Suojausominaisuudet suojaavat uhkia vastaan, mukaan lukien puhelimen identiteettiin ja tietoihin kohdistuvat uhat. Nämä ominaisuudet luovat ja ylläpitävät todennettuja tietovirtoja puhelimen ja Cisco Unified Communications Manager -palvelimen välille ja varmistavat, että puhelin käyttää vain digitaalisesti allekirjoitettuja tiedostoja.

Cisco Unified Communications Manager Release 8.5(1) ja uudemmat versiot sisältävät oletusarvoisesti Security-toiminnon, joka tarjoaa seuraavat suojausominaisuudet Cisco IP -puhelimille ilman CTL-asiakasohjelman suorittamista:

• Puhelimen asetustiedostojen allekirjoittaminen

• Puhelimen asetustiedoston salaus

• HTTPS Tomcatin ja muiden verkkopalvelujen kanssa

Suojauksen toteuttaminen Cisco Unified Communications Manager -järjestelmässä estää puhelimen ja Cisco Unified Communications Manager -palvelimen henkilöllisyyden varastamisen, estää tietojen peukaloinnin ja estää puhelun signaloinnin ja mediavirran peukaloinnin.

Näiden uhkien lieventämiseksi Cisco IP-puhelinverkko luo ja ylläpitää turvallisia (salattuja) tietoliikennevirtoja puhelimen ja palvelimen välillä, allekirjoittaa tiedostot digitaalisesti ennen niiden siirtämistä puhelimeen ja salaa mediavirrat ja puheluiden signaloinnin Cisco IP -puhelimien välillä.

Paikallisesti merkittävä varmenne (Locally Significant Certificate, LSC) asennetaan puhelimiin sen jälkeen, kun olet suorittanut CAPF-toimintoon (Certificate Authority Proxy Function) liittyvät tarvittavat tehtävät. Voit määrittää LSC:n Cisco Unified Communications Manager Administration -ohjelman avulla, kuten Cisco Unified Communications Manager Security Guide -oppaassa on kuvattu. Vaihtoehtoisesti voit käynnistää LSC:n asennuksen puhelimen Suojausasetukset-valikosta. Tässä valikossa voit myös päivittää tai poistaa LSC:n.

LSC:tä ei voi käyttää käyttäjän varmenteena EAP-TLS:ssä WLAN-todennuksen kanssa.

Puhelimissa käytetään puhelimen suojausprofiilia, jossa määritellään, onko laite suojaamaton vai suojattu. Tietoja suojausprofiilin soveltamisesta puhelimeen on Cisco Unified Communications Managerin julkaisun dokumentaatiossa.

Jos määrität tietoturvaan liittyviä asetuksia Cisco Unified Communications Managerin hallinnassa, puhelimen määritystiedosto sisältää arkaluonteisia tietoja. Jos haluat varmistaa asetustiedoston yksityisyyden, sinun on määritettävä sen salaus. Yksityiskohtaisia tietoja on Cisco Unified Communications Managerin julkaisun dokumentaatiossa.

Puhelin on FIPS-standardin (Federal Information Processing Standard) mukainen. Jotta FIPS-tila toimisi oikein, sen avainkoko on vähintään 2048 bittiä. Jos varmenne on alle 2048 bittiä, puhelin ei rekisteröidy Cisco Unified Communications Manageriin ja Phone failed to register. Cert-avaimen koko ei ole FIPS-yhteensopiva näkyy puhelimessa.

Jos puhelimessa on LSC, sinun on päivitettävä LSC-avaimen koko vähintään 2048 bittiin ennen FIPS:n käyttöönottoa.

Seuraavassa taulukossa on yleiskatsaus puhelimien tukemiin suojausominaisuuksiin. Lisätietoja on Cisco Unified Communications Managerin julkaisun dokumentaatiossa.

Jos haluat tarkastella suojaustilaa, paina Asetukset ja siirry kohtaan Verkko ja palvelu > Suojausasetukset.

Seuraavassa taulukossa on luottamusluettelon päivityshälytysviestit ja niiden merkitys. Lisätietoja on Cisco Unified Communications Managerin dokumentaatiossa.

Security Setup (Suojausasetukset) -valikossa on tietoja erilaisista suojausasetuksista. Valikosta pääsee myös Luottoluettelo-valikkoon, ja se ilmoittaa, onko puhelimeen asennettu CTL- vai ITL-tiedosto.

Seuraavassa taulukossa kuvataan Security Setup -valikon vaihtoehdot.

Ciscon IP-puhelimet tukevat 802.1X-todennusta.

Ciscon IP-puhelimet ja Ciscon Catalyst-kytkimet käyttävät perinteisesti Cisco Discovery Protocol (CDP) -protokollaa toistensa tunnistamiseen ja parametrien, kuten VLAN-jakamisen ja verkkovirtavaatimusten, määrittämiseen. CDP ei tunnista paikallisesti liitettyjä työasemia. Ciscon IP-puhelimet tarjoavat EAPOL pass-through -mekanismin. Tämän mekanismin avulla Cisco IP Phone -puhelimeen liitetty työasema voi välittää EAPOL-viestejä LAN-kytkimen 802.1X-todentajalle. Pass-through-mekanismi varmistaa, että IP-puhelin ei toimi LAN-kytkimenä, joka todentaa datapäätteen ennen verkkoon pääsyä.

Ciscon IP-puhelimet tarjoavat myös EAPOL-kirjautumisen välitysmekanismin. Jos paikallisesti liitetty tietokone katkaisee yhteyden IP-puhelimeen, LAN-kytkin ei näe fyysisen linkin katkeavan, koska LAN-kytkimen ja IP-puhelimen välinen yhteys säilyy. Jotta verkon eheys ei vaarantuisi, IP-puhelin lähettää EAPOL-Logoff-viestin kytkimelle jatkokäytössä olevan PC:n puolesta, mikä käynnistää LAN-kytkimen tyhjentämään jatkokäytössä olevan PC:n todennustietueen.

802.1X-todennuksen tukeminen edellyttää useita komponentteja:

• Cisco IP-puhelin: Puhelin käynnistää pyynnön päästä verkkoon. Ciscon IP-puhelimet sisältävät 802.1X-suplikantin. Tämän supplicantin avulla verkonvalvojat voivat valvoa IP-puhelinten liitettävyyttä LAN-kytkinportteihin. Puhelimen 802.1X-suplikantin nykyinen versio käyttää verkkotodennukseen EAP-FAST- ja EAP-TLS-vaihtoehtoja.

• Tunnistuspalvelin: Sekä todennuspalvelimelle että kytkimelle on määritettävä jaettu salaisuus, jolla puhelin todennetaan.

• Vaihda: Kytkimen on tuettava 802.1X:ää, jotta se voi toimia todentajana ja välittää viestejä puhelimen ja todennuspalvelimen välillä. Kun vaihto on päättynyt, kytkin joko myöntää tai estää puhelimen pääsyn verkkoon.

802.1X:n määrittäminen edellyttää seuraavia toimenpiteitä.

• Määritä muut komponentit ennen kuin otat 802.1X-todennuksen käyttöön puhelimessa.

• Määritä PC-portti: 802.1X-standardissa ei oteta huomioon VLANeja, joten siinä suositellaan, että vain yksi laite todennetaan tiettyyn kytkinporttiin. Jotkin kytkimet tukevat kuitenkin monialuetunnistusta. Kytkinmääritys määrittää, voitko liittää tietokoneen puhelimen PC-porttiin.

  • Käytössä: Jos käytät kytkintä, joka tukee monialuetunnistusta, voit ottaa PC-portin käyttöön ja liittää siihen tietokoneen. Tässä tapauksessa Ciscon IP-puhelimet tukevat välityspalvelinta EAPOL-Logoff, jolla valvotaan kytkimen ja liitetyn tietokoneen välistä todennusvaihtoa.

    Lisätietoja IEEE 802.1X -tuesta Cisco Catalyst -kytkimissä on Cisco Catalyst -kytkinten konfigurointioppaissa osoitteessa:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Vammainen: Jos kytkin ei tue useita 802.1X-yhteensopivia laitteita samassa portissa, PC-portti on poistettava käytöstä, kun 802.1X-todennus on käytössä. Jos et poista tätä porttia käytöstä ja yrität sitten liittää siihen tietokoneen, kytkin estää sekä puhelimen että tietokoneen pääsyn verkkoon.

• Määritä Voice VLAN: Koska 802.1X-standardi ei ota huomioon VLANeja, tämä asetus on määritettävä kytkimen tuen perusteella.
  • Käytössä: Jos käytät kytkintä, joka tukee monialueista todennusta, voit jatkaa sen käyttöä ääni-VLAN:n avulla.
  • Vammainen: Jos kytkin ei tue monialueista todennusta, poista Voice VLAN käytöstä ja harkitse portin määrittämistä alkuperäiseen VLANiin.
• (Vain Cisco Desk Phone 9800 Series -puhelimissa)

  Cisco Desk Phone 9800 Series -puhelimen PID-tunnisteessa on eri etuliite kuin muissa Ciscon puhelimissa. Jos haluat, että puhelimesi läpäisee 802.1X-todennuksen, aseta Radius-User-Name -parametrin arvoksi Cisco Desk Phone 9800 Series.

  Esimerkiksi puhelimen 9841 PID on DP-9841; voit asettaa Radius-User-Name Aloita DP tai Sisältää DP. Voit asettaa sen molemmissa seuraavissa kohdissa:

  • Politiikka > Ehdot > Kirjastoehdot

  • Policy > Policy Sets > Authorization Policy > Authorization Rule 1 (Valtuutussääntö 1)

Kun puhelimen suojaus on otettu käyttöön, voit tunnistaa suojatut puhelut puhelimen näytön kuvakkeista. Voit myös määrittää, onko yhdistetty puhelin suojattu ja suojattu, jos puhelun alussa kuuluu turvaääni.

Suojatussa puhelussa kaikki puhelun signalointi ja mediavirrat salataan. Suojattu puhelu tarjoaa korkean turvallisuustason, joka takaa puhelun eheyden ja yksityisyyden. Kun käynnissä oleva puhelu on salattu, näet linjalla suojatun kuvakkeen . Jos puhelin on suojattu, voit myös tarkastella todennettu-kuvaketta tai salattu-kuvaketta yhdistetyn palvelimen vieressä puhelimen valikossa (Asetukset > Tietoja tästä laitteesta).

Suojatussa puhelussa puhelun alussa kuuluu suojaääni, joka osoittaa, että myös toinen yhdistetty puhelin vastaanottaa ja lähettää suojattua ääntä. Jos puhelu yhdistyy puhelimeen, joka ei ole suojattu, turvaääni ei soi.

Kun puhelin on määritetty suojatuksi (salatuksi ja luotetuksi) Cisco Unified Communications Managerissa, sille voidaan antaa suojattu -tila. Tämän jälkeen suojattu puhelin voidaan haluttaessa määrittää soittamaan merkkiääni puhelun alussa:

• Suojattu laite: Jos haluat muuttaa suojatun puhelimen tilan suojatuksi, merkitse Suojattu laite -valintaruutu Cisco Unified Communications Manager Administration -ohjelman Puhelimen määritys -ikkunassa (Device > Phone).

• Toista turvallisen ilmoituksen ääni: Jos haluat antaa suojatun puhelimen soittaa suojatun tai ei-turvallisen merkkiäänen, aseta Toista suojattu merkkiääni -asetuksen arvoksi True. Oletusarvoisesti Play Secure Indication Tone (Toista suojattu merkkiääni) -asetukseksi on asetettu False (Väärä). Asetat tämän vaihtoehdon Cisco Unified Communications Managerin hallinnassa (Järjestelmä > Palveluparametrit). Valitse palvelin ja sitten Unified Communications Manager -palvelu. Valitse Service Parameter Configuration (Palveluparametrien määritys) -ikkunassa Feature - Secure Tone (Ominaisuus - Suojattu ääni) -alueen vaihtoehto. Oletusarvo on False.

Koska kaikki kantaman sisällä olevat WLAN-laitteet voivat vastaanottaa kaiken muun WLAN-liikenteen, puheviestinnän turvaaminen on WLAN-verkoissa kriittisen tärkeää. Cisco SAFE Security -arkkitehtuuri tukee puhelinta sen varmistamiseksi, etteivät tunkeutujat voi manipuloida tai siepata puheliikennettä. Lisätietoja verkkojen tietoturvasta on osoitteessa http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Ciscon langaton IP-puhelinratkaisu tarjoaa langattoman verkon suojauksen, joka estää luvattomat kirjautumiset ja vaarantuneen viestinnän käyttämällä seuraavia puhelimen tukemia todennusmenetelmiä:

• Avoin tunnistus: Avoimessa järjestelmässä mikä tahansa langaton laite voi pyytää todennusta. Pyynnön vastaanottava AP voi myöntää todennuksen kenelle tahansa pyynnön esittäjälle tai vain käyttäjäluettelosta löytyville pyynnön esittäjille. Langattoman laitteen ja tukiaseman välinen viestintä voi olla salaamatonta.

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Tämä asiakas-palvelin-turva-arkkitehtuuri salaa EAP-transaktiot TLS-tunnelissa (Transport Level Security) AP:n ja RADIUS-palvelimen, kuten Identity Services Engine (ISE), välillä.

  TLS-tunnelissa käytetään suojattuja käyttöoikeustunnuksia (Protected Access Credentials, PAC) asiakkaan (puhelimen) ja RADIUS-palvelimen väliseen todennukseen. Palvelin lähettää AID-tunnuksen (Authority ID) asiakkaalle (puhelimelle), joka puolestaan valitsee sopivan PAC-tunnuksen. Asiakas (puhelin) palauttaa RADIUS-palvelimelle PAC-Opaque-viestin. Palvelin purkaa PAC-koodin ensisijaisella avaimella. Molemmissa päätepisteissä on nyt PAC-avain, ja TLS-tunneli on luotu. EAP-FAST tukee automaattista PAC-varmistusta, mutta se on otettava käyttöön RADIUS-palvelimessa.

  ISE:ssä PAC päättyy oletusarvoisesti viikon kuluttua. Jos puhelimella on vanhentunut PAC, todennus RADIUS-palvelimella kestää kauemmin, kun puhelin saa uuden PAC:n. Jos haluat välttää PAC-toiminnon käyttöönoton viivästymisen, aseta ISE- tai RADIUS-palvelimessa PAC-toiminnon vanhentumisajaksi 90 päivää tai enemmän.

• EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) -todennus: EAP-TLS vaatii asiakkaan varmenteen todennusta ja verkkoon pääsyä varten. Langattomassa EAP-TLS:ssä asiakasvarmenne voi olla MIC-, LSC- tai käyttäjän asentama varmenne.

• PEAP (Protected Extensible Authentication Protocol): Ciscon oma salasanaan perustuva keskinäinen todennusjärjestelmä asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Puhelin voi käyttää PEAP-todennusta langattoman verkon kanssa. Sekä PEAP-MSCHAPV2- että PEAP-GTC-todennusmenetelmiä tuetaan.

• Pre-Shared Key (PSK): Puhelin tukee ASCII-muotoa. Tätä muotoa on käytettävä, kun määrität WPA/WPA2/SAE:n esijaetun avaimen:

  ASCII: ASCII-merkkijono, jonka pituus on 8-63 merkkiä (0-9, pienet ja isot kirjaimet A-Z sekä erikoismerkit).

  Esimerkki: GREG123567@9ZX&W

Seuraavat todennusjärjestelmät käyttävät RADIUS-palvelinta todennusavainten hallintaan:

• WPA/WPA2/WPA3: Käyttää RADIUS-palvelimen tietoja luodakseen yksilöllisiä avaimia todennusta varten. Koska nämä avaimet luodaan keskitetyssä RADIUS-palvelimessa, WPA2/WPA3 tarjoaa paremman suojauksen kuin AP:hen ja puhelimeen tallennetut WPA:n ennalta jaetut avaimet.

• Nopea turvallinen verkkovierailu: Käyttää RADIUS-palvelimen ja langattoman verkkotunnuspalvelimen (WDS) tietoja avainten hallintaan ja todennukseen. WDS luo välimuistiin FT-toiminnolla varustettujen asiakaslaitteiden suojaustiedot nopeaa ja turvallista uudelleentunnistautumista varten. Cisco Desk Phone 9861 ja 9871 sekä Cisco Video Phone 8875 tukevat 802.11r (FT) -standardia. Nopean ja turvallisen verkkovierailun mahdollistamiseksi tuetaan sekä ilmateitse että DS:n kautta tapahtuvaa verkkovierailua. Suosittelemme kuitenkin vahvasti 802.11r (FT) over air -menetelmän käyttämistä.

WPA/WPA2/WPA3:ssa salausavaimia ei syötetä puhelimeen, vaan ne johdetaan automaattisesti AP:n ja puhelimen välillä. Todentamiseen käytettävä EAP-käyttäjänimi ja salasana on kuitenkin syötettävä jokaiseen puhelimeen.

Puhelin tukee TKIP- ja AES-salausta ääniliikenteen turvallisuuden varmistamiseksi. Kun näitä mekanismeja käytetään salaukseen, sekä SIP-signaalipaketit että RTP-paketit (Real-Time Transport Protocol) salataan AP:n ja puhelimen välillä.

TKIP

WPA käyttää TKIP-salausta, jossa on useita parannuksia WEP:hen verrattuna. TKIP tarjoaa pakettikohtaisen avainsalausmenetelmän ja pidemmät alustusvektorit (IV), jotka vahvistavat salausta. Lisäksi viestin eheyden tarkistus (MIC) varmistaa, että salattuja paketteja ei muuteta. TKIP poistaa WEP:n ennustettavuuden, joka auttaa tunkeutujia tulkitsemaan WEP-avaimen.

AES

WPA2/WPA3-todennuksessa käytettävä salausmenetelmä. Tässä kansallisessa salausstandardissa käytetään symmetristä algoritmia, jossa on sama avain salaukseen ja salauksen purkamiseen. AES käyttää 128 bitin kokoista CBC-salausta (Cipher Blocking Chain), joka tukee vähintään 128, 192 ja 256 bitin avainkokoja. Puhelin tukee 256 bitin avainkokoa.

Langattomaan lähiverkkoon otetaan käyttöön tunnistus- ja salausjärjestelmät. VLANit määritetään verkossa ja AP-laitteissa, ja niissä määritetään erilaisia todennus- ja salausyhdistelmiä. SSID liittyy VLANiin ja tiettyyn todennus- ja salausjärjestelmään. Jotta langattomien asiakaslaitteiden todennus onnistuisi, sinun on määritettävä samat SSID-tunnukset ja niiden todennus- ja salausjärjestelyt AP-laitteisiin ja puhelimeen.

Jotkin todennusjärjestelmät edellyttävät erityyppistä salausta.

Seuraavassa taulukossa esitetyt todennus- ja salausjärjestelyt osoittavat puhelimen verkkokokoonpanovaihtoehdot, jotka vastaavat AP-kokoonpanoa.

Assured Services SIP (AS-SIP) on kokoelma ominaisuuksia ja protokollia, jotka tarjoavat erittäin turvallisen puheluvirran Ciscon IP-puhelimille ja kolmannen osapuolen puhelimille. Seuraavat ominaisuudet tunnetaan yhteisnimellä AS-SIP:

• Monitasoinen etusija ja etuoikeus (MLPP)
• Eriytettyjen palvelujen koodipiste (DSCP)
• TLS (Transport Layer Security) ja SRTP (Secure Real-time Transport Protocol).
• Internet-protokollan versio 6 (IPv6)

AS-SIP:tä käytetään usein monitasoisen etusijajärjestyksen ja etuoikeuden (MLPP) kanssa puhelujen priorisoimiseksi hätätilanteessa. MLPP:n avulla voit määrittää lähteville puheluille prioriteettitason tasosta 1 (matala) tasoon 5 (korkea). Kun vastaanotat puhelun, puhelimessa näkyy etuoikeustason kuvake, joka osoittaa puhelun prioriteetin.

Suorita seuraavat tehtävät Cisco Unified Communications Managerissa AS-SIP:n määrittämiseksi:

• Digest-käyttäjän määrittäminen - Määritä loppukäyttäjä käyttämään digest-todennusta SIP-pyyntöihin.
• Määritä SIP-puhelimen suojattu portti - Cisco Unified Communications Manager käyttää tätä porttia kuunnellakseen SIP-puhelimia SIP-linjojen rekisteröintiä varten TLS:n kautta.
• Käynnistä palvelut uudelleen - Kun olet määrittänyt suojatun portin, käynnistä Cisco Unified Communications Manager ja Cisco CTL Provider -palvelut uudelleen. Määritä SIP-profiili AS-SIP:lle - Määritä SIP-profiili, jossa on SIP-asetukset AS-SIP-päätelaitteille ja SIP-punkeille. Puhelinkohtaisia parametreja ei ladata kolmannen osapuolen AS-SIP-puhelimeen. Niitä käyttää vain Cisco Unified Manager. Kolmannen osapuolen puhelimien on määritettävä samat asetukset paikallisesti.
• Puhelimen suojausprofiilin määrittäminen AS-SIP:lle - Voit määrittää puhelimen suojausprofiilin avulla suojausasetuksia, kuten TLS, SRTP ja digest-todennus.
• AS-SIP-päätepisteen määrittäminen - Määritä Cisco IP Phone -puhelin tai kolmannen osapuolen päätepiste, jossa on AS-SIP-tuki.
• Liitä laite loppukäyttäjään - Liitä päätelaite käyttäjään.
• SIP-trunkkisuojaprofiilin määrittäminen AS-SIP:lle - Voit käyttää sip-trunkkisuojaprofiilia määrittääksesi SIP-trunkkisuojausominaisuuksia, kuten TLS- tai digest-todennuksen, SIP-trunkkisuojaukseen.
• Määritä SIP-trunkki AS-SIP:lle - Määritä SIP-trunkki AS-SIP-tuella.
• AS-SIP-ominaisuuksien määrittäminen - Määritä AS-SIP:n lisäominaisuuksia, kuten MLPP, TLS, V.150 ja IPv6.

Yksityiskohtaisia tietoja AS-SIP:n määrittämisestä on luvussa "Configure AS-SIP Endpoints" (AS-SIP-päätepisteiden määrittäminen) osoitteessa Feature Configuration Guide for Cisco Unified Communications Manager.

Kun puhelimeen on määritetty pakotetut valtuutuskoodit (FAC) tai asiakaskohtaiset koodit (CMC) tai molemmat, käyttäjien on syötettävä vaaditut salasanat, jotta he voivat valita numeron.

Lisätietoja FAC:n ja CMC:n määrittämisestä Cisco Unified Communications Managerissa on luvussa "Client Matter Codes and Forced Authorization Codes", Feature Configuration Guide for Cisco Unified Communications Manager, Release 12.5(1) tai uudempi.