يمكنك تمكين Cisco Unified Communications Manager من العمل في بيئة أمان محسنة. ومن خلال هذه التحسينات، تعمل شبكة الهاتف لديك بموجب مجموعة من الضوابط الصارمة لإدارة الأمان والمخاطر لحمايتك وحماية المستخدمين لديك.

تتضمن بيئة الأمان المحسنة الميزات التالية:

  • مصادقة البحث عن جهة اتصال.

  • TCP كبروتوكول افتراضي لتسجيل التدقيق عن بُعد.

  • وضع FIPS.

  • سياسة بيانات اعتماد محسنة.

  • دعم مجموعة تجزئة SHA-2 للتوقيعات الرقمية.

  • دعم حجم مفتاح RSA بحجم 512 بت و4096 بت.

باستخدام 14.0 إصدار Cisco Unified Communications Manager وإصدار البرنامج الثابت لهاتف Cisco Video 2.1 والإصدارات الأحدث، تدعم الهواتف مصادقة SIP OAuth.

يتم دعم OAuth لبروتوكول نقل الملفات المبسط (TFTP) من Cisco Unified Communications Manager، الإصدار 14.0(1)SU1 أو إصدار أحدث. لا يتم دعم TFTP الخاص بالوكيل وOAuth لـ TFTP الخاص بالوكيل في "الوصول المتنقل عن بُعد" (MRA).

للحصول على مزيد من المعلومات حول الأمان، ارجع إلى ما يلي:

يمكن لهاتفك تخزين عدد محدود فقط من ملفات قائمة الثقة لتحديد الهوية (ITL). لا يمكن أن تتجاوز ملفات ITL 64K على الهاتف، وبالتالي حدد عدد الملفات التي يرسلها Cisco Unified Communications Manager إلى الهاتف.

ميزات الأمان المدعومة

تحمي ميزات الأمان من التهديدات، بما في ذلك التهديدات التي تستهدف هوية الهاتف والبيانات. وتنشئ هذه الميزات تدفقات اتصال مصادقة وتحافظ على وجودها بين الهاتف وخادم Cisco Unified Communications Manager، كما تضمن أن الهاتف لا يستخدم إلا الملفات الموقعة رقميًا.

يشتمل الإصدار (1)8.5 والإصدارات الأحدث من Cisco Unified Communications Manager على "الأمان بشكل افتراضي"، مما يوفر ميزات الأمان التالية لهواتف Cisco IP دون تشغيل عميل CTL:

  • توقيع ملفات تكوين الهاتف

  • تشفير ملف تكوين الهاتف

  • HTTPS مع Tomcat وخدمات الويب الأخرى

لا تزال ميزات إرسال الإشارات والوسائط الآمنة تتطلب منك تشغيل عميل CTL واستخدام رموز eTokens للأجهزة.

تطبيق الأمان في نظام Cisco Unified Communications Manager يمنع سرقة الهوية من الهاتف وخادم Cisco Unified Communications Manager ويمنع التلاعب في البيانات ومنع إشارات المكالمة والتلاعب بدفق الوسائط.

للحد من هذه التهديدات، شبكة هاتفية IP من Cisco لإنشاء والحفاظ على تدفقات اتصال (مشفرة) آمنة بين هاتف والخادم رقميًا توقيع الملفات قبل تحويلها إلى هاتف وتشفير إرسال الوسائط وإشارات المكالمة بين هواتف Cisco IP.

يتم تثبيت الشهادة المهمة محليًا (LSC) على الهواتف بعد تنفيذ المهام الضرورية المقترنة بوظيفة وكيل جهة منح الشهادات (CAPF). يمكنك استخدام إدارة Cisco Unified Communications Manager لتكوين LSC، كما هو موضح في دليل أمان Cisco Unified Communications Manager. وبدلاً من ذلك، يمكنك بدء تثبيت LSC من قائمة إعدادات الأمان على الهاتف. تتيح لك هذه القائمة أيضًا تحديث LSC أو إزالته.

لا يمكن استخدام LSC كشهادة المستخدم لـ EAP-TLS مع مصادقة الشبكة المحلية اللاسلكية.

تستخدم الهواتف ملف تعريف أمان الهاتف، والذي يحدد ما إذا كان الجهاز آمنًا أم لا. ‏‫للحصول على معلومات حول تطبيق ملف تعريف الأمان على الهاتف، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

إذا قمت بتكوين إعدادات متعلقة بالأمان في إدارة Cisco Unified Communications Manager، فيحتوي ملف تكوين الهاتف على معلومات حساسة. لضمان خصوصية ملف التكوين، يجب عليك تكوينه للتشفير. ‏‫للحصول على معلومات تفصيلية، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

يتوافق الهاتف مع المقياس الفيدرالي لمعالجة المعلومات (FIPS). للعمل بشكل صحيح، يتطلب وضع FIPS حجم مفتاح 2048 بت أو أكبر. إذا كان حجم الشهادة أقل من 2048 بت، فلن يتم تسجيل الهاتف باستخدام Cisco Unified Communications Manager ويفشل تسجيل الهاتف. يتم عرض حجم مفتاح الشهادة غير متوافق مع FIPS على الهاتف.

إذا كان الهاتف يحتوي على LSC، فأنت بحاجة إلى تحديث حجم مفتاح LSC إلى 2048 بت أو أكبر قبل تمكين FIPS.

يقدم الجدول التالي نظرة عامة على ميزات الأمان التي تدعمها الهواتف. لمزيد من المعلومات، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الخاص بك.

لعرض وضع الأمان، اضغط على الإعدادات إعدادات المفتاح الثابت وانتقل إلى الشبكة والخدمة > إعدادات الأمان.

الجدول رقم 1. نظرة عامة على ميزات الأمان

السمة

الوصف

مصادقة الصورة

تمنع الملفات الثنائية الموقعة العبث بنسخة البرامج الثابتة قبل تحميل الصورة إلى الهاتف.

فالعبث بالصورة يؤدي إلى فشل الهاتف في عملية المصادقة ورفض الصورة الجديدة.

تثبيت شهادة موقع العميل

يتطلب كل هاتف Cisco IP شهادة فريدة لمصادقة الجهاز. تشتمل الهواتف على شهادة التصنيع المثبتة (MIC)، ولكن لمزيد من الأمان، يمكنك تحديد تثبيت الشهادة في إدارة Cisco Unified Communications Manager باستخدام وظيفة وكيل جهة منح الشهادات (CAPF). وبدلاً من ذلك، يمكنك تثبيت شهادة هامة محليًا (LSC) من قائمة تكوين الأمان على الهاتف.

مصادقة الجهاز

تحدث بين خادم Cisco Unified Communications Manager والهاتف عندما تقبل كل وحدة شهادة الوحدة الأخرى. تحدد ما إذا كان ينبغي أن يحدث اتصال آمن بين الهاتف وCisco Unified Communications Manager؛ وإذا لزم الأمر، تنشئ مسار إشارات آمن بين الكيانات باستخدام بروتوكول TLS. لا يسجل Cisco Unified Communications Manager الهواتف إلا إذا أمكن مصادقتها.

مصادقة الملف

التحقق من الملفات الموقعة رقميًا التي ينزيلها الهاتف. يتحقق الهاتف من صحة التوقيع للتأكد من عدم حدوث عبث بالملف بعد إنشائه. لا يتم كتابة الملفات التي تفشل مصادقتها على ذاكرة Flash على الهاتف. يرفض الهاتف هذه الملفات دون إجراء المزيد من المعالجة.

