Systému Cisco Unified Communications Manager můžete povolit provoz v prostředí se zvýšeným zabezpečením. Díky těmto vylepšením funguje vaše telefonní síť pod přísnou kontrolou zabezpečení a řízení rizik, která chrání vás i vaše uživatele.

Vylepšené prostředí zabezpečení zahrnuje následující funkce:

  • Ověření hledání kontaktů.

  • TCP jako výchozí protokol pro vzdálené protokolování auditu.

  • Režim FIPS.

  • Vylepšené zásady pověření.

  • Podpora rodiny hashů SHA-2 pro digitální podpisy.

  • Podpora klíčů RSA o velikosti 512 bitů a 4096 bitů.

Ve verzi Cisco Unified Communications Manager 14.0 a firmwaru videotelefonu Cisco 2.1 a novějším telefony podporují ověřování SIP OAuth.

Protokol OAuth je podporován protokolem proxy Trivial File Transfer Protocol (TFTP) s Cisco Unified Communications Manager verzí 14.0(1)SU1 nebo novější. Proxy TFTP a OAuth pro proxy TFTP není podporován v Mobile Remote Access (MRA).

Další informace o zabezpečení naleznete v následujících zdrojích:

Telefon může uložit pouze omezený počet souborů ITL (Identity Trust List). Soubory ITL nesmí v telefonu překročit velikost 64 kB, proto omezte počet souborů, které systém Cisco Unified Communications Manager odesílá do telefonu.

Podporované funkce zabezpečení

Funkce zabezpečení chrání před hrozbami, včetně ohrožení identity telefonu a dat. Tyto funkce vytvářejí a udržují ověřené komunikační toky mezi telefonem a serverem systému Cisco Unified Communications Manager. Zajišťují, že telefon používá pouze digitálně podepsané soubory.

Systém Cisco Unified Communications Manager verze 8.5(1) a novější obsahuje funkci Zabezpečení ve výchozím nastavení, která poskytuje následující funkce zabezpečení pro Cisco IP telefony bez spuštění klienta CTL:

  • Podepisování konfiguračních souborů telefonu

  • Šifrování konfiguračního souboru telefonu

  • HTTPS s Tomcatem a dalšími webovými službami

Zabezpečené funkce signalizace a médií stále vyžadují spuštění klienta CTL a použití hardwarových eTokenů.

Implementace zabezpečení v systému Cisco Unified Communications Manager zabraňuje krádeži identity telefonu a serveru systému Cisco Unified Communications Manager, zabraňuje manipulaci s daty i se signalizací hovorů a datovým tokem média.

Pro zmírnění těchto hrozeb síť IP telefonie Cisco vytváří a udržuje zabezpečené (šifrované) komunikační toky mezi telefonem a serverem, digitálně podepisuje soubory před jejich přenosem do telefonu a šifruje datové toky médii i signalizaci hovorů mezi Cisco IP telefony.

Certifikát s místní platností (LSC) se do telefonů nainstaluje po provedení nezbytných úloh, které souvisejí se službou Certificate Authority Proxy Function (CAPF). Ke konfiguraci certifikátu LSC můžete použít správu systému Cisco Unified Communications Manager, jak je popsáno v Návodu k zabezpečení systému Cisco Unified Communications Manager. Případně můžete zahájit instalaci LSC z nabídky Nastavení zabezpečení v telefonu. Tato nabídka také umožňuje aktualizovat nebo odebrat certifikát LSC.

LSC nelze použít jako uživatelský certifikát pro EAP-TLS s ověřováním WLAN.

Telefony používají profil zabezpečení telefonu, který určuje, zda je zařízení nezabezpečené nebo zabezpečené. Informace o použití profilu zabezpečení v telefonu naleznete v dokumentaci k příslušné vydané verzi systému Cisco Unified Communications Manager.

Pokud konfigurujete nastavení související se zabezpečením ve správě systému Cisco Unified Communications Manager, obsahuje konfigurační soubor telefonu citlivé informace. Pokud chcete zajistit ochranu soukromí konfiguračního souboru, musíte jej nakonfigurovat pro šifrování. Podrobné informace naleznete v dokumentaci ke konkrétní verzi systému Cisco Unified Communications Manager.

Telefon vyhovuje standardu FIPS (Federal Information Processing Standard). Pro správnou funkci vyžaduje režim FIPS velikost klíče 2048 bitů nebo větší. Pokud má certifikát méně než 2048 bitů, telefon se nezaregistruje v systému Cisco Unified Communications Manager a na telefonu se zobrazí zpráva Telefon se nepodařilo zaregistrovat. Velikost certifikačního klíče není v souladu se standardem FIPS.

Pokud je telefon vybaven klíčem LSC, je třeba před zapnutím systému FIPS aktualizovat velikost klíče LSC na 2048 bitů nebo více.

Následující tabulka obsahuje přehled vlastností zabezpečení, které telefony podporují. Další informace naleznete v dokumentaci ke konkrétní verzi aplikace Cisco Unified Communications Manager.

Chcete-li zobrazit režim zabezpečení, stiskněte tlačítko Nastavení Pevné tlačítko Nastavení A přejděte do části Nastavení sítě a služby > zabezpečení.

Tabulka 1. Přehled funkcí zabezpečení

Funkce

Popis

Ověřování obrazů

Podepsané binární soubory zabraňují manipulaci s obrazem firmwaru před jeho nahráním do telefonu.

Manipulace s obrazem způsobí, že telefon nedokončí proces ověřování a odmítne nový obraz.

Instalace certifikátu u zákazníka

Každý Cisco IP telefon vyžaduje pro ověření zařízení jedinečný certifikát. Telefony obsahují certifikát nainstalovaný z výroby (MIC), ale pro zvýšení zabezpečení můžete instalaci certifikátu zadat v systému Cisco Unified Communications Manager pomocí služby CAPF (Certificate Authority Proxy Function). Případně můžete nainstalovat certifikát s místní platností (LSC) z nabídky Konfigurace zabezpečení v telefonu.

Ověření zařízení

Probíhá mezi serverem systému Cisco Unified Communications Manager a telefonem, když každá entita přijme certifikát druhé entity. Určí, zda má dojít k zabezpečenému spojení mezi telefonem a systémem Cisco Unified Communications Manager. V případě potřeby vytvoří zabezpečenou signalizační cestu mezi entitami pomocí protokolu TLS. Systém Cisco Unified Communications Manager nezaregistruje telefony, pokud je nemůže ověřit.

Ověření souboru

Ověřuje digitálně podepsané soubory, které telefon stahuje. Telefon ověří platnost podpisu, aby se ujistil, že nedošlo k manipulaci se souborem po jeho vytvoření. Soubory, které neprojdou ověřením, se nezapisují do paměti flash v telefonu. Telefon takové soubory odmítne bez dalšího zpracování.

