Sie können Cisco Unified Communications Manager für den Betrieb in einer erweiterten Sicherheitsumgebung aktivieren. Mit diesen Verbesserungen wird Ihr Telefonnetzwerk unter Anwendung einer Reihe von strengen Sicherheits- und Risikomanagementkontrollen betrieben, um Sie und die Benutzer zu schützen.

Die Umgebung mit verbesserter Sicherheit bietet die folgenden Funktionen:

  • Kontaktsuchen-Authentifizierung

  • TCP als Standardprotokoll für Remote-Audit-Protokolle

  • FIPS-Modus

  • Verbesserte Richtlinie für Anmeldeinformationen

  • Unterstützung für die SHA-2-Hash-Familie für digitale Signaturen

  • Unterstützung für eine RSA-Schlüsselgröße von 512 und 4096 Bits.

Ab Cisco Unified Communications Manager Version 14.0 und Cisco Video Phone Firmware Version 2.1 und höher unterstützen die Telefone die SIP OAuth-Authentifizierung.

OAuth wird für Proxy Trivial File Transfer Protocol (TFTP) mit Cisco Unified Communications Manager Version 14.0(1)SU1 oder höher unterstützt. Proxy-TFTP und OAuth für Proxy-TFTP werden für Mobile Remote Access (MRA) nicht unterstützt.

Weitere Informationen zur Sicherheit finden Sie unter:

Ihr Telefon kann nur eine begrenzte Anzahl an Identity Trust List (ITL-)Dateien speichern. ITL-Dateien dürfen die Begrenzung von 64000 nicht überschreiten. Begrenzen Sie daher die Anzahl an Dateien, die Cisco Unified Communications Manager an das Telefon senden kann.

Unterstützte Sicherheitsfunktionen

Die Sicherheitsfunktionen schützen vor Gefahren, beispielsweise der Gefährdung der Identität des Telefons und der Daten. Diese Funktionen erstellen und halten authentifizierte Kommunikationsstreams zwischen dem Telefon und dem Cisco Unified Communications Manager-Server aufrecht, und stellen sicher, dass das Telefon nur digital signierte Dateien verwendet.

In Cisco Unified Communications Manager Version 8.5(1) und höheren Versionen ist Sicherheit standardmäßig implementiert. Dadurch werden die folgenden Sicherheitsfunktionen für Cisco IP-Telefons ohne CTL-Client bereitgestellt:

  • Signierung der Konfigurationsdateien für das Telefon

  • Verschlüsselung der Telefonkonfigurationsdatei

  • HTTPS mit Tomcat und andere Webdienste

Für sichere Signalübertragungs- und Medienfunktionen muss der CTL-Client jedoch weiterhin ausgeführt werden, und es ist weiterhin die Verwendung von Hardware-eToken erforderlich.

Die Implementierung von Sicherheitsfunktionen in das Cisco Unified Communications Manager-System verhindert den Identitätsdiebstahl hinsichtlich Telefon und Cisco Unified Communications Manager-Server und schützt vor unbefugtem Zugriff auf Daten, Anrufsignale und Medien-Datenströme.

Zur Abwehr von Bedrohungen dieser Art erstellt das Cisco IP-Telefonienetzwerk zwischen Telefon und Server sichere (verschlüsselte) Kommunikationsdatenströme und erhält diese aufrecht, signiert Dateien digital, bevor diese auf ein Telefon übertragen werden, und verschlüsselt alle Mediendatenströme und Signale, die zwischen Cisco IP-Telefons übertragen werden.

Nachdem Sie die für die CAPF (Certificate Authority Proxy Function) erforderlichen Aufgaben ausgeführt haben, wird auf den Telefonen ein LSC (Locally Significant Certificate) installiert. Zum Konfigurieren eines LSC können Sie die Cisco Unified Communications Manager-Verwaltung verwenden. Die Vorgehensweise hierfür ist im Sicherheitshandbuch für Cisco Unified Communications Manager beschrieben. Sie können die Installation eines LSC auch über das Menü Sicherheitseinstellungen auf dem Telefon starten. In diesem Menü können Sie ein LSC auch aktualisieren und entfernen.

Ein LSC kann für EAP-TLS mit WLAN-Authentifizierung nicht als Benutzerzertifikat verwendet werden.

Im Telefonsicherheitsprofil ist definiert, ob das Gerät sicher oder nicht sicher ist. Weitere Informationen zum Anwenden des Sicherheitsprofils auf das Telefon finden Sie in der Dokumentation zu Ihrer jeweiligen Version von Cisco Unified Communications Manager.

Wenn Sie in der Cisco Unified Communications Manager-Verwaltung sicherheitsrelevante Einstellungen konfigurieren, sind in der Telefonkonfigurationsdatei auch vertrauliche Informationen enthalten. Damit die Konfigurationsdatei entsprechend ihrer Vertraulichkeit geschützt ist, müssen Sie die Datei so konfigurieren, dass eine Verschlüsselung erfolgt. Ausführliche Informationen hierzu finden Sie in der Dokumentation zu Ihrer jeweiligen Version von Cisco Unified Communications Manager.

Das Telefon entspricht dem Federal Information Processing Standard (FIPS). Um ordnungsgemäß zu funktionieren, ist für den FIPS-Modus eine Schlüssellänge von 2048 Bit oder mehr erforderlich. Wenn das Zertifikat weniger als 2048 Bit umfasst, wird das Telefon nicht beim Cisco Unified Communications Manager registriert, und die Meldung Telefon konnte nicht registriert werden. Die Größe des Zertifikatsschlüssels ist nicht FIPS-konform. wird auf dem Telefon angezeigt.

Wenn das Telefon über ein LSC verfügt, müssen Sie die LSC-Schlüssellänge auf 2048 Bit oder mehr aktualisieren, bevor Sie FIPS aktivieren.

Die folgende Tabelle enthält eine Übersicht der von den Telefonen unterstützten Sicherheitsfunktionen. Weitere Informationen finden Sie in der Dokumentation für Ihre Version von Cisco Unified Communications Manager.

Um den Sicherheitsmodus anzuzeigen, drücken Sie "Einstellungen" Die Tastenkombination "Einstellungen" Und navigieren Sie zu Netzwerk- und Dienst -> Sicherheitseinstellungen.

Tabelle 1. Überblick über die Sicherheitsfunktionen

Funktion

Beschreibung

Imageauthentifizierung

Signierte Binärdateien verhindern das Manipulieren des Firmware-Images vor dem Laden auf das Telefon.

Wenn das Image manipuliert wurde, kann das Telefon nicht authentifiziert werden und das Image wird abgelehnt.

Kundenseitiges Installieren von Zertifikaten

Jedes Cisco IP Phone erfordert ein eindeutiges Zertifikat für die Geräteauthentifizierung. Auf den Telefonen ist bereits ein vom Hersteller installiertes Zertifikat (MIC) vorhanden, zusätzliche Sicherheit bietet jedoch die Möglichkeit, die Zertifikatinstallation in Cisco Unified Communications Manager Administration mithilfe von CAPF (Certificate Authority Proxy Function) festzulegen. Sie können ein LSC (Locally Significant Certificate) auch über das Menü Sicherheitskonfiguration auf dem Telefon installieren.

Geräteauthentifizierung

Die Geräteauthentifizierung erfolgt zwischen dem Cisco Unified Communications Manager-Server und dem Telefon, wenn jede Entität das Zertifikat der anderen Entität akzeptiert. Bestimmt, ob eine sichere Verbindung zwischen dem Telefon und Cisco Unified Communications Manager hergestellt wird, und erstellt, falls erforderlich, mit dem TLS-Protokoll einen sicheren Signalpfad zwischen den Entitäten. Cisco Unified Communications Manager registriert Telefone nur dann, wenn sie authentifiziert werden können.