تشفير الملف

يمنع التشفير الكشف عن معلومات حساسة أثناء النقل إلى الهاتف. بالإضافة إلى ذلك، يتحقق الهاتف من صحة التوقيع للتأكد من عدم حدوث عبث بالملف بعد إنشائه. لا يتم كتابة الملفات التي تفشل مصادقتها على ذاكرة Flash على الهاتف. يرفض الهاتف هذه الملفات دون إجراء المزيد من المعالجة.

مصادقة إرسال الإشارات

تستخدم بروتوكول TLS للتحقق من عدم حدوث عبث بحزم إرسال الإشارات أثناء الإرسال.

شهادة التصنيع المثبتة

يشتمل كل هاتف Cisco IP على شهادة تصنيع مثبتة (MIC)، يتم استخدامها لمصادقة الجهاز. توفر شهادة MIC دليلاً فريدًا دائمًا لهوية الهاتف وتسمح لـ Cisco Unified Communications Manager بمصادقة الهاتف.

تشفير الوسائط

يستخدم SRTP للتأكد من أن عمليات دفق الوسائط بين الأجهزة المدعومة تُثبت أمانها، وأن الجهاز المقصود فقط هو الذي يتلقى البيانات ويقرأها. ويتضمن ذلك إنشاء زوج مفاتيح وسائط رئيسية للأجهزة، وتسليم المفاتيح للأجهزة، وتأمين عملية تسليم المفاتيح أثناء نقلها.

CAPF (وظيفة وكيل جهة منح الشهادات)

تنفذ أجزاء من إجراء إنشاء الشهادات التي تتسم بكثافة المعالجة للغاية للهاتف، وتتفاعل مع الهاتف لإنشاء مفتاح وتثبيت الشهادة. يمكن تكوين CAPF لطلب الشهادات من جهات منح الشهادات الخاصة بالعميل بالنيابة عن الهاتف، أو يمكن تكوينها لإنشاء الشهادات محليًا.

يتم دعم كل من أنواع المفاتيح EC (منحنى إهليلجي) وRSA. لاستخدام مفتاح EC، تأكد من تمكين المعلمة "دعم خوارزميات التشفير المتقدم لنقطة النهاية" (من النظام > معلمة المؤسسة).

لمزيد من المعلومات حول CAPF والتكوينات ذات الصلة، راجع المستندات التالية:

ملف تعريف الأمان

تحدد ما إذا كان الهاتف غير آمن أو مصادق أو مشفر أو محمي. تصف الإدخالات الأخرى في هذا الجدول ميزات الأمان.

ملفات التكوين المشفرة

تتيح لك التأكد من خصوصية ملفات تكوين الهاتف.

خادم ويب اختياري معطل للهاتف

لأغراض أمنية، يمكنك منع الوصول إلى صفحات الويب للهاتف (التي تعرض إحصائيات تشغيلية مختلفة للهاتف) وبوابة Self Care.

تقوية الهاتف

خيارات الأمان الإضافية، التي يمكنك التحكم فيها من إدارة Cisco Unified Communications Manager:

  • تعطيل منفذ الكمبيوتر
  • تعطيل Gratuitous ARP (GARP)
  • تعطيل الوصول إلى VLAN للصوت بالكمبيوتر الشخصي
  • تعطيل الوصول إلى قائمة الإعداد أو توفير وصول مقيد
  • تعطيل الوصول إلى صفحات الويب للهاتف
  • تعطيل منفذ ملحق Bluetooth
  • تقييد تشفيرات TLS

مصادقة 802.1X

يمكن لهاتف Cisco IP استخدام مصادقة 802.1X لطلب الوصول إلى الشبكة والحصول عليه. ارجع إلى مصادقة 802.1X لمعرفة مزيد من المعلومات.

تجاوز فشل SIP لـ SRST

بعد تكوين مرجع ‏‫هتفية الموقع البعيد المتين‬ (SRST) للأمان، ثم إعادة تعيين الأجهزة التابعة في إدارة Cisco Unified Communications Manager، فإن خادم TFTP يضيف شهادة SRST إلى ملف cnf.xml بالهاتف ويرسل الملف إلى الهاتف. ثم يستخدم الهاتف الآمن بعد ذلك اتصال TLS للتفاعل مع الموجه المزود بتمكين SRST.

تشفير إرسال الإشارات

تضمن أنه يتم تشفير جميع إشارات SIP للرسائل التي يتم إرسالها بين الجهاز وخادم Cisco Unified Communications Manager.

تنبيه تحديث قائمة الثقة

عند تحديث "قائمة الثقة" على الهاتف، يتلقى Cisco Unified Communications Manager تنبيهًا للإشارة إلى نجاح أو فشل التحديث. ارجع إلى الجدول التالي للحصول على مزيد من المعلومات.

تشفير AES 256

عند الاتصال بإصدار Cisco Unified Communications Manager 10.5(2) والإصدارات الأحدث، تدعم الهواتف تشفير AES 256 لـ TLS وSIP لإرسال الإشارات وتشفير الوسائط. يتيح ذلك للهواتف بدء اتصالات TLS 1.2 ودعمها باستخدام التشفيرات المستندة إلى AES-256 والتي تتوافق مع معايير SHA-2 (خوارزمية التجزئة الآمنة) والمطابقة للمقاييس الفيدرالية لمعالجة المعلومات (FIPS). تتضمن التشفيرات ما يلي:

  • بالنسبة لاتصالات TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • بالنسبة لـ sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

‏‫للحصول على مزيد من المعلومات، راجع وثائق Cisco Unified Communications Manager.

شهادات خوارزمية التوقيع الرقمي لمنحنى إهليلجي (ECDSA)

كجزء من شهادة "المعيار العام" (CC)، تمت إضافة شهادات ECDSA في الإصدار 11.0. يؤثر هذا على جميع منتجات Voice Operating System (VOS) التي تعمل بإصدار CUCM 11.5 والإصدارات الأحدث.

شهادة Tomcat متعددة الخوادم (SAN) باستخدام Cisco UCM

يدعم الهاتف Cisco UCM باستخدام شهادات TOMCAT متعددة الخوادم (SAN) التي تم تكوينها. يمكن العثور على عنوان خادم TFTP الصحيح في ملف ITL للهاتف لتسجيل الهاتف.

لمزيد من المعلومات حول الميزة، ارجع إلى ما يلي:

يحتوي الجدول التالي على رسائل تنبيه تحديث قائمة الثقة والمعنى. ‏‫للحصول على مزيد من المعلومات، راجع وثائق Cisco Unified Communications Manager.

الجدول 2. رسائل تنبيه تحديث قائمة الثقة
الرمز والرسالة الوصف

1 - تم_النجاح

استلام CTL و/أو ITL جديد

2 - نجاح _CTL_المبدئي

استلام CTL جديد، لا يوجد TL

3 - نجاح _الفترة الزمنية_المبدئي

استلام ITL جديد، لا يوجد TL

4 - _نجاح_ مبدئي

استلام CTL وITL جديد، لا يوجد TL

5 - فشل TL__قديم_

فشل تحديث لـ CTL جديد، ولكن توجد TL سابقة

6 - _فشل_عدم_TL

فشل تحديث لـ TL جديد، ولكن لا توجد TL قديمة

7 - فشل_TL

فشل عام

8 - فشل TL_تسجيل_ITL قديم_

فشل تحديث لـ ITL جديد، ولكن توجد TL سابقة

9 - فشل TL_تسجيل_قديم_

فشل تحديث لـ TL جديدة، ولكن توجد TL سابقة

توفر قائمة إعداد الأمان معلومات حول إعدادات الأمان المختلفة. توفر القائمة أيضًا إمكانية الوصول إلى قائمة "قائمة الثقة" وتشير إلى ما إذا كان يتم تثبيت ملف CTL أو ITL على الهاتف.

