<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><o:SmartTagType
 namespaceuri="urn:schemas-microsoft-com:office:smarttags" name="PostalCode"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="State"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="Street"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="address"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="City"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="place"/>
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
p
        {mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:21.0cm 842.0pt;
        margin:72.0pt 89.85pt 72.0pt 89.85pt;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-AU link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>My concern is that I have to open Tomcat
port (8080) on UCM for everyone. As EM service is quite vital and can be easily
affected by DDOS attack, what additional security measures can be used to give
access to this port only to authenticated phones? <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<div>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Best Regards, </span></font><font
color=navy><span style='color:navy'><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Anatoly</span></font><o:p></o:p></p>

</div>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span lang=EN-US style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span lang=EN-US
style='font-size:10.0pt;font-family:Tahoma;font-weight:bold'>From:</span></font></b><font
size=2 face=Tahoma><span lang=EN-US style='font-size:10.0pt;font-family:Tahoma'>
Jason Burns [mailto:burns.jason@gmail.com] <br>
<b><span style='font-weight:bold'>Sent:</span></b> Thursday, 12 March 2009 3:21
AM<br>
<b><span style='font-weight:bold'>To:</span></b> Vince Loschiavo<br>
<b><span style='font-weight:bold'>Cc:</span></b> Gavrilov, Anatoly;
cisco-voip@puck.nether.net<br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [cisco-voip] ASA
8.0.4 Phone-Proxy feature and ExtensionMobility</span></font><span lang=EN-US><o:p></o:p></span></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>Anatoly,<br>
<br>
The Cisco IP Phones do not yet support https. Until that support is added in a
future version your EM logins will be clear text.<br>
<br>
One alternative would be to use a hardware VPN for people who need to use
Extension Mobility.<br>
<br>
- Jason<br>
<br>
<o:p></o:p></span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>On Wed, Mar 11, 2009 at 12:15 PM, Vince Loschiavo &lt;<a
href="mailto:VLoschiavo@data-corporation.com">VLoschiavo@data-corporation.com</a>&gt;
wrote:<o:p></o:p></span></font></p>

<div link=blue vlink=purple>

<div>

<p><font size=2 color="#1f497d" face="Times New Roman"><span lang=EN-US
style='font-size:11.0pt;color:#1F497D'><a
href="http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns165/ns391/white_paper_c11-493584.html"
target="_blank">http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns165/ns391/white_paper_c11-493584.html</a></span></font><span
lang=EN-US><o:p></o:p></span></p>

<p><font size=2 color="#1f497d" face="Times New Roman"><span lang=EN-US
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span></font><span lang=EN-US><o:p></o:p></span></p>

<p><font size=2 color="#1f497d" face="Times New Roman"><span lang=EN-US
style='font-size:11.0pt;color:#1F497D'>I believe this white paper will answer
all of your questions.</span></font><span lang=EN-US><o:p></o:p></span></p>

<p><font size=2 color="#1f497d" face="Times New Roman"><span lang=EN-US
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span></font><span lang=EN-US><o:p></o:p></span></p>

