Sie können Cisco Unified Communications Manager für den Betrieb in einer Umgebung mit verbesserter Sicherheit aktivieren. Mit diesen Verbesserungen wird Ihr Telefonnetzwerk unter einer Reihe strenger Sicherheits- und Risikomanagementkontrollen betrieben, um Sie und Ihre Benutzer zu schützen.

Die Umgebung mit verbesserter Sicherheit umfasst die folgenden Funktionen:

  • Authentifizierung der Kontaktsuche.

  • TCP als Standardprotokoll für die Remote-Auditprotokollierung.

  • FIPS-Modus.

  • Verbesserte Richtlinie für Anmeldeinformationen.

  • Unterstützung für die SHA-2-Hash-Familie für digitale Signaturen.

  • Unterstützung für eine RSA-Schlüsselgröße von 512 Bit und 4096 Bit.

Mit Cisco Unified Communications Manager Version 14.0 und Cisco Video Phone Firmware-Version 2.1 und höher unterstützen die Telefone die SIP-OAuth-Authentifizierung.

OAuth wird für Proxy Trivial File Transfer Protocol (TFTP) mit Cisco Unified Communications Manager Version 14.0(1)SU1 oder höher unterstützt. Proxy-TFTP und OAuth for Proxy-TFTP werden auf Mobile Remote Access (MRA) nicht unterstützt.

Weitere Informationen zur Sicherheit finden Sie unter:

Ihr Telefon kann nur eine begrenzte Anzahl von ITL-Dateien (Identity Trust List) speichern. ITL-Dateien können auf dem Telefon 64 K nicht überschreiten. Begrenzen Sie daher die Anzahl der Dateien, die Cisco Unified Communications Manager an das Telefon sendet.

Unterstützte Sicherheitsfunktionen

Sicherheitsfunktionen schützen vor Bedrohungen, einschließlich der Bedrohung der Identität des Telefons und der Daten. Diese Funktionen erstellen und pflegen authentifizierte Kommunikationsstreams zwischen dem Telefon und dem Cisco Unified Communications Manager-Server und stellen sicher, dass das Telefon nur digital signierte Dateien verwendet.

Cisco Unified Communications Manager Version 8.5(1) und höher umfasst standardmäßig „Security by default“ (Sicherheit per Voreinstellung), die die folgenden Sicherheitsfunktionen für Cisco IP-Telefone ohne CTL-Client bietet:

  • Signieren der Telefonkonfigurationsdateien

  • Verschlüsselung der Telefonkonfigurationsdatei

  • HTTPS mit Tomcat und anderen Webdiensten

Für sichere Signalisierungs- und Medienfunktionen ist es weiterhin erforderlich, den CTL-Client auszuführen und Hardware-eTokens zu verwenden.

Die Implementierung der Sicherheit in das Cisco Unified Communications Manager-System verhindert den Identitätsdiebstahl des Telefons und des Cisco Unified Communications Manager-Servers, das Manipulieren von Daten, die Anrufsignalisierung und das Manipulieren von Medienstreams.

Um diese Bedrohungen zu lindern, erstellt und pflegt das Cisco IP-Telefonienetzwerk sichere (verschlüsselte) Kommunikationsstreams zwischen einem Telefon und dem Server, signiert Dateien digital, bevor diese auf ein Telefon übertragen werden, und verschlüsselt Medienstreams und Anrufsignalisierung zwischen Cisco IP-Telefonen.

Auf den Telefonen wird ein LSC (Locally Significant Certificate) installiert, nachdem Sie die erforderlichen Aufgaben ausgeführt haben, die mit der CAPF (Certificate Authority Proxy Function) verknüpft sind. Sie können ein LSC mithilfe der Cisco Unified Communications Manager-Verwaltung konfigurieren, wie im Sicherheitshandbuch für Cisco Unified Communications Manager beschrieben. Alternativ können Sie die Installation eines LSC über das Menü „Sicherheitseinstellungen“ auf dem Telefon starten. In diesem Menü können Sie auch ein LSC aktualisieren oder entfernen.

Ein LSC kann nicht als Benutzerzertifikat für EAP-TLS mit WLAN-Authentifizierung verwendet werden.

Die Telefone verwenden das Telefonsicherheitsprofil, in dem festgelegt wird, ob das Gerät nicht sicher oder sicher ist. Weitere Informationen zum Anwenden des Sicherheitsprofils auf das Telefon finden Sie in der Dokumentation für Ihre Version von Cisco Unified Communications Manager.

Wenn Sie in der Cisco Unified Communications Manager-Verwaltung sicherheitsbezogene Einstellungen konfigurieren, enthält die Telefonkonfigurationsdatei vertrauliche Informationen. Um den Datenschutz einer Konfigurationsdatei zu gewährleisten, müssen Sie sie für die Verschlüsselung konfigurieren. Detaillierte Informationen finden Sie in der Dokumentation für Ihre Version von Cisco Unified Communications Manager.

Das Telefon entspricht dem FIPS (Federal Information Processing Standard). Um korrekt zu funktionieren, benötigt der FIPS-Modus eine Schlüsselgröße von 2048 Bit oder mehr. Wenn das Zertifikat weniger als 2048 Bit umfasst, wird das Telefon nicht beim Cisco Unified Communications Manager registriert und Telefon konnte nicht registriert werden. Die Größe des Zertifikatsschlüssels ist nicht FIPS-konform wird auf dem Telefon angezeigt.

Wenn das Telefon über ein LSC verfügt, müssen Sie die LSC-Schlüsselgröße auf 2048 Bit oder mehr aktualisieren, bevor Sie FIPS aktivieren.

Die folgende Tabelle enthält eine Übersicht der von den Telefonen unterstützten Sicherheitsfunktionen. Weitere Informationen finden Sie in der Dokumentation für Ihre Version von Cisco Unified Communications Manager.

Um den Sicherheitsmodus anzuzeigen, drücken Sie Einstellungendie harte Taste „Einstellungen“ , und navigieren Sie zu Netzwerk und Dienst > Sicherheitseinstellungen.

Tabelle 1. Übersicht der Sicherheitsfunktionen

Funktion

Beschreibung

Bildauthentifizierung

Signierte Binärdateien verhindern Manipulationen am Firmware-Image, bevor das Image auf ein Telefon geladen wird.

Wenn das Image manipuliert wurde, schlägt der Authentifizierungsprozess eines Telefons fehl und das neue Image wird abgelehnt.

Installation des Zertifikats am Kundenstandort

Jedes Cisco IP-Telefon benötigt ein eindeutiges Zertifikat für die Geräteauthentifizierung. Die Telefone umfassen ein vom Hersteller installiertes Zertifikat (MIC), aber für zusätzliche Sicherheit können Sie die Zertifikatsinstallation in der Cisco Unified Communications Manager-Verwaltung mithilfe der CAPF (Certificate Authority Proxy Function) festlegen. Alternativ können Sie ein LSC (Locally Significant Certificate) über das Menü „Sicherheitskonfiguration“ auf dem Telefon installieren.

Geräteauthentifizierung

Erfolgt zwischen dem Cisco Unified Communications Manager-Server und dem Telefon, wenn jede Entität das Zertifikat der anderen Entität akzeptiert. Legt fest, ob eine sichere Verbindung zwischen dem Telefon und einem Cisco Unified Communications Manager hergestellt werden soll, und erstellt bei Bedarf mithilfe des TLS-Protokolls einen sicheren Signalpfad zwischen den Entitäten. Cisco Unified Communications Manager registriert Telefone nur dann, wenn sie authentifiziert werden können.

Dateiauthentifizierung

Validiert digital signierte Dateien, die vom Telefon heruntergeladen werden. Das Telefon überprüft die Signatur, um sicherzustellen, dass die Datei nach der Erstellung nicht manipuliert wurde. Dateien, die nicht authentifiziert werden können, werden nicht in den Flash-Speicher auf dem Telefon geschrieben. Das Telefon weist solche Dateien ohne weitere Verarbeitung zurück.

Dateiverschlüsselung

Durch Verschlüsselung wird verhindert, dass vertrauliche Informationen bei der Übertragung der Datei auf das Telefon offengelegt werden. Darüber hinaus überprüft das Telefon die Signatur, um sicherzustellen, dass die Datei nach der Erstellung nicht manipuliert wurde. Dateien, die nicht authentifiziert werden können, werden nicht in den Flash-Speicher auf dem Telefon geschrieben. Das Telefon weist solche Dateien ohne weitere Verarbeitung zurück.

Signalisierungsauthentifizierung

Verwendet das TLS-Protokoll, um sicherzustellen, dass die Signalpakete während der Übertragung nicht manipuliert wurden.

Vom Hersteller installiertes Zertifikat

Jedes Cisco IP-Telefon enthält ein eindeutiges vom Hersteller installiertes Zertifikat (MIC), das für die Geräteauthentifizierung verwendet wird. Das MIC bietet einen permanenten eindeutigen Identitätsnachweis für das Telefon und ermöglicht Cisco Unified Communications Manager, das Telefon zu authentifizieren.

Medienverschlüsselung

Verwendet SRTP, um sicherzustellen, dass Medienstreams zwischen unterstützten Geräten sicher sind und dass nur das vorgesehene Gerät die Daten empfängt und liest. Erstellt ein primäres Medienschlüsselpaar für die Geräte, verteilt die Schlüssel an die Geräte und schützt die Schlüssel, während diese übertragen werden.

CAPF (Certificate Authority Proxy Function)

Implementiert Teile des Verfahrens zur Zertifikatgenerierung, die für das Telefon zu verarbeitungsintensiv sind, und interagiert mit dem Telefon bei der Schlüsselgenerierung und Zertifikatsinstallation. CAPF kann konfiguriert werden, um Zertifikate von vom Kunden angegebenen Zertifizierungsstellen im Auftrag des Telefons anzufordern oder Zertifikate lokal zu generieren.

Es werden sowohl EC- (Elliptische Kurve) als auch RSA-Schlüsseltypen unterstützt. Um den EC-Schlüssel zu verwenden, stellen Sie sicher, dass der Parameter „Endpoint Advanced Encryption Algorithms Support“ (unter System > Enterprise-Parameter) aktiviert ist.

Weitere Informationen zu CAPF und den zugehörigen Konfigurationen finden Sie in den folgenden Dokumenten:

Sicherheitsprofil

Definiert, ob das Telefon nicht sicher, authentifiziert, verschlüsselt oder geschützt ist. In anderen Einträgen in dieser Tabelle werden Sicherheitsfunktionen beschrieben.

Verschlüsselte Konfigurationsdateien

Ermöglicht Ihnen, den Datenschutz von Telefonkonfigurationsdateien zu gewährleisten.

Optionale Webserver-Deaktivierung für ein Telefon

Aus Sicherheitsgründen können Sie den Zugriff auf die Webseiten für ein Telefon (auf denen verschiedene Betriebsstatistiken für das Telefon angezeigt werden) und das Selbsthilfe-Portal verhindern.

Telefonhärtung

Zusätzliche Sicherheitsoptionen, die Sie über die Cisco Unified Communications Manager-Verwaltung steuern:

  • PC-Port wird deaktiviert
  • Deaktivierung von Gratuitous ARP (GARP)
  • PC-Sprach-VLAN-Zugriff wird deaktiviert
  • Deaktivierung des Zugriffs auf das Menü „Einstellungen“ oder Bereitstellung eines eingeschränkten Zugriffs
  • Deaktivieren des Zugriffs auf Webseiten für ein Telefon
  • Deaktivieren des Bluetooth-Zubehör-Ports
  • Einschränkung der TLS-Schlüssel

802.1X-Authentifizierung

Cisco IP-Telefon kann die 802.1X-Authentifizierung verwenden, um Zugriff auf das Netzwerk anzufordern und zu erhalten. Weitere Informationen finden Sie unter 802.1X-Authentifizierung .

Sicheres SIP-Failover für SRST

Nachdem Sie eine SRST-Referenz (Survivable Remote Site Telephony) für die Sicherheit konfiguriert und anschließend die abhängigen Geräte in der Cisco Unified Communications Manager-Verwaltung zurückgesetzt haben, fügt der TFTP-Server das SRST-Zertifikat zur Datei cnf.xml hinzu und sendet die Datei an das Telefon. Ein sicheres Telefon verwendet dann eine TLS-Verbindung, um mit dem SRST-fähigen Router zu interagieren.

Verschlüsselung der Signalisierung

Stellt sicher, dass alle SIP-Signalisierungsnachrichten, die zwischen dem Gerät und dem Cisco Unified Communications Manager-Server gesendet werden, verschlüsselt werden.

Warnung bei Aktualisierung der Vertrauensliste

Wenn die Vertrauensliste auf dem Telefon aktualisiert wird, erhält der Cisco Unified Communications Manager einen Alarm, der angibt, ob die Aktualisierung erfolgreich war oder nicht. Weitere Informationen finden Sie in der folgenden Tabelle.

AES 256-Verschlüsselung

Telefone, die mit Cisco Unified Communications Manager Version 10.5(2) und höher verbunden sind, unterstützen die AES 256-Verschlüsselung für TLS und SIP für Signalisierung und Medienverschlüsselung. Auf diese Weise können Telefone TLS 1.2-Verbindungen mithilfe von AES-256-basierten Schlüsseln initiieren und unterstützen, die den SHA-2-Standards (Secure Hash Algorithm) und den FIPS-Standards (Federal Information Processing Standards) entsprechen. Die Schlüssel umfassen:

  • Für TLS-Verbindungen:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Für sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Weitere Informationen finden Sie in der Dokumentation zu Cisco Unified Communications Manager.

ECDSA-Zertifikate (Elliptic Curve Digital Signature Algorithm)

Als Teil der Common Criteria (CC)-Zertifizierung hat Cisco Unified Communications Manager; ECDSA-Zertifikate in Version 11.0 hinzugefügt. Dies wirkt sich auf alle VOS-Produkte (Voice Operating System) aus, auf denen CUCM 11.5 und höhere Versionen ausgeführt werden.

Multi-Server (SAN) Tomcat-Zertifikat mit Cisco UCM

Das Telefon unterstützt Cisco UCM mit konfigurierten SAN-Tomcat-Zertifikaten. Die richtige TFTP-Serveradresse befindet sich in der ITL-Datei des Telefons für die Registrierung des Telefons.

Weitere Informationen zur Funktion finden Sie unter:

Die folgende Tabelle enthält die Warnmeldungen zur Aktualisierung der Vertrauensliste und ihre Bedeutung. Weitere Informationen finden Sie in der Dokumentation zu Cisco Unified Communications Manager.

Tabelle 2: Warnmeldungen zur Aktualisierung der Vertrauensliste
Code und Nachricht Beschreibung

1 – TL_ERFOLG

Neue CTL und/oder ITL erhalten

2 - _ANFÄNGLICHER_ERFOLG

Neue CTL erhalten, keine TL vorhanden

3 – _ERSTER_ERFOLG

Neue ITL erhalten, keine TL vorhanden

4 – _ERSTER_ERFOLG

Neue CTL und ITL erhalten, keine TL vorhanden

5 - TL_FAILED_OLD_CTL

Aktualisierung auf neue CTL fehlgeschlagen, aber vorherige TL vorhanden

6 - TL_FEHLGESCHLAGEN_NEIN_TL

Aktualisierung auf neue TL fehlgeschlagen und keine alte TL vorhanden

7 - TL_FEHLGESCHLAGEN

Allgemeiner Fehler

8 - TL_FAILED_OLD_ITL

Aktualisierung auf neue ITL fehlgeschlagen, aber vorherige TL vorhanden

9 - TL_FEHLGESCHLAGEN_OLD_TL

Aktualisierung auf neue TL fehlgeschlagen, aber vorherige TL vorhanden

Das Menü „Sicherheits-Setup“ enthält Informationen zu verschiedenen Sicherheitseinstellungen. Das Menü bietet auch Zugriff auf das Menü „Vertrauensliste“ und gibt an, ob die CTL- oder ITL-Datei auf dem Telefon installiert ist.

In der folgenden Tabelle werden die Optionen im Menü „Sicherheits-Setup“ beschrieben.

Tabelle 3: Menü „Sicherheits-Setup“

Option

Beschreibung

Ändern

Sicherheitsmodus

Zeigt den Sicherheitsmodus an, der für das Telefon festgelegt ist.

Wählen Sie in der Cisco Unified Communications Manager-Verwaltung Gerät > Telefon aus. Die Einstellung wird im Abschnitt „Protokollspezifische Informationen“ des Fensters „Telefonkonfiguration“ angezeigt.

LSC

Gibt an, ob ein für Sicherheitsfunktionen verwendetes LSC auf dem Telefon installiert ist (installiert) oder nicht (Nicht installiert).

Weitere Informationen zur Verwaltung des LSC für Ihr Telefon finden Sie in der Dokumentation für Ihre Version von Cisco Unified Communications Manager.

Einrichten eines LSC (Locally Significant Certificate)

Diese Aufgabe bezieht sich auf das Einrichten eines LSC mit der Authentifizierungszeichenfolgenmethode.

Vorbereitungen

Stellen Sie sicher, dass die entsprechenden Sicherheitskonfigurationen von Cisco Unified Communications Manager und CAPF (Certificate Authority Proxy Function) vollständig sind:

  • Die CTL- oder ITL-Datei verfügt über ein CAPF-Zertifikat.

  • Überprüfen Sie in der Cisco Unified Communications Operating System-Verwaltung, ob das CAPF-Zertifikat installiert ist.

  • CAPF wird ausgeführt und konfiguriert.

Weitere Informationen zu diesen Einstellungen finden Sie in der Dokumentation für Ihre Version von Cisco Unified Communications Manager.

1

Rufen Sie den CAPF-Authentifizierungscode ab, der beim Konfigurieren des CAPF festgelegt wurde.

2

Drücken Sie auf dem Telefon auf Einstellungendie harte Taste „Einstellungen“.

3

Geben Sie bei Aufforderung das Passwort ein, um auf das Menü Einstellungen zuzugreifen. Sie können das Passwort vom Administrator abrufen.

4

Navigieren Sie zu Netzwerk und Dienst > Sicherheitseinstellungen > LSC.

Sie können den Zugriff auf das Menü „Einstellungen“ über das Feld Zugriff auf Einstellungen in der Cisco Unified Communications Manager-Verwaltung steuern.

5

Geben Sie die Authentifizierungszeichenfolge ein und wählen Sie Senden aus.

Je nachdem, wie das CAPF konfiguriert ist, beginnt das Telefon das LSC zu installieren, zu aktualisieren oder zu entfernen. Wenn der Vorgang abgeschlossen ist, wird „Installiert“ oder „Nicht installiert“ auf dem Telefon angezeigt.

Der Prozess zum Installieren, Aktualisieren oder Entfernen des LSC kann lange dauern.

Wenn die Telefoninstallation erfolgreich war, wird die Meldung Installiert angezeigt. Wenn das Telefon Nicht installiert anzeigt, ist möglicherweise die Autorisierungszeichenfolge falsch oder das Telefon-Upgrade ist nicht aktiviert. Wenn der CAPF-Vorgang das LSC löscht, zeigt das Telefon Nicht installiert an, um anzuzeigen, dass der Vorgang erfolgreich war. Der CAPF-Server protokolliert die Fehlermeldungen. Informationen zur Suche nach den Protokollen und zur Bedeutung der Fehlermeldungen finden Sie in der CAPF-Serverdokumentation.

FIPS-Modus aktivieren

1

Wählen Sie in der Cisco Unified Communications Manager-Verwaltung Gerät > Telefon aus und suchen Sie das Telefon.

2

Navigieren Sie zum Bereich Produktspezifische Konfiguration .

3

Legen Sie das Feld FIPS-Modus auf Aktiviert fest.

4

Wählen Sie Speichern.

5

Wählen Sie Konfiguration anwenden aus.

6

Starten Sie das Telefon neu.

Lautsprecher, Headset und Hörer auf einem Telefon ausschalten

Sie haben die Möglichkeit, den Lautsprecher, das Headset und den Hörer auf einem Telefon für den Benutzer dauerhaft zu deaktivieren.

1

Wählen Sie in der Cisco Unified Communications Manager-Verwaltung Gerät > Telefon aus und suchen Sie das Telefon.

2

Navigieren Sie zum Bereich Produktspezifische Konfiguration .

3

Aktivieren Sie eines oder mehrere der folgenden Kontrollkästchen, um die Funktionen des Telefons zu deaktivieren:

  • Lautsprecher deaktivieren
  • Lautsprecher und Headset deaktivieren
  • Mobilteil deaktivieren

Diese Kontrollkästchen sind standardmäßig deaktiviert.

4

Wählen Sie Speichern.

5

Wählen Sie Konfiguration anwenden aus.

802.1X-Authentifizierung

Cisco IP-Telefons unterstützen die 802.1X-Authentifizierung.

Cisco IP-Telefons und Cisco Catalyst-Switches verwenden üblicherweise CDP (Cisco Discovery Protocol), um sich gegenseitig zu identifizieren und Parameter wie die VLAN-Zuweisung und die Inline-Energieanforderungen zu bestimmen. CDP identifiziert lokal verbundene Arbeitsstationen nicht. Cisco IP-Telefons stellen einen EAPOL-Passthrough-Mechanismus bereit. Dieser Mechanismus ermöglicht einer Arbeitsstation, die an das Cisco IP-Telefon angeschlossen ist, EAPOL-Nachrichten an den 802.1X-Authentifikator am LAN-Switch weiterzuleiten. Der Pass-Through-Mechanismus stellt sicher, dass das IP-Telefon nicht als LAN-Switch fungiert, um einen Datenendpunkt vor dem Zugriff auf das Netzwerk zu authentifizieren.

Cisco IP-Telefons stellen auch einen Proxy-EAPOL-Logoff-Mechanismus bereit. Wenn der lokal angeschlossene PC vom IP-Telefon getrennt wird, sieht der LAN-Switch die physische Verbindung nicht aus, da die Verbindung zwischen dem LAN-Switch und dem IP-Telefon aufrechterhalten wird. Um eine Gefährdung der Netzwerkintegrität zu vermeiden, sendet das IP-Telefon im Auftrag des nachgelagerten PCs eine EAPOL-Logoff-Nachricht an den Switch, die den LAN-Switch veranlasst, den Authentifizierungseintrag für den nachgelagerten PC zu löschen.

Für die Unterstützung der 802.1X-Authentifizierung sind mehrere Komponenten erforderlich:

  • Cisco IP-Telefon: Das Telefon initiiert die Anforderung, um auf das Netzwerk zuzugreifen. Cisco IP-Telefons enthalten ein 802.1X-Supplicant. Dieses Supplicant ermöglicht es Netzwerkadministratoren, die Konnektivität von IP-Telefonen mit den LAN-Switch-Ports zu steuern. Die aktuelle Version des 802.1X-Telefons verwendet die EAP-FAST- und EAP-TLS-Optionen für die Netzwerkauthentifizierung.

  • Authentifizierungsserver: Sowohl der Authentifizierungsserver als auch der Switch müssen mit einem Shared Secret konfiguriert werden, das das Telefon authentifiziert.

  • Wechseln: Der Switch muss 802.1X unterstützen, damit er als Authentifikator fungieren und die Nachrichten zwischen dem Telefon und dem Authentifizierungsserver übermitteln kann. Nach Abschluss des Austauschs gewährt oder verweigert der Switch dem Telefon den Zugriff auf das Netzwerk.

Sie müssen die folgenden Schritte ausführen, um 802.1X zu konfigurieren.

  • Konfigurieren Sie die anderen Komponenten, bevor Sie die 802.1X-Authentifizierung auf dem Telefon aktivieren.

  • PC-Port konfigurieren: Der 802.1X-Standard berücksichtigt keine VLANs und empfiehlt daher, nur ein einzelnes Gerät bei einem bestimmten Switch-Port zu authentifizieren. Einige Switches unterstützen jedoch die Authentifizierung in mehreren Domänen. Die Switch-Konfiguration legt fest, ob Sie einen PC mit dem PC-Port des Telefons verbinden können.

    • Enabled (Aktiviert): Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie den PC-Port aktivieren und einen PC daran anschließen. In diesem Fall unterstützen Cisco IP-Telefons Proxy EAPOL-Logoff zum Überwachen des Authentifizierungsaustauschs zwischen dem Switch und dem angeschlossenen PC.

      Weitere Informationen zur Unterstützung von IEEE 802.1X auf den Cisco Catalyst-Switches finden Sie in den Konfigurationshandbüchern für die Cisco Catalyst-Switches unter:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Disabled (Deaktiviert): Wenn der Switch nicht mehrere 802.1X-konforme Geräte am selben Port unterstützt, sollten Sie den PC-Port deaktivieren, wenn die 802.1X-Authentifizierung aktiviert ist. Wenn Sie diesen Port nicht deaktivieren und dann versuchen, einen PC anzuschließen, verweigert der Switch den Netzwerkzugriff auf das Telefon und den PC.

  • Sprach-VLAN konfigurieren: Da VLANs für den 802.1X-Standard nicht berücksichtigt werden, sollten Sie diese Einstellung basierend auf der Switch-Unterstützung konfigurieren.
    • Enabled (Aktiviert): Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie ihn weiterhin mit dem Sprach-VLAN verwenden.
    • Disabled (Deaktiviert): Wenn der Switch die Authentifizierung in mehreren Domänen nicht unterstützt, deaktivieren Sie das Sprach-VLAN und weisen Sie den Port dem systemeigenen VLAN zu.
  • (Nur für die Cisco Desk Phone 9800-Serie)

    Die Cisco-Tischtelefon 9800-Serie hat in der PID ein anderes Präfix als die anderen Cisco-Telefone. Damit Ihr Telefon die 802.1X-Authentifizierung bestehen kann, legen Sie den Parameter Radius·User-Name für die Cisco-Tischtelefon 9800-Serie fest.

    Die PID des Telefons 9841 lautet beispielsweise DP-9841; Sie können Radius·Benutzername auf Mit DP beginnen oder Enthält DP festlegen. Sie können ihn in beiden der folgenden Abschnitte festlegen:

    • Richtlinie > Bedingungen > Bibliotheksbedingungen

    • Richtlinie > Richtliniensätze > Autorisierungsrichtlinie > Autorisierungsregel 1

802.1X-Authentifizierung aktivieren

Sie können die 802.1X-Authentifizierung für Ihr Telefon anhand der folgenden Schritte aktivieren:

1

Drücken Sie Einstellungendie harte Taste „Einstellungen“.

2

Geben Sie bei Aufforderung das Passwort ein, um auf das Menü Einstellungen zuzugreifen. Sie können das Passwort vom Administrator abrufen.

3

Navigieren Sie zu Netzwerk und Dienst > Sicherheitseinstellungen > 802.1X-Authentifizierung.

4

Aktivieren Sie die IEEE 802.1X-Authentifizierung.

5

Klicken Sie auf Übernehmen.

Informationen über Sicherheitseinstellungen auf dem Telefon anzeigen

Sie können die Informationen zu den Sicherheitseinstellungen im Telefonmenü anzeigen. Die Verfügbarkeit der Informationen hängt von den Netzwerkeinstellungen in Ihrer Organisation ab.

1

Drücken Sie Einstellungendie Einstellungstaste.

2

Navigieren Sie zu Netzwerk und Dienst > Sicherheitseinstellungen.

3

Zeigen Sie unter Sicherheitseinstellungen die folgenden Informationen an.

Tabelle 4: Parameter für Sicherheitseinstellungen

Parameter

Beschreibung

Sicherheitsmodus

Zeigt den Sicherheitsmodus an, der für das Telefon festgelegt ist.

LSC

Gibt an, ob ein für Sicherheitsfunktionen verwendetes LSC auf dem Telefon installiert ist (Ja) oder nicht (Nein).

Vertrauensliste

Die Vertrauensliste enthält Untermenüs für die CTL-, ITL- und signierten Konfigurationsdateien.

Im Untermenü „CTL-Datei“ wird der Inhalt der CTL-Datei angezeigt. Im Untermenü „ITL-Datei“ wird der Inhalt der ITL-Datei angezeigt.

Im Menü „Vertrauensliste“ werden außerdem folgende Informationen angezeigt:

  • CTL-Signatur: der SHA1-Hash der CTL-Datei
  • Unified CM-/TFTP-Server: der Name des Cisco Unified Communications Manager- und TFTP-Servers, den das Telefon verwendet. Wenn für diesen Server ein Zertifikat installiert ist, wird ein Zertifikatssymbol angezeigt.
  • CAPF-Server: Der Name des CAPF-Servers, den das Telefon verwendet. Wenn für diesen Server ein Zertifikat installiert ist, wird ein Zertifikatssymbol angezeigt.
  • SRST-Router: Die IP-Adresse des vertrauenswürdigen SRST-Routers, den das Telefon verwenden kann. Wenn für diesen Server ein Zertifikat installiert ist, wird ein Zertifikatssymbol angezeigt.

Telefonanrufsicherheit

Wenn die Sicherheit für ein Telefon implementiert ist, können Sie sichere Anrufe über Symbole auf dem Telefonbildschirm identifizieren. Sie können auch festlegen, ob das verbundene Telefon sicher und geschützt ist, wenn zu Beginn des Anrufs ein Warnton ausgegeben wird.

In einem sicheren Anruf werden alle Anrufsignalisierung und Medienstreams verschlüsselt. Ein sicherer Anruf bietet ein hohes Maß an Sicherheit, das Integrität und Datenschutz für den Anruf gewährleistet. Wenn ein laufender Anruf verschlüsselt ist, wird das Sicherheitssymbol das Schloss-Symbol für einen sicheren Anruf auf der Leitung angezeigt. Bei einem sicheren Telefon können Sie auch das authentifizierte Symbol oder das verschlüsselte Symbol neben dem verbundenen Server im Telefonmenü anzeigen (Einstellungen > Info zu diesem Gerät).

Wenn der Anruf über Nicht-IP-Anrufabschnitte, z. B. PSTN, geleitet wird, ist der Anruf möglicherweise nicht sicher, obwohl er im IP-Netzwerk verschlüsselt wurde und mit einem Schloss-Symbol verknüpft ist.

Bei einem sicheren Anruf wird zu Beginn eines Anrufs ein Warnton ausgegeben, der angibt, dass das andere verbundene Telefon ebenfalls sicheres Audio empfängt und überträgt. Wenn Ihr Anruf mit einem nicht sicheren Telefon verbunden wird, wird der Sicherheitston nicht wiedergegeben.

Sichere Anrufe werden nur für Verbindungen zwischen zwei Telefonen unterstützt. Einige Funktionen wie Konferenzanrufe und gemeinsam genutzte Leitungen sind nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

Wenn ein Telefon in Cisco Unified Communications Manager als sicher (verschlüsselt und vertrauenswürdig) konfiguriert ist, kann es den Status geschützt erhalten. Anschließend kann das geschützte Telefon so konfiguriert werden, dass es zu Beginn eines Anrufs einen Signalton wiedergibt:

  • Geschütztes Gerät: Um den Status eines sicheren Telefons in „geschützt“ zu ändern, aktivieren Sie das Kontrollkästchen „Geschütztes Gerät“ im Fenster „Telefonkonfiguration“ in der Cisco Unified Communications Manager-Verwaltung (Gerät > Telefon).

  • Sicherheitssignal wiedergeben: Damit das geschützte Telefon einen sicheren oder nicht sicheren Signalton wiedergibt, legen Sie die Einstellung „Sichere Signalton wiedergeben“ auf „True“ fest. Standardmäßig ist „Sicherheitssignal wiedergeben“ auf „Falsch“ festgelegt. Sie legen diese Option in der Cisco Unified Communications Manager-Verwaltung fest (System > Dienstparameter). Wählen Sie den Server und anschließend den Unified Communications Manager-Dienst aus. Wählen Sie im Fenster „Dienstparameterkonfiguration“ die Option im Bereich „Funktion – Sicherer Ton“ aus. Der Standardwert ist False.

Sichere Konferenzanruf-ID

Sie können einen sicheren Konferenzanruf initiieren und die Sicherheitsstufe der Teilnehmer überwachen. Mit diesem Verfahren wird ein sicherer Konferenzanruf initiiert:

  1. Ein Benutzer startet die Konferenz über ein sicheres Telefon.

  2. Cisco Unified Communications Manager weist dem Anruf eine sichere Konferenzbrücke zu.

  3. Wenn Teilnehmer hinzugefügt werden, überprüft Cisco Unified Communications Manager den Sicherheitsmodus jedes Telefons und behält die Sicherheitsstufe für die Konferenz bei.

  4. Das Telefon zeigt die Sicherheitsstufe des Konferenzanrufs an. In einer sicheren Konferenz wird das Sicherheitssymbol das Schloss-Symbol für einen sicheren Anruf angezeigt.

Sichere Anrufe werden zwischen zwei Telefonen unterstützt. Für geschützte Telefone sind einige Funktionen wie Konferenzanrufe, gemeinsam genutzte Leitungen und Anschlussmobilität nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

Die folgende Tabelle enthält Informationen zu Änderungen der Konferenzsicherheitsstufen in Abhängigkeit von der Sicherheitsstufe des Telefons des Initiators, den Sicherheitsstufen der Teilnehmer und der Verfügbarkeit sicherer Konferenzbrücken.

Tabelle 5 Sicherheitseinschränkungen bei Konferenzanrufen

Sicherheitsstufe des Telefons des Initiators

Verwendete Funktion

Sicherheitsstufe der Teilnehmer

Ergebnisse der Aktion

Nicht sicher

Konferenz

Sichere

Nicht sichere Konferenzbrücke

Nicht sichere Konferenz

Sichere

Konferenz

Mindestens ein Mitglied ist nicht sicher.

Sichere Konferenzbrücke

Nicht sichere Konferenz

Sichere

Konferenz

Sichere

Sichere Konferenzbrücke

Sichere Konferenz auf Verschlüsselungsebene

Nicht sicher

MeetMe

Die minimale Sicherheitsstufe ist verschlüsselt.

Der Initiator erhält die Nachricht Erfüllt die Sicherheitsstufe nicht, Anruf abgelehnt.

Sichere

MeetMe

Die minimale Sicherheitsstufe ist nicht sicher.

Sichere Konferenzbrücke

Die Konferenz nimmt alle Anrufe an.

Sichere Telefonanrufidentifizierung

Ein sicherer Anruf wird initiiert, wenn Ihr Telefon und das Telefon am anderen Ende für sichere Anrufe konfiguriert ist. Das andere Telefon kann sich im selben Cisco IP-Netzwerk oder in einem Netzwerk außerhalb des IP-Netzwerks befinden. Sichere Anrufe können nur zwischen zwei Telefonen getätigt werden. Konferenzanrufe sollten sichere Anrufe unterstützen, nachdem eine sichere Konferenzbrücke eingerichtet wurde.

Mit diesem Prozess wird ein sicherer Anruf initiiert:

  1. Ein Benutzer initiiert den Anruf über ein sicheres Telefon (sicherer Sicherheitsmodus).

  2. Das Telefon zeigt das Sicherheitssymbol das Schloss-Symbol für einen sicheren Anruf auf dem Telefonbildschirm an. Dieses Symbol zeigt an, dass das Telefon für sichere Anrufe konfiguriert ist. Dies bedeutet jedoch nicht, dass das andere verbundene Telefon ebenfalls gesichert ist.

  3. Der Benutzer hört einen Warnton, wenn der Anruf mit einem anderen sicheren Telefon verbunden wird, der angibt, dass beide Enden der Konversation verschlüsselt und geschützt sind. Wenn der Anruf mit einem nicht sicheren Telefon verbunden wird, hört der Benutzer keinen Sicherheitssignalton.

Sichere Anrufe werden zwischen zwei Telefonen unterstützt. Für geschützte Telefone sind einige Funktionen wie Konferenzanrufe, gemeinsam genutzte Leitungen und Anschlussmobilität nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

Nur geschützte Telefone geben diese sicheren oder nicht sicheren Signaltöne wieder. Nicht geschützte Telefone geben niemals Töne wieder. Wenn sich der Gesamtstatus des Anrufs während des Anrufs ändert, ändert sich der Signalton und das geschützte Telefon gibt den entsprechenden Signalton wieder.

Ein geschütztes Telefon gibt unter den folgenden Umständen einen Signalton wieder:

  • Wenn die Option „Sicherheitssignal wiedergeben“ aktiviert ist:

    • Wenn sichere End-to-End-Medien eingerichtet sind und der Anrufstatus „Sicher“ lautet, gibt das Telefon den Warnton für sichere Medien wieder (drei lange Signaltöne mit Pausen).

    • Wenn unsichere durchgängige Medien eingerichtet sind und der Anrufstatus „Nicht sicher“ lautet, gibt das Telefon den Warnton für „Nicht sicher“ wieder (sechs kurze Signaltöne mit kurzen Pausen).

Wenn die Option „Sicherheitssignalton wiedergeben“ deaktiviert ist, wird kein Signalton wiedergegeben.

Verschlüsselung für Aufschaltung bereitstellen

Cisco Unified Communications Manager überprüft den Sicherheitsstatus des Telefons, wenn Konferenzen eingerichtet werden, und ändert die Sicherheitsanzeige für die Konferenz oder blockiert die Durchführung des Anrufs, um Integrität und Sicherheit im System zu gewährleisten.