يصف الجدول التالي الخيارات الواردة في قائمة إعداد الأمان.

الجدول 3. قائمة إعداد الأمان

الخيار

الوصف

للتغيير

وضع الأمن

يعرض وضع الأمان المعين للهاتف.

من إدارة Cisco Unified Communications Manager، اختر الجهاز > الهاتف. يظهر الإعداد في الجزء "المعلومات الخاصة بالبروتوكول" من نافذة "تكوين الهاتف".

لاسكس

تشير إلى ما إذا كانت هناك شهادة هامة محليًا تُستخدم لميزات الأمان مثبتة (مثبتة) أو غير مثبتة (غير مثبتة).

‏‫للحصول على معلومات حول كيفية إدارة LSC لهاتفك، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

إعداد شهادة هامة محليًا (LSC)

تنطبق هذه المهمة على إعداد LSC بطريقة سلسلة المصادقة.

قبل البدء

تأكد من اكتمال تكوينات الأمان المناسبة في Cisco Unified Communications Manager ووظيفة وكيل جهة منح الشهادات (CAPF):

  • يحتوي ملف CTL أو ITL على شهادة CAPF.

  • في إدارة تشغيل Cisco Unified Communications، تحقق من تثبيت شهادة CAPF.

  • خدمة CAPF قيد التشغيل وتم تكوينها.

‏‫للحصول على مزيد من المعلومات حول هذه الإعدادات، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

1

احصل على رمز مصادقة CAPF الذي تم تعيينه عند تكوين CAPF.

2

على الهاتف، اضغط على إعدادات إعدادات المفتاح الثابت.

3

أدخل كلمة المرور، إذا طُلب منك ذلك، للوصول إلى قائمة الإعدادات . يمكنك الحصول على كلمة المرور من مسؤول النظام لديك.

4

انتقل إلى الشبكة والخدمة > إعدادات الأمان > LSC.

يمكنك التحكم في الوصول إلى قائمة "إعدادات" باستخدام حقل الوصول إلى الإعدادات في إدارة Cisco Unified Communications Manager.

5

أدخل سلسلة المصادقة وحدد إرسال.

يبدأ الهاتف في تثبيت LSC أو تحديثها أو إزالتها، وذلك بناءً على كيفية تكوين CAPF. عند اكتمال الإجراء، يتم عرض "المثبت" أو "غير المثبت" على الهاتف.

يمكن أن تستغرق عملية تثبيت LSC أو تحديثها أو إزالتها وقتًا طويلاً حتى تكتمل.

عند نجاح إجراء تثبيت الهاتف، يتم عرض الرسالة المثبتة . إذا كان الهاتف يعرض غير مثبت، فقد تكون سلسلة التفويض غير صحيحة أو قد لا يتم تمكين ترقية الهاتف. إذا قامت عملية CAPF بحذف LSC، فسيعرض الهاتف غير مثبت للإشارة إلى نجاح العملية. يسجل خادم CAPF رسائل الأخطاء. راجع وثائق خادم CAPF لتحديد موقع السجلات ولفهم معنى رسائل الخطأ.

تمكين وضع FIPS

1

في إدارة Cisco Unified Communications Manager، حدد الجهاز > الهاتف وحدد موقع الهاتف.

2

انتقل إلى منطقة التكوين الخاص بالمنتج .

3

قم بتعيين حقل وضع FIPS إلى ممكَّن.

4

اختر حفظ.

5

حدد تطبيق التكوين.

6

أعد تشغيل الهاتف.

إيقاف تشغيل مكبر صوت الهاتف، وسماعة الرأس، وسماعة الهاتف في هاتف

لديك خيارات لإيقاف تشغيل مكبر الصوت وسماعة الرأس وسماعة الهاتف بصفة دائمة في هاتف المستخدم لديك.

1

في إدارة Cisco Unified Communications Manager، حدد الجهاز > الهاتف وحدد موقع الهاتف.

2

انتقل إلى منطقة التكوين الخاص بالمنتج .

3

حدد واحدة أو أكثر من خانات الاختيار التالية لإيقاف تشغيل إمكانات الهاتف:

  • تعطيل مكبر صوت الهاتف
  • تعطيل مكبر صوت الهاتف وسماعة الرأس
  • تعطيل سماعة الهاتف

بشكل افتراضي، يتم إلغاء تحديد خانات الاختيار هذه.

4

اختر حفظ.

5

حدد تطبيق التكوين.

مصادقة 802.1X

تدعم هواتف Cisco IP مصادقة 802.1X.

تستخدم هواتف Cisco IP ومفاتيح Cisco Catalyst بشكل تقليدي بروتوكول Cisco Discovery Protocol (CDP) للتعرف على بعضها البعض وتحديد المعلمات مثل تخصيص VLAN ومتطلبات الطاقة المضمنة. يحدد بروتوكول CDP محطات العمل المتصلة محليًا. توفر هواتف Cisco IP آلية لعبور EAPOL. تسمح هذه الآلية لمحطة العمل المتصلة بهاتف Cisco IP بنقل رسائل EAPOL إلى مصدّق 802.1X في محول LAN. تضمن آلية المرور عدم عمل هاتف IP كمحول LAN لمصادقة نقطة نهاية بيانات قبل الوصول إلى الشبكة.

كما توفر هواتف Cisco IP آلية لتسجيل الخروج من EAPOL للوكيل. إذا انقطع اتصال الكمبيوتر الشخصي المتصل محليًا بهاتف IP، فلن يرى محول LAN عطل الارتباط المادي، وذلك نظرًا لخضوع الوصلة بين محول LAN وهاتف IP للصيانة. لتجنب المخاطرة بسلامة الشبكة، يرسل هاتف IP رسالة تسجيل خروج من EAPOL إلى المحول نيابة عن الكمبيوتر الشخصي المتدفقة إليه البيانات، والذي يقوم بتشغيل محول LAN لمسح إدخال المصادقة للكمبيوتر الشخصي المتدفقة إليه البيانات.

يتطلب دعم مصادقة 802.1X عدة مكونات:

  • هاتف Cisco IP: يبدأ الهاتف طلب الوصول إلى الشبكة. تحتوي هواتف Cisco IP على عميل 802.1X. يسمح هذا العميل لمسؤولي الشبكة بالتحكم في اتصال هواتف IP بمنافذ محول LAN. يستخدم الإصدار الحالي من عميل 802.1X للهاتف الخيارين EAP-FAST وEAP-TLS لمصادقة الشبكة.

  • خادم المصادقة: يجب تكوين كل من خادم المصادقة والمفتاح بكلمة سر مشتركة تقوم بمصادقة الهاتف.