Dateiauthentifizierung

Überprüft digital signierte Dateien, die das Telefon herunterlädt. Das Telefon validiert die Signatur, um sicherzustellen, dass die Datei nach der Erstellung nicht manipuliert wurde. Dateien, die nicht authentifiziert werden können, werden nicht in den Flash-Speicher auf dem Telefon geschrieben. Das Telefon weist diese Dateien ohne weitere Verarbeitung zurück.

Dateiverschlüsselung

Durch Verschlüsselung wird verhindert, dass bei der Übertragung einer Datei auf das Telefon vertrauliche Informationen preisgegeben werden. Außerdem validiert das Telefon die Signatur, um sicherzustellen, dass die Datei nach der Erstellung nicht manipuliert wurde. Dateien, die nicht authentifiziert werden können, werden nicht in den Flash-Speicher auf dem Telefon geschrieben. Das Telefon weist diese Dateien ohne weitere Verarbeitung zurück.

Signalauthentifizierung

Bei dieser Authentifizierung wird anhand des TLS-Protokolls überprüft, dass die Signalpakete während der Übertragung nicht manipuliert wurden.

MIC (Manufacturing Installed Certificate)

Auf jedem Cisco IP-Telefon ist ein eindeutiges, vom Hersteller installiertes Zertifikat (Manufacturing Installed Certificate, MIC) vorhanden, das für die Geräteauthentifizierung verwendet wird. Das MIC dient für das Telefon dauerhaft als eindeutiger Identitätsnachweis und ermöglicht dem Cisco Unified Communications Manager das Authentifizieren des Telefons.

Medienverschlüsselung

Diese stellt mithilfe von SRTP sicher, dass Mediendatenströme zwischen unterstützten Geräten geschützt sind und nur der beabsichtigte Empfänger die Daten erhalten und lesen kann. Erstellt ein primäres Medien-Schlüsselpaar für die Geräte, verteilt die Schlüssel an die Geräte und schützt die Schlüssel, während diese übertragen werden.

CAPF (Certificate Authority Proxy Function)

Implementiert Teile des Prozesses für die Zertifikatsgenerierung, die für das Telefon zu verarbeitungsintensiv sind, und interagiert mit dem Telefon bei der Schlüsselgenerierung und Zertifikatsinstallation. CAPF kann konfiguriert werden, um Zertifikate im Auftrag des Telefons von kundenspezifischen Zertifizierungsstellen anzufordern oder Zertifikate lokal zu generieren.

Es werden sowohl EC (elliptische Kurve) als auch RSA Key-Typen unterstützt. Um den EC Schlüssel zu verwenden, stellen Sie sicher, dass der Parameter "Endpoint Advanced Encryption Algorithms Support" (aus System >Enterprise-Parameter ) aktiviert ist.

Weitere Informationen zu CAPF und zugehörigen Konfigurationen finden Sie in den folgenden Dokumenten:

Sicherheitsprofil

Definiert, ob das Telefon nicht sicher, authentifiziert, verschlüsselt oder geschützt ist. Die weiteren Einträge in dieser Tabelle erläutern Sicherheitsfunktionen.

Verschlüsselte Konfigurationsdateien

Ermöglicht Ihnen, den Datenschutz für Telefonkonfigurationsdateien sicherzustellen.

Optionale Webserver-Deaktivierung für Telefone

Aus Sicherheitsgründen können Sie für ein Telefon den Zugriff auf die Webseiten (diese zeigen verschiedenste Betriebsstatistiken des Telefons an) und das Benutzerportal verhindern.

Telefonhärtung

Weitere Sicherheitsoptionen, die in der Cisco Unified Communications Manager-Verwaltung festgelegt werden:

  • Deaktivierung des PC-Ports
  • Deaktivierung von Gratuitous ARP-Paketen
  • Deaktivierung des PC-Sprach-VLAN-Zugriffs
  • Zugriff auf das Menü „Einstellung“ deaktivieren oder eingeschränkten Zugriff gewähren
  • Deaktivierung des Zugriffs des Telefons auf Webseiten
  • Deaktivierung des Bluetooth-Zubehör-Ports
  • Einschränkung der TLS-Schlüssel

802.1X-Authentifizierung

Cisco IP-Telefon kann die 802.1X-Authentifizierung zur Anfrage und Ausführung des Netzwerkzugriffs verwenden. Weitere Informationen finden Sie unter 802.1X-Authentifizierung.

Sicheres SIP-Failover für SRST

Nachdem Sie eine SRST-Sicherheitsreferenz konfiguriert und anschließend die abhängigen Geräte in der Cisco Unified Communications Manager-Verwaltung zurückgesetzt haben, fügt der TFTP-Server das Zertifikat des SRST-fähigen Gateways zur Datei „cnf.xml“ hinzu und sendet diese an das Telefon. Ein sicheres Telefon verwendet eine TLS-Verbindung, um mit dem SRST-fähigen Router zu kommunizieren.

Verschlüsselung des Signalisierungsverkehrs

Durch diese Verschlüsselung wird gewährleistet, dass alle zwischen dem Gerät und dem Cisco Unified Communications Manager-Server ausgetauschten SIP-Signalisierungsnachrichten verschlüsselt werden.

Warnung bei Aktualisierung der Vertrauensliste

Wenn die auf dem Telefon vorhandene Vertrauensliste aktualisiert wird, erhält der Cisco Unified Communications Manager eine Warnmeldung, die angibt, ob die Aktualisierung erfolgreich war oder nicht. Weitere Informationen finden Sie in der nachstehenden Tabelle.

AES 256-Verschlüsselung

Telefone, die mit Cisco Unified Communications Manager Version 10.5(2) oder höher verbunden sind, unterstützen die AES 256-Verschlüsselung für TLS und SIP für die Signalisierung und Medienverschlüsselung. Diese Telefone können TLS 1.2-Verbindungen mit AES-256-basierten Schlüsseln, die mit SHA-2 (Secure Hash Algorithm) und FIPS (Federal Information Processing Standards) konform sind, initiieren und unterstützen. Die Schlüssel enthalten:

  • Für TLS-Verbindungen:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Für sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Weitere Informationen finden Sie in der Dokumentation zu Cisco Unified Communications Manager.

Elliptic Curve Digital Signature Algorithm (ECDSA)-Zertifikate

Als Teil der Common Criteria-(CC-)Zertifizierung hat Cisco Unified Communications Manager ECDSA-Zertifikate in Version 11.0 hinzugefügt. Dies betrifft alle Voice Operating System-(VOS-)Produkte mit Version CUCM 11.5 und höher.

Tomcat-Zertifikat für mehrere Server (SAN) mit Cisco UCM

Das Telefon unterstützt Cisco UCM mit konfigurierten Tomcat-Zertifikaten (Multi-Server) SAN. Die richtige Serveradresse für TFTP ist in der ITL-Datei für die Registrierung des Telefons zu finden.

Weitere Informationen zu dieser Funktion finden Sie unter:

In der folgenden Tabelle sind die bei Aktualisierung der Vertrauensliste ausgegebenen Warnmeldungen sowie deren Bedeutung aufgeführt. Weitere Informationen finden Sie in der Dokumentation zu Cisco Unified Communications Manager.

Tabelle 2. Warnmeldungen bei Aktualisierung der Vertrauensliste
Code und Meldung Beschreibung

1 – TL_SUCCESS

Neue CTL bzw. ITL erhalten

2 – CTL_INITIAL_SUCCESS

Neue CTL erhalten, keine TL vorhanden

3 – ITL_INITIAL_SUCCESS

Neue ITL erhalten, keine TL vorhanden

4 – TL_INITIAL_SUCCESS

Neue CTL und ITL erhalten, keine TL vorhanden

5 – TL_FAILED_OLD_CTL

Aktualisierung auf neue CTL fehlgeschlagen, aber vorherige TL vorhanden

6 – TL_FAILED_NO_TL

Aktualisierung auf neue TL fehlgeschlagen, und keine frühere TL vorhanden

7 – TL_FAILED

Allgemeiner Fehler

8 – TL_FAILED_OLD_ITL

Aktualisierung auf neue ITL fehlgeschlagen, aber vorherige TL vorhanden

9 – TL_FAILED_OLD_TL

Aktualisierung auf neue TL fehlgeschlagen, aber vorherige TL vorhanden

Im Menü „Sicherheits-Setup“ sind Informationen zu verschiedenen Sicherheitseinstellungen verfügbar. Von dort aus kann auch auf das Menü „Vertrauensliste“ zugegriffen werden, und es ist angegeben, ob die CTL- bzw. ITL-Datei auf dem Telefon installiert ist.