Ein Benutzer kann sich nicht auf einen verschlüsselten Anruf aufschalten, wenn das Telefon, das für die Aufschaltung verwendet wird, nicht für die Verschlüsselung konfiguriert ist. Wenn in diesem Fall die Aufschaltung fehlschlägt, wird auf dem Telefon, auf dem die Aufschaltung initiiert wurde, ein Reorder-Ton (schneller Besetztton) ausgegeben.

Wenn das Telefon des Initiators für die Verschlüsselung konfiguriert ist, kann sich der Initiator der Aufschaltung über das verschlüsselte Telefon auf einen nicht sicheren Anruf aufschalten. Nach dem Aufschalten klassifiziert Cisco Unified Communications Manager den Anruf als nicht sicher.

Wenn das Telefon des Initiators für die Verschlüsselung konfiguriert ist, kann sich der Initiator der Aufschaltung auf einen verschlüsselten Anruf aufschalten, und das Telefon zeigt an, dass der Anruf verschlüsselt ist.

WLAN-Sicherheit

Da alle WLAN-Geräte, die sich in Reichweite befinden, den gesamten anderen WLAN-Datenverkehr empfangen können, ist die Sicherung der Sprachkommunikation in WLANs von entscheidender Bedeutung. Um sicherzustellen, dass der Sprachverkehr nicht manipuliert oder abgefangen wird, unterstützt die Cisco SAFE-Sicherheitsarchitektur das Telefon. Weitere Informationen zur Sicherheit in Netzwerken finden Sie unter http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Die Cisco Wireless IP-Telefonielösung bietet Sicherheit für drahtlose Netzwerke, die nicht autorisierte Anmeldungen und kompromittierte Kommunikation mithilfe der folgenden, vom Telefon unterstützten Authentifizierungsmethoden verhindert:

  • Authentifizierung öffnen: Jedes drahtlose Gerät kann in einem offenen System eine Authentifizierung anfordern. Der Access Point, der die Anforderung erhält, kann die Authentifizierung jedem Antragsteller oder nur Antragstellern gewähren, die in einer Benutzerliste aufgeführt sind. Die Kommunikation zwischen dem drahtlosen Gerät und dem Access Point (AP) könnte nicht verschlüsselt sein.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Diese Client-Server-Sicherheitsarchitektur verschlüsselt EAP-Transaktionen innerhalb eines TLS-Tunnels (Transport Level Security) zwischen dem Access Point und dem RADIUS-Server, z. B. die Identity Services Engine (ISE).

    Der TLS-Tunnel verwendet PACs (Protected Access Credentials) für die Authentifizierung zwischen dem Client (Telefon) und dem RADIUS-Server. Der Server sendet eine Autoritäts-ID (AID) an den Client (Telefon), der wiederum die entsprechende PAC auswählt. Der Client (Telefon) gibt eine PAC-Opaque an den RADIUS-Server zurück. Der Server entschlüsselt die PAC mit dem primären Schlüssel. Beide Endpunkte enthalten jetzt den PAC-Schlüssel, und es wird ein TLS-Tunnel erstellt. EAP-FAST unterstützt die automatische PAC-Bereitstellung, muss jedoch auf dem RADIUS-Server aktiviert werden.

    In ISE läuft die PAC standardmäßig in einer Woche ab. Wenn das Telefon über eine abgelaufene PAC verfügt, dauert die Authentifizierung beim RADIUS-Server länger, während das Telefon eine neue PAC erhält. Um Verzögerungen bei der PAC-Bereitstellung zu vermeiden, legen Sie den Ablaufzeitraum für die PAC auf dem ISE- oder RADIUS-Server auf mindestens 90 Tage fest.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS erfordert ein Clientzertifikat für die Authentifizierung und den Netzwerkzugriff. Bei drahtlosem EAP-TLS kann es sich bei dem Clientzertifikat um das MIC-, LSC- oder das vom Benutzer installierte Zertifikat handeln.

  • Protected Extensible Authentication Protocol (PEAP): Das von Cisco proprietäre kennwortbasierte gegenseitige Authentifizierungsschema zwischen dem Client (Telefon) und einem RADIUS-Server. Das Telefon kann PEAP für die Authentifizierung mit dem drahtlosen Netzwerk verwenden. Es werden sowohl PEAP-MSCHAPV2- als auch PEAP-GTC-Authentifizierungsmethoden unterstützt.

  • Vorinstallierter Schlüssel (PSK): Das Telefon unterstützt das ASCII-Format. Sie müssen dieses Format verwenden, wenn Sie einen vorinstallierten WPA/WPA2/SAE-Schlüssel einrichten:

    ASCII: eine ASCII-Zeichenfolge mit 8 bis 63 Zeichen (0-9, Klein- und Großbuchstaben A-Z und Sonderzeichen)

    Beispiel: GREG123567@9ZX&W

Die folgenden Authentifizierungsschemata verwenden den RADIUS-Server, um die Authentifizierungsschlüssel zu verwalten:

  • wpa/wpa2/wpa3: Verwendet RADIUS-Serverinformationen, um eindeutige Authentifizierungsschlüssel zu generieren. Da diese Schlüssel auf dem zentralen RADIUS-Server generiert werden, bietet WPA2/WPA3 mehr Sicherheit als die vorinstallierten WPA-Schlüssel, die am Access Point und am Telefon gespeichert sind.

  • Schnelles sicheres Roaming: Verwendet RADIUS-Serverinformationen und WDS-Informationen (Wireless Domain Server), um Schlüssel zu verwalten und zu authentifizieren. Das WDS erstellt einen Cache mit Sicherheitsanmeldeinformationen für FT-fähige Client-Geräte für eine schnelle und sichere erneute Authentifizierung. Cisco Desk Phone 9861 und 9871 sowie Cisco Video Phone 8875 unterstützen 802.11r (FT). Sowohl über die Luft als auch über die DS werden unterstützt, um ein schnelles und sicheres Roaming zu ermöglichen. Wir empfehlen jedoch dringend die 802.11r (FT) over air Methode.

Bei WPA/WPA2/WPA3 werden die Verschlüsselungsschlüssel nicht auf dem Telefon eingegeben, sondern zwischen dem Access Point und dem Telefon automatisch abgeleitet. Der EAP-Benutzername und das Kennwort, die zur Authentifizierung verwendet werden, müssen jedoch auf jedem Telefon eingegeben werden.

Um sicherzustellen, dass der Sprachverkehr sicher ist, unterstützt das Telefon TKIP und AES für die Verschlüsselung. Wenn diese Mechanismen für die Verschlüsselung verwendet werden, werden sowohl die signalisierenden SIP-Pakete als auch die Sprachpakete RTP (Real-Time Transport Protocol) zwischen dem Access Point und dem Telefon verschlüsselt.

Tkip

WPA verwendet die TKIP-Verschlüsselung, die gegenüber WEP mehrere Verbesserungen aufweist. TKIP bietet die Verschlüsselung pro Paket und längere Initialisierungsvektoren (IVs), die die Verschlüsselung stärken. Darüber hinaus stellt eine Nachrichtenintegritätsprüfung (Message Integrity Check, MIC) sicher, dass verschlüsselte Pakete nicht geändert werden. TKIP entfernt die Vorhersehbarkeit von WEP, die Eindringlingen dabei hilft, den WEP-Schlüssel zu entschlüsseln.

Aes

Eine Verschlüsselungsmethode für die WPA2/WPA3-Authentifizierung. Dieser nationale Verschlüsselungsstandard verwendet einen symmetrischen Algorithmus, der den gleichen Schlüssel für Ver- und Entschlüsselung aufweist. AES verwendet eine CBC-Verschlüsselung (Cipher Blocking Chain) mit einer Größe von 128 Bit, die Schlüsselgrößen von mindestens 128 Bit, 192 Bit und 256 Bit unterstützt. Das Telefon unterstützt eine Schlüsselgröße von 256 Bit.

Cisco Desk Phone 9861 und 9871 sowie Cisco Video Phone 8875 unterstützen CKIP (Cisco Key Integrity Protocol) mit CMIC nicht.

Authentifizierungs- und Verschlüsselungsschemata werden im Wireless LAN eingerichtet. VLANs werden im Netzwerk und an den Access Points konfiguriert und geben verschiedene Kombinationen von Authentifizierung und Verschlüsselung an. Eine SSID wird einem VLAN und dem jeweiligen Authentifizierungs- und Verschlüsselungsschema zugeordnet. Damit drahtlose Client-Geräte erfolgreich authentifiziert werden können, müssen Sie an den Access Points und auf dem Telefon dieselben SSIDs mit ihren Authentifizierungs- und Verschlüsselungsschemata konfigurieren.

Einige Authentifizierungsschemata erfordern bestimmte Verschlüsselungstypen.

  • Wenn Sie den vorinstallierten WPA-Schlüssel, den vorinstallierten WPA2-Schlüssel oder den SAE verwenden, muss der vorinstallierte Schlüssel statisch auf dem Telefon festgelegt werden. Diese Schlüssel müssen mit den Schlüsseln auf dem Access Point übereinstimmen.

  • Das Telefon unterstützt die automatische EAP-Aushandlung für FAST oder PEAP, aber nicht für TLS. Für den EAP-TLS-Modus müssen Sie ihn angeben.

Die Authentifizierungs- und Verschlüsselungsschemata in der folgenden Tabelle zeigen die Netzwerkkonfigurationsoptionen für das Telefon an, die der Konfiguration des Access Points entsprechen.

Tabelle 6: Authentifizierungs- und Verschlüsselungsschemata
FSR-TypAuthentifizierungSchlüsselverwaltungVerschlüsselungGeschützter Verwaltungsrahmen (PMF)
802.11r (FT)PSK

wpa-psk

wpa-psk-sha256

FT-PSK

AesNein
802.11r (FT)WPA3

Sae

FT-Sae

AesJa
802.11r (FT)EAP-TLS

WPA-EAP

ft-eap

AesNein
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

AesJa
802.11r (FT)EAP-FAST

WPA-EAP

ft-eap

AesNein
802.11r (FT)eap-schnell (wpa3)

wpa-eap-sha256

ft-eap

AesJa
802.11r (FT)EAP-PEAP

WPA-EAP

ft-eap

AesNein
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap

AesJa

Wireless LAN-Profil konfigurieren

Sie können Ihr Wireless-Netzwerkprofil verwalten, indem Sie Anmeldeinformationen, Frequenzband, Authentifizierungsmethode usw. konfigurieren.

Beachten Sie die folgenden Hinweise, bevor Sie das WLAN-Profil konfigurieren:

  • Benutzername und Kennwort

    • Wenn Ihr Netzwerk EAP-FAST und PEAP für die Benutzerauthentifizierung verwendet, müssen Sie bei Bedarf sowohl den Benutzernamen als auch das Kennwort auf dem Remote Authentication Dial-In User Service (RADIUS) und auf dem Telefon konfigurieren.

    • Die Anmeldeinformationen, die Sie im Wireless LAN-Profil eingeben, müssen mit den Anmeldeinformationen identisch sein, die Sie auf dem RADIUS-Server konfiguriert haben.

    • Wenn Sie Domänen in Ihrem Netzwerk verwenden, müssen Sie den Benutzernamen mit dem Domänennamen im folgenden Format eingeben: Domäne\Benutzername.

  • Die folgenden Aktionen können dazu führen, dass das vorhandene Wi-Fi-Kennwort gelöscht wird:

    • Eingabe einer ungültigen Benutzer-ID oder eines ungültigen Passworts
    • Installieren einer ungültigen oder abgelaufenen Stammzertifizierungsstelle, wenn der EAP-Typ auf PEAP-MSCHAPV2 oder PEAP-GTC festgelegt ist
    • Deaktivieren des verwendeten EAP-Typs auf dem RADIUS-Server, bevor Sie das Telefon auf den neuen EAP-Typ umschalten
  • Um den EAP-Typ zu ändern, stellen Sie sicher, dass Sie zuerst den neuen EAP-Typ auf dem RADIUS-Server aktivieren, und wechseln Sie dann das Telefon zum EAP-Typ. Wenn alle Telefone in den neuen EAP-Typ geändert wurden, können Sie den vorherigen EAP-Typ deaktivieren, wenn Sie möchten.
1

Wählen Sie in der Cisco Unified Communications Manager-Verwaltung Gerät > Geräteeinstellungen > Wireless LAN-Profil aus.

2

Wählen Sie das Netzwerkprofil aus, das Sie konfigurieren möchten.

3

Richten Sie die Parameter ein.

4

Klicken Sie auf Speichern.

SCEP-Parameter konfigurieren

SCEP (Simple Certificate Enrollment Protocol) ist der Standard für die automatische Bereitstellung und Erneuerung von Zertifikaten. Der SCEP-Server kann Ihre Benutzer- und Serverzertifikate automatisch verwalten.

Sie müssen die folgenden SCEP-Parameter auf der Telefon-Webseite konfigurieren.

  • RA-IP-Adresse

  • SHA-1- oder SHA-256-Fingerabdruck des CA-Stammzertifikats für den SCEP-Server

Die Cisco IOS Registration Authority (RA) dient als Proxy für den SCEP-Server. Der SCEP-Client auf dem Telefon verwendet die Parameter, die von Cisco Unified Communication Manager heruntergeladen werden. Nachdem Sie die Parameter konfiguriert haben, sendet das Telefon eine SCEP-GETCS -Anforderung an die RA, und das CA-Stammzertifikat wird mithilfe des definierten Fingerabdrucks validiert.

Vorbereitungen

Konfigurieren Sie auf dem SCEP-Server den SCEP-Registrierungsagent (RA) so, dass er:

  • Als PKI-Vertrauenspunkt fungieren
  • Als PKI-RA fungieren
  • Geräteauthentifizierung mit einem RADIUS-Server durchführen

Weitere Informationen finden Sie in der Dokumentation zum SCEP-Server.

1

Wählen Sie in der Cisco Unified Communications Manager-Verwaltung Gerät > Telefon aus.

2

Suchen Sie das Telefon.

3

Blättern Sie zum Bereich Produktspezifische Konfiguration – Layout .

4

Aktivieren Sie das Kontrollkästchen WLAN SCEP-Server , um den SCEP-Parameter zu aktivieren.

5

Aktivieren Sie das Kontrollkästchen WLAN Root CA Fingerprint (SHA256 oder SHA1) , um den SCEP-QED-Parameter zu aktivieren.

Die unterstützten Versionen von TLS einrichten

Sie können die für den Client bzw. den Server erforderliche Mindestversion von TLS einrichten.

Standardmäßig ist die minimale TLS-Version von Server und Client beide 1.2. Die Einstellung hat Auswirkungen auf die folgenden Funktionen:

  • HTTPS-Webzugriffsverbindung
  • Onboarding für lokale Telefone
  • Onboarding für Mobil- und Remotezugriff (MRA)
  • HTTPS-Dienste, z. B. die Verzeichnisdienste
  • Datagram Transport Layer Security (DTLS)
  • Port Access Entity (PAE)
  • EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Weitere Informationen zur TLS 1.3-Kompatibilität für Cisco IP-Telefone finden Sie unter TLS 1.3-Kompatibilitätsmatrix für Cisco Collaboration-Produkte.

1

Melden Sie sich als Administrator bei der Cisco Unified Communications Manager-Verwaltung an.

2

Navigieren Sie zu einem der folgenden Fenster:

  • System > Konfiguration des Unternehmenstelefons
  • Gerät > Geräteeinstellungen > Allgemeines Telefonprofil
  • Gerät > Telefon > Telefonkonfiguration
3

Richten Sie das Feld Min.-Version des TLS-Clients ein:

Die Option „TLS 1.3“ ist auf Cisco Unified CM 15SU2 oder höher verfügbar.
  • TLS 1.1: Der TLS-Client unterstützt die TLS-Versionen von 1.1 bis 1.3.

    Wenn die TLS-Version im Server niedriger als 1.1 ist (z. B. 1.0), kann die Verbindung nicht hergestellt werden.

  • TLS 1.2 (Standard): Der TLS-Client unterstützt TLS 1.2 und 1.3.

    Wenn die TLS-Version im Server niedriger als 1.2 ist, z. B. 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.3: Der TLS-Client unterstützt nur TLS 1.3.

    Wenn die TLS-Version im Server niedriger als 1.3 ist, z. B. 1.2, 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

4

Richten Sie das Feld Min. TLS-Server-Version ein:

  • TLS 1.1: Der TLS-Server unterstützt die TLS-Versionen von 1.1 bis 1.3.

    Wenn die TLS-Version im Client niedriger als 1.1 ist (z. B. 1.0), kann die Verbindung nicht hergestellt werden.

  • TLS 1.2 (Standard): Der TLS-Server unterstützt TLS 1.2 und 1.3.

    Wenn die TLS-Version im Client niedriger als 1.2 ist, z. B. 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.3: Der TLS-Server unterstützt nur TLS 1.3.

    Wenn die TLS-Version im Client niedriger als 1.3 ist, z. B. 1.2, 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

Ab Version PhoneOS 3.2 wirkt sich die Einstellung des Felds „TLS 1.0 und TLS 1.1 für den Webzugriff deaktivieren“ auf die Telefone nicht aus.
5

Klicken Sie auf Speichern.

6

Klicken Sie auf Konfiguration anwenden.

7

Starten Sie die Telefone neu.

Garantierte Dienste SIP

Assured Services SIP (AS-SIP) ist eine Sammlung von Funktionen und Protokollen, die einen hochsicheren Anrufverlauf für Cisco IP-Telefone und Drittanbieter-Telefone bieten. Die folgenden Funktionen werden zusammen als AS-SIP bezeichnet:

  • Multilevel Precedence and Preemption (MLPP)
  • DSCP (Differentiated Services Code Point)
  • TLS (Transport Layer Security) und SRTP (Secure Real-Time Transport Protocol)
  • Internetprotokoll Version 6 (IPv6)

AS-SIP wird häufig mit MLPP (Multilevel Precedence and Preemption) verwendet, um Anrufe in einem Notfall zu priorisieren. Mit MLPP weisen Sie Ihren ausgehenden Anrufen eine Prioritätsstufe von Stufe 1 (niedrig) bis Stufe 5 (hoch) zu. Wenn Sie einen Anruf erhalten, wird auf dem Telefon ein Symbol für die Prioritätsstufe angezeigt, das die Anrufpriorität anzeigt.

Führen Sie zum Konfigurieren von AS-SIP die folgenden Aufgaben in Cisco Unified Communications Manager aus:

  • Konfigurieren eines Digest-Benutzers: Konfigurieren Sie den Endbenutzer so, dass er die Digest-Authentifizierung für SIP-Anfragen verwendet.
  • Sicheren Port für SIP-Telefon konfigurieren: Cisco Unified Communications Manager verwendet diesen Port, um SIP-Telefone für SIP-Leitungsregistrierungen über TLS abzuhören.
  • Dienste neu starten: Starten Sie nach der Konfiguration des sicheren Ports die Cisco Unified Communications Manager- und Cisco CTL Provider-Dienste neu. SIP-Profil für AS-SIP konfigurieren – Konfigurieren Sie ein SIP-Profil mit SIP-Einstellungen für Ihre AS-SIP-Endpunkte und für Ihre SIP-Übertragungswege. Die telefonspezifischen Parameter werden nicht auf ein AS-SIP-Telefon eines Drittanbieters heruntergeladen. Sie werden nur von Cisco Unified Manager verwendet. Drittanbieter-Telefone müssen lokal dieselben Einstellungen konfigurieren.
  • Telefonsicherheitsprofil für AS-SIP konfigurieren: Sie können das Sicherheitsprofil des Telefons verwenden, um Sicherheitseinstellungen wie TLS, SRTP und Digest-Authentifizierung zuzuweisen.
  • AS-SIP-Endpunkt konfigurieren: Konfigurieren Sie ein Cisco IP-Telefon oder einen Drittanbieter-Endpunkt mit AS-SIP-Unterstützung.
  • Gerät mit Endbenutzer verknüpfen: Weisen Sie den Endpunkt einem Benutzer zu.
  • SIP-Übertragungsweg-Sicherheitsprofil für AS-SIP konfigurieren: Sie können das SIP-Übertragungsweg-Sicherheitsprofil verwenden, um einem SIP-Übertragungsweg Sicherheitsfunktionen wie TLS oder Digest-Authentifizierung zuzuweisen.
  • SIP-Übertragungsweg für AS-SIP konfigurieren: Konfigurieren Sie einen SIP-Übertragungsweg mit AS-SIP-Unterstützung.
  • AS-SIP-Funktionen konfigurieren: Konfigurieren Sie zusätzliche AS-SIP-Funktionen wie MLPP, TLS, V.150 und IPv6.

Detaillierte Informationen zur Konfiguration von AS-SIP finden Sie im Kapitel „AS-SIP-Endpunkte konfigurieren“ im Funktionskonfigurationshandbuch für Cisco Unified Communications Manager.

Mehrstufige Priorität und Zwangstrennung

MLPP (Multilevel Precedence and Preemption) ermöglicht es Ihnen, Anrufe in Notfällen oder anderen Krisensituationen zu priorisieren. Sie weisen Ihren ausgehenden Anrufen eine Priorität von 1 bis 5 zu. Bei eingehenden Anrufen wird ein Symbol und die Anrufpriorität angezeigt. Authentifizierte Benutzer können Anrufe entweder an Zielstationen oder über vollständig abonnierte TDM-Übertragungswege weiterleiten.

Diese Funktion sichert hochrangiges Personal für die Kommunikation mit kritischen Organisationen und Mitarbeitern.

MLPP wird häufig mit Assured Services SIP (AS-SIP) verwendet. Detaillierte Informationen zum Konfigurieren von MLPP finden Sie im Kapitel Konfigurieren von Multilevel Precedence and Preemption im Feature Configuration Guide for Cisco Unified Communications Manager.

FAC und CMC einrichten

Wenn die Forced Authorization Codes (FAC) oder Client Matter Codes (CMC) oder beide auf dem Telefon konfiguriert sind, müssen die Benutzer die erforderlichen Kennwörter eingeben, um eine Nummer auszuwählen.

Weitere Informationen zum Einrichten von FAC und CMC in Cisco Unified Communications Manager finden Sie im Kapitel „Client-Matter-Codes und erzwungene Autorisierungscodes“ im Funktionskonfigurationshandbuch für Cisco Unified Communications Manager, Version 12.5(1) oder höher.