  • التبديل: يجب أن يدعم المحول 802.1X ، لذا يمكنه العمل كمصدق وتمرير الرسائل بين الهاتف وخادم المصادقة. بعد اكتمال التبادل ، يمنح المحول أو يرفض وصول الهاتف إلى الشبكة.

يجب تنفيذ الإجراءات التالية لتكوين 802.1X.

  • قم بتكوين المكونات الأخرى قبل تمكين مصادقة 802.1X على الهاتف.

  • تكوين منفذ PC: لا يضع معيار 802.1X في اعتباره وجود شبكات VLAN، ويوصي بناءً على ذلك بوجوب مصادقة جهاز واحد فقط إلى منفذ محدد في المحول. ومع ذلك، تدعم بعض المفاتيح المصادقة متعددة المجالات. يحدد تكوين المحول ما إذا كان يمكنك توصيل كمبيوتر شخصي بمنفذ PC الخاص بالهاتف أم لا.

    • ممكّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك تمكين منفذ PC وتوصيل كمبيوتر شخصي به. في هذه الحالة، تدعم هواتف Cisco IP تسجيل الخروج من EAPOL للوكيل لمراقبة عمليات تبادل المصادقة بين المحول والكمبيوتر الشخصي المتصل.

      لمزيد من المعلومات حول دعم IEEE 802.1X في محولات Cisco Catalyst، راجع أدلة تكوين محول Cisco Catalyst على:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • عاجز: إذا كان المحول لا يدعم أجهزة متعددة متوافقة مع 802.1X على المنفذ نفسه، فيجب أن تقوم بتعطيل منفذ PC عند تمكين مصادقة 802.1X. إذا لم تقم بتعطيل هذا المنفذ ثم حاولت توصيل كمبيوتر شخصي به، فسيرفض المحول الوصول إلى الشبكة إلى كل من الهاتف والكمبيوتر الشخصي.

  • تكوين Voice VLAN: نظرًا لأن معيار 802.1X لا يعتد بوجود شبكات VLAN، يجب أن تقوم بتكوين هذا الإعداد بناءً على دعم المحول.
    • ممكّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك متابعته لاستخدام VLAN للصوت.
    • عاجز: إذا كان المحول لا يدعم المصادقة متعددة المجالات، فقم بتعطيل "VLAN للصوت" وضع في اعتبارك تعيين المنفذ إلى شبكة VLAN الأصلية.
  • (لسلسلة هواتف Cisco Desk 9800 فقط)

    تشتمل سلسلة Cisco Desk Phone 9800 على بادئة مختلفة في PID عن تلك الخاصة بهواتف Cisco الأخرى. لتمكين هاتفك من تمرير مصادقة 802.1X، قم بتعيين معلمة Radius·User-Name لتضمين سلسلة هواتف Cisco Desk Phone 9800.

    على سبيل المثال، معرف التعريف الشخصي للهاتف 9841 هو DP-9841؛ يمكنك تعيين Radius·اسم المستخدم إلى البدء باستخدام DP أو يحتوي على DP. يمكنك تعيينه في كلا القسمين التاليين:

    • السياسة > الشروط > شروط المكتبة

    • السياسة > مجموعات السياسة > سياسة التخويل > قاعدة التخويل 1

قم بتمكين مصادقة 802.1X

يمكنك تمكين مصادقة 802.1X لهاتفك من خلال اتباع الخطوات التالية:

1

اضغط على الإعدادات إعدادات المفتاح الثابت.

2

أدخل كلمة المرور، إذا طُلب منك ذلك، للوصول إلى قائمة الإعدادات . يمكنك الحصول على كلمة المرور من مسؤول النظام لديك.

3

انتقل إلى الشبكة والخدمة > إعدادات الأمان > مصادقة 802.1X.

4

قم بتشغيل مصادقة IEEE 802.1X.

5

حدد تطبيق .

عرض معلومات حول إعدادات الأمان على الهاتف

يمكنك عرض معلومات حول إعدادات الأمان في قائمة الهاتف. يعتمد توافر المعلومات على إعدادات الشبكة في مؤسستك.

1

اضغط على الإعدادات مفتاح الإعدادات.

2

انتقل إلى الشبكة والخدمة > إعدادات الأمان.

3

في إعدادات الأمان، اعرض المعلومات التالية.

الجدول 4. معلمات إعدادات الأمان

معلمات

الوصف

وضع الأمن

يعرض وضع الأمان المعين للهاتف.

لاسكس

تشير إلى ما إذا كانت شهادة هامة محليًا تُستخدم لميزات الأمان مثبتة (نعم) أو غير مثبتة (لا) على الهاتف.

قائمة الثقة

توفر قائمة الثقة قوائم فرعية لملفات CTL وITL وملفات تكوين موقعة.

تعرض القائمة الفرعية لملف CTL محتويات ملف CTL. تعرض القائمة الفرعية لملف ITL محتويات ملف ITL.

تعرض قائمة "قائمة الثقة" أيضًا المعلومات التالية:

  • توقيع CTL: التجزئة SHA1 لملف CTL
  • خادم Unified CM/خادم TFTP: اسم خادم Cisco Unified Communications Manager وخادم TFTP الذي يستخدمه الهاتف. يعرض رمز شهادة إذا تم تثبيت شهادة لهذا الخادم.
  • خادم CAPF: اسم خادم CAPF الذي يستخدمه الهاتف. يعرض رمز شهادة إذا تم تثبيت شهادة لهذا الخادم.
  • موجه SRST: عنوان IP الخاص بموجه SRST الموثوق به الذي يمكن للهاتف استخدامه. يعرض رمز شهادة إذا تم تثبيت شهادة لهذا الخادم.

أمان المكالمات الهاتفية

عند تطبيق الأمان على الهاتف، يمكنك تحديد المكالمات الهاتفية الآمنة عن طريق الأيقونات التي تظهر على شاشة الهاتف. يمكنك أيضًا تحديد ما إذا كان الهاتف المتصل آمنًا ومحميًا أم لا إذا تم إصدار نغمة أمان في بداية المكالمة.

في المكالمة الآمنة، يتم تشفير جميع إشارات المكالمات وعمليات دفق الوسائط. توفر المكالمة الآمنة مستوى عالٍ من الأمان، وتوفر السلامة والخصوصية للمكالمة. عندما تكون المكالمة قيد التقدم مشفرة، يمكنك رؤية رمز الأمان أيقونة القفل لمكالمة آمنة على الخط. بالنسبة لهاتف آمن، يمكنك أيضًا عرض الرمز المصادق عليه أو الرمز المشفر بجوار الخادم المتصل في قائمة الهاتف (إعدادات > حول هذا الجهاز).

إذا تم توجيه المكالمة من خلال اتجاهات المكالمات غير IP، على سبيل المثال، PSTN، فقد تكون المكالمة غير آمنة حتى وإن كانت مشفرة داخل شبكة IP ولها أيقونة قفل مقترنة بها.

في المكالمة الآمنة، يتم إصدار نغمة أمان في بداية المكالمة للإشارة إلى أن الهاتف الآخر المتصل يتلقى ويستقبل صوتًا آمنًا. في حالة اتصال مكالمتك بهاتف غير آمن، لا يتم تشغيل نغمة الأمان.

المكالمات الآمنة مدعومة للاتصالات بين هاتفين فقط. لا تتوفر بعض الميزات، مثل مكالمات المؤتمر والخطوط المشتركة عندما يكون الاتصال الآمن مكونًا.

عندما يتم تكوين الهاتف على أنه آمن (مشفر وموثوق به) في Cisco Unified Communications Manager، يمكن منحه حالة محمي . بعد ذلك، يمكن تكوين الهاتف المحمي لتشغيل نغمة إيضاح في بداية المكالمة، إذا رغبت في ذلك:

  • الجهاز المحمي: لتغيير حالة الهاتف الآمن إلى محمي، حدد خانة الاختيار "جهاز محمي" في نافذة تكوين الهاتف في إدارة Cisco Unified Communications Manager (الجهاز > الهاتف).

  • تشغيل نغمة إيضاح الأمان: لتمكين الهاتف المحمي من تشغيل نغمة إيضاح الأمان أو عدم الأمان، قم بتعيين إعداد تشغيل نغمة إيضاح الأمان على "صواب". بشكل افتراضي، يتم تعيين نغمة إيضاح التشغيل الآمن على "خطأ". يمكنك تعيين هذا الخيار في إدارة Cisco Unified Communications Manager (النظام > معلمات الخدمة). حدد الخادم ثم خدمة Unified Communications Manager. في نافذة تكوين معلمة الخدمة، حدد الخيار الموجود في منطقة ميزة - نغمة الأمان. الإعداد الافتراضي هو "خطأ".

تعريف مكالمة المؤتمر الآمنة

يمكنك بدء مكالمة مؤتمر آمنة ومراقبة مستوى أمان المشاركين. يتم إنشاء مكالمة مؤتمر آمنة باستخدام هذه العملية:

  1. يبدأ المستخدم المكالمة الجماعية من هاتف آمن.

  2. يعين Cisco Unified Communications Manager جسر مؤتمر آمن للمكالمة.

  3. بعد إضافة المشاركين، يتحقق Cisco Unified Communications Manager من وضع الأمان لكل هاتف ويحافظ على مستوى أمان المؤتمر.

  4. يعرض الهاتف مستوى أمان مكالمة المؤتمر. يعرض المؤتمر الآمن أيقونة الأمان أيقونة القفل لمكالمة آمنة.

المكالمات الآمنة مدعومة بين هاتفين. بالنسبة للهواتف المحمية، لا تتوفر بعض الميزات، مثل مكالمات المؤتمر والخطوط المشتركة وExtension Mobility، عند تكوين الاتصال الآمن.

يعرض الجدول التالي معلومات حول التغييرات التي تطرأ على مستويات أمان المؤتمر تبعًا لمستوى أمان الهاتف المُنشئ، ومستويات أمان المشاركين، وتوفر جسور مؤتمر آمنة.

الجدول 5. قيود الأمان مع مكالمات المؤتمر

مستوى أمان الهاتف المنشئ

الميزة المستخدمة

مستوى أمان المشاركين

نتائج الإجراء

غير آمن

المؤتمر

آمن

جسر مؤتمر غير آمن

مؤتمر غير آمن

آمن

المؤتمر

عضو واحد على الأقل غير آمن.

جسر مؤتمر آمن

مؤتمر غير آمن

آمن

المؤتمر

آمن

جسر مؤتمر آمن

مؤتمر على مستوى مشفر آمن

غير آمن

اجتماع معي

مستوى الأمان الأدنى مشفر.

يتلقى المنشئ رسالة لا تلبي مستوى الأمان، تم رفض المكالمة.

آمن

اجتماع معي

مستوى الأمان الأدنى غير آمن.

جسر مؤتمر آمن

مؤتمر يقبل كل المكالمات.

تعريف المكالمة الهاتفية الآمنة

يتم تأسيس مكالمة آمنة عند تكوين هاتفك وهاتف الطرف الآخر لإجراء مكالمة آمنة. يمكن أن يكون الهاتف الآخر على شبكة Cisco IP نفسها أو على شبكة خارج شبكة IP. يمكن إجراء المكالمات المؤمنة بين هاتفين فقط. من المفترض أن تدعم مكالمات المؤتمر المكالمة الآمنة بعد إعداد جسر المؤتمر الآمن.

يتم تأسيس المكالمة المؤمنة باستخدام هذه العملية:

  1. يبدأ المستخدم المكالمة من هاتف مؤمن (وضع الأمان الآمن).

  2. يعرض الهاتف أيقونة الأمان أيقونة القفل لمكالمة آمنة على شاشة الهاتف. تشير هذه الأيقونة إلى أنه قد تم تكوين الهاتف لإجراء مكالمات آمنة، ولكن هذا لا يعني أن الهاتف الآخر المتصل مؤمن أيضًا.

  3. يسمع المستخدم نغمة أمان عند اتصال المكالمة بهاتف آخر مؤمن، مشيرًا إلى أن طرفي المحادثة مشفّران ومؤمّنان. في حالة اتصال المكالمة بهاتف غير آمن، لا يسمع المستخدم نغمة الأمان.

المكالمات الآمنة مدعومة بين هاتفين. بالنسبة للهواتف المحمية، لا تتوفر بعض الميزات، مثل مكالمات المؤتمر والخطوط المشتركة وExtension Mobility، عند تكوين الاتصال الآمن.

الهواتف المحمية فقط هي التي تُصدر نغمات إيضاح الأمان أو عدم الأمان. لا تُصدر الهواتف غير المحمية النغمات مطلقًا. إذا تغيرت حالة المكالمة العامة أثناء المكالمة، تتغير نغمة الإيضاح ويُصدر الهاتف المحمي النغمة المناسبة.

يُصدر الهاتف المحمي نغمة أم لا في هذه الظروف:

  • عند تمكين خيار نغمة إيضاح التشغيل الآمن:

    • عندما يتم تأسيس وسائط آمنة من طرف إلى طرف وكانت حالة المكالمة آمنة، يقوم الهاتف بتشغيل نغمة إيضاح الأمان (ثلاث صافرات طويلة يتخللها إيقاف مؤقت).

    • عندما يتم تأسيس وسائط غير آمنة من طرف إلى طرف وكانت حالة المكالمة غير آمنة، يقوم الهاتف بتشغيل نغمة إيضاح عدم الأمان (ست صافرات قصيرة يتخللها إيقاف مؤقت قصير).

إذا تم تعطيل خيار نغمة إيضاح التشغيل الآمن، فلن يتم إصدار أي نغمة.

توفير التشفير للمداخلة

يتحقق Cisco Unified Communications Manager من حالة أمان الهاتف عند إنشاء المؤتمرات وتغيير إيضاح الأمان للمؤتمر أو يحظر إتمام المكالمة للحفاظ على تكامل والأمان في النظام.

لا يمكن للمستخدم إجراء مداخلة في مكالمة مشفرة إذا لم يتم تكوين الهاتف المستخدم للمداخلة من أجل التشفير. عند فشل المداخلة في هذه الحالة، يتم تشغيل نغمة إعادة ترتيب (انشغال سريع) على الهاتف الذي بدأ فيه المداخلة.

إذا تم تكوين الهاتف المنشئ للتشفير، فيمكن إدخال منشئ المداخلة في مكالمة غير آمنة من الهاتف المشفر. بعد حدوث المداخلة، يصنف Cisco Unified Communications Manager المكالمة على أنها غير آمنة.

إذا تم تكوين الهاتف المنشئ للتشفير، فيمكن إدخال منشئ المداخلة في مكالمة مشفرة، ويشير الهاتف إلى أن المكالمة مشفرة.

أمان شبكة WLAN

نظرًا لإمكانية تلقي جميع أجهزة الشبكة المحلية اللاسلكية الواقعة ضمن النطاق كل حركة مرور الشبكة المحلية اللاسلكية الأخرى، فإن تأمين الاتصالات الصوتية أمر بالغ الأهمية في الشبكات المحلية اللاسلكية. للتأكد من عدم اعتراض المقتحمين لحركة مرور الصوت، تدعم بنية أمان Cisco SAFE الهاتف. لمزيد من المعلومات حول الأمان في الشبكات، ارجع إلى http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

يوفر حل الاتصال الهاتفي اللاسلكي Cisco Wireless IP أمان الشبكة اللاسلكية التي تمنع حالات تسجيل الدخول غير المصرح بها واختراق الاتصالات باستخدام طرق المصادقة التالية التي يدعمها الهاتف:

  • فتح المصادقة: يمكن لأي جهاز لاسلكي طلب المصادقة في نظام مفتوح. قد يمنح AP الذي يتلقى الطلب المصادقة لأي طالب أو للطالبين الموجودين في قائمة المستخدمين. يمكن عدم تشفير الاتصال بين الجهاز اللاسلكي ونقطة الوصول (AP).

  • المصادقة المرنة لبروتوكول المصادقة القابل للتوسعة عبر مصادقة نفق آمن (EAP-FAST): تشفر بنية الأمان وخادم العميل هذه معاملات EAP داخل نفق أمان مستوى النقل (TLS) بين AP وخادم RADIUS، مثل محرك خدمات الهوية (ISE).

    يستخدم نفق TLS بيانات اعتماد الوصول المحمية (PACs) للمصادقة بين العميل (هاتف) وخادم RADIUS. يرسل الخادم معرف المرجع (AID) إلى العميل (هاتف)، الذي بدوره يحدد PAC المناسب. يقوم العميل (هاتف) بإرجاع PAC-Opaque إلى خادم RADIUS. يقوم الخادم بفك تشفير PAC باستخدام المفتاح الأساسي. تحتوي نقطتا النهاية الآن على مفتاح PAC ويتم إنشاء نفق TLS. يدعم EAP-FAST توفير PAC التلقائي، ولكن يجب عليك تمكينه على خادم RADIUS.

    في ISE، بشكل افتراضي، تنتهي صلاحية PAC في غضون أسبوع واحد. إذا كان الهاتف يحتوي على PAC منتهية الصلاحية، تستغرق المصادقة مع خادم RADIUS وقتًا أطول بينما يحصل الهاتف على PAC جديد. لتجنب التأخير في توفير PAC، قم بتعيين فترة انتهاء الصلاحية لـ PAC على 90 يومًا أو أكثر على خادم ISE أو RADIUS.

  • مصادقة بروتوكول المصادقة القابل للتوسعة - أمان طبقة النقل (EAP-TLS): يتطلب EAP-TLS شهادة عميل للمصادقة والوصول إلى الشبكة. بالنسبة لبروتوكول EAP-TLS اللاسلكي، يمكن أن تكون شهادة العميل MIC أو LSC أو شهادة المثبتة من المستخدم.

  • بروتوكول المصادقة القابل للتوسيع المحمي (PEAP): نظام المصادقة المتبادل المستند إلى كلمة مرور ملك Cisco بين العميل (هاتف) وخادم RADIUS. يمكن للهاتف استخدام PEAP للمصادقة مع الشبكة اللاسلكية. يتم دعم طريقتي المصادقة PEAP-MSCHAPV2 وPEAP-GTC.

  • مفتاح مشترك مسبقًا (PSK): يدعم الهاتف تنسيق ASCII. يجب استخدام هذا التنسيق عند إعداد مفتاح WPA/WPA2/SAE مشترك مسبقًا:

    أسي: سلسلة من أحرف ASCII بطول 8 إلى 63 حرفًا (من 0 إلى 9، وحروف A إلى Z الكبيرة، وحروف خاصة)

    مثال: GREG123567@9ZX&W

تستخدم أنظمة المصادقة التالية خادم RADIUS لإدارة مفاتيح المصادقة:

  • wpa / wpa2 / wpa3: تستخدم معلومات الخادم RADIUS لإنشاء مفاتيح فريدة للمصادقة. ونظرًا لإنشاء هذه المفاتيح على الخادم RADIUS المركزي، يوفر WPA2/WPA3 أماناً أكبر من مفاتيح WPA المشتركة مسبقًا والمخزنة في AP والهاتف.

  • تجوال الأمان السريع: يستخدم خادم RADIUS ومعلومات خادم المجال اللاسلكي (WDS) لإدارة ومصادقة المفاتيح. ينشئ WDS ذاكرة تخزين مؤقتة لبيانات اعتماد الأمان لأجهزة العميل التي تم تمكين FT من أجل إعادة المصادقة السريعة والآمنة. يدعم هاتفا Cisco Desk 9861 و9871 وهاتف Cisco Video Phone 8875 802.11r (FT). يتم دعم كل من الجو وعبر DS للسماح بتجوال آمن سريع. ولكننا نوصي بشدة باستخدام 802.11r (FT) عبر طريقة الهواء.

باستخدام WPA/WPA2/WPA3، لا يتم إدخال مفاتيح التشفير على الهاتف، ولكن يتم تناقلها تلقائيًا بين AP والهاتف. ولكن يجب إدخال اسم المستخدم وكلمة المرور لـ EAP التي يتم استخدامها للمصادقة على كل هاتف.

للتأكد من أمان حركة مرور الصوت، يدعم الهاتف TKIP وAES للتشفير. عند استخدام هذه الآليات للتشفير، يتم تشفير كل من حزم SIP للإشارة وبروتوكول نقل الصوت في الوقت الحقيقي (RTP) بين AP والهاتف.

tkip

يستخدم WPA تشفير TKIP الذي يحتوي على العديد من التحسينات عبر WEP. يوفر TKIP التشفير باستخدام المفاتيح لكل حزمة وموجهات تهيئة أطول (IVs) تعزز من التشفير. بالإضافة إلى ذلك، يضمن التحقق من تكامل الرسائل (MIC) عدم تغيير الحزم المشفرة. يزيل TKIP التنبؤ بـ WEP الذي يساعد المقتحمين على فك تشفير مفتاح WEP.

أس

طريقة تشفير تُستخدم لمصادقة WPA2/WPA3. يستخدم هذا المعيار الوطني للتشفير خوارزمية متناظرة تحتوي على نفس المفتاح للتشفير وفك التشفير. يستخدم AES تشفير سلسلة حظر التشفير (CBC) بحجم 128 بت، والذي يدعم أحجام المفاتيح 128 بت و192 بت و256 بت، كحد أدنى. يدعم الهاتف حجم المفتاح 256 بت.

لا يدعم هاتفا Cisco Desk 9861 و9871 وهاتف Cisco Video Phone 8875 بروتوكول تكامل المفتاح من Cisco (CKIP) مع CMIC.

يتم إعداد أنظمة المصادقة والتشفير داخل الشبكة المحلية اللاسلكية. يتم تكوين شبكات VLAN في الشبكة ونقاط الوصول وتحدد مجموعات مختلفة من المصادقة والتشفير. يرتبط SSID بشبكة VLAN ونظام المصادقة والتشفير المعين. كي تتم مصادقة أجهزة العميل اللاسلكية بنجاح، يجب عليك تكوين SSID نفسها مع مخططات المصادقة والتشفير على AP وعلى الهاتف.