In der folgenden Tabelle sind die im Menü „Sicherheits-Setup“ verfügbaren Optionen aufgeführt.

Tabelle 3. Menü „Sicherheits-Setup“

Option

Beschreibung

Änderung

Sicherheitsmodus

Zeigt den für das Telefon konfigurierten Sicherheitsmodus an.

Wählen Sie in Cisco Unified Communications Manager Administration Gerät > Telefon. Die Einstellung wird im Bereich „Protokollspezifische Informationen“ des Fensters zur Telefonkonfiguration angezeigt.

LSC

Gibt an, ob auf dem Telefon ein für Sicherheitsfeatures verwendetes LSC (Locally Significant Certificate) installiert ist (Installiert) oder nicht (Nicht installiert).

Informationen zum Verwalten des LSCs für das Telefon finden Sie in der Dokumentation zu Ihrer jeweiligen Version von Cisco Unified Communications Manager.

Einrichten eines LSC (Locally Significant Certificate)

Diese Aufgabe bezieht sich auf das Einrichten eines LSC mit der Methode der Authentifizierungszeichenfolge.

Bevor Sie beginnen:

Stellen Sie sicher, dass die Sicherheitskonfiguration von Cisco Unified Communications Manager und CAPF (Certificate Authority Proxy Function) vollständig ist:

  • Die CTL- oder ITL-Datei hat ein CAPF-Zertifikat.

  • Überprüfen Sie in der Cisco Unified Communications Operating System-Verwaltung, ob das CAPF-Zertifikat installiert ist.

  • CAPF wird ausgeführt und ist konfiguriert.

Weitere Informationen zu diesen Einstellungen finden Sie in der Dokumentation für Ihre Version von Cisco Unified Communications Manager.

1

Sie benötigen den CAPF-Authentifizierungscode, der während der Konfiguration von CAPF festgelegt wurde.

2

Drücken Sie auf dem Telefon "Einstellungen" the Settings hard key.

3

Geben Sie das Kennwort ein, um auf das Menü "Einstellungen" zuzugreifen, wenn Sie dazu aufgefordert werden. Sie erhalten das Kennwort vom Administrator.

4

Navigieren Sie zu Netzwerk und Dienst > Sicherheitseinstellungen > LSC.

Sie können den Zugriff auf das Menü „Einstellungen“ über das Feld Zugriff auf Einstellungen in Cisco Unified Communications Manager Administration steuern.

5

Geben Sie die Authentifizierungszeichenfolge ein, und wählen Sie Senden aus.

Das Telefon installiert, aktualisiert oder entfernt das LSC, abhängig davon, wie CAPF konfiguriert ist. Wenn das Verfahren abgeschlossen ist, wird Installiert oder Nicht installiert auf dem Telefon angezeigt.

Der Prozess zum Installieren, Aktualisieren oder Entfernen des LSC kann längere Zeit dauern.

Wenn das Telefon erfolgreich installiert wurde, wird die Meldung Installiert angezeigt. Wenn das Telefon Nicht installiert anzeigt, ist möglicherweise die Autorisierungszeichenfolge ungültig oder das Telefon ist nicht für Updates aktiviert. Wenn der CAPF-Vorgang die LSC löscht, zeigt das Telefon Nicht installiert an. Der CAPF-Server protokolliert die Fehlermeldungen. Der Pfad zu den Protokollen und die Bedeutung der Fehlermeldungen werden in der CAPF-Serverdokumentation beschrieben.

FIPS-Modus aktivieren

1

Wählen Sie in Cisco Unified Communications Manager Administration Gerät > Telefon aus und navigieren Sie zum Telefon.

2

Navigieren Sie zum Bereich Produktspezifische Konfiguration.

3

Legen Sie das Feld FIPS-Modus auf Aktiviert fest.

4

Wählen Sie Speichern aus.

5

Wählen Sie Konfiguration übernehmen.

6

Starten Sie das Telefon neu.

Lautsprecher, Headset und Hörer eines Telefons ausschalten

Sie haben die Möglichkeit, den Lautsprecher, das Headset und den Hörer eines Telefons für Ihren Benutzer dauerhaft auszuschalten.

1

Wählen Sie in Cisco Unified Communications Manager Administration Gerät > Telefon aus und navigieren Sie zum Telefon.

2

Navigieren Sie zum Bereich Produktspezifische Konfiguration.

3

Aktivieren Sie eines oder mehrere der folgenden Kontrollkästchen, um die Funktionen des Telefons zu deaktivieren:

  • Lautsprecher deaktivieren
  • Freisprechanlage und Headset deaktivieren
  • Hörer deaktivieren

Diese Kontrollkästchen sind standardmäßig deaktiviert.

4

Wählen Sie Speichern aus.

5

Wählen Sie Konfiguration übernehmen.

802.1X-Authentifizierung

Cisco IP-Telefons unterstützen die 802.1X-Authentifizierung.

Cisco IP-Telefons und Cisco Catalyst-Switches verwenden normalerweise CDP (Cisco Discovery Protocol), um sich gegenseitig zu identifizieren und Paramater zu bestimmen, beispielsweise die VLAN-Zuweisung und Inline-Energieanforderungen. CDP identifiziert lokal verbundene Arbeitsstationen nicht. Cisco IP-Telefons stellen eine Durchlaufmethode bereit. Diese Methode ermöglicht einer Arbeitsstation, die mit Cisco IP-Telefon verbunden ist, EAPOL-Meldungen an den 802.1X-Authentifikator auf dem LAN-Switch zu übermitteln. Die Durchlaufmethode stellt sicher, dass das IP-Telefon nicht als LAN-Switch agiert, um einen Datenendpunkt zu authentifizieren, bevor das Telefon auf das Netzwerk zugreift.

Cisco IP-Telefons stellen auch eine Proxy-EAPOL-Logoff-Methode bereit. Wenn der lokal verbundene PC vom IP-Telefon getrennt wird, erkennt der LAN-Switch nicht, dass die physische Verbindung unterbrochen wurde, da die Verbindung zwischen dem LAN-Switch und dem IP-Telefon aufrechterhalten wird. Um eine Gefährdung der Netzwerkintegrität zu verhindern, sendet das IP-Telefon im Auftrag des nachgelagerten PCs eine EAPOL-Logoff-Meldung an den Switch, die den LAN-Switch veranlasst, den Authentifizierungseintrag für den nachgelagerten PC zu löschen.

Für die Unterstützung der 802.1X-Authentifizierung sind mehrere Komponenten erforderlich:

  • Cisco IP-Telefon: Das Telefon initiiert die Anforderung, um auf das Netzwerk zuzugreifen. Das Cisco IP-Telefon enthält ein 802.1X Supplicant. Dieses Supplicant ermöglicht Netzwerkadministratoren die Verbindung von IP-Telefonen mit den LAN-Switch-Ports zu steuern. Die aktuelle Version des 802.1X Supplicant verwendet EAP-FAST und EAP-TLS für die Netzwerkauthentifizierung.

  • Authentifizierungsserver: Der Authentifizierungsserver und der Switch müssen beide mit einem Shared Secret konfiguriert werden, mit dem das Telefon authentifiziert werden kann.

  • Switch: Der Switch muss 802.1X unterstützen, damit er als Authentifikator fungieren und die Nachrichten zwischen Telefon und Authentifizierungsserver übermitteln kann. Nach dem Meldungsaustausch gewährt oder verweigert der Switch dem Telefon den Zugriff auf das Netzwerk.

