글 싣는 순서

1. CUCM에 인증서 올리기 
2. 전화기에 인증서 올리기 
3. CUCM Mixed Mode 전환하여 암호화 통신하기
4. CUCM 보안 관련 문제 정리 


시작하며
이 연재를 시작한 가장 큰 이유는 CUCM 10.5 부터 Security Token 없이도 TLS / SRTP 를 할 수 있다고 아무리 이야기해도 믿지를 못하는 분들 때문입니다. 차근차근 순서대로 어떻게 Security Token 없이도 CTL 파일을 만들고 단말과 동기화하는 과정을 살펴보겠습니다.


보안토큰없이 CUCM을 Mixed Mode로 전환하기
CUCM의 OS 쉘에 접속하기 위해 SSH로 접속합니다. CUCM을 설치할 때 만든 OS Admin 계정을 이용합니다. 

Mixed Mode로 전환하여 CTL (Certificate Trust List) 파일이 있는 지를 확인하기 위해 "show ctl" 명령을 이용합니다. CTL 파일이 없으므로 CUCM은 Mixed Mode가 아니며 단말들은 ITL을 이용하여 기본적인 보안을 적용합니다. 기본적으로 ITL 만으로도 "Secure by default" 정책에 의해 TLS / SRTP를 제외한 모든 보안관련 사항은 자동 적용됩니다.  

CUCM을 Mixed Mode로 전환하기 위한 명령어는 다음과 같습니다.

"utils ctl set-cluster mixed-mode"

CUCM 11.5 미만 버전의 경우 Mixed Mode를 이용하면 자동등록 (Auto-registration) 기능이 제한되었지만, 11.5 부터는 적용가능합니다. 

CUCM을 Mixed Mode로 전환하게 되면 Cisco TFTP, CallManager, CTIManager 서비스를 재시작해야 합니다. 귀찮다면 모든 CUCM을 재부팅할 것을 권합니다. 

 이제 전화기가 사용할 CTL 파일이 생성되었습니다.

CTL 파일에 포함된 인증서는 다음과 같습니다.

  • ITLRECOVERY : System Administrator Security Token
  • CUCM Node : System Administrator Security Token
  • CAPF
  • CUCM TFTP


CUCM Administration 메뉴바에서 "System >> Enterprise Parameter"를 선택합니다.  Security Parameter 색션에서 "Cluster Security Mode"가 1입니다. 1은 Mixed Mode 입니다.  


전화기에서 확인할 사항
정상적으로 전화기에 CUCM에서 생성한 CTL 파일이 전달되었는 지를 확인합니다. 전화기에서 "Settings >> Admin Settings >> Security Setup >> Trust List >> CTL file" 에서 확인합니다. 


전화기에서 암호화 적용하기 
CUCM과 전화기간의 TLS / SRTP 통신을 위해서 전화기 암호화 프로파일을 설정해야 합니다. 메뉴바에서 "System >> Security >> Phone Security Profile"을 선택합니다.


정할 전화기의 종류가 다양하다면 모든 기종에서 사용할 수 있는 "Universal Device Template - Model-independent Security Profile"을 선택합니다.

수정하기 위해 "Copy"버튼을 클릭합니다. 


Name은 알아보기 편하게 변경한 후 "TFTP Encrypted Config"를 선택하여 전화기 구성정보가 암호화되어 전달되도록 합니다. "Save"를 클릭합니다.


Phone Security Profile을 각 단말에 적용하기 위해 메뉴바에서 "Device >> Phone" 페이지로 이동합니다. 단말 설정 페이지에서 Protocol Specific Information 색션의 안에 "Device Security Profile"을 지정합니다.  



설정 변경 후에 "Save" 및 "Apply Config" 버튼을 클릭합니다. 


각 단말에서 암호화 설정 확인하기
전화기는 재부팅을 수행하며 다음과 같이 Security Mode를 "Encrypted" 로 표시합니다. 


DX70 단말에서도 다음과 같이 확인됩니다.


암호화 통화해보기
단말간 통화를 시도해 보면, 통화 중에 열쇠마크를 확인할 수 있습니다. 마크를 믿지 못하면 패킷덤프로 확인해도 됩니다.


마치며
CUCM 11.5를 이용한 완벽한 TLS / SRTP 암호화 적용가이드였습니다. CUCM의 보안 기능으로 인해 발생하는 문제점들을 정리하는 글을 외전격으로 하나 더 포스팅 하겠습니다. 


라인 유씨누스 (CCIEV #18487) ______________________________________________________
ucwana@gmail.com (라인하트의 구글 이메일) 
http://twitter.com/nexpertnet (넥스퍼트 블로그의 트위터, 최신 업데이트 정보 및 공지 사항) 
http://groups.google.com/group/cciev (시스코 UC를 공부하는 사람들이 모인 구글 구룹스) 
http://groups.google.com/group/ucforum (UC를 공부하는 사람들이 모인 구글 구룹스) 
세상을 이롭게 하는 기술을 지향합니다. _____________________________________________________

저작자 표시 비영리
신고
Posted by 라인하트

댓글을 달아 주세요

  1. 암호화는 너무 어려워 2016.11.21 14:02 신고  댓글주소  수정/삭제  댓글쓰기

    라인하트님의 깔끔한 포스팅에 항상 감사드립니다. 올려주신 글에 "CUCM의 보안 기능으로 인해 발생하는 문제점들을 정리하는 글을 외전격으로 하나 더 포스팅 하겠습니다"라 말씀해 주셨은데요, 암호화 리뉴얼/갱신하는 외전도 꼬옥 고민해주세요.

    • Favicon of http://ucwana.tistory.com BlogIcon 라인하트 2016.11.22 10:09 신고  댓글주소  수정/삭제

      리뉴얼이나 갱신은 새로 설치랑 동일합니다. 전화기랑 서버 모두..^^ 갱신이 완료되기 전까지는 기존 인증서를 사용하니 문제없죠.. 이 연재가 Self-signed certificate를 쓰는 서버를 Priavate CA로 갱신하는 과정입니다. 차이가 있나 모르겠네요^^