<p><b><font size=2 color=black face="Times New Roman"><span lang=EN-US
style='font-size:11.0pt;color:black;font-weight:bold'>Vincent Loschiavo</span></font></b><font
size=2 color=black><span lang=EN-US style='font-size:11.0pt;color:black'><br>
</span></font><b><font size=1 color="#7f7f7f"><span lang=EN-US
style='font-size:8.0pt;color:#7F7F7F;font-weight:bold'>Director of Consulting</span></font></b><font
size=1 color="#7f7f7f"><span lang=EN-US style='font-size:8.0pt;color:#7F7F7F'><br>
</span></font><b><font size=1 color="#0084a8"><span lang=EN-US
style='font-size:8.0pt;color:#0084A8;font-weight:bold'><img border=0 width=85
height=43 id="_x0000_i1025" src="cid:image001.gif@01C9A2ED.54DA95D0"
alt="cid:image001.gif@01C8D09B.0C46BD50"></span></font></b><font size=2
color="#1f497d"><span lang=EN-US style='font-size:11.0pt;color:#1F497D'><br>
</span></font><st1:Street w:st="on"><st1:address w:st="on"><b><font size=1
  color="#0084a8"><span lang=EN-US style='font-size:8.0pt;color:#0084A8;
  font-weight:bold'>8200 NW 41st Street, Suite 130</span></font></b></st1:address></st1:Street><font
size=2 color="#1f497d"><span lang=EN-US style='font-size:11.0pt;color:#1F497D'><br>
</span></font><st1:place w:st="on"><st1:City w:st="on"><b><font size=1
  color="#0084a8"><span lang=EN-US style='font-size:8.0pt;color:#0084A8;
  font-weight:bold'>Miami</span></font></b></st1:City><b><font size=1
 color="#0084a8"><span lang=EN-US style='font-size:8.0pt;color:#0084A8;
 font-weight:bold'>, <st1:State w:st="on">FL</st1:State>&nbsp; <st1:PostalCode
 w:st="on">33166</st1:PostalCode></span></font></b></st1:place><font size=2
color="#1f497d"><span lang=EN-US style='font-size:11.0pt;color:#1F497D'><br>
</span></font><b><font size=1 color="#788d1f"><span lang=EN-US
style='font-size:8.0pt;color:#788D1F;font-weight:bold'>Ofc: </span></font></b><b><font
size=1 color="#0084a8"><span lang=EN-US style='font-size:8.0pt;color:#0084A8;
font-weight:bold'>954-671-5669</span></font></b><font size=2 color="#1f497d"><span
lang=EN-US style='font-size:11.0pt;color:#1F497D'><br>
</span></font><b><font size=1 color="#788d1f"><span lang=EN-US
style='font-size:8.0pt;color:#788D1F;font-weight:bold'>Cell:</span></font></b><b><font
size=1 color="#1f497d"><span lang=EN-US style='font-size:8.0pt;color:#1F497D;
font-weight:bold'> </span></font></b><b><font size=1 color="#0084a8"><span
lang=EN-US style='font-size:8.0pt;color:#0084A8;font-weight:bold'>786-282-1164<br>
</span></font></b><b><font size=1 color="#788d1f"><span lang=EN-US
style='font-size:8.0pt;color:#788D1F;font-weight:bold'>Fax:</span></font></b><b><font
size=1 color="#1f497d"><span lang=EN-US style='font-size:8.0pt;color:#1F497D;
font-weight:bold'> </span></font></b><b><font size=1 color="#0084a8"><span
lang=EN-US style='font-size:8.0pt;color:#0084A8;font-weight:bold'>888-767-5905</span></font></b><font
size=2 color="#1f497d"><span lang=EN-US style='font-size:11.0pt;color:#1F497D'><br>
</span></font><b><font size=1 color="#788d1f"><span lang=EN-US
style='font-size:8.0pt;color:#788D1F;font-weight:bold'>Email:</span></font></b><b><font
size=1 color="#1f497d"><span lang=EN-US style='font-size:8.0pt;color:#1F497D;
font-weight:bold'> </span></font></b><b><font size=1 color="#0084a8"><span
lang=EN-US style='font-size:8.0pt;color:#0084A8;font-weight:bold'><a
href="mailto:vloschiavo@data-corporation.com" target="_blank"><font
color="#0084a8"><span style='color:#0084A8'>vloschiavo@data-corporation.com</span></font></a></span></font></b><b><font
size=1 color="#008db4"><span lang=EN-US style='font-size:8.0pt;color:#008DB4;
font-weight:bold'><br>
<br>
</span></font></b><i><font size=1 color="#c94429"><span lang=EN-US
style='font-size:8.0pt;color:#C94429;font-style:italic'>&quot;KEEPING YOUR
BUSINESS HIGHLY AVAILABLE&quot;<br>
<img border=0 width=288 height=73 id="_x0000_i1026"
src="cid:image002.gif@01C9A2ED.54DA95D0" alt=partner-logos></span></font></i><span
lang=EN-US><o:p></o:p></span></p>