Um 802.1X zu konfigurieren, müssen Sie die folgenden Schritte ausführen.

  • Konfigurieren Sie die anderen Komponenten, bevor Sie die 802.1X-Authentifizierung auf dem Telefon aktivieren.

  • PC-Port konfigurieren: Der 802.1X-Standard berücksichtigt VLANs nicht und empfiehlt deshalb, dass an einem Switch-Port nur ein Gerät authentifiziert werden sollte. Dennoch unterstützen einige Switches die Multidomain-Authentifizierung. Die Switch-Konfiguration bestimmt, ob Sie einen PC an einen PC-Port des Telefon anschließen können.

    • Aktiviert: Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie den PC-Port aktivieren und einen PC daran anschließen. In diesem Fall unterstützen Cisco IP-Telefone Proxy-EAPOL-Logoff, um die Authentifizierung zwischen dem Switch und dem angeschlossenen PC zu überwachen.

      Weitere Informationen zur Unterstützung von IEEE 802.1X auf Cisco Catalyst-Switches finden Sie in den Konfigurationshandbüchern für die Cisco Catalyst-Switches:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Deaktiviert: Wenn der Switch nicht mehrere 802.1X-kompatible Geräte am selben Port unterstützt, sollten Sie den PC-Port deaktivieren, wenn die 802.1X-Authentifizierung aktiviert wird. Wenn Sie diesen Port nicht deaktivieren und dann versuchen, einen PC anzuschließen, verweigert der Switch den Netzwerkzugriff auf das Telefon und den PC.

  • Sprach-VLAN konfigurieren: Da VLANs von 802.1X-Standard nicht berücksichtigt werden, sollten Sie diese Einstellung basierend auf der Switch-Unterstützung konfigurieren.
    • Aktiviert: Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie das Sprach-VLAN weiterhin verwenden.
    • Deaktiviert: Wenn der Switch die Authentifizierung in mehreren Domänen nicht unterstützt, deaktivieren Sie das Sprach-VLAN und weisen Sie den Port dem systemeigenen VLAN zu.
  • (Nur für die Cisco Telefon 9800-Serie)

    Die PID der Cisco Desk Phone 9800-Serie unterscheidet sich von der der PID der anderen Cisco-Telefone. Damit Ihr Telefon die 802.1X-Authentifizierung bestehen kann, legen Sie das Feld Radius· Benutzername-Parameter , um die Cisco Telefon 9800-Serie einzuschließen.

    Die PID des Telefons 9841 lautet beispielsweise DP-9841. Sie können Radius · Benutzername , der mit DP beginnen soll oder DP enthält. Sie können es in den beiden folgenden Abschnitten festlegen:

    • Richtlinie > Bedingungen > Bibliotheksbedingungen

    • Richtlinie > Richtliniensätze > Autorisierungsrichtlinie > Autorisierungsregel 1

802.1X-Authentifizierung aktivieren

Sie können die 802.1X-Authentifizierung für Ihr Telefon aktivieren, indem Sie die folgenden Schritte ausführen:

1

Drücken Sie auf Einstellungen the Settings hard key.

2

Geben Sie das Kennwort ein, um auf das Menü "Einstellungen" zuzugreifen, wenn Sie dazu aufgefordert werden. Sie erhalten das Kennwort vom Administrator.

3

Navigieren Sie zu Netzwerk und Dienst > Sicherheitseinstellungen > 802.1X-Authentifizierung.

4

Aktivieren Sie die IEEE 802.1X-Authentifizierung.

5

Wählen Sie Übernehmen aus.

Informationen zu den Sicherheitseinstellungen auf dem Telefon anzeigen

Sie können die Informationen zu den Sicherheitseinstellungen im Telefonmenü anzeigen. Die Verfügbarkeit der Informationen hängt von den Netzwerkeinstellungen in Ihrem Unternehmen ab.

1

Drücken Sie auf Einstellungen the Settings key.

2

Navigieren Sie zu Netzwerk- und Dienst -> Sicherheitseinstellungen.

3

Sehen Sie sich in den Sicherheitseinstellungen die folgenden Informationen an.

Tabelle 4. Parameter für Sicherheitseinstellungen

Parameter

Beschreibung

Sicherheitsmodus

Zeigt den für das Telefon konfigurierten Sicherheitsmodus an.

LSC

Gibt an, ob auf dem Telefon ein für Sicherheitseinstellungen genutztes LSC (Locally Significant Certificate) installiert ist („Ja“) oder nicht („Nein“).

Vertrauensliste

Das Menü „Vertrauensliste“ beinhaltet Untermenüs für die CTL, die ITL und für signierte Konfigurationsdateien.

Im Untermenü „CTL-Datei“ wird der Inhalt der CTL-Datei angezeigt. Im Untermenü „ITL-Datei“ wird der Inhalt der ITL-Datei angezeigt.

Außerdem werden im Menü „Vertrauensliste“ folgende Informationen angezeigt:

  • CTL-Signatur: der SHA-1-Hash-Wert der CTL-Datei
  • Unified CM-/TFTP-Server: der Namen des Cisco Unified Communications Manager- und TFTP-Servers, der vom Telefon verwendet wird. Wenn für diesen Server ein Zertifikat installiert ist, wird ein Zertifikatssymbol angezeigt.
  • CAPF-Server: der Name des CAPF-Servers, den das Telefon verwendet. Wenn für diesen Server ein Zertifikat installiert ist, wird ein Zertifikatssymbol angezeigt.
  • SRST-Router: die IP-Adresse des vertrauenswürdigen SRST-Routers, den das Telefon verwenden kann. Wenn für diesen Server ein Zertifikat installiert ist, wird ein Zertifikatssymbol angezeigt.

Anrufsicherheit

Wenn die Sicherheit für ein Telefon implementiert wird, können sichere Anrufe auf dem Telefondisplay mit Symbolen gekennzeichnet werden. Sie können auch bestimmen, ob das verbundene Telefon sicher und geschützt ist, wenn zu Beginn des Anrufs ein Sicherheitssignal ausgegeben wird.

In einem sicheren Anruf sind alle Anrufsignale und Medienstreams verschlüsselt. Ein sicherer Anruf bietet eine hohe Sicherheitsstufe und stellt die Integrität und den Datenschutz des Anrufs sicher. Wenn ein aktiver Anruf verschlüsselt ist, wird das Sicherheitssymbol angezeigt Das Schloss-Symbol für einen sicheren Anruf Auf der Linie. Bei einem sicheren Telefon können Sie auch das Symbol "Authentifizierung" anzeigen Oder das Symbol "Verschlüsselt" Neben dem verbundenen Server im Telefonmenü (Einstellungen > Über dieses Gerät).

Wenn der Anruf über nicht-IP-Anrufabschnitte, beispielsweise ein Festnetz, geleitet wird, ist der Anruf möglicherweise nicht sicher, auch wenn er im IP-Netzwerk verschlüsselt wurde und ein Schloss-Symbol angezeigt wird.

Zu Beginn eines sicheren Anrufs wird ein Sicherheitssignal ausgegeben, das angibt, dass das andere verbundene Telefon ebenfalls sicheres Audio empfangen und senden kann. Wenn Sie mit einem nicht sicheren Telefon verbunden sind, wird kein Sicherheitssignal ausgegeben.

Sichere Anrufe werden nur auf Verbindungen zwischen zwei Telefonen unterstützt. Einige Funktionen, beispielsweise Konferenzanrufe und gemeinsam genutzte Leitungen, sind nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

Wenn ein Telefon in Cisco Unified Communications Manager als sicher (verschlüsselt und vertrauenswürdig) konfiguriert ist, kann es mit einem geschützt Status. Anschließend kann das geschützte Telefon so konfiguriert werden, dass es zu Beginn eines Anrufs einen Signalton ausgibt.

  • Geschütztes Gerät: Um den Status eines sicheren Telefons in „Geschützt“ zu ändern, aktivieren Sie das Kontrollkästchen „Geschütztes Gerät“ im Fenster „Telefonkonfiguration“ in Cisco Unified Communications Manager Administration (Gerät > Telefon).

  • Sicherheitssignal ausgeben: Damit das geschützte Telefon ein Signal ausgibt, das angibt, ob der Anruf sicher oder nicht sicher ist, legen Sie die Einstellung Sicherheitssignal ausgeben auf True fest. Die Einstellung Sicherheitssignal ausgeben ist standardmäßig auf False festgelegt. Sie legen diese Option in Cisco Unified Communications Manager Administration fest (System > Dienstparameter). Wählen Sie den Server und anschließend den Unified Communications Manager-Service aus. Wählen Sie im Fenster Serviceparameterkonfiguration die Option unter Funktion - Sicherheitssignal aus. Der Standardwert ist False.

Sichere Konferenzanruf-ID

Sie können einen sicheren Konferenzanruf initiieren und die Sicherheitsstufe der Teilnehmer überwachen. Ein sicherer Konferenzanruf wird mit diesem Prozess initiiert:

  1. Ein Benutzer startet die Konferenz auf einem sicheren Telefon.

  2. Cisco Unified Communications Manager weist dem Anruf eine sichere Konferenzbrücke zu.

  3. Während Teilnehmer hinzugefügt werden, überprüft Cisco Unified Communications Manager den Sicherheitsmodus aller Telefone und hält die Sicherheitsstufe für die Konferenz aufrecht.

  4. Das Telefon zeigt die Sicherheitsstufe des Konferenzanrufs an. Bei einer sicheren Konferenz wird das Sicherheitssymbol angezeigt Das Schloss-Symbol für einen sicheren Anruf.

Sichere Anrufe werden zwischen zwei Telefonen unterstützt. Für geschützte Telefone sind einige Funktionen, beispielsweise Konferenzanrufe, gemeinsam genutzte Leitungen und die Anschlussmobilität, nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

Die folgende Tabelle enthält Informationen zu den Änderungen der Konferenzsicherheitsstufe, abhängig von der Sicherheitsstufe des Telefons des Initiators und der Verfügbarkeit von sicheren Konferenzbrücken.

Tabelle 5. Sicherheitseinschränkungen für Konferenzgespräche

Sicherheitsstufe des Telefons des Initiators

Verwendete Funktion

Sicherheitsstufe der Teilnehmer

Ergebnisse der Aktion

Nicht sicher

Konferenz

Sicher

Nicht sichere Konferenzbrücke

Nicht sichere Konferenz

Sicher

Konferenz

Mindestens ein Mitglied ist nicht sicher.

Sichere Konferenzbrücke

Nicht sichere Konferenz

Sicher

Konferenz

Sicher

Sichere Konferenzbrücke

Verschlüsselungsstufe der sicheren Konferenz

Nicht sicher

MeetMe

Die minimale Sicherheitsstufe ist verschlüsselt.

Der Initiator erhält die Meldung Sicherheitsstufe nicht erfüllt, Anruf abgelehnt.

Sicher

MeetMe

Die minimale Sicherheitsstufe ist nicht sicher.

Sichere Konferenzbrücke

Die Konferenz nimmt alle Anrufe an.

Sichere Anruf-ID

Ein sicherer Anruf wird initiiert, wenn Ihr Telefon und das Telefon des anderen Teilnehmers für sichere Anrufe konfiguriert ist. Das andere Telefon kann sich im gleichen Cisco IP-Netzwerk oder in einem Netzwerk außerhalb des IP-Netzwerks befinden. Sichere Anrufe sind nur zwischen zwei Telefonen möglich. Konferenzanrufe sollten sichere Anrufe unterstützen, nachdem eine sichere Konferenzbrücke konfiguriert wurde.

Ein sicherer Anruf wird mit diesem Prozess initiiert:

  1. Der Benutzer initiiert einen Anruf auf einem geschützten Telefon (Sicherheitsmodus).

  2. Das Telefon zeigt das Sicherheitssymbol an. Das Schloss-Symbol für einen sicheren Anruf Auf dem Telefondisplay. Dieses Symbol zeigt an, dass das Telefon für sichere Anrufe konfiguriert ist. Dies bedeutet jedoch nicht, dass das andere verbundene Telefon ebenfalls geschützt ist.

  3. Der Benutzer hört einen Signalton, wenn der Anruf mit einem anderen sicheren Telefon verbunden wird, der angibt, dass beide Enden der Konversation verschlüsselt und geschützt sind. Wenn der Anruf mit einem nicht sicheren Telefon verbunden wird, hört der Benutzer keinen Signalton.

Sichere Anrufe werden zwischen zwei Telefonen unterstützt. Für geschützte Telefone sind einige Funktionen, beispielsweise Konferenzanrufe, gemeinsam genutzte Leitungen und die Anschlussmobilität, nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

Ein Sicherheitssignal wird nur auf einem geschützten Telefon ausgegeben. Auf einem nicht geschützten Telefon wird kein Signalton ausgegeben. Wenn sich der Gesamtstatus des Anrufs während des Anrufs ändert, gibt das geschützte Telefon den geänderten Signalton wieder.

Geschützte Telefone spielen unter folgenden Umständen einen Signalton ab:

  • Wenn die Option Sicherheitssignalton aktiviert ist:

    • Wenn auf beiden Seiten sichere Medien eingerichtet sind und der Anrufstatus „Sicher“ lautet, gibt das Telefon das Signal für eine sichere Verbindung wieder (drei lange Signaltöne mit Pausen).

    • Wenn auf beiden Seiten nicht sichere Medien eingerichtet sind und der Anrufstatus „Nicht sicher“ lautet, wird das Signal für eine nicht sichere Verbindung abgespielt (sechs kurze Signaltöne mit kurzen Pausen).

Wenn die Option Sicherheitssignalton wiedergeben deaktiviert ist, erklingt kein Signalton.

Verschlüsselung für Aufschaltung bereitstellen

Cisco Unified Communications Manager überprüft den Sicherheitsstatus des Telefons, wenn Konferenzen erstellt werden, und ändert die Sicherheitsanzeige für die Konferenz oder blockiert die Durchführung des Anrufs, um Integrität und Sicherheit im System aufrechtzuerhalten.

Ein Benutzer kann sich nicht auf einen verschlüsselten Anruf aufschalten, wenn das für die Aufschaltung verwendete Telefon nicht für die Verschlüsselung konfiguriert ist. Wenn in einem solchen Fall die Aufschaltung fehlschlägt, wird auf dem Telefon, auf dem die Aufschaltung initiiert wurde, ein „Verbindung nicht möglich“-Ton (schneller Besetztton) ausgegeben.

Wenn das Telefon des Initiators für die Verschlüsselung konfiguriert ist, kann sich der Initiator der Aufschaltung über das verschlüsselte Telefon auf einen nicht sicheren Anruf aufschalten. Nach der Aufschaltung klassifiziert Cisco Unified Communications Manager den Anruf als nicht sicher.

Wenn das Telefon des Initiators für die Verschlüsselung konfiguriert ist, kann der Initiator der Aufschaltung sich auf einen verschlüsselten Anruf aufschalten. Auf dem Telefon wird dann angezeigt, dass der Anruf verschlüsselt ist.

WLAN Sicherheit

Dieser Abschnitt gilt nur für Telefonmodelle mit Wi-Fi-Funktion.

WLAN Sicherheit

Da alle WLAN-Geräte, die sich innerhalb der Reichweite befinden, den gesamten anderen WLAN-Datenverkehr empfangen können, ist die Sicherung der Sprachkommunikation in einem WLAN besonders wichtig. Um sicherzustellen, dass Eindringlinge den Sprachverkehr weder manipulieren noch abfangen können, wird das Telefon von der Cisco SAFE Security-Architektur unterstützt. Weitere Informationen zur Sicherheit in Netzwerken finden Sie unter http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Die Cisco Wireless IP Telefonielösung bietet Sicherheit für Wireless-Netzwerke, die nicht autorisierte Anmeldungen und kompromittierte Kommunikation mithilfe der folgenden, vom Telefon unterstützten Authentifizierungsmethoden verhindert:

  • Offene Authentifizierung: In einem offenen System kann jedes kabellose Gerät die Authentifizierung anfordern. Der Access Point, der die Anforderung empfängt, kann die Authentifizierung entweder jedem Anforderer oder nur denjenigen Anforderern gewähren, die in einer Benutzerliste aufgeführt sind. Die Kommunikation zwischen dem drahtlosen Gerät und dem Access Point (AP) kann unverschlüsselt sein.

  • Extensible Authentication Protocol-flexible Authentication via Secure Tunneling (EAP-FAST-Authentifizierung): Diese Client-Server-Sicherheitsarchitektur verschlüsselt EAP Transaktionen innerhalb eines TLS-Tunnels (Transport Layer Security) zwischen dem Access Point und dem RADIUS-Server, z. B. der Identity Services Engine (ISE).

    Der TLS-Tunnel verwendet PACs (Protected Access Credentials) für die Authentifizierung zwischen dem Client (Telefon) und dem RADIUS-Server. Der Server sendet eine Autoritäts-ID (Authority ID, AID) an den Client (Telefon), der wiederum die richtige PAC auswählt. Der Client (Telefon) gibt einen PAC-Opaque-Wert an den RADIUS-Server zurück. Der Server entschlüsselt die PAC mit dem primären Schlüssel. Beide Endpunkte verfügen nun über den PAC-Schlüssel, und ein TLS-Tunnel wird erstellt. EAP-FAST unterstützt die automatische PAC-Bereitstellung, muss jedoch auf dem RADIUS-Server aktiviert werden.

    In der ISE läuft die PAC standardmäßig nach einer Woche ab. Wenn auf dem Telefon eine abgelaufene PAC vorhanden ist, dauert die Authentifizierung beim RADIUS-Server länger, da das Telefon eine neue PAC abrufen muss. Um Verzögerungen bei der PAC-Bereitstellung zu vermeiden, sollten Sie den Ablaufzeitraum für die PAC auf dem ISE oder RADIUS-Server auf mindestens 90 Tage festlegen.

  • Extensible Authentication Protocol-Transport Layer Security-(EAP-TLS-)-Authentifizierung: EAP-TLS erfordert ein Client-Zertifikat für Authentifizierung und Netzwerkzugriff. Bei drahtlosen EAP-TLS kann das Client-Zertifikat ein MIC-, LSC- oder vom Benutzer installiertes Zertifikat sein.

  • PEAP (Protected Extensible Authentication Protocol): Ein von Cisco entwickeltes, kennwortbasiertes Schema zur gegenseitigen Authentifizierung zwischen Client (Telefon) und RADIUS-Server. Das Telefon kann PEAP für die Authentifizierung beim Funknetzwerk verwenden. Als Authentifizierungsmethoden werden sowohl PEAP-MSCHAPV2 als auch PEAP-GTC unterstützt.

  • Pre-shared Key (PSK): Das Telefon unterstützt ASCII Format. Beim Einrichten eines WPA/WPA2/SAE Pre-shared Keys müssen Sie dieses Format verwenden:

    ASCII: Eine ASCII-Zeichenfolge mit einer Länge von 8 bis 63 Zeichen (0-9, Klein- und Großbuchstaben A-Z und Sonderzeichen)

    Beispiel: GREG123567@9ZX&W

Folgende Authentifizierungsschemata verwenden den RADIUS-Server, um Authentifizierungsschlüssel zu verwalten:

  • WPA/WPA2/WPA3: Verwendet RADIUS-Serverinformationen, um eindeutige Authentifizierungsschlüssel zu generieren. Da diese Schlüssel auf dem zentralen RADIUS-Server generiert werden, bietet WPA2/WPA3 eine höhere Sicherheit als die vorinstallierten WPA-Schlüssel, die am Access Point und auf dem Telefon gespeichert sind.

  • Fast Secure Roaming: Verwendet RADIUS-Serverinformationen und WDS-Informationen (Wireless Domain Server), um Schlüssel zu verwalten und zu authentifizieren. Der WDS erstellt einen Cache mit Sicherheitsanmeldedaten für FT-fähige Client-Geräte, um eine schnelle und sichere erneute Authentifizierung zu gewährleisten. Die Cisco Tischtelefone 9861 und 9871 sowie die Cisco Videotelefone 8875 unterstützen 802.11r (FT). Sowohl Over-the-Air als auch über den DS werden unterstützt, um schnelles, sicheres Roaming zu ermöglichen. Wir empfehlen jedoch dringend die Verwendung der Over-the-Air-Methode 802.11r (FT).

Bei WPA/WPA2/WPA3 werden die Verschlüsselungsschlüssel nicht auf dem Telefon eingegeben, sondern automatisch zwischen dem Access Point und dem Telefon abgeleitet. Der EAP-Benutzername und das Kennwort, die zur Authentifizierung verwendet werden, müssen jedoch auf jedem Telefon eingegeben werden.

Um die Sicherheit des Sprachdatenverkehrs zu gewährleisten, unterstützt das Telefon die Verschlüsselung mit TKIP und AES. Bei diesen Verschlüsselungsmechanismen werden sowohl die SIP-Signalpakete als auch die RTP-Pakete (Real-Time Transport Protocol) zwischen dem Access Point und dem Telefon verschlüsselt.

TKIP

WPA verwendet die TKIP-Verschlüsselung, die im Vergleich zu WEP mehrere Verbesserungen aufweist. TKIP ermöglicht die Verschlüsselung einzelner Paket und bietet längere Initialisierungsvektoren (IVs), um die Sicherheit der Verschlüsselung zu erhöhen. Darüber hinaus gewährleistet eine Nachrichtenintegritätsprüfung, dass die verschlüsselten Pakete nicht geändert werden. TKIP besitzt nicht die Vorhersehbarkeit von WEP, die es Angreifern ermöglicht, den WEP-Schlüssel zu entschlüsseln.

AES

Eine Verschlüsselungsmethode, die für die WPA2/WPA3-Authentifizierung verwendet wird. Dieser nationale Verschlüsselungsstandard verwendet einen symmetrischen Algorithmus, bei dem die Schlüssel für Ver- und Entschlüsselung identisch sind. AES verwendet CBC-Verschlüsselung (Cipher Blocking Chain) mit einer Größe von 128 Bit, wodurch Schlüssellängen von mindestens 128 Bit, 192 Bit und 256 Bit unterstützt werden. Das Telefon unterstützt eine Schlüssellänge von 256 Bit.

Die Cisco-Tischtelefone 9861 und 9871 sowie die Cisco-Videotelefone 8875 unterstützen CKIP (Cisco Key Integrity Protocol) mit CMIC nicht.

Authentifizierungs- und Verschlüsselungsschemata werden innerhalb des Wireless LAN eingerichtet. VLANs werden im Netzwerk und an den Access Points konfiguriert und geben verschiedene Kombinationen von Authentifizierung und Verschlüsselung an. Eine SSID wird einem VLAN und dem spezifischen Authentifizierungs- und Verschlüsselungsschema zugeordnet. Damit kabellose Client-Geräte erfolgreich authentifiziert werden können, müssen Sie an den Access Points und auf dem Telefon die gleichen SSIDs mit ihren Authentifizierungs- und Verschlüsselungsschemata konfigurieren.

Einige Authentifizierungsschemata erfordern bestimmte Arten von Verschlüsselung.

  • Wenn Sie WPA vorinstallierten Schlüssel, WPA2 Pre-shared Key (SAE) verwenden, muss der vorinstallierte Schlüssel auf dem Telefon statisch festgelegt werden. Diese Schlüssel müssen mit den Schlüsseln am Access Point übereinstimmen.