Šifrování souboru

Šifrování zabraňuje odhalení citlivých informací během přenosu souboru do telefonu. Kromě toho telefon ověřuje platnost podpisu, aby se ujistil, že po vytvoření souboru nedošlo k manipulaci s ním. Soubory, které neprojdou ověřením, se nezapisují do paměti flash v telefonu. Telefon takové soubory odmítne bez dalšího zpracování.

Ověření signalizace

Používá protokol TLS k ověření, že během přenosu nedošlo k manipulaci se signalizačními pakety.

Certifikát instalovaný ve výrobě

Každý Cisco IP telefon obsahuje jedinečný certifikát instalovaný ve výrobě (MIC), který se používá k ověření zařízení. MIC poskytuje trvalý a jedinečný důkaz identity telefonu a umožňuje systému Cisco Unified Communications Manager ověřit telefon.

Šifrování médií

Používá protokol SRTP, který zajišťuje, že datové toky médií mezi podporovanými zařízeními jsou zabezpečené a že data přijímá a čte pouze určené zařízení. Zahrnuje vytvoření páru primárních klíčů médií pro zařízení, doručení klíčů do zařízení a zabezpečení doručení klíčů během jejich přenosu.

Certifikát CAPF (Certificate Authority Proxy Function)

Realizuje části postupu generování certifikátu, které jsou pro telefon příliš náročné na zpracování. Spolupracuje s telefonem při generování klíče a instalaci certifikátu. CAPF lze nakonfigurovat tak, aby jménem telefonu žádal o certifikáty od certifikačních autorit zadaných zákazníkem, nebo jej lze nakonfigurovat tak, aby generoval certifikáty lokálně.

Podporovány jsou EC (eliptická křivka) i RSA typy klíčů. Chcete-li použít klíč EC, ujistěte se, že je povolen parametr "Podpora pokročilých šifrovacích algoritmů koncového bodu" (z parametru System >Enterprise).

Další informace o CAPF a souvisejících konfiguracích naleznete v následujících dokumentech:

Profil zabezpečení

Určuje, zda je telefon nezabezpečený, ověřený, šifrovaný nebo chráněný. Další položky v této tabulce popisují funkce zabezpečení.

Šifrované konfigurační soubory

Umožňuje zajistit soukromí konfiguračních souborů telefonu.

Volitelný zákaz webového serveru telefonu

Z bezpečnostních důvodů můžete zakázat přístup k webovým stránkám telefonu (které zobrazují různé provozní statistiky telefonu) a samoobslužnému portálu.

Zvýšení zabezpečení telefonu

Další možnosti zabezpečení, které můžete ovládat ze správy systému Cisco Unified Communications Manager:

  • Zakázání portu PC
  • Zakázání protokolu GARP (Gratuitous ARP)
  • Zakázání přístupu k hlasové síti VLAN PC
  • Zakázání přístupu do nabídky Nastavení nebo zajištění omezeného přístupu
  • Zakázání přístupu k webovým stránkám telefonu
  • Zakázání portu pro příslušenství Bluetooth
  • Omezení šifer TLS

Ověřování 802.1X

Cisco IP telefon může k vyžádání a získání přístupu k síti používat ověřování 802.1X. Další informace naleznete v tématu Ověřování 802.1X.

Zabezpečené převzetí služeb při selhání protokolu SIP pro SRST

Po konfiguraci reference SRST (Survivable Remote Site Telephony) pro zabezpečení a následném obnovení závislých zařízení ve správě systému Cisco Unified Communications Manager přidá server TFTP certifikát SRST do souboru cnf.xml telefonu a odešle soubor do telefonu. Zabezpečený telefon pak ke komunikaci se směrovačem s podporou SRST používá připojení TLS.

Šifrování signalizace

Zajišťuje, aby všechny zprávy signalizace SIP odesílané mezi zařízením a serverem systému Cisco Unified Communications Manager byly šifrovány.

Varování aktualizace seznamu důvěryhodných certifikátů

Při aktualizaci seznamu důvěryhodných certifikátů v telefonu obdrží systém Cisco Unified Communications Manager varování, které informuje o úspěšné nebo neúspěšné aktualizaci. Další informace naleznete v následující tabulce.

Šifrování AES 256

Při připojení k systému Cisco Unified Communications Manager verze 10.5(2) a novější podporují telefony šifrování AES 256 pro TLS a protokol SIP pro šifrování signalizace a médií. To umožňuje telefonům navazovat a podporovat připojení TLS 1.2 pomocí šifrování založeném na AES-256, které odpovídají standardům SHA-2 (Secure Hash Algorithm) a jsou v souladu s federálními standardy pro zpracování informací (FIPS). Šifry zahrnují:

  • Pro připojení TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Pro sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Další informace viz dokumentace k Cisco Unified Communications Manager.

Certifikáty ECDSA (Elliptic Curve Digital Signature Algorithm)

V rámci certifikace Common Criteria (CC) přidal systém Cisco Unified Communications Manager ve verzi 11.0 certifikáty ECDSA. To se týká všech produktů VOS (Voice Operating System) se systémem CUCM 11.5 a novějšími verzemi.

Certifikát Tomcat s více servery (SAN) a Cisco UCM

Telefon podporuje Cisco UCM s nakonfigurovanými certifikáty Tomcat pro více serverů (SAN). Správnou adresu TFTP serveru naleznete v souboru ITL telefonu pro registraci telefonu.

Další informace o této funkci naleznete v následujících tématech:

Následující tabulka obsahuje zprávy varování o aktualizaci seznamu důvěryhodných certifikátů a jejich význam. Další informace viz dokumentace k Cisco Unified Communications Manager.

Tabulka 2. Zprávy varování o aktualizaci seznamu důvěryhodných certifikátů
Kód a zpráva Popis

1 - TL_SUCCESS

Přijatý nový CTL a/nebo ITL

2 - CTL_INITIAL_SUCCESS

Přijatý nový CTL, žádný stávající TL

3 - ITL_INITIAL_SUCCESS

Přijatý nový ITL, žádný stávající TL

4 - TL_INITIAL_SUCCESS

Přijatý nový CTL a ITL, žádný stávající TL

5 - TL_FAILED_OLD_CTL

Aktualizace na nové CTL se nezdařila, ale existuje předchozí TL

6 - TL_FAILED_NO_TL

Aktualizace na nový TL se nezdařila a neexistuje žádný starý TL

7 - TL_FAILED

Obecná chyba

8 - TL_FAILED_OLD_ITL

Aktualizace na nové ITL se nezdařila, ale existuje předchozí TL

9 - TL_FAILED_OLD_TL

Aktualizace na nové TL se nezdařila, ale existuje předchozí TL

Nabídka Nastavení zabezpečení obsahuje informace o různých nastaveních zabezpečení. Nabídka rovněž poskytuje přístup k nabídce seznamu důvěryhodných certifikátů a uvádí, zda je v telefonu nainstalován soubor CTL nebo ITL.