<p><font size=2 color="#1f497d" face="Times New Roman"><span lang=EN-US
style='font-size:11.0pt;color:#1F497D'>&nbsp;</span></font><span lang=EN-US><o:p></o:p></span></p>

<div style='border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0cm 0cm 0cm;
border-color:-moz-use-text-color -moz-use-text-color'>

<p><b><font size=2 face="Times New Roman"><span lang=EN-US style='font-size:
10.0pt;font-weight:bold'>From:</span></font></b><font size=2><span lang=EN-US
style='font-size:10.0pt'> <a href="mailto:cisco-voip-bounces@puck.nether.net"
target="_blank">cisco-voip-bounces@puck.nether.net</a> [mailto:<a
href="mailto:cisco-voip-bounces@puck.nether.net" target="_blank">cisco-voip-bounces@puck.nether.net</a>]
<b><span style='font-weight:bold'>On Behalf Of </span></b>Jason Burns<br>
<b><span style='font-weight:bold'>Sent:</span></b> Wednesday, March 11, 2009
8:37 AM<br>
<b><span style='font-weight:bold'>To:</span></b> Gavrilov, Anatoly<br>
<b><span style='font-weight:bold'>Cc:</span></b> <a
href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [cisco-voip] ASA
8.0.4 Phone-Proxy feature and ExtensionMobility</span></font><span lang=EN-US><o:p></o:p></span></p>

</div>

<div>

<div>

<p><font size=3 face="Times New Roman"><span lang=EN-US style='font-size:12.0pt'>&nbsp;<o:p></o:p></span></font></p>

<p style='margin-bottom:12.0pt'><font size=3 face="Times New Roman"><span
lang=EN-US style='font-size:12.0pt'>Anatoly,<br>
<br>
The phone downloads a secure configuration file via TFTP. It is encrypted and
requires CTL / LSC on the phone to decrypt it.<br>
<br>
The http communication between the phone and the ASA for Extension Mobility I
believe IS in plain text though. I don't think the phones support https EM yet.<br>
<br>
I don't know of a great way to protect this communication, and I'm not sure if
the ASA has any mechanisms built in to ONLY proxy http requests from the IP
Phones.<br>
<br>
Maybe someone more familiar with the ASA can comment on that?<br>
<br>
-Jason<o:p></o:p></span></font></p>

<div>

<p><font size=3 face="Times New Roman"><span lang=EN-US style='font-size:12.0pt'>On
Wed, Mar 11, 2009 at 12:27 AM, Gavrilov, Anatoly &lt;<a
href="mailto:Anatoly.Gavrilov@gsjbw.com" target="_blank">Anatoly.Gavrilov@gsjbw.com</a>&gt;
wrote:<o:p></o:p></span></font></p>

<div>

<div>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>Hi all, </span></font><span
lang=EN-US><o:p></o:p></span></p>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>&nbsp;</span></font><span
lang=EN-US><o:p></o:p></span></p>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>I&#8217;m
thinking to implement Phone-proxy but I have some concerns about overall
security of this solution. </span></font><span lang=EN-US><o:p></o:p></span></p>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>&nbsp;</span></font><span
lang=EN-US><o:p></o:p></span></p>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>As I
understand, phone downloads its configuration in clear text. Can this
information be used for unauthorised access? </span></font><span lang=EN-US><o:p></o:p></span></p>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>&nbsp;</span></font><span
lang=EN-US><o:p></o:p></span></p>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>Is it
possible to spoof Phone&#8217;s request and send request with different MAC address?
I know that ASA checks phone&#8217;s MIC file and authenticates phone based on it,
but what about CUPC? </span></font><span lang=EN-US><o:p></o:p></span></p>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>&nbsp;</span></font><span
lang=EN-US><o:p></o:p></span></p>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>For
Extension Mobility feature to work, I have to open port 8080 on Publisher for
all hosts coming from Internet. I think it&#8217;s really a huge hole in the
firewall. Taking into consideration that EM request is just normal HTTP
request, it&#8217;s very easy to get user credentials and run attack on Call Manager
to trigger all phones to log off. What&#8217;s the way to protect this port from such
attacks? </span></font><span lang=EN-US><o:p></o:p></span></p>

