Merhaba, bu yazımda yine bana sıkça sorulan sorulardan biri olan Cisco IP telefonlar arası görüşmelerin “dinlenememesi” (kriptolanması) konusunu (CUCM encryption özelliklerini) ve nasıl yapılacağını özetlemeye çalışacağım.
Gereksinimler:
1. Görüşmenin kriptolanması uçtan uca yapılması gereken bir işlemdir. Dolayısı ile iki ucun da kriptolu görüşmeyi destekleyecek donanım ve yazılıma sahip olması gerekmektedir. En basit tabiri ile iki IP telefondan bir tanesi kriptolu görüşmeyi desteklemiyor ise bu görüsme uçtan uca kriptolu olamaz. İki telefon arası görüşmede sesin (ve varsa görüntünün) kriptolanması Secure RTP (SRTP) ile gerçekleşir.
2. IP telefon santrallerinin çalışmasını hatırlayacak olursak, çağrı başlatma aşamasında bildiğiniz gibi sinyalleşme IP telefon ile santral (CUCM) arasında olmaktadır. Bu sinyalleşme bilgisinin de kriptolu olabilmesi için yine iki tarafın da kriptoyu desteklemesi gerekir. Sinyalleşme bilgisi Transport Layer Security (TLS) ile kriptolanır.
Nasıl Yapılır?
İlgili Servislerin Açılması
1. CUCM Publisher üzerinde Cisco Certificate Authority Proxy Function servisinin ve Callmanager servisinin çalıştığı tüm node larda CTL Provider servisinin açılması gerekiyor. Bu servisleri Cisco Unified Serviceability Modülünden Tools > Control Center > Service Activation menülerine girerek ilgili servisleri ilgili node larda aktif ediyoruz. Bu servisler, IP telefonların Certificate Trust List (CTL) ve ilgili sertifikaları alabilmeleri için gerekli olan servislerdir.
Bu işlemi yaptıktan sonra ilgili nodelarda Callmanager ve TFTP servislerinin tekrar başlatılması gereklidir.
2. CUCM Cluster’ın Mixed Mode‘a alınması işlemi. Bu işlem aslında CUCM’in hem kriptolu hem de kiriptosuz iletişimi destekleyebilir hale getirme işlemidir. Bu işlem CUCM 10 versiyonuna kadar Cisco’dan temin edilecek en az 2 adet USB Security Token ile yapılıyordu. 10 versiyonundan sonra bu işlem USB tokenlar olmadan da yapılabilir hale geldi. Biz bu adımı USB token olmadan yaptığımızı farz edelim :
Publisher CLI’ına sunucu konsolundan ya da SSH ile bağlanarak aşağıdaki komutu giriyoruz:
utils ctl set-cluster mixed-mode
Bu komut tamamlandıktan sonra Callmanager, CTI Manager ve TFTP servisi tüm nodelarda restart edilmelidir. (Kendi tecrübelerime dayanarak nodeları restart etmeyi tavsiye ediyorum.)
Not: Eğer CUCM 11.5 SU3 ve üstü kullanıyorsanız bu komutu çalıştırmak için 0$ bedelli Encryption Lisansı‘na sahip olmanız gerekmektedir.
Cluster tekrar çaalışır hale gelince CUCM Admin Page > System > Enterprise Parameters a gelerek cluster’ın mixed mode a alındığını şu ekrandan kontrol edebilirsiniz:
3. CTL dosyasını almasını istediğiniz telefonları resetleyin, daha sonra telefonların tuş takımlarını kullanarak admin menüsünde güvenlik ayarlarında CTL dosyasının yüklendiğini göreceksiniz:
Phone Security Profile
4. Bu adımda kriptolu görüşme yapılması istenen telefon modelleri için Security Profile tanımlayacağız. CM Administration modülünden System > Security Profile > Phone Security Profile menülerinden Add New ile yeni bir profil yaratabilir ya da mevcut bir Non-Secure Profile’ı copy ile kopyalayarak aşağıdaki şekilde değiştiriyoruz:
Burada Device Security Mode‘u Encrypted yaparak görüşmelerin kriptolu olması gerektiğini belirtiyoruz. TFTP Encrypted Config opsiyonu ile de telefonların konfig dosyalarının da TFTP üzerinden kriptolu olarak gönderilmesini sağlıyoruz. Authentication Mode‘u By Null String olarak seçerek telefonlardaki sertifika yükleme işleminin kullanıcı müdahalesine gerek kalmadan otomatik olarak yapılmasını sağlıyoruz. Key Size ise sertifika için kullanılacak anahtarın boyutu ile ilgili. Eğer telefonun bu işlemi daha kısa sürede (ve nispeten daha güvensiz bir sertifika ile) yapmasını isterseniz 512 seçebilirsiniz. Bu adımları kriptolu görüşme yapmak istediğiniz her IP telefon modeli için yapmanız gerekiyor.
Telefon Ayarları
5. Bir önceki adımda oluşturduğumuz profilleri kriptolu görüşme yapmak istediğimiz telefonlar ile ilişkilendirmemiz gerekiyor. Bunun için CM Administration modülünden Device > Phone altında ilgili telefonu bularak konfigürasyon sayfasını açıp Device Security Profile ve Certificate Authority Proxy Function (CAPF) Information alanını aşağıdaki gibi güncellememiz gerekiyor:
Certificate Operation alanında Install/Upgrade i seçerek telefona sertifikanın yüklenmesini sağlıyoruz. Operation Completes By alanı ise bu işlemin hangi tarihe kadar yapılabileceğini belirtiyor. Bu alanın altında Certificate Operation Status kısmında da mevcut durumu görebiliyorsunuz. Bu ayarları yapıp Save/Apply Config ve Reset işlemini uyguladığımızda artık telefonlarımız kriptolu görüşmeye hazır hale geliyor.
Bu işlemleri yaptığımız iki IP telefon arasında bir çağrı yaptığımızda ise encryption ın aktif olduğunu ve görüşmenin kriptolu olduğunu telefon ekranındaki kapalı kilit ikonu ile anlayabiliriz.
Buraya kadar anlattığımız IP telefonlar arasındaki görüşmelerin kriptolanmasını kapsıyor. Farklı görüşme tipleri için (ör. konferans çağrıları, SIP trunk’a doğru gidilen çağrılar vb.) çağrının kurulduğu yerlerin de en başta 1. maddede söylediğimiz gibi kriptolu görüşmeyi (encryption) desteklemesi gerekecektir.