Následující tabulka popisuje možnosti v nabídce Nastavení zabezpečení.

Tabulka 3. Nabídka nastavení zabezpečení

Možnost

Popis

Změna

Režim zabezpečení

Zobrazí bezpečnostní režim nastavený pro telefon.

Ve správě systému Cisco Unified Communications Manager vyberte možnost Zařízení > Telefon. Nastavení se zobrazí v části Informace o protokolu v okně Konfigurace telefonu.

LSC

Označuje, zda je v telefonu nainstalován místně významný certifikát, který se používá pro funkce zabezpečení (Nainstalováno), nebo není nainstalován v telefonu (Nenainstalováno).

Informace o tom, jak spravovat LSC pro váš telefon, naleznete v dokumentaci ke konkrétní vydané verzi systému Cisco Unified Communications Manager.

Nastavení certifikátu s místní platností (LSC)

Tato úloha se týká nastavení LSC s metodou ověřovacího řetězce.

Než začnete

Ujistěte se, že jsou dokončeny příslušné konfigurace zabezpečení systému Cisco Unified Communications Manager a funkce CAPF (Certificate Authority Proxy Function):

  • Soubor CTL nebo ITL obsahuje certifikát CAPF.

  • Ve správě operačního systému Cisco Unified Communications ověřte, zda je certifikát CAPF nainstalován.

  • Certifikát CAPF je spuštěn a nakonfigurován.

Další informace o těchto nastaveních naleznete v dokumentaci ke konkrétní verzi systému Cisco Unified Communications Manager.

1

Získejte ověřovací kód CAPF, který byl nastaven při konfiguraci CAPF.

2

Na telefonu stiskněte tlačítko Nastavení the Settings hard key.

3

Pokud se zobrazí výzva, zadejte heslo pro přístup do nabídky Nastavení . Heslo můžete získat od správce.

4

Přejděte do nabídky Síť a služba >Nastavení zabezpečení> LSC.

Přístup k nabídce Nastavení můžete řídit pomocí pole Přístup k nastavení ve správě systému Cisco Unified Communications Manager.

5

Zadejte ověřovací řetězec a vyberte Odeslat.

Telefon začne instalovat, aktualizovat nebo odebírat certifikát LSC v závislosti na tom, jak je nakonfigurována služba CAPF. Po dokončení postupu se na displeji telefonu zobrazí zpráva Nainstalováno nebo Nenainstalováno.

Proces instalace, aktualizace nebo odstranění certifikátu LSC může trvat delší dobu.

Po úspěšné instalaci na telefon se zobrazí zpráva Nainstalováno. Pokud se na displeji telefonu zobrazí zpráva Nenainstalováno, může být autorizační řetězec nesprávný nebo nemusí být povolen upgrade telefonu. Pokud operace CAPF odstraní certifikát LSC, zobrazí se na displeji telefonu zpráva Nenainstalováno, která signalizuje, že operace proběhla úspěšně. Server CAPF zaznamenává chybové zprávy. Pokud chcete vyhledat protokoly a pochopit význam chybových zpráv, podívejte se do dokumentace serveru CAPF.

Povolení režimu FIPS

1

Ve správě systému Cisco Unified Communications Manager vyberte možnost Zařízení > Telefon a najděte telefon.

2

Přejděte do oblasti Konfigurace konkrétního produktu.

3

Nastavte pole Režim FIPS na hodnotu Povoleno.

4

Klepněte na příkaz Uložit.

5

Klikněte na tlačítko Použít konfiguraci.

6

Restartujte telefon.

Vypnutí hlasitého telefonu, náhlavní soupravy a sluchátka v telefonu

Máte možnost trvale vypnout hlasitý telefon, náhlavní soupravu a sluchátko v telefonu pro uživatele.

1

Ve správě systému Cisco Unified Communications Manager vyberte možnost Zařízení > Telefon a najděte telefon.

2

Přejděte do oblasti Konfigurace konkrétního produktu.

3

Chcete-li vypnout funkce telefonu, zaškrtněte jedno nebo více z následujících polí:

  • Zakázat hlasitý telefon
  • Disable Speakerphone and Headset (Zakázat hlasitý odposlech a náhlavní soupravu)
  • Disable Handset (Zakázat náhlavní soupravu)

Ve výchozím nastavení nejsou tato zaškrtávací políčka zaškrtnuta.

4

Klepněte na příkaz Uložit.

5

Klikněte na tlačítko Použít konfiguraci.

Ověřování 802.1X

Cisco IP telefony podporují ověřování 802.1X.

Cisco IP telefony a přepínače Cisco Catalyst obvykle používají protokol CDP (Cisco Discovery Protocol) ke vzájemné identifikaci a určení parametrů, jako je přidělení VLAN a požadavky na napájení v síti. CDP neidentifikuje místně připojené pracovní stanice. Cisco IP telefony umožňují průchozí mechanismus EAPOL. Tento mechanismus dovoluje pracovní stanici připojené k Cisco IP telefonu předávat zprávy EAPOL ověřovateli 802.1X v přepínači LAN. Mechanismus průchodu zajišťuje, že IP telefon nefunguje jako přepínač sítě LAN, který ověřuje datový koncový bod před přístupem do sítě.

Cisco IP telefony také umožňují proxy mechanismus odhlášení EAPOL. Pokud se místně připojený počítač odpojí od IP telefonu, přepínač LAN nezaznamená výpadek fyzického spojení, protože spojení mezi přepínačem LAN a IP telefonem zůstane zachováno. Aby nedošlo k narušení integrity sítě, odešle IP telefon jménem navazujícího počítače přepínači zprávu EAPOL-Logoff, čímž přepínač LAN vymaže ověřovací záznam pro podřízený počítač.

Podpora ověřování 802.1X vyžaduje několik komponent:

  • Cisco IP telefon: Telefon iniciuje požadavek na přístup k síti. Cisco IP telefony obsahují žádající port 802.1X. Tento žádající port umožňuje správcům sítě řídit připojení IP telefonů k portům přepínače LAN. Aktuální verze žádajícího portu telefonu 802.1X používá pro ověřování sítě možnosti EAP-FAST a EAP-TLS.

  • Ověřovací server: Ověřovací server i přepínač musí být nakonfigurovány se sdílenou tajnou klíčkou, která ověřuje telefon.

