Suojausominaisuudet suojaavat uhilta, kuten puhelimen identiteettiin ja tietoihin kohdistuvilta uhilta. Nämä toiminnot luovat ja ylläpitävät todennettuja viestintävirtoja puhelimen ja Cisco Unified Communications Manager server välillä ja varmistavat, että puhelin käyttää vain digitaalisesti allekirjoitettuja tiedostoja.

Cisco Unified Communications Manager -versio 8.5 (1) ja uudempi sisältää oletusarvoisesti Security-version, joka sisältää seuraavat suojausominaisuudet Cisco IP Phones suorittamatta CTL -asiakasta:

• Puhelimen määritystiedostojen allekirjoitus

• Puhelimen määritystiedoston salaus

• HTTPS Ja Tomcat ja muut Web-palvelut

Suojauksen käyttöönotto Cisco Unified Communications Manager system estää puhelimen identiteettivarkauden ja Cisco Unified Communications Manager server, estää tietojen kajoamisen ja estää puheluiden signaloinnin sekä mediavirran väärentämisen.

Näiden uhkien torjumiseksi Cisco IP-puhelinverkko luo ja ylläpitää turvallisia (salattuja) viestintävirtoja puhelimen ja palvelimen välillä, allekirjoita tiedostoja digitaalisesti ennen niiden siirtoa puhelimeen ja salata mediavirtoja ja puheluita Cisco IP Phones välillä.

Locally Significant Certificate (LSC) asennetaan puhelimiin, kun olet suorittanut Certificate Authority-välityspalvelintoimintoon (CAPF) liittyvät tarvittavat tehtävät. Voit määrittää LSC Cisco Unified Communications Manager Administration suojausoppaan Cisco Unified Communications Manager kuvatulla tavalla. Voit myös aloittaa LSC-asennuksen puhelimen Suojausasetukset-valikosta. Valikon avulla voit myös päivittää tai poistaa LSC.

Puhelimet käyttävät puhelimen suojausprofiilia, joka määrittää, onko laite suojaamaton vai turvallinen. Lisätietoja suojausprofiilin käyttämisestä puhelimessa on kyseisen Cisco Unified Communications Manager -version käyttöoppaissa.

Jos määrität suojausasetukset Cisco Unified Communications Manager Administration, puhelimen määritystiedosto sisältää arkaluonteisia tietoja. Määritystiedoston tietosuojan varmistamiseksi sinun on määritettävä se salausta varten. Lisätietoja on kyseisen Cisco Unified Communications Manager -version käyttöoppaissa.

Puhelin on Liittovaltion tietojen käsittelynormin (FIPS) mukainen. Jotta FIPS-tila toimisi oikein, avaimen koko on vähintään 2 048 bittiä. Jos varmenne on alle 2048 bittiä, puhelin ei rekisteröi numeroa Cisco Unified Communications Manager ja puhelimen rekisteröinti epäonnistui. Varmenteavaimen koko ei ole PUHELIMEN FIPS-yhteensopivat näytöt.

Jos puhelimessa on LSC, sinun on päivitettävä LSC-avaimen koko vähintään 2048 bittiin, ennen kuin otat FIPS:n käyttöön.

Seuraavassa taulukossa on yleiskatsaus puhelimien tukemista suojaustoiminnoista. Lisätietoja on kyseisen Cisco Unified Communications Manager -version käyttöoppaissa.

Näytä suojaustila painamalla Asetukset Ja siirry Verkko- ja palvelu -> Turvallisuus-asetuksiin.

Seuraavassa taulukossa on luottosuhdeluettelon päivityshälytysviestit ja -merkitys. Lisätietoja on Cisco Unified Communications Managerin ohjeissa.

Suojausmääritykset-valikossa on tietoja eri suojausasetuksista. Valikossa voit myös käyttää luottosuhdeluettelo-valