Bezpečnostní prvky chrání před hrozbami včetně hrozeb pro identitu telefonu a data. Tyto funkce vytvářejí a udržují ověřené komunikační toky mezi telefonem a serverem Cisco Unified Communications Manager a zajišťují, že telefon používá pouze soubory digitálně podepsané.

Řešení Cisco Unified Communications Manager verze 8.5(1) a novější zahrnuje ve výchozím nastavení zabezpečení, které poskytuje následující bezpečnostní funkce pro Cisco IP telefony bez použití klienta CTL:

• Podepisování konfiguračních souborů telefonu

• Šifrování konfiguračního souboru telefonu

• HTTPS s aplikací Tomcat a dalšími webovými službami

Implementace zabezpečení v systému Cisco Unified Communications Manager zabraňuje krádeži identity telefonu a serveru Cisco Unified Communications Manager, manipulaci s daty a manipulaci s signalizací hovorů a datovým proudem médií.

Za účelem zmírnění těchto hrozeb zavádí a udržuje zabezpečené (zašifrované) komunikační toky mezi telefonem a serverem, digitálně podepisuje soubory před jejich přenosem do telefonu a šifruje mediální toky a signalizaci hovorů mezi Cisco IP telefony.

Po provedení nezbytných úloh spojených s funkcí proxy certifikační autority (CAPF) se do telefonů nainstaluje lokálně významný certifikát (LSC). Ke konfiguraci LSC můžete použít správu systému Cisco Unified Communications Manager, jak je popsáno v příručce zabezpečení systému Cisco Unified Communications Manager. Instalaci systému LSC můžete také zahájit z nabídky nastavení zabezpečení v telefonu. Tato nabídka také umožňuje aktualizovat nebo odebrat LSC.

LSC nelze použít jako uživatelský certifikát pro protokol EAP-TLS s ověřováním v síti WLAN.

Telefony používají bezpečnostní profil telefonu, který definuje, zda je zařízení nezabezpečené, nebo zabezpečené. Informace o použití bezpečnostního profilu na telefon naleznete v dokumentaci ke konkrétní verzi aplikace Cisco Unified Communications Manager.

Pokud provedete konfiguraci nastavení souvisejících se zabezpečením ve správě systému Cisco Unified Communications Manager, konfigurační soubor telefonu obsahuje citlivé informace. Aby bylo zajištěno soukromí konfiguračního souboru, musíte jej nakonfigurovat pro šifrování. Podrobné informace naleznete v dokumentaci ke konkrétní verzi aplikace Cisco Unified Communications Manager.

Telefon splňuje federální standard pro zpracování informací (FIPS). Pro správné fungování vyžaduje režim FIPS velikost klíče 2048 bitů nebo větší. Pokud je certifikát menší než 2048 bitů, telefon se nezaregistruje v systému Cisco Unified Communications Manager a registrace telefonu se nezdařila. Velikost klíče certifikátu na telefonu není kompatibilní s normami FIPS .

Pokud má telefon LSC, před povolením funkce FIPS je nutno aktualizovat velikost klíče LSC na 2048 bitů nebo větší.

Následující tabulka obsahuje přehled funkcí zabezpečení podporovaných telefony. Další informace naleznete v dokumentaci ke konkrétní verzi aplikace Cisco Unified Communications Manager.

Chcete-li zobrazit režim zabezpečení, stiskněte možnost Nastavení a přejděte do nabídky Síť a služby > Nastavení zabezpečení.

Následující tabulka obsahuje zprávy s aktualizacemi výstrah a význam seznamu důvěryhodných položek. Další informace naleznete v dokumentaci k systému Cisco Unified Communications Manager.

Nabídka Nastavení zabezpečení obsahuje informace o různých nastaveních zabezpečení. Tato nabídka také poskytuje přístup k nabídce seznamu důvěryhodných položek a uvádí, zda je v telefonu nainstalován soubor CTL nebo ITL.

Následující tabulka popisuje možnosti v nabídce Nastavení zabezpečení.

Cisco IP telefony podporují ověřování 802.1X.