  • Přepínač: Přepínač musí podporovat protokol 802.1X, aby mohl fungovat jako ověřovatel a předávat zprávy mezi telefonem a ověřovacím serverem. Po dokončení výměny přepínač povolí nebo zamítne přístup telefonu k síti.

Pro konfiguraci protokolu 802.1X je třeba provést následující akce.

  • Před povolením ověřování 802.1X v telefonu nakonfigurujte ostatní komponenty.

  • Konfigurace portu PC: Standard 802.1X nezohledňuje sítě VLAN, a proto doporučuje, aby se na určitém portu přepínače ověřovalo pouze jedno zařízení. Některé přepínače však podporují vícedoménové ověřování. Konfigurace přepínače určuje, zda lze k portu PC telefonu připojit počítač.

    • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete povolit port PC a připojit k němu počítač. V tomto případě Cisco IP telefony podporují proxy server EAPOL-Logoff, který monitoruje výměnu ověření mezi přepínačem a připojeným počítačem.

      Další informace o podpoře standardu IEEE 802.1X v přepínačích Cisco Catalyst naleznete v konfiguračních příručkách přepínačů Cisco Catalyst na adrese:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Zakázáno: Pokud přepínač nepodporuje více zařízení kompatibilních se standardem 802.1X na stejném portu, měli byste při zapnutém ověřování 802.1X zakázat port PC. Pokud tento port nezakážete a poté se k němu pokusíte připojit počítač, přepínač odepře přístup k síti telefonu i počítači.

  • Konfigurace hlasové sítě VLAN: Protože standard 802.1X nepočítá se sítí VLAN, měli byste toto nastavení nakonfigurovat na základě podpory přepínače.
    • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete pokračovat v používání hlasové sítě VLAN.
    • Zakázáno: Pokud přepínač nepodporuje vícedoménové ověřování, zakažte hlasovou síť VLAN a zvažte přiřazení portu k nativní síti VLAN.
  • (Pouze pro stolní telefon Cisco řady 9800)

    Stolní telefon Cisco řady 9800 má v PID jinou předponu než ostatní telefony Cisco. Chcete-li, aby telefon prošel ověřováním 802.1X, nastavte Radius· User-Name pro zahrnutí vašeho stolního telefonu Cisco řady 9800.

    Například PID telefonu 9841 je DP-9841; můžete nastavit Radius· User-Name pro začátek na DP nebo obsahuje DP. Můžete ji nastavit v obou následujících částech:

    • Zásady > Podmínky > Podmínky knihovny

    • Zásady > Sady zásad> Zásady autorizace> Autorizační pravidlo 1

Povolení ověřování 802.1X

Ověřování 802.1X pro telefon můžete povolit podle následujících kroků:

1

Stiskněte tlačítko Nastaveníthe Settings hard key.

2

Pokud se zobrazí výzva, zadejte heslo pro přístup do nabídky Nastavení . Heslo můžete získat od správce.

3

Přejděte do nabídky Síť a služba > Nastavení zabezpečení> Ověřování 802.1X.

4

Zapněte ověřování IEEE 802.1X.

5

Zvolte Použít.

Zobrazení informací o nastavení zabezpečení v telefonu

Informace o nastavení zabezpečení můžete zobrazit v nabídce telefonu. Dostupnost informací závisí na nastavení sítě ve vaší organizaci.

1

Stiskněte tlačítko Nastaveníthe Settings key.

2

Přejděte na Nastavení sítě a služby > zabezpečení.

3

V nastavení zabezpečení zobrazte následující informace.

Tabulka 4. Parametry pro nastavení zabezpečení

Parametry

Popis

Režim zabezpečení

Zobrazí bezpečnostní režim nastavený pro telefon.

LSC

Označuje, zda je v telefonu nainstalován místně významný certifikát, který se používá pro funkce zabezpečení (Ano) nebo není nainstalován v telefonu (Ne).

Seznam certifikátů

Seznam certifikátů obsahuje podnabídky pro konfigurační soubory CTL, ITL a podepsané konfigurace.

V podnabídce Soubor CTL se zobrazí obsah souboru CTL. Podnabídka Soubor ITL zobrazuje obsah souboru ITL.

Nabídka Seznam certifikátů také zobrazuje následující informace:

  • CTL Signature: hodnota hash SHA1 souboru CTL
  • Server Unified CM/TFTP: název serveru Cisco Unified Communications Manager a TFTP, který telefon používá. Zobrazí ikonu certifikátu, pokud je pro tento server nainstalován certifikát.
  • CAPF Server: název serveru CAPF, který telefon používá. Zobrazí ikonu certifikátu, pokud je pro tento server nainstalován certifikát.
  • SRST Router: IP adresa důvěryhodného směrovače SRST, který může telefon používat. Zobrazí ikonu certifikátu, pokud je pro tento server nainstalován certifikát.

Zabezpečení telefonních hovorů

Pokud je pro telefon implementováno zabezpečení, můžete zabezpečené telefonní hovory identifikovat podle ikon na obrazovce telefonu. Pokud se na začátku hovoru ozve bezpečnostní tón, znamená to, že je připojený telefon zabezpečený a chráněný.

Během zabezpečeného hovoru jsou všechny signály hovoru a datové toky médií šifrovány. Zabezpečený hovor nabízí vysokou úroveň zabezpečení a zajišťuje integritu i soukromí hovoru. Když je probíhající hovor šifrovaný, zobrazí se ikona zabezpečení Ikona zámku pro zabezpečený hovor Na lince. U zabezpečeného telefonu můžete také zobrazit ikonu ověření Nebo na ikonu šifrování Vedle připojeného serveru v menu telefonu (Nastavení > O tomto zařízení).

Pokud je hovor směrován přes jiné části hovoru než IP, například přes PSTN, může být hovor nezabezpečený, i když je v síti IP šifrován a je k němu přiřazena ikona zámku.

Při zabezpečeném hovoru se na začátku hovoru přehraje tón zabezpečení, který signalizuje, že druhý připojený telefon také přijímá a vysílá zabezpečený zvuk. Pokud se hovor spojí s nezabezpečeným telefonem, tón zabezpečení se nepřehraje.

Zabezpečené volání je podporováno pouze pro spojení mezi dvěma telefony. Některé funkce, například konferenční volání a sdílené linky, nejsou při konfiguraci zabezpečeného volání dostupné.

Je-li telefon nakonfigurován jako zabezpečený (šifrovaný a důvěryhodný) v Cisco Unified Communications Manager, může mu být přidělen chráněný stav. Poté lze chráněný telefon v případě potřeby nakonfigurovat tak, aby na začátku hovoru přehrál signalizační tón:

  • Chráněné zařízení: Pokud chcete změnit stav zabezpečeného telefonu na chráněný, zaškrtněte políčko Chráněné zařízení v okně Konfigurace telefonu ve správě systému Cisco Unified Communications Manager (Zařízení > Telefon).