تتطلب بعض مخططات المصادقة أنواعًا معينة من التشفير.

  • عند استخدام مفتاح WPA مشترك مسبقًا أو مفتاح WPA2 مشترك مسبقًا أو SAE، يجب تعيين المفتاح المشترك مسبقًا بشكل ثابت على الهاتف. يجب أن تطابق هذه المفاتيح المفاتيح الموجودة على AP.

  • يدعم الهاتف اجتياز EAP التلقائي لـ FAST أو PEAP، ولكن ليس لـ TLS. بالنسبة لوضع EAP-TLS، يجب عليك تحديده.

تعرض مخططات المصادقة والتشفير في الجدول التالي خيارات تكوين الشبكة للهاتف الذي يتطابق مع تكوين AP.

الجدول 6. مخططات المصادقة والتشفير
نوع FSRالمصادقةالإدارة الرئيسيةالتشفيرإطار الإدارة المحمي (PMF)
802.11r (قدم)PSK

wpa-psk

wpa-psk-sha256

قدم-psk

أسلا
802.11r (قدم)WPA3

ساي

قدم-ساي

أسنعم
802.11r (قدم)EAP-TLS

wpa-eap

قدم-eap

أسلا
802.11r (قدم)eap-tls (wpa3)

wpa-eap-sha256

قدم-eap

أسنعم
802.11r (قدم)EAP-FAST

wpa-eap

قدم-eap

أسلا
802.11r (قدم)سريع eap (wpa3)

wpa-eap-sha256

قدم-eap

أسنعم
802.11r (قدم)إب-بيب

wpa-eap

قدم-eap

أسلا
802.11r (قدم)eap-peap (wpa3)

wpa-eap-sha256

قدم-eap

أسنعم

تكوين ملف تعريف الشبكة المحلية اللاسلكية

يمكنك إدارة ملف تعريف الشبكة اللاسلكية الخاص بك عن طريق تكوين بيانات الاعتماد ونطاق التردد وطريقة المصادقة وما إلى ذلك.

ضع الملاحظات التالية في الاعتبار قبل تكوين ملف تعريف شبكة WLAN:

  • اسم المستخدم وكلمة المرور

    • عندما تستخدم شبكتك EAP-FAST وPEAP لمصادقة المستخدم، يجب عليك تكوين كل من اسم المستخدم وكلمة المرور إذا لزم الأمر على Remote Authentication Dial-In User Service (RADIUS) والهاتف.

    • يجب أن تكون بيانات الاعتماد التي أدخلتها في ملف تعريف الشبكة المحلية اللاسلكية متطابقة مع بيانات الاعتماد التي قمت بتكوينها على خادم RADIUS.

    • إذا كنت تستخدم مجالات داخل شبكتك، فيجب إدخال اسم المستخدم مع اسم المجال، بالتنسيق: المجال\اسم المستخدم.

  • قد تؤدي الإجراءات التالية إلى مسح كلمة مرور شبكة Wi-Fi الموجودة:

    • إدخال معرف مستخدم أو كلمة مرور غير صالحة
    • تثبيت CA الجذر غير صالح أو منتهية الصلاحية عند تعيين نوع EAP على PEAP-MSCHAPV2 أو PEAP-GTC
    • تعطيل نوع EAP المستخدم على الخادم RADIUS قبل تبديل الهاتف إلى نوع EAP الجديد
  • لتغيير نوع EAP، تأكد من تمكين نوع EAP الجديد على الخادم RADIUS أولاً، ثم قم بتبديل الهاتف إلى نوع EAP. عند تغيير جميع الهواتف إلى نوع EAP الجديد، يمكنك تعطيل نوع EAP السابق إذا كنت تريد.
1

في إدارة Cisco Unified Communications Manager، حدد الجهاز > إعدادات الجهاز > ملف تعريف الشبكة المحلية اللاسلكية.

2

اختر ملف تعريف الشبكة الذي تريد تكوينه.

3

قم بإعداد المعلمات.

4

انقر على حفظ.

تكوين معلمات SCEP

بروتوكول تسجيل الشهادات البسيطة (SCEP) هو المعيار الخاص بتوفير وتجديد الشهادات تلقائيًا. يمكن لخادم SCEP الاحتفاظ تلقائيًا بشهادات المستخدم والخادم.

يجب عليك تكوين معلمات SCEP التالية على صفحة ويب الهاتف لديك

  • عنوان IP لـ RA

  • بصمة الإصبع SHA-1 أو SHA-256 لشهادة CA الجذر لخادم SCEP

تعمل هيئة التسجيل Cisco IOS (RA) كوكيل لخادم SCEP. يستخدم عميل SCEP على الهاتف المعلمات التي يتم تنزيلها من Cisco Unified Communication Manager. بعد تكوين المعلمات، يرسل الهاتف طلب SCEP getcs إلى RA ويتم التحقق من صحة شهادة CA الجذر باستخدام بصمة الإصبع المحددة.

قبل البدء

على خادم SCEP، قم بتكوين وكيل تسجيل SCEP (RA) للقيام بما يلي:

  • يعمل كنقطة ثقة لـ PKI
  • يعمل كـ PKI RA
  • قم بتنفيذ مصادقة الجهاز باستخدام خادم RADIUS

لمزيد من المعلومات، راجع وثائق خادم SCEP.

1

من إدارة Cisco Unified Communications Manager، حدد الجهاز > الهاتف.

2

حدد موقع الهاتف.

3

قم بالتمرير إلى منطقة مخطط التكوين الخاص بالمنتج .

4

حدد خانة الاختيار خادم SCEP لشبكة WLAN لتنشيط معلمة SCEP.

5

حدد خانة الاختيار بصمة الأصابع Root CA الخاصة بشبكة WLAN (SHA256 أو SHA1) لتنشيط المعلمة SCEP QED.

إعداد الإصدارات المدعومة من TLS

يمكنك إعداد الحد الأدنى لإصدار TLS المطلوب للعميل والخادم على التوالي.

بشكل افتراضي، الحد الأدنى لإصدار TLS من الخادم والعميل هو 1.2. يؤثر الإعداد على الوظائف التالية:

  • اتصال الوصول إلى الويب HTTPS
  • تضمين الهاتف في الموقع
  • إلحاق الوصول عبر الأجهزة المحمولة والوصول عن بُعد (MRA)
  • خدمات HTTPS، مثل خدمات الدليل
  • أمان طبقة نقل مخطط البيانات (DTLS)
  • كيان وصول المنفذ (PAE)
  • بروتوكول المصادقة القابل للتوسعة - أمان طبقة النقل (EAP-TLS)

للحصول على مزيد من المعلومات حول توافق TLS 1.3 لهواتف Cisco IP، ارجع إلى مصفوفة توافق TLS 1.3 لمنتجات التعاون من Cisco.

1

سجّل الدخول إلى إدارة Cisco Unified Communications Manager كمسؤول.

2

انتقل إلى إحدى النوافذ التالية:

  • النظام > تكوين هاتف المؤسسة
  • الجهاز > إعدادات الجهاز > ملف تعريف الهاتف العام
  • الجهاز > الهاتف > تكوين الهاتف
3

قم بإعداد حقل الحد الأدنى لإصدار عميل TLS :

يتوفر خيار "TLS 1.3" على Cisco Unified CM 15SU2، أو إصدار أحدث.
  • TLS 1.1: يدعم عميل TLS إصدارات TLS من 1.1 إلى 1.3.

