Cisco Secure UC에 관심 있는 분들을 위한 업데이트입니다. 허클베리핀님의 "Secure IP Telephony 10.x 길라잡이" 연재가 늦어져서 핵심만 간단하게 정리하여 공유합니다.
CUCM 10.x에서 Security 관련하여 바뀐 기능은 크게 세가지 입니다.
- 3rd party CA 공식 지원
- 2048 키길이 및 SHA256 헤쉬 알고리즘 지원
- Tokenless CTL 지원
IP Phone에서 사용되는 인증서 종류
CUCM은 기본적으로 CA 역할을 수행하므로 Cisco IP Phone의 공개키 (Public Key)에 대한 인증서를 발행할 수 있습니다. IP Phone에 적용되는 인증서는 두 가지 입니다.
- MIC (Manufacturing Installed Certificate)
공장 출하시에 전화기에 적용된 인증서로 Cisco Manufacturing CA가 서명한 인증서를 탑재하고 있습니다. MIC는 유효기간 10년입니다. - LSC (Locally SIgnificant Certificate)
모든 시스코 단말에서 지원하는 것으로 인증서를 생성할 경우 필드에서 인증할 수 있도록 합니다. LSC는 CUCM Publisher상에서 실행되는 CAPF (CA Proxy Function)에 의해 서명됩니다. 기존의 CUCM 8.x 버전까지는 CUCM의 자체 인증만을 지원하였지만, CUCM 9.x 부터는 3rd Party CA에 의한 서명도 지원합니다. LSC의 기본 유효기간은 5년이며, 설정에 따라 변경가능합니다.
CUCM 10.x에서 3rd Party 인증서 주입 방식 변경
CUCM 10.x에서는 기존의 복잡한 방식이 아닌 단순한 방식으로 진행됩니다. CUCM 9.x에서는 별도의 COP파일을 다운로드 받은 후 활성화를 위해 CLI 창에서 "utils capf lsc ca enable" 이라는 명령어를 사용하였지만, CUCM 10.x 에서는 CAPF Service Parameter에서 Certificate Issuer to Endpoints 값을 설정합니다.
- Cisco Certificate Authority Proxy Function
CUCM의 Publisher 가 CA 서버로 동작하여 Issuer의 역할을 수행합니다. IP Phone은 Private Key와 Public Key를 생성한 후에 CSR (Certificate Signing Request)를 CUCM으로 전송합니다. CUCM의 CAPF는 Public key에 서명을 하여 인증서를 발행 후 IP Phone으로 전송합니다. - Offline CA
CUCM은 Issuer의 역할을 수행하지 않습니다. IP Phone은 Private Key와 Public Key를 생성한 후에 CSR을 CUCM으로 전송합니다. CUCM의 CAPF는 CSR을 파일로 저장하여 외부 CA가 서명할 수 있도록 합니다.
Offline CA로 설정한 후에 CUCM을 재부팅해야 합니다. 재부팅 후에 IP Phone에서 키를 생성한후 CSR을 생성하게 되면 아래와 같이 파일로 생선된 CSR을 확인할 수 있습니다.
CSR을 TFTP 또는 FTP 서버로 추출하기 위해서는 다음의 명령을 이용합니다.
"utils capf csr dump"
추출한 CSR을 이용하여 3rd party CA로부터 인증서를 받은 후에 전화기에 다시 주입하기 위해서 아래의 명령어를 이용합니다.
CUCM 9.x에서 IP Phone에 외부 인증서버를 이용한 인증서를 주입하는 방법은 아래글에 자세히 설명하였습니다. IP Phone에서 CSR 추출 및 인증서 주입과정은 아래글을 참조하시기 바랍니다.
2013/01/04 - [Secure UC] - [연재] Cisco Secure IP Telephony 길라잡이 - (5) 외부 CA 서버에서 IP Phone 인증서 받기
CUCM 10.x 추가 지원하는 헤쉬 알고리즘과 키길이
전화기와 CUCM에서 생성되는 키 길이는 1024 또는 2048 비트 중에 선택할 수 있습니다.
헤쉬 알고리즘도 기존의 SHA1과 SHA256 중에 선택할 수 있습니다.
Token-less CTL 지원
CUCM 10.x 이전 버전에서 Mixed-mode를 활성화하기 위해서는 USB타입의 Token이 반드시 필요했습니다. CUCM 10,x는 Token-less CTL 을 함께 지원하여 하드웨어 기반의 USB 토큰이 없어도 보안을 지원합니다. 기존에 CTL파일 생성 및 인증을 위해 사용하던 USB Token 대신 CUCM CallManager용 Private Key를 사용합니다. 따라서, 반드시 DRS 백업은 필수입니다.
Admin 창에서 Token-less CTL을 활성화하는 명령어는 다음과 같습니다.
utils ctl set-cluster mixed-mode
CTL 파일 생성 후 변경을 위해서는 다음의 명령을 이용합니다.
utils ctl update CTLFile
Mixed-mode에서 non-secure-mode로 전환하기 위한 명령어도 다음과 같습니다.
utils ctl set-cluster non-secure-mode
하지만, 기존의 USB Token 방식도 그대로 지원합니다.
Tokenless CTL 은 저도 아직 해보지 않아서 어떤 지는 모르겠습니다. 이 글을 읽으신 분 중에 뉴프런티어 정신으로 랩에서 도전해보시기 바랍니다. Tokenless CTL에 대한 자세한 사항은 아래 시스코 Security Guide를 참조하시기 바랍니다.
마치며
지금까지 CUCM 10.x에서 달라진 부분을 살펴보았습니다. COP파일을 구성할 필요도 없이 간단하게 설정할 수 있으므로 IP Phone에 대해 3rd Party 인증서를 사용할 경우에는 CUCM 10.x 버전을 사용할 것을 권장드립니다. 또한 별도의 하드웨어 Token이 필요없다는 장점도 있습니다.
라인하트 (CCIEV #18487) ----------------------------------------------------------
ucwana@gmail.com (라인하트의 구글 이메일)
http://twitter.com/nexpertnet (넥스퍼트 블로그의 트위터, 최신 업데이트 정보 및 공지 사항)
http://groups.google.com/group/cciev (시스코 UC를 공부하는 사람들이 모인 구글 구룹스)
http://groups.google.com/group/ucforum (벤더에 상관없이 UC를 공부하는 사람들이 모인 구글 구룹스)
세상을 이롭게 하는 기술을 지향합니다. ________________________________________________________