  • Přehrát tón upozornění na zabezpečení: Pokud chcete, aby chráněný telefon přehrával tón upozornění na zabezpečený nebo nezabezpečený hovor, nastavte nastavení Přehrát tón upozornění na zabezpečení na hodnotu True. Ve výchozím nastavení je možnost Přehrát tón upozornění na zabezpečení nastavena na hodnotu False. Tuto možnost nastavíte ve správě systému Správa aplikace Cisco Unified Communications Manager (Systém > Parametry služby). Vyberte server a poté službu Unified Communications Manager. V okně Konfigurace parametru služby vyberte možnost v oblasti Funkce – Tón zabezpečení. Výchozí hodnota je False.

Identifikace zabezpečeného konferenčního hovoru

Můžete zahájit zabezpečený konferenční hovor a sledovat úroveň zabezpečení účastníků. Postup vytvoření zabezpečeného konferenčního hovoru:

  1. Uživatel zahájí konferenci ze zabezpečeného telefonu.

  2. Systém Cisco Unified Communications Manager přiřadí hovoru zabezpečený konferenční most.

  3. Při přidávání účastníků ověřuje systém Cisco Unified Communications Manager bezpečnostní režim každého telefonu a udržuje úroveň zabezpečení konference.

  4. Telefon zobrazí úroveň zabezpečení konferenčního hovoru. Zabezpečená konference zobrazuje ikonu zabezpečení Ikona zámku pro zabezpečený hovor.

Mezi dvěma telefony je podporováno zabezpečené volání. U chráněných telefonů nejsou při konfiguraci zabezpečeného hovoru dostupné některé funkce, například konferenční hovory, sdílené linky a Extension Mobility.

V následující tabulce jsou uvedeny informace o změnách úrovní zabezpečení konference v závislosti na úrovni zabezpečení telefonu iniciátora, úrovních zabezpečení účastníků a dostupnosti zabezpečených konferenčních mostů.

Tabulka 5. Omezení zabezpečení u konferenčních hovorů

Úroveň zabezpečení telefonu iniciátora

Použitá funkce

Úroveň zabezpečení účastníků

Výsledky akce

Nezabezpečené

Konference

Zabezpečené

Nezabezpečený konferenční most

Nezabezpečená konference

Zabezpečené

Konference

Alespoň jeden člen je nezabezpečený.

Zabezpečený konferenční most

Nezabezpečená konference

Zabezpečené

Konference

Zabezpečené

Zabezpečený konferenční most

Zabezpečená šifrovaná konference

Nezabezpečené

Meet Me

Minimální úroveň zabezpečení je šifrovaná.

Iniciátor obdrží zprávu Nesplňuje úroveň zabezpečení, hovor byl odmítnut.

Zabezpečené

Meet Me

Minimální úroveň zabezpečení je nezabezpečená.

Zabezpečený konferenční most

Konference přijímá všechny hovory.

Identifikace zabezpečených telefonních hovorů

Zabezpečený hovor je navázán, pokud je váš telefon i telefon na druhé straně nakonfigurován pro zabezpečené hovory. Druhý telefon může být ve stejné síti Cisco IP nebo v síti mimo síť IP. Zabezpečené hovory lze uskutečnit pouze mezi dvěma telefony. Konferenční hovory by měly podporovat zabezpečený hovor po nastavení zabezpečeného konferenčního mostu.

Postup vytvoření zabezpečeného hovoru:

  1. Uživatel iniciuje hovor ze zabezpečeného telefonu (bezpečnostní režim).

  2. Na telefonu se zobrazí ikona zabezpečení Ikona zámku pro zabezpečený hovor Na displeji telefonu. Tato ikona označuje, že telefon je nakonfigurován pro zabezpečené hovory, ale neznamená to, že je zabezpečen i druhý připojený telefon.

  3. Pokud se hovor spojí s jiným zabezpečeným telefonem, uslyší uživatel tón zabezpečení. To znamená, že obě strany hovoru jsou šifrovány a zabezpečeny. Pokud se hovor spojí s nezabezpečeným telefonem, uživatel tón zabezpečení neuslyší.

Mezi dvěma telefony je podporováno zabezpečené volání. U chráněných telefonů nejsou při konfiguraci zabezpečeného hovoru dostupné některé funkce, například konferenční hovory, sdílené linky a Extension Mobility.

Tyto tóny upozornění na zabezpečený nebo nezabezpečený hovor se přehrávají pouze na chráněných telefonech. Nechráněné telefony tóny nikdy nepřehrávají. Pokud se během hovoru změní celkový stav hovoru, změní se tón upozornění. Chráněný telefon přehraje příslušný tón.

Chráněný telefon přehraje či nepřehraje tón za těchto okolností:

  • Když je povolena možnost Přehrát tón upozornění na zabezpečený hovor:

    • Když je navázáno kompletně zabezpečené médium a stav hovoru je zabezpečený, telefon přehraje tón upozornění na zabezpečený hovor (tři dlouhá pípnutí s pauzami).

    • Když je navázáno nezabezpečené médium a stav hovoru je nezabezpečený, telefon přehraje tón upozornění na nezabezpečený hovor (šest krátkých pípnutí s krátkými pauzami).

Pokud je možnost Přehrát tón upozornění na zabezpečený hovor vypnutá, žádný tón se nepřehraje.

Poskytněte šifrování pro člun

Cisco Unified Communications Manager kontroluje stav zabezpečení telefonu při navazování konferencí a mění bezpečnostní indikaci konference nebo blokuje dokončení hovoru, aby byla zachována integrita a zabezpečení systému.

Uživatel se nemůže připojit k šifrovanému hovoru, pokud telefon, který se používá k přistoupení, není nakonfigurován pro šifrování. Pokud v tomto případě člun selže, přehraje se na telefonu, ve kterém byl člun iniciován, tón změny pořadí (rychlé obsazení).

Pokud je telefon iniciátoru nakonfigurován pro šifrování, může iniciátor člunu vstoupit do nezabezpečeného hovoru ze šifrovaného telefonu. Poté, co dojde k přihrávce, Cisco Unified Communications Manager klasifikuje hovor jako nezabezpečený.

Pokud je telefon iniciátoru nakonfigurován pro šifrování, může iniciátor člunu vstoupit do šifrovaného hovoru a telefon indikuje, že hovor je šifrovaný.

WLAN zabezpečení

Tato část se týká pouze modelů telefonů s Wi-Fi schopností.