  • Das Telefon unterstützt die automatische EAP Aushandlung für FAST oder PEAP, jedoch nicht für TLS. Für EAP-TLS Modus müssen Sie ihn angeben.

Die Authentifizierungs- und Verschlüsselungsschemata in der folgenden Tabelle zeigen die Netzwerkkonfigurationsoptionen für das Telefon, das der AP-Konfiguration entspricht.

Tabelle 6. Authentifizierungs- und Verschlüsselungsschemata
FSR-TypAuthentifizierungSchlüsselverwaltungVerschlüsselungGeschützter Verwaltungsrahmen (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNein
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNein
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNein
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNein
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa

Wireless LAN-Profil konfigurieren

Sie können Ihr Drahtlosnetzwerkprofil verwalten, indem Sie die Anmeldeinformationen, das Frequenzband, die Authentifizierungsmethode usw. konfigurieren.

Beachten sie die folgenden Hinweise, bevor Sie das WLAN-Profil konfigurieren:

  • Benutzername und Kennwort

    • Wenn in Ihrem Netzwerk EAP-FAST und PEAP für die Benutzerauthentifizierung verwendet werden, müssen Sie ggf. sowohl den Benutzernamen als auch das Kennwort auf dem Remote Authentification Dial-In User Service (RADIUS) und auf dem Telefon konfigurieren.

    • Die Anmeldeinformationen, die Sie im Wireless LAN-Profil eingeben, müssen mit den Anmeldeinformationen übereinstimmen, die Sie auf dem RADIUS-Server konfiguriert haben.

    • Wenn im Netzwerk Domänen genutzt werden, müssen Sie den Benutzernamen mit dem Domänennamen im Format Domäne\Benutzername eingeben.

  • Die folgenden Aktionen können dazu führen, dass das vorhandene Wi-Fi-Kennwort gelöscht wird:

    • Eingeben einer ungültigen Benutzer-ID oder einem ungültigen Kennwort
    • Installieren einer ungültigen oder abgelaufenen Stammzertifizierungsstelle, wenn der EAP-Typ auf PEAP-MSCHAPV2 oder PEAP-GTC festgelegt ist
    • Deaktivieren des EAP-Typs auf dem RADIUS-Server, bevor das Telefon auf den neuen EAP-Typ umgestellt wird
  • Um den EAP-Typ zu ändern, stellen sie sicher, dass sie zuerst den neuen EAP-Typ auf dem RADIUS-Server aktivieren und dann das Telefon auf den EAP-Typen umstellen. Sobald alle Telefone in den neuen EAP-Typ geändert wurden, können Sie den vorherigen EAP-Typ ggf. deaktivieren.
1

Wählen Sie in Cisco Unified Communications Manager Administration Gerät > Geräteeinstellungen > Wireless LAN-Profil aus.

2

Wählen Sie das zu konfigurierende Netzwerkprofil.

3

Legen Sie die Parameter fest.

4

Klicken Sie auf Speichern.

Stammzertifikat des Authentifizierungsservers manuell installieren

Sie können ein Authentifizierungsserver-Zertifikat manuell auf dem Telefon installieren, wenn das SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist.

Das CA-Stammzertifikat, über das das RADIUS-Serverzertifikat ausgestellt wurde, muss für EAP-TLS installiert sein.

Bevor Sie beginnen:

Bevor Sie ein Zertifikat auf einem Telefon installieren können, müssen Sie ein Authentifizierungsserver-Zertifikat auf Ihrem PC gespeichert haben. Das Zertifikat muss in PEM (Base-64) oder DER codiert sein.

1

Wählen Sie auf der Webseite für die Telefonverwaltung Zertifikate aus.

2

Navigieren Sie zum Feld Authentifizierungsserver-Zertifikat und klicken Sie auf Installieren.

3

Navigieren Sie zum Zertifikat auf Ihren PC.

4

Klicken Sie auf Hochladen.

5

Starten Sie das Telefon neu, nachdem der Upload abgeschlossen ist.

Wenn Sie mehr als ein Zertifikat neu installieren, wird nur das zuletzt installierte verwendet.

Benutzerzertifikat manuell installieren

Sie können ein Benutzerzertifikat manuell auf dem Telefon installieren, wenn das SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist.

Das vom Hersteller installierte Zertifikat (MIC) kann als das Benutzerzertifikat für EAP-TLS verwendet werden.

Nachdem das Benutzerzertifikat installiert wurde, müssen Sie es der Vertrauensliste des RADIUS-Servers hinzufügen.

Bevor Sie beginnen:

Bevor Sie ein Benutzerzertifikat für ein Telefon installieren können, benötigen Sie Folgendes:

  • Ein Benutzerzertifikat muss auf Ihrem PC gespeichert sein. Das Zertifikat muss im PKCS #12-Format vorliegen.

  • Das Kennwort zum Extrahieren des Zertifikats.

    Dieses Kennwort kann bis zu 16 Zeichen lang sein.

1

Wählen Sie auf der Webseite für die Telefonverwaltung Zertifikate aus.

2

Navigieren Sie zum Feld Vom Benutzer installiert und klicken Sie auf Installieren.

3

Navigieren Sie zum Zertifikat auf Ihren PC.

4

Geben Sie im Feld Kennwort extrahieren das Extraktionskennwort des Zertifikats an.

5

Klicken Sie auf Hochladen.

6

Starten Sie das Telefon neu, nachdem der Upload abgeschlossen ist.

Sicherheitszertifikat manuell entfernen

Sie können ein Sicherheitszertifikat manuell von einem Telefon entfernen, wenn das SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist.

1

Wählen Sie auf der Webseite für die Telefonverwaltung Zertifikate aus.

2

Navigieren Sie auf der Seite Zertifikate zum Zertifikat.

3

Klicken Sie auf Löschen.

4

Starten Sie das Telefon nach Abschluss des Löschvorgangs neu.

SCEP-Parameter konfigurieren

SCEP (Simple Certificate Enrollment Protocol) ist der Standard für die automatische Bereitstellung und Erneuerung von Zertifikaten. Der SCEP-Server kann Ihre Benutzer- und Serverzertifikate automatisch verwalten.

Sie müssen die folgenden SCEP-Parameter auf der Telefon-Webseite konfigurieren.

  • RA-IP-Adresse

  • SHA-1- oder SHA-256-Fingerabdruck des CA-Stammzertifikats für den SCEP-Server

Die Cisco IOS-Registrierungsstelle (RA) dient als Proxy für den SCEP-Server. Der SCEP-Client auf dem Telefon verwendet die Parameter, die von Cisco Unified Communication Manager heruntergeladen werden. Nachdem Sie die Parameter konfiguriert haben, sendet das Telefon eine SCEP getcs-Anforderung an die RA, und das CA-Stammzertifikat wird mithilfe des definierten Fingerabdrucks validiert.

Bevor Sie beginnen:

Konfigurieren Sie auf dem SCEP-Server den SCEP-Registrierungs-Agent (RA) so, dass:

  • er als vertrauenswürdiger PKI-Punkt fungiert.
  • er als PKI-RA fungiert.
  • die Geräteauthentifizierung mit einem RADIUS-Server durchgeführt wird.

Weitere Informationen finden Sie in der Dokumentation zum SCEP-Server.

1

Wählen Sie in Cisco Unified Communications Manager Administration Gerät > Telefon aus.

2

Suchen Sie das Telefon.

3

Navigieren Sie zum Bereich Produktspezifische Konfiguration – Layout.

4

Aktivieren Sie das Kontrollkästchen WLAN SCEP-Server, um den SCEP-Parameter zu aktivieren.

5

Aktivieren Sie das Kontrollkästchen WLAN-Stammzertifizierungsstellen-Fingerabdruck (SHA256 oder SHA1), um den SCEP-QED-Parameter zu aktivieren.

Konfigurieren der unterstützten Versionen von TLS

Sie können die Mindestversion von TLS einrichten, die für Client bzw. Server erforderlich ist.