Přepínače Cisco IP telefonů a Cisco Catalyst se tradičně používají protokol CDP (Cisco Discovery Protocol) k vzájemné identifikaci a určování parametrů, jako je přidělení sítě VLAN a požadavky na napájení na kabelu. Protokol CDP neidentifikuje místně připojené pracovní stanice. Cisco IP telefony poskytují mechanismus průchodu EAPOL. Tento mechanismus umožňuje pracovní stanici připojené k Cisco IP telefonu přenášet zprávy EAPOL na ověřovací stanici 802.1X na přepínači LAN. Mechanismus průchodu zajišťuje, že IP telefon nebude fungovat jako přepínač LAN pro ověření datového koncového bodu před přístupem k síti.

Cisco IP telefony poskytují také mechanismus odhlášení proxy serveru EAPOL. Pokud se místně připojený počítač odpojí od IP telefonu, přepínač LAN neuvidí fyzické spojení selhání, protože spojení mezi přepínačem LAN a IP telefonem je zachováno. Aby nedošlo k ohrožení integrity sítě, odešle IP telefon přepínači jménem počítače downstream zprávu EAPOL-Logoff, která aktivuje přepínač sítě LAN a vymaže položku ověření pro počítače downstream.

Podpora ověřování 802.1X vyžaduje několik komponent:

• Cisco IP telefon: Telefon zahájí žádost o přístup k síti. Cisco IP telefony obsahují supplicant 802.1X. Tento požadavek umožňuje správcům sítě ovládat připojení IP telefonů k portům přepínače LAN. Aktuální verze volajícího telefonu 802.1X používá pro síťové ověřování možnosti EAP-FAST a EAP-TLS.

• Ověřovací server: Ověřovací server i přepínač musí být nakonfigurovány se sdíleným tajemstvím, které ověřuje telefon.

• Přepínač: Přepínač musí podporovat protokol 802.1X, aby fungoval jako ověřovací nástroj a předával zprávy mezi telefonem a ověřovacím serverem. Po dokončení výměny přepínač udělí nebo odepře telefonu přístup k síti.

Ke konfiguraci standardu 802.1X je třeba provést následující akce.

• Před povolením ověřování 802.1X v telefonu nakonfigurujte další součásti.

• Nakonfigurujte port počítače: Standard 802.1X nezohledňuje sítě VLAN, a proto doporučuje ověřit pouze jedno zařízení pro konkrétní port přepínače. Některé přepínače však podporují vícedoménové ověřování. Konfigurace přepínače určuje, zda můžete připojit počítač k portu PC telefonu.

  • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete povolit port PC a připojit k němu počítač. V takovém případě Cisco IP telefony podporují protokol EAPOL a Logoff proxy k monitorování výměny ověřování mezi přepínačem a připojeným počítačem.

    Další informace o podpoře standardu IEEE 802.1X přepínače Cisco Catalyst naleznete v průvodcích konfigurací přepínače Cisco Catalyst na adrese:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Zakázáno: Pokud přepínač nepodporuje více zařízení kompatibilních s protokolem 802.1X na stejném portu, měli byste port PC deaktivovat, když je povoleno ověřování 802.1X. Pokud tento port nezakážete a poté se pokusíte k němu připojit počítač, přepínač odepře síťový přístup k telefonu i počítači.

• Nakonfigurujte hlasovou síť VLAN: Protože standard 802.1X nezahrnuje sítě VLAN, měli byste toto nastavení nakonfigurovat na základě podpory přepínače.
  • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete v něm i nadále používat hlasovou síť VLAN.
  • Zakázáno: Pokud přepínač nepodporuje vícedoménové ověřování, deaktivujte hlasovou síť VLAN a zvažte přiřazení portu k nativní síti VLAN.
• (Pouze pro stolní telefon Cisco řady 9800)

  Stolní telefon Cisco řady 9800 má v PID jinou předponu než u ostatních telefonů Cisco. Chcete-li v telefonu povolit ověřování 802.1X, nastavte parametr Radius·User-Name tak, aby zahrnoval stolní telefon Cisco řady 9800.