WLAN zabezpečení

Protože všechna zařízení WLAN, která jsou v dosahu, mohou přijímat veškerý ostatní provoz WLAN, je zabezpečení hlasové komunikace v sítích WLAN velmi důležité. Aby bylo zajištěno, že vetřelci nebudou manipulovat ani zachycovat hlasový provoz, podporuje architektura Cisco SAFE Security telefon. Další informace o zabezpečení v sítích naleznete na adrese http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Řešení Cisco Wireless IP Telephony poskytuje zabezpečení bezdrátové sítě, které zabraňuje neoprávněným přihlášením a narušené komunikaci pomocí následujících metod ověřování, které telefon podporuje:

  • Otevřené ověření: V otevřeném systému může o ověření požádat jakékoli bezdrátové zařízení. Přístupový bod, který obdrží požadavek, může povolit ověření libovolnému žadateli nebo pouze žadatelům, kteří se nacházejí v seznamu uživatelů. Komunikace mezi bezdrátovým zařízením a přístupovým bodem (AP) může být nešifrovaná.

  • Flexibilní ověřování pomocí zabezpečeného tunelového propojení (EAP-FAST): Tato architektura zabezpečení klient-server šifruje EAP transakce v rámci tunelového propojení TLS (Transport Level Security) mezi přístupovým bodem a serverem RADIUS, jako je například Identity Services Engine (ISE).

    Tunel TLS používá k ověřování mezi klientem (telefonem)   serverem RADIUS chráněná pověření (PAC). Server odešle ID autority (AID) klientovi (telefonu), který následně vybere příslušné pověření PAC. Klient (telefon) vrátí serveru RADIUS zprávu PAC-Opaque. Server dešifruje pověření PAC pomocí primárního klíče. Oba koncové body nyní obsahují klíč PAC a dojde k vytvoření tunelu TLS. Ověření EAP-FAST podporuje automatické poskytování pověření PAC, ale je nutné jej povolit na serveru RADIUS.

    V ISE ve výchozím nastavení vyprší platnost PAC za jeden týden. Pokud má telefon neplatné pověření PAC, ověření pomocí serveru RADIUS potrvá déle, než telefon získá nové pověření PAC. Pokud chcete předejít zpoždění při poskytování pověření PAC, nastavte na serveru ISE nebo RADIUS dobu platnosti pověření PAC na 90 dní nebo delší.

  • Ověření EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Zabezpečení EAP-TLS vyžaduje pro ověření a přístup k síti klientský certifikát. U bezdrátového EAP-TLS může být klientským certifikátem certifikát MIC, LSC nebo certifikát nainstalovaný uživatelem.

  • PEAP (Protected Extensible Authentication Protocol): Proprietární schéma vzájemného ověřování založené na hesle mezi klientem (telefonem) a serverem RADIUS. Telefon může PEAP použít k ověření v bezdrátové síti. Podporovány jsou metody ověření PEAP-MSCHAPV2 i PEAP-GTC.

  • Předsdílený klíč (PSK): Telefon podporuje ASCII formát. Při nastavování předsdíleného klíče WPA/WPA2/SAE musíte použít tento formát:

    ASCII: řetězec ASCII o délce 8 až 63 znaků (0–9, malá a velká písmena A–Z a speciální znaky)

    Příklad: GREG123567@9ZX&W

Následující schémata ověření používají ke správě ověřovacích klíčů server RADIUS:

  • WPA/WPA2/WPA3: Používá informace serveru RADIUS ke generování jedinečných klíčů pro ověřování. Protože jsou tyto klíče generovány na centralizovaném serveru RADIUS, poskytuje WPA2/WPA3 vyšší zabezpečení než předsdílený klíč WPA, který je uložen na přístupovém bodu a v telefonu.

  • Rychlý zabezpečený roaming: Ke správě a ověřování klíčů používá server RADIUS a informace serveru bezdrátové domény (WDS). Služba WDS vytvoří mezipaměť s pověřeními zabezpečení pro klientská zařízení s povoleným protokolem FT pro rychlé a bezpečné opětovné ověření. Stolní telefon Cisco 9861 a 9871 a Cisco Video Phone 8875 podporují standard 802.11r (FT). Jak vzduchem, tak přes DS jsou podporovány, aby umožnily rychlý a bezpečný roaming. Důrazně však doporučujeme používat metodu 802.11r (FT) vzduchem.

Při WPA/WPA2/WPA3 se šifrovací klíče nezadávají do telefonu, ale jsou automaticky odvozeny mezi přístupovým bodem a telefonem. Uživatelské jméno a heslo EAP, které se používají pro ověření, však musí být zadány v každém telefonu.

Aby byl zajištěn zabezpečený hlasový provoz, telefon podporuje šifrování TKIP a AES. Pokud jsou tyto mechanismy použity pro šifrování, jsou mezi přístupovým bodem a telefonem šifrovány jak signalizační pakety SIP, tak hlasové pakety protokolu RTP (Real-Time Transport Protocol).

TKIP

WPA používá šifrování TKIP, které má oproti WEP několik vylepšení. Standard TKIP umožňuje šifrování jednotlivých klíčů a delší inicializační vektory (IV), které zlepšují šifrování. Kontrola integrity zprávy (MIC) navíc zajišťuje, že nedochází ke změně zašifrovaných paketů. Standard TKIP odstraňuje předvídatelnost standardu WEP, která pomáhá narušitelům dešifrovat klíč WEP.

AES

Metoda šifrování používaná pro ověřování WPA2/WPA3. Tento národní standard pro šifrování používá symetrický algoritmus, který má stejný klíč pro šifrování i dešifrování. AES používá šifrování CBC (Cipher Blocking Chain) o velikosti 128 bitů, které podporuje velikosti klíčů minimálně 128 bitů, 192 bitů a 256 bitů. Telefon podporuje velikost klíče 256 bitů.

Stolní telefon Cisco 9861 a 9871 a Cisco Video Phone 8875 nepodporují protokol Cisco Key Integrity Protocol (CKIP) s CMIC.

V rámci bezdrátové sítě LAN jsou nastavena schémata ověření a šifrování. Sítě VLAN jsou konfigurovány v síti a na přístupových bodech a určují různé kombinace ověřování a šifrování. Identifikátor SSID je spojen se sítí VLAN a konkrétním schématem ověření a šifrování. Aby bylo možné úspěšně ověřit klientská zařízení bezdrátové sítě, je nutné nakonfigurovat stejné identifikátory SSID s jejich schématy ověřování a šifrování v přístupových bodech a v telefonu.

Některá schémata ověření vyžadují specifické typy šifrování.

  • Používáte-li předsdílený klíč WPA, předsdílený klíč WPA2 nebo SAE, musí být předsdílený klíč v telefonu staticky nastaven. Tyto klíče se musí shodovat s klíči, které se nacházejí na přístupovém bodu.