<p><font size=2 face="Times New Roman"><span style='font-size:10.0pt'>&nbsp;</span></font><span
lang=EN-US><o:p></o:p></span></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>&nbsp;</span></font><span
lang=EN-US><o:p></o:p></span></p>

</div>

<p style='margin:0cm;margin-bottom:.0001pt'><b><font size=1
face="Times New Roman"><span lang=EN-GB style='font-size:9.0pt;font-weight:
bold'>Please consider our environment before printing this email</span></font></b><span
lang=EN-US><o:p></o:p></span></p>

<p style='margin:0cm;margin-bottom:.0001pt'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>&nbsp;</span></font><span lang=EN-US><o:p></o:p></span></p>

<p style='margin:0cm;margin-bottom:.0001pt'><font size=1 face="Times New Roman"><span
lang=EN-GB style='font-size:8.0pt'>Please note that Goldman Sachs JBWere makes
important disclosures of its interests at <font color="#3366ff"><span
style='color:#3366FF'><a href="http://www.gsjbw.com/Disclosures" target="_blank"><font
color="#3366ff"><span style='color:#3366FF'>http://www.gsjbw.com/Disclosures</span></font></a></span></font>.&nbsp;
If you do not wish to receive future communications of this nature, you can
unsubscribe by going to <a
href="http://www.gsjbw.com/?p=Unsubscribe&amp;S=%7bSender%7d" target="_blank">http://www.gsjbw.com/?p=Unsubscribe&amp;S=Anatoly.Gavrilov@gsjbw.com</a>.&nbsp;
If you require any further information regarding our SPAM policy, please email <a
href="mailto:spam-officer@gsjbw.com" target="_blank">spam-officer@gsjbw.com</a>.&nbsp;
</span></font><font size=1><span lang=EN-US style='font-size:8.0pt'>This
communication and its attachments are also subject to copyright.</span></font><span
lang=EN-US><o:p></o:p></span></p>

<p style='margin:0cm;margin-bottom:.0001pt'><font size=1 face="Times New Roman"><span
lang=EN-US style='font-size:8.0pt'>NOTICE TO RECIPIENTS: The information
contained in and accompanying this communication may be confidential, subject
to legal privilege, or otherwise protected from disclosure, and is intended
solely for the use of the intended recipient(s). If you are not the intended
recipient of this communication, please delete and destroy all copies in your
possession, notify the sender that you have received this communication in
error, and note that any review or dissemination of, or the taking of any
action in reliance on, this communication is expressly prohibited. E-mail
messages may contain computer viruses or other defects, may not be accurately
replicated on other systems, or may be intercepted, deleted or interfered with
without the knowledge of the sender or the intended recipient.&nbsp;To the
extent permitted by law Goldman Sachs JBWere makes no warranties, and expressly
disclaims any liability, in relation to the contents of this message. Goldman
Sachs JBWere reserves the right to intercept and monitor the content of e-mail
messages to and from its systems.</span></font><span lang=EN-US><o:p></o:p></span></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>&nbsp;</span></font><span
lang=EN-US><o:p></o:p></span></p>

</div>

<p style='margin-bottom:12.0pt'><font size=3 face="Times New Roman"><span
lang=EN-US style='font-size:12.0pt'><br>
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><o:p></o:p></span></font></p>

</div>

<p><font size=3 face="Times New Roman"><span lang=EN-US style='font-size:12.0pt'>&nbsp;<o:p></o:p></span></font></p>

</div>

</div>

</div>

</div>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

</body>

</html>