Standardmäßig ist die minimale TLS-Version von Server und Client 1.2. Die Einstellung hat Auswirkungen auf folgende Funktionen:

  • HTTPS-Webzugriffsverbindung
  • Onboarding für On-Premises-Telefon
  • Onboarding für Mobilgeräte und remote Access (MRA)
  • HTTPS-Dienste, z. B. Verzeichnisdienste
  • Datagramm-DTLS (Transport Layer Security)
  • Portzugriffsinstanz (Port Access Entity, PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Weitere Informationen zur TLS 1.3-Kompatibilität für Cisco IP Phones finden Sie unter TLS 1.3 Kompatibilitätstabelle für Cisco Collaboration-Produkte.

1

Melden Sie sich als Administrator bei Cisco Unified Communications Manager Administration an.

2

Navigieren Sie zu einem der folgenden Fenster:

  • System > Firmentelefonkonfiguration
  • Gerät > Geräteeinstellungen > Allgemeines Telefonprofil
  • Geräte > Telefon > Telefonkonfiguration
3

Richten Sie das Feld TLS Mindestversion des Clients ein:

Die Option "TLS 1.3" ist auf Cisco Unified CM 15SU2 oder höher verfügbar.
  • TLS 1.1: Der TLS Client unterstützt die Versionen von TLS von 1.1 bis 1.3.

    Wenn die TLS Version im Server niedriger als 1.1 ist, z. B. 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.2 (Standard): Der TLS-Client unterstützt TLS 1.2 und 1.3.

    Wenn die TLS Version im Server niedriger als 1.2 ist, z. B. 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.3: Der TLS-Client unterstützt nur TLS 1.3.

    Wenn die TLS Version im Server niedriger als 1.3 ist, z. B. 1.2, 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

4

Richten Sie das Feld TLS Mindestversion des Servers ein:

  • TLS 1.1: Der TLS Server unterstützt die Versionen von TLS von 1.1 bis 1.3.

    Wenn die TLS Version im Client niedriger als 1.1 ist, z. B. 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.2 (Standard): Der TLS Server unterstützt TLS 1.2 und 1.3.

    Wenn die TLS Version im Client niedriger als 1.2 ist, z. B. 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.3: Der TLS Server unterstützt nur TLS 1.3.

    Wenn die TLS Version im Client niedriger als 1.3 ist, z. B. 1.2, 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

Ab PhoneOS Version 3.2 wirkt sich die Einstellung des Felds "TLS 1.0 und TLS 1.1 für den Webzugriff deaktivieren" nicht mehr auf die Telefone aus.
5

Klicken Sie auf Speichern.

6

Klicken Sie auf Konfiguration übernehmen.

7

Starten Sie die Telefone neu.

Zugesicherte Dienste für SIP

Assured Services SIP (AS-SIP) ist eine Sammlung an Funktionen und Protokollen, die einen äußerst sicheren Anruffluss für Cisco IP-Telefons und Drittanbietertelefone bieten. Die folgenden Funktionen werden zusammen als AS-SIP bezeichnet:

  • Multilevel Precedence and Preemption (MLPP)
  • Differentiated Services Code Point (DSCP)
  • Transport Layer Security (TLS) und Secure Real-Time Transport Protocol (SRTP)
  • Internetprotokoll Version 6 (IPv6)

AS-SIP wird häufig mit Multilevel Precedence and Preemption (MLPP) verwendet, um Anrufe bei einem Notfall zu priorisieren. Mit MLPP weisen Sie Ihren ausgehenden Anrufen eine Prioritätsstufe von Stufe 1 (niedrig) bis Stufe 5 (hoch) zu. Wenn Sie einen Anruf erhalten, wird das Symbol für die Prioritätsstufe auf dem Telefon angezeigt, das die Anrufpriorität angibt.

Um AS-SIP zu konfigurieren, führen Sie die folgenden Aufgaben in Cisco Unified Communications Manager durch:

  • Einen Digest-Benutzer konfigurieren: Konfigurieren Sie den Endbenutzer so, dass er die Digest-Authentifizierung für SIP-Anforderungen verwendet.
  • Sicheren Port für SIP-Telefon konfigurieren: Cisco Unified Communications Manager verwendet diesen Port, um SIP-Telefone für SIP-Leitungsregistrierungen über TLS abzuhören.
  • Dienste neu starten: Starten Sie nach der Konfiguration des sicheren Ports die Cisco Unified Communications Manager- und Cisco CTL Provider-Dienste neu. Ein SIP-Profil für AS-SIP konfigurieren: Konfigurieren Sie ein SIP-Profil mit SIP-Einstellungen für Ihre AS-SIP-Endpunkte und für Ihre SIP-Trunks. Die telefonspezifischen Parameter werden nicht auf das AS-SIP-Telefon eines Drittanbieters heruntergeladen. Sie werden nur von Cisco Unified Manager verwendet. Drittanbieter-Telefone müssen lokal dieselben Einstellungen konfigurieren.
  • Telefonsicherheitsprofil für AS-SIP konfigurieren: Sie können das Sicherheitsprofil des Telefons verwenden, um Sicherheitseinstellungen wie TLS, SRTP und Digest-Authentifizierung zuzuweisen.
  • AS-SIP-Endpunkt konfigurieren: Konfigurieren Sie ein Cisco IP-Telefon oder einen Drittanbieter-Endpunkt mit AS-SIP-Unterstützung.
  • Gerät zu Benutzer zuordnen: Ordnen Sie den Endpunkt einem Benutzer zu.
  • SIP-Trunk-Sicherheitsprofil für AS-SIP konfigurieren: Sie können das SIP-Trunk-Sicherheitsprofil verwenden, um Sicherheitsfunktionen, wie TLS oder Digest-Authentifizierung, einem SIP-Trunk zuzuweisen.
  • SIP-Trunk für AS-SIP konfigurieren: Konfigurieren Sie einen SIP-Trunk mit AS-SIP-Unterstützung.
  • AS-SIP-Funktionen konfigurieren: Konfigurieren Sie zusätzliche AS-SIP-Funktionen wie MLPP, TLS, V.150 und IPv6.

Detaillierte Informationen zum Konfigurieren von AS-SIP finden Sie im Kapitel "Konfigurieren von AS-SIP-Endpunkten" im Funktionskonfigurationshandbuch für Cisco Unified Communications Manager.

MLPP (Multilevel Precedence and Preemption)

Mit Multilevel Precedence and Preemption (MLPP) können Sie Anrufe Notfällen oder anderen Krisensituationen priorisieren. Sie weisen Ihren ausgehenden Anrufen eine Priorität zwischen 1 und 5 zu. Eingehende Anrufe werden mit einem Symbol und der Anrufpriorität angezeigt. Authentifizierte Benutzer können Anrufe entweder an Zielstellen weiterleiten oder über vollständig ausgelastete TDM-Trunks durchschalten.

Diese Funktion sichert hochrangiges Personal für die Kommunikation für wichtige Organisationen und Mitarbeiter.

MLPP wird häufig mit Assured Services SIP (AS-SIP) verwendet. Ausführliche Informationen zum Konfigurieren von MLPP finden Sie im Kapitel Konfigurieren der mehrstufigen Priorität und Zwangstrennung im Funktionskonfigurationshandbuch für Cisco Unified Communications Manager.

FAC und CMC einrichten

Wenn die Forced-Authorization-Codes (FAC) oder Client-Matter-Codes (CMC) oder beide auf dem Telefon konfiguriert sind, müssen die Benutzer die erforderlichen Kennwörter eingeben, um eine Nummer zu wählen.

Weitere Informationen zum Einrichten von FAC und CMC in Cisco Unified Communications Manager finden Sie im Kapitel "Client-Matter-Codes und Forced-Authorization-Codes" im Funktionskonfigurationshandbuch für Cisco Unified Communications Manager, Release 12.5 (1) oder höher.