  • Telefon podporuje automatické vyjednávání EAP pro FAST nebo PEAP, ale ne pro TLS. Pro EAP-TLS režim je nutné jej zadat.

Schémata ověřování a šifrování v následující tabulce zobrazují možnosti konfigurace sítě pro telefon, které odpovídají konfiguraci přístupového bodu.

Tabulka 6. Schémata ověření a šifrování
Typ protokolu FSRAutentizaceSpráva klíčeŠifrováníChráněný rámec pro správu (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESAno
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESAno
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESAno
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESAno

Konfigurace profilu bezdrátové sítě LAN

Profil bezdrátové sítě můžete spravovat pomocí konfigurace pověření, frekvenčního pásma, metody ověřování atd.

Před konfigurací profilu WLAN nezapomeňte na následující:

  • Uživatelské jméno a heslo

    • Pokud síť používá pro ověřování uživatelů protokoly EAP-FAST a PEAP, je třeba ve službě RADIUS (Remote Authentication Dial-In User Service) i v telefonu nakonfigurovat uživatelské jméno a heslo, pokud jsou vyžadovány.

    • Pověření zadaná v profilu bezdrátové sítě LAN musí být shodná s pověřeními nakonfigurovanými na serveru RADIUS.

    • Pokud v síti používáte domény, musíte zadat uživatelské jméno s názvem domény ve formátu: domain\username.

  • Následující akce mohou vést k vymazání stávajícího hesla Wi-Fi:

    • Zadání neplatného uživatelského jména nebo hesla.
    • Instalace neplatné nebo prošlé kořenové certifikační autority, když je typ EAP nastaven na PEAP-MSCHAPV2 nebo PEAP-GTC.
    • Zakázání používaného typu EAP na serveru RADIUS před přepnutím telefonu na nový typ EAP.
  • Pokud chcete změnit typ EAP, nejprve povolte nový typ EAP na serveru RADIUS a poté přepněte telefon na tento typ EAP. Po změně všech telefonů na nový typ EAP můžete předchozí typ EAP zakázat, pokud chcete.
1

Ve správě systému Cisco Unified Communications Manager vyberte možnost Zařízení > Nastavení zařízení > Profil bezdrátové sítě LAN.

2

Vyberte síťový profil, který chcete nakonfigurovat.

3

Nastavte parametry.

4

Klikněte na položku Uložit.

Ruční instalace certifikátu ověřovacího serveru

Pokud není dostupný protokol SCEP (Simple Certificate Enrollment Protocol), můžete certifikát ověřovacího serveru do telefonu nainstalovat ručně.

Certifikát kořenové certifikační autority, který vydal certifikát serveru RADIUS, musí být nainstalován pro EAP-TLS.

Než začnete

Před instalací certifikátu do telefonu musíte mít v počítači uložený certifikát ověřovacího serveru. Certifikát musí být kódován ve formátu PEM (Base-64) nebo DER.

1

Na webové stránce správy telefonu vyberte možnost Certifikáty.

2

Vyhledejte pole Ověřovací server certifikační autority a klikněte na tlačítko Instalovat.

3

Vyhledejte certifikát v počítači.

4

Klikněte na tlačítko Nahrát.

5

Po dokončení nahrávání restartujte telefon.

Pokud znovu instalujete více než jeden certifikát, použije se pouze poslední nainstalovaný certifikát.

Ruční instalace uživatelského certifikátu

Pokud není dostupný protokol SCEP (Simple Certificate Enrollment Protocol), můžete uživatelský certifikát do telefonu nainstalovat ručně.

Předinstalovaný certifikát MIC (Manufacturing Installed Certificate) lze použít jako uživatelský certifikát pro EAP-TLS.

Po instalaci uživatelského certifikátu jej přidejte do seznamu důvěryhodných certifikátů serveru RADIUS.

Než začnete

Před instalací uživatelského certifikátu pro telefon musíte mít:

  • Uživatelský certifikát uložený v počítači. Certifikát musí být ve formátu PKCS #12.

  • Heslo pro extrakci certifikátu.

    Toto heslo může mít délku až 16 znaků.

1

Na webové stránce správy telefonu vyberte možnost Certifikáty.

2

Vyhledejte pole Nainstalovaný uživatel a klikněte na tlačítko Instalovat.

3

Vyhledejte certifikát v počítači.

4

Do pole Extrahovat heslo zadejte heslo pro extrakci certifikátu.

5

Klikněte na tlačítko Nahrát.

6

Po dokončení nahrávání restartujte telefon.

Ruční odebrání certifikátu zabezpečení

Pokud není dostupný protokol SCEP (Simple Certificate Enrollment Protocol), můžete certifikát zabezpečení z telefonu odebrat ručně.

1

Na webové stránce správy telefonu vyberte možnost Certifikáty.

2

Vyhledejte certifikát na stránce Certifikáty.

3

Klikněte na tlačítko Odstranit.

4

Po dokončení procesu odstranění restartujte telefon.

Konfigurace parametrů SCEP

Protokol SCEP (Simple Certificate Enrollment Protocol) je standardem pro automatické poskytování a obnovování certifikátů. Server SCEP může automaticky spravovat certifikáty uživatelů a serverů.

Na webové stránce telefonu je třeba nakonfigurovat následující parametry SCEP.

  • Adresa IP RA

  • Otisk SHA-1 nebo SHA-256 kořenového certifikátu certifikační autority pro server SCEP

Registrační autorita (RA) systému Cisco IOS slouží jako proxy serveru SCEP. Klient SCEP v telefonu používá parametry stažené ze systému Cisco Unified Communication Manager. Po nakonfigurování parametrů telefon odešle požadavek SCEP getcs na RA a certifikát kořenové CA je ověřen pomocí definovaného otisku prstu.

Než začnete

Na serveru SCEP nakonfigurujte registračního agenta (RA) SCEP tak, aby:

  • Fungoval jako důvěryhodný bod PKI
  • Fungoval jako registrační agent PKI
  • Prováděl ověření zařízení pomocí serveru RADIUS

Další informace naleznete v dokumentaci serveru SCEP.

1

Ve správě systému Cisco Unified Communications Manager vyberte možnost Zařízení > Telefon.

2

Vyhledejte telefon.

3

Přejděte do oblasti Rozložení konfigurace specifické pro produkt.

4

Zaškrtnutím políčka WLAN Server SCEP aktivujte parametr SCEP.

5

Zaškrtněte políčko WLAN Root CA Fingerprint(SHA256 nebo SHA1) a aktivujte parametr SCEP QED.

Nastavení podporovaných verzí TLS

Můžete nastavit minimální verzi TLS vyžadovanou pro klienta a server.