  Například PID telefonu 9841 je DP-9841; můžete nastavit uživatelské jméno Poloměr·uživatelské jméno na Začínáme s DP nebo Obsahuje DP. Můžete jej nastavit v obou následujících částech:

  • Zásady > Podmínky > Podmínky knihovny

  • Zásady > Sady zásad > Zásady autorizace > Pravidlo autorizace 1

Když je na telefonu implementováno zabezpečení, zabezpečené telefonní hovory lze identifikovat podle ikon na obrazovce telefonu. Pokud se na začátku hovoru přehraje tón zabezpečení, můžete také určit, zda je připojený telefon zabezpečený a chráněný.

V zabezpečeném hovoru jsou všechny datové proudy signalizace hovorů a médií šifrovány. Zabezpečený hovor nabízí vysokou úroveň zabezpečení a zajišťuje integritu a soukromí hovoru. Při šifrování probíhajícího hovoru se zobrazí ikona zabezpečení na lince. V případě zabezpečeného telefonu můžete také zobrazit ověřenou ikonu nebo zašifrovanou ikonu vedle připojeného serveru v nabídce telefonu (Nastavení > O tomto zařízení).

Při zabezpečeném hovoru se na začátku hovoru přehraje bezpečnostní tón, který značí, že druhý připojený telefon také přijímá a odesílá zabezpečený zvuk. Pokud se hovor spojí s nezabezpečeným telefonem, tón zabezpečení se nepřehraje.

Pokud je telefon nakonfigurován jako zabezpečený (šifrovaný a důvěryhodný) v systému Cisco Unified Communications Manager, může mu být přidán stav chráněný . Poté lze chráněný telefon v případě potřeby nakonfigurovat tak, aby přehrál oznamovací tón na začátku hovoru:

• Chráněné zařízení: Chcete-li změnit stav zabezpečeného telefonu na chráněné, zaškrtněte v okně Konfigurace telefonu ve správě systému Cisco Unified Communications Manager zaškrtávací políčko Chráněné zařízení (Zařízení > Telefon).

• Přehrát zabezpečený oznamovací tón: Chcete-li, aby chráněný telefon přehrával zabezpečený nebo nezabezpečený tón indikace, nastavte nastavení Přehrát zabezpečený tón indikace na hodnotu Pravda. Ve výchozím nastavení je funkce Přehrát zabezpečený tón indikace nastavena na Nepravda. Tuto možnost nastavíte v aplikaci Cisco Unified Communications Manager Administration (Systém > Parametry služby). Vyberte server a poté službu Unified Communications Manager. V okně Konfigurace parametrů služby vyberte možnost v oblasti Funkce – Zabezpečený tón. Výchozí hodnota je False.

Jelikož všechna zařízení WLAN, která jsou v dosahu, mohou přijímat veškerý ostatní provoz WLAN, je zabezpečení hlasové komunikace v sítích WLAN zásadní. Aby bylo zajištěno, že vetřelci nemanipulují hlasový provoz ani jej nezachycují, podporuje architektura Cisco SAFE Security Architecture. Další informace o zabezpečení v sítích viz http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Řešení Bezdrátové IP telefonie Cisco poskytuje zabezpečení bezdrátové sítě, které brání neoprávněnému přihlášení a narušení komunikace, pomocí následujících metod ověřování podporovaných telefonem:

• Otevřít ověřování: Jakékoli bezdrátové zařízení může požádat o ověření v otevřeném systému. Přístupový bod, který žádost přijme, může udělit ověření jakémukoli žadateli nebo pouze žadatelům, kteří jsou v seznamu uživatelů. Komunikace mezi bezdrátovým zařízením a přístupovým bodem (AP) může být nešifrována.

• Ověřování pomocí protokolu EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling): Tato architektura zabezpečení klient-server šifruje transakce EAP v tunelu Transport Level Security (TLS) mezi AP a serverem RADIUS, jako je například Identity Services Engine (ISE).

  Tunel TLS používá k ověřování mezi klientem (telefonem) a serverem RADIUS chráněné přístupové přihlašovací údaje (PAC). Server odešle klientovi (telefon) ID autority (AID), který pak vybere příslušnou PAC. Klient (telefon) vrátí PAC-Opaque na server RADIUS. Server dešifruje PAC primárním klíčem. Oba koncové body nyní obsahují klíč PAC a je vytvořen tunel TLS. EAP-FAST podporuje automatické zřizování PAC, musíte jej však povolit na serveru RADIUS.