    إذا كان إصدار TLS في الخادم أقل من 1.1، على سبيل المثال، 1.0، فلا يمكن إنشاء الاتصال.

  • TLS 1.2 (الإعداد الافتراضي): يدعم عميل TLS كلاً من TLS 1.2 و1.3.

    إذا كان إصدار TLS في الخادم أقل من 1.2، على سبيل المثال، 1.1 أو 1.0، فلا يمكن إنشاء الاتصال.

  • TLS 1.3: يدعم عميل TLS ‏TLS 1.3 فقط.

    إذا كان إصدار TLS في الخادم أقل من 1.3، على سبيل المثال، 1.2 أو 1.1 أو 1.0، ففي هذه الحالة لا يمكن إنشاء الاتصال.

4

إعداد حقل الحد الأدنى لإصدار خادم TLS :

  • TLS 1.1: يدعم خادم TLS إصدارات TLS من 1.1 إلى 1.3.

    إذا كان إصدار TLS في العميل أقل من 1.1، على سبيل المثال، 1.0، فلا يمكن إنشاء الاتصال.

  • TLS 1.2 (الإعداد الافتراضي): يدعم خادم TLS كلاً من TLS 1.2 و1.3.

    إذا كان إصدار TLS في العميل أقل من 1.2، على سبيل المثال، 1.1 أو 1.0، فلا يمكن إنشاء الاتصال.

  • TLS 1.3: يدعم خادم TLS ‏TLS 1.3 فقط.

    إذا كان إصدار TLS في العميل أقل من 1.3، على سبيل المثال، 1.2 أو 1.1 أو 1.0، ففي هذه الحالة لا يمكن إنشاء الاتصال.

من إصدار PhoneOS 3.2، لا يؤثر إعداد الحقل "تعطيل TLS 1.0 وTLS 1.1 للوصول إلى الويب" على الهواتف.
5

انقر على حفظ.

6

انقر على تطبيق التكوين.

7

أعد تشغيل الهواتف.

SIP للخدمات المضمونة

SIP للخدمات المؤكدة (AS-SIP) هي مجموعة من الميزات والبروتوكولات التي توفر تدفق مكالمات عالي الأمان لهواتف Cisco IP Phones والهواتف التابعة لجهات خارجية. تُعرف الميزات التالية بشكل جماعي باسم AS-SIP:

  • الأولوية والاستباق متعددا المستويات (MLPP)
  • نقطة كود الخدمات المتمايزة (DSCP)
  • أمان طبقة النقل (TLS) وبروتوكول النقل الآمن في الوقت الحقيقي (SRTP)
  • الإصدار 6 من بروتوكول الإنترنت (IPv6)

كما يتم استخدام AS-SIP غالبًا مع الأسبقية متعددة المستويات وPreemption (MLPP) لتحديد أولوية المكالمات أثناء الطوارئ. باستخدام MLPP، يمكنك تعيين مستوى أولوية للمكالمات الصادرة، من المستوى 1 (الأقل) إلى المستوى 5 (الأعلى). عندما تتلقى مكالمة، يتم عرض أيقونة مستوى الأسبقية على الهاتف التي تعرض أولوية المكالمة.

لتكوين AS-SIP، قم بإكمال المهام التالية على Cisco Unified Communications Manager:

  • تكوين مستخدم Digest — تكوين المستخدم النهائي لاستخدام مصادقة digest لطلبات SIP.
  • تكوين المنفذ الآمن لهاتف SIP — يستخدم Cisco Unified Communications Manager هذا المنفذ للاستماع إلى هواتف SIP لعمليات تسجيل خط SIP عبر TLS.
  • إعادة تشغيل الخدمات — بعد تكوين المنفذ الآمن، قم بإعادة تشغيل Cisco Unified Communications Manager وخدمات Cisco CTL Provider. تكوين ملف تعريف SIP لـ AS-SIP-Configure ملف تعريف SIP باستخدام إعدادات SIP لنقاط نهاية AS-SIP ولخطوط اتصال SIP. لا يتم تنزيل المعلمات الخاصة بالهاتف لهاتف AS-SIP التابع لجهة خارجية. يتم استخدامها بواسطة "المدير الموحد من Cisco" فقط. يجب أن تقوم هواتف الجهات الخارجية بتكوين نفس الإعدادات محليًا.
  • تكوين ملف تعريف أمان الهاتف لـ AS-SIP - يمكنك استخدام ملف تعريف أمان الهاتف لتعيين إعدادات الأمان مثل TLS وSRTP ومصادقة digest.
  • تكوين نقطة نهاية AS-SIP — تكوين هاتف Cisco IP أو نقطة نهاية تابعة لجهة خارجية باستخدام دعم AS-SIP.
  • إقران الجهاز بالمستخدم النهائي — إقران نقطة النهاية بالمستخدم.
  • تكوين ملف تعريف أمان قناة SIP لـ AS-SIP — يمكنك استخدام ملف تعريف أمان قناة sip لتعيين ميزات الأمان مثل TLS أو مصادقة digest إلى قناة SIP.
  • تكوين قناة SIP لـ AS-SIP — تكوين قناة SIP بدعم AS-SIP.
  • تكوين ميزات AS-SIP — تكوين ميزات AS-SIP الإضافية مثل MLPP وTLS وV.150 وIPv6.

للحصول على معلومات تفصيلية حول تكوين AS-SIP، ارجع إلى فصل "تكوين نقاط نهاية AS-SIP" في دليل تكوين الميزات لـ Cisco Unified Communications Manager.

الأولوية والاستباق متعددا المستويات

تسمح لك الأولوية والأفضلية متعددة المستويات (MLPP) بتحديد أولوية المكالمات أثناء حالات الطوارئ أو مواقف الأزمات الأخرى. يمكنك تعيين أولوية للمكالمات الصادرة التي تتراوح من 1 إلى 5. تعرض المكالمات الواردة رمزًا وأولوية المكالمة. يمكن للمستخدمين الذين تتم مصادقتهم تحديد أفضلية للمكالمات إما إلى المحطات المستهدفة أو من خلال قنوات اتصال TDM المشتركة بالكامل.

تضمن هذه الإمكانية وجود موظفين رفيعي المستوى للاتصالات بالمؤسسات الحرجة والأفراد المهمين.

غالبًا ما يتم استخدام MLPP مع SIP للخدمات المؤكدة (AS-SIP). للحصول على معلومات تفصيلية حول تكوين MLPP، ارجع إلى الفصل تكوين الأسبقية والاستباق متعددا المستويات في دليل تكوين الميزات لـ Cisco Unified Communications Manager.

إعداد FAC وCMC

عند تكوين رموز التفويض المفروضة (FAC) أو رموز حالة العميل (CMC)، أو كليهما على الهاتف، يجب على المستخدمين إدخال كلمات المرور المطلوبة لطلب رقم.

لمزيد من المعلومات حول كيفية إعداد FAC وCMC في Cisco Unified Communications Manager، ارجع إلى فصل "رموز حالة العميل ورموز التخويل الإجباري" في دليل تكوين ميزات Cisco Unified Communications Manager، الإصدار 12.5(1) أو إصدار أحدث.