Ve výchozím nastavení je minimální TLS verze serveru i klienta 1.2. Nastavení má vliv na následující funkce:

  • Připojení k webovému přístupu HTTPS
  • Onboarding pro místní telefon
  • Onboarding pro mobilní zařízení a Remote Access (MRA)
  • Služby HTTPS, například adresářové služby
  • Zabezpečení transportní vrstvy datagramů (DTLS)
  • Entita přístupu k portu (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Další informace o kompatibilitě TLS 1.3 pro Cisco IP Phones naleznete v tématu TLS 1.3 Matrice kompatibility pro produkty Cisco pro spolupráci.

1

Přihlaste se do systému Cisco Unified Communications Manager jako správce.

2

Přejděte do jednoho z následujících oken:

  • Systém > Konfigurace podnikového telefonu
  • Nastavení zařízení > zařízení > běžný profil telefonu
  • Konfigurace zařízení > telefonu > telefonu
3

Nastavte pole TLS Client Min:

Možnost "TLS 1.3" je k dispozici v Cisco Unified CM 15SU2 nebo novějších.
  • TLS 1.1: TLS klient podporuje verze TLS od 1.1 do 1.3.

    Pokud je verze TLS na serveru nižší než 1,1, například 1,0, nelze připojení navázat.

  • TLS 1.2 (výchozí): TLS klient podporuje TLS 1.2 a 1.3.

    Pokud je verze TLS na serveru nižší než 1,2, například 1,1 nebo 1,0, nelze připojení navázat.

  • TLS 1.3: TLS klient podporuje pouze TLS 1.3.

    Pokud je verze TLS na serveru nižší než 1,3, například 1,2, 1,1 nebo 1,0, připojení nelze navázat.

4

Nastavte TLS pole Minimální verze serveru:

  • TLS 1.1: Server TLS podporuje verze TLS od 1.1 do 1.3.

    Pokud je verze TLS v klientovi nižší než 1,1, například 1,0, nelze připojení navázat.

  • TLS 1.2 (výchozí): TLS server podporuje TLS 1.2 a 1.3.

    Pokud je verze TLS v klientovi nižší než 1,2, například 1,1 nebo 1,0, připojení nelze navázat.

  • TLS 1.3: TLS server podporuje pouze TLS 1.3.

    Pokud je verze TLS v klientovi nižší než 1,3, například 1,2, 1,1 nebo 1,0, připojení nelze navázat.

Od vydání PhoneOS 3.2 se nastavení pole "Zakázat TLS 1.0 a TLS 1.1 pro webový přístup" na telefonech neprojeví.
5

Klikněte na položku Uložit.

6

Klikněte na tlačítko Použít konfiguraci.

7

Restartujte telefony.

Zajištěné služby SIP

Assured Services SIP (AS-SIP) je sada funkcí a protokolů, které nabízejí vysoce zabezpečený tok hovorů pro telefony Cisco IP Phones a telefonů třetích stran. Následující funkce jsou souhrnně označovány jako AS-SIP:

  • Víceúrovňová přednost a prevence (MLPP)
  • Kódový bod diferencovaných služeb (DSCP)
  • Transport Layer Security (TLS) a Secure Real-time Transport Protocol (SRTP)
  • Protokol IPv6 (Internet Protocol version 6)

AS-SIP se často používá s funkcí MLPP (Multilevel Precedence and Preemption) pro stanovení priorit hovorů v případě nouze. S MLPP přiřadíte odchozím hovorům úroveň priority od úrovně 1 (nízká) do úrovně 5 (vysoká). Když přijmete hovor, zobrazí se na telefonu ikona úrovně priority zobrazující prioritu hovoru.

Chcete-li nakonfigurovat AS-SIP, proveďte na Cisco Unified Communications Manager následující úlohy:

  • Konfigurace uživatele algoritmu Digest – Nakonfigurujte koncového uživatele tak, aby pro požadavky SIP používal ověřování algoritmem Digest.
  • Konfigurace zabezpečeného portu telefonu SIP – Cisco Unified Communications Manager tento port používá k poslechu telefonů SIP při registraci linek SIP v průběhu TLS.
  • Restartovat služby – Po nakonfigurování zabezpečeného portu restartujte služby Cisco Unified Communications Manager a Cisco CTL Provider. Konfigurace profilu SIP pro AS-SIP-Nakonfigurujte profil SIP s nastavením SIP pro koncové body AS-SIP a přenosové spoje SIP. Parametry specifické pro telefon se nestahují do AS-SIP telefonu jiného výrobce. Používá je pouze aplikace Cisco Unified Manager. Telefony jiných výrobců musí nakonfigurovat stejná nastavení místně.
  • Konfigurace profilu zabezpečení telefonu pro AS-SIP—Profil zabezpečení telefonu můžete použít k přiřazení nastavení zabezpečení, jako je ověřování TLS, SRTP a algoritmem Digest.
  • Konfigurace koncového bodu AS-SIP – Nakonfigurujte koncový bod Cisco IP Phone nebo třetí strany s podporou AS-SIP.
  • Přidružit zařízení ke koncovému uživateli – přidruží koncový bod k uživateli.
  • Konfigurace profilu zabezpečení přenosového spoje SIP pro AS-SIP – pomocí profilu zabezpečení přenosového spoje SIP můžete přenosovému spoji SIP přiřadit funkce zabezpečení, jako je ověřování TLS nebo algoritmem Digest.
  • Konfigurace přenosového spoje SIP pro AS-SIP – Nakonfigurujte přenosový spoj SIP s podporou AS-SIP.
  • Konfigurace funkcí AS-SIP – umožňuje konfigurovat další funkce AS-SIP, například MLPP, TLS, V.150 a IPv6.

Podrobné informace o konfiguraci AS-SIP najdete v kapitole "Konfigurace koncových bodů AS-SIP" v Příručce ke konfiguraci funkcí pro Cisco Unified Communications Manager.

Víceúrovňová přednost a předkupní právo

Víceúrovňová priorita a prevence (MLPP) umožňuje upřednostnit hovory během mimořádných událostí nebo jiných krizových situací. Odchozím hovorům přiřadíte prioritu v rozsahu od 1 do 5. Příchozí hovory zobrazují ikonu a prioritu hovoru. Ověření uživatelé mohou předcházet hovorům buď na cílové stanice, nebo prostřednictvím plně přihlášených přenosových spojů TDM.

Tato schopnost zajišťuje vysoce postavenému personálu komunikaci s kritickými organizacemi a personálem.

MLPP se často používá s Assured Services SIP (AS-SIP). Podrobné informace o konfiguraci MLPP naleznete v kapitole Konfigurace víceúrovňové priority a prevence v Příručce konfigurace funkcí pro Cisco Unified Communications Manager.