  Ve výchozím nastavení ISE vyprší PAC za jeden týden. Pokud má telefon PAC vypršenou platnost, ověřování na serveru RADIUS trvá déle, dokud telefon získá novou PAC. Chcete-li předejít zpožděním při zřizování PAC, nastavte na serveru ISE nebo RADIUS dobu konce platnosti PAC na 90 dnů nebo déle.

• Ověřování protokolu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Protokol EAP-TLS vyžaduje pro ověření a přístup k síti klientský certifikát. V případě bezdrátového protokolu EAP-TLS může být klientský certifikát MIC, LSC nebo uživatelem instalovaný certifikát.

• Protokol PEAP (Protected Extensible Authentication Protocol): Schéma vzájemného ověřování na základě hesla společnosti Cisco mezi klientem (telefonem) a serverem RADIUS. Telefon může k ověření v bezdrátové síti používat protokol PEAP. Jsou podporovány metody ověřování PEAP-MSCHAPV2 a PEAP-GTC.

• Předsdílený klíč (PSK): Telefon podporuje formát ASCII. Při nastavování předem sdíleného klíče WPA/WPA2/SAE musíte použít tento formát:

  ASCII: řetězec ASCII obsahující 8 až 63 znaků (0–9, malá a velká písmena A–Z a speciální znaky)

  Příklad: GREG123567@9ZX&W

Následující schémata ověřování používají ke správě ověřovacích klíčů server RADIUS:

• wpa/wpa2/wpa3: K vygenerování jedinečných klíčů pro ověřování využívá informace o serveru RADIUS. Protože tyto klíče jsou generovány na centralizovaném serveru RADIUS, poskytuje WPA2/WPA3 větší zabezpečení než WPA tlakové klíče, které jsou uloženy na přístupovém bodu a telefonu.

• Rychlý zabezpečený roaming: Ke správě a ověřování klíčů využívá server RADIUS a informace o serveru bezdrátových domén (WDS). WDS vytváří mezipaměť bezpečnostních přihlašovacích údajů pro klientská zařízení s podporou FT pro rychlé a bezpečné opětovné ověření. Stolní telefon Cisco 9861 a 9871 a Cisco Video Phone 8875 podporují protokol 802.11r (FT). Jak nad vzduchem, tak nad DS jsou podporovány, aby umožňovaly rychlý bezpečný roaming. Důrazně však doporučujeme používat metodu 802.11r (FT) přes vzduch.

Při použití metody WPA/WPA2/WPA3 se šifrovací klíče v telefonu nezadávají, ale jsou automaticky odvozeny mezi přístupovým bodem (AP) a telefonem. Uživatelské jméno a heslo EAP používané k ověřování však musí být zadány do každého telefonu.

Aby byl hlasový provoz zabezpečený, podporuje telefon šifrování TKIP a AES. Když se tyto mechanismy používají k šifrování, mezi přístupovým bodem a telefonem se šifrují signalizační pakety SIP i pakety hlasového protokolu RTP.

Čip

WPA používá šifrování TKIP, které má několik vylepšení oproti WEP. TKIP poskytuje šifrování klíčů pro pakety a delší inicializační vektory (IV), které posilují šifrování. Kontrola integrity zprávy (MIC) navíc zajišťuje, že šifrované pakety nebudou měněny. TKIP odstraňuje předvídatelnost WEP, která pomáhá vetřelcům dešifrovat klíč WEP.

Aes

Metoda šifrování použitá pro ověřování WPA2/WPA3. Tento národní standard pro šifrování používá symetrický algoritmus, který má stejný klíč pro šifrování a dešifrování. AES používá šifrování CBC (Encryption Blocking Chain) o velikosti 128 bitů, které podporují minimálně 128 bitů, 192 bitů a 256 bitů. Telefon podporuje 256 bitů.

V rámci bezdrátové sítě LAN jsou nastavena schémata ověřování a šifrování. Sítě VLAN jsou nakonfigurovány v síti a v přístupových bodech a určují různé kombinace ověřování a šifrování. Identifikátor SSID je přidružen k síti VLAN a konkrétnímu schématu ověřování a šifrování. Aby bezdrátová klientská zařízení mohla úspěšně ověřit, musíte na přístupových místech i v telefonu nakonfigurovat stejné SSID s jejich schématy ověřování a šifrování.

