시작하며
시스코 CUCM이 지속적으로 업그레이드 되면서 보안 관련 기능이 대폭 강화되고 있습니다. 전세계적으로 보안 위협에 대한 보호를 강화하려는 경향을 반영하고 있습니다. 국내에서도 행정기관 및 주요 공공기관에서 IP Telephony 및 UC 솔루션 도입 시에 보안 부분에 대한 점검이 강화되고 있습니다.
이 글에서는 곧 출시될 CUCM 11.0에서의 보안 기능 부분만을 간단하게 정리하였습니다.
차세대 암호화 표준인 ECC 및 TLS 1.2 지원
암호화는 기존의 소인수 분해 문제 기반 알고리즘과 이산 대수 문제 기반 알고리즘이 있습니다. 전통적으로 소인수 분해 문제 기반 알고리즘을 이용한 RSA 방식이 대표적이며, 이산대수 문제 기반 알고리즘은 타원 곡선 암호화이라 불리는 ECC (Elliptic curve cryptography)가 대표적입니다. 이에 대한 자세한 사항이 궁금하신 분들은 아래의 글을 참조하시기 바랍니다.
2014/03/06 - [Secure UC] - 타원곡선기반 암호화, ECC
CUCM은 RSA만을 지원하였지만, 이제는 타원곡선 암호화 알고리즘도 같이 지원합니다. 다음은 시스코 CUCM이 지원하는 암호화 방식입니다.
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
또한, CUCM 10.5(2)부터는 TLS1.2를 지원합니다.
Multi-Server Certificate 지원
시스코 CUCM은 각 서비스별로 서로 다른 인증서를 사용하여 보안을 강화합니다.
Tomcat : 웹서비스
CallManager : SIP TLS, TFTP config 파일 signing
CAPF : LSC를 서명하기 위해 사용되는 CA용 인증서로 CUCM Publisher에서 사용함
IPSEC : 다른 CUCM 클러스터나 게이트웨이간의 IPSec 터널을 열때 사용합니다.
특히 H.323 트렁크 암호화는 IPSec 터널을 이용합니다.TVS : Trust Verification Service, security by default에 사용됨
시스코 CUCM 11.0 부터 접속 시 가장 최근의 접속 시도에 대한 정보를 표시하여 관리자에게 알려줍니다. 자신 이외에 부정한 접속을 바로 인지하도록 합니다.
접속 시도에 대한 로깅 정보는 서비스 파라미터에서 설정 변경이 가능합니다.
CUCM CLI 창에서 접속 시도자의 IP 주소와 접속 방식 및 일시를 확인할 수 있습니다.
마치며
CUCM은 지속적으로 보안을 강화하고 있습니다. 개인적으로 ECC는 아직 성숙이 더 필요해 보이는 기술로 판단되지만, 도입하는 기관이나 기업이 늘어나면서 같이 지원하고 있습니다.
라인하트 (CCIEV #18487) ---------------------------------------------------
ucwana@gmail.com (라인하트의 구글 이메일)
http://twitter.com/nexpertnet (넥스퍼트 블로그의 트위터, 최신 업데이트 정보 및 공지 사항)
http://groups.google.com/group/cciev (시스코 UC를 공부하는 사람들의 구글 구룹스)
http://groups.google.com/group/ucforum (벤더에 상관없이 UC를 공부하는 사람들의 구글 구룹스)
세상을 이롭게 하는 기술을 지향합니다. ______________________________________________________
