Add.


7. O programa vai coletar todos os certificados (CAPF, CCM e TFTP) dos servidores do cluster e exibir na tela, juntamente com o próprio Token, mostrando os certificados do CTL. Removi as informações do cliente no print screen abaixo:


8. Clique em Add Tokens para adicionar o seu segundo Token no CTL. O programa o alertará para remover o primeiro token antes de inserir o segundo:


9. As informações do segundo Token serão exibidas. Clique Add.



10. E o segundo token será adicionado ao CTL. Clique em Finish.


11. O programa vai pedir agora a senha do eToken. Você tem apenas 15 tentativas, e depois disso o Token é inutilizado. A senha default é Cisco123.

12. Com isso, a chave privada do eToken será utilizada para assinar o arquivo CTL, que será "upado" para cada servidor do cluster.


13. Reinicie os serviços de CallManager e TFTP (ou dê logo um boot no servidor, afinal, um bootzinho sempre vai bem, né! hehe)

14. Agora o seu cluster já está em Mixed Mode! Para habilitar a criptografia em um telefone, você deve criar um Security Profile (System >> Security >> Phone Security Profile), como abaixo, habilitando a criptografia:


15. Aplicar o profile no telefone, e configurar as opções de CAPF nele. Para os telefones novos, que já vem de fábrica com um certificado MIC, você pode usar a o método "Por certificado existente (prioridade para MIC)". Caso seja um telefone antigo, modelo 7940, 7960, você tem que usar o "By Authentication String", e aí é muito mais trabalhoso, pois você tem que ir telefone por telefone e digitar uma senha para ele poder baixar os certificados. Ou seja, para deployments grandes, é inviável! No exemplo, estou considerando um dos telefones de modelo mais recente.


16. Após o reset do telefone, você verá que o Certificate Operation Status está como Upgrade Sucess:


17. Agora se você fizer uma chamada com esse telefone, ele mostrará um desenho de cadeado na tela, indicando que a chamada está sendo criptografada.

18. Uma observação. Quando você deixa o Cluster em Mixed Mode, o Auto-Registration deixa de funcionar!

Esse foi um post super simples. Tem diversas referências na Internet mostrando como se faz isso, e os guias da Cisco também são bem explicativos. Nos próximos posts da série de segurança, abordarei outros temas como SIP over TLS, Secure Conference Bridges, VG224, utilizando um Certificate Authority da empresa (e não os Self Signed do Call Manager). Esses são temas que eu pelo menos não encontrei nada muito explicativo na Internet. Até a próxima!

2 comentários:

  1. Bruno, parabéns pelo post.

    Só adicionando duas experiências que tive:
    CTL Client:
    É interessantes adicionar os hostnames ou FQDN dos nodes na tabela host da máquina onde está instalado o CTL clientes. Isso evita possível travamento do CTL client caso aconteça algum atraso de resposta de DNS.

    CIPC:
    Para inserir o certificado no CIPC, o campo Operation completed by deverá ser preenchido com GMT 0.
    O certificado no CIPC fica instado como personal no Windows, logo, no caso de um desktop compartilhado por diferentes usuários, o CIPC somente funcionará no perfil do usuário onde o certificado foi instalado.

    ResponderExcluir
    Respostas
    1. Muito obrigado Bruno, por compartilhar sua experiência. Eu não sabia disso do CIPC, pois nos deployments que fiz, não tinha IP Communicator. Valeu!
      Quanto a adicionar o FQDN dos servidores, é sim uma solução. Mas eu costumo usar o IP, sempre alterando lá em System >> Servers o Hostname pelo IP, para tirarmos a dependência com o DNS.
      Valeu!!

      Excluir