Některá schémata ověřování vyžadují specifické typy šifrování.

Schémata ověřování a šifrování v následující tabulce zobrazují možnosti konfigurace sítě telefonu, které odpovídají konfiguraci přístupového bodu.

Zabezpečené služby SIP (AS-SIP) je kolekce funkcí a protokolů, které poskytují vysoce zabezpečený tok hovorů pro Cisco IP telefony a telefony třetích stran. Následující funkce jsou společně označovány jako AS-SIP:

• Víceúrovňová priorita a preempce (MLPP)
• Bod kódu funkce Differentiated Services (DSCP)
• Zabezpečení přenosové vrstvy (TLS) a protokol zabezpečeného přenosu v reálném čase (SRTP)
• Protokol IPv6 (IPv6)

Protokol AS-SIP se často používá s funkcí MLPP (Multilevel Precedence and Preemption) k upřednostnění volání během tísňové situace. Pomocí funkce MLPP můžete odchozím hovorům přiřadit úroveň priority, od úrovně 1 (nízká) po úroveň 5 (vysoká). Když přijmete hovor, na telefonu se zobrazí ikona úrovně priority, která zobrazuje prioritu hovoru.

Pokud chcete nakonfigurovat protokol AS-SIP, proveďte v aplikaci Cisco Unified Communications Manager následující úlohy:

• Configure a Digest User (Konfigurace uživatele Digest) – nakonfigurujte koncového uživatele, aby používal digest authentication pro požadavky SIP.
• Konfigurace zabezpečeného portu telefonu SIP – Cisco Unified Communications Manager tento port používá k poslechu telefonů SIP pro registrace linky SIP přes TLS.
• Restartovat služby – po konfiguraci zabezpečeného portu restartujte služby Cisco Unified Communications Manager a poskytovatele Cisco CTL. Konfigurace profilu SIP pro AS-SIP – Konfigurace profilu SIP s nastavením SIP pro koncové body AS-SIP a přenosové spoje SIP. Parametry pro telefon se nestahují do telefonu AS-SIP třetí strany. Používají je pouze aplikace Cisco Unified Manager. Telefony třetích stran musí lokálně nakonfigurovat stejná nastavení.
• Konfigurace profilu zabezpečení telefonu pro AS-SIP – profil zabezpečení telefonu můžete použít k přiřazení nastavení zabezpečení, jako je TLS, SRTP a ověřování Digest.
• Konfigurace koncového bodu AS-SIP – Nakonfigurujte Cisco IP telefon nebo koncový bod třetí strany s podporou protokolu AS-SIP.
• Přidružit zařízení k koncovému uživateli – přidružte koncový bod k uživateli.
• Konfigurace bezpečnostního profilu kmene SIP pro AS-SIP – profil zabezpečení kmene SIP můžete použít k přiřazení bezpečnostních funkcí, jako je TLS nebo ověření Digest, k kmeni SIP.
• Konfigurace spoje SIP trunk pro AS-SIP – Konfigurace spoje SIP trunk s podporou AS-SIP.
• Konfigurace funkcí AS-SIP – Nakonfigurujte další funkce AS-SIP, jako jsou MLPP, TLS, V.150 a IPv6.

Podrobné informace o konfiguraci protokolu AS-SIP naleznete v kapitole „Konfigurace koncových bodů AS-SIP“ v Průvodci konfigurací funkcí pro systém Cisco Unified Communications Manager.

Když jsou v telefonu nakonfigurovány kódy vynucené autorizace (FAC) nebo kódy klienta (CMC) nebo obojí, uživatelé musí k vytočení čísla zadat požadovaná hesla.

Další informace o nastavení technologie FAC a CMC v aplikaci Cisco Unified Communications Manager naleznete v kapitole „Kódy klienta a kódy vynucené autorizace“ v Průvodci konfigurací funkcí pro aplikaci Cisco Unified Communications Manager, verze 12.5(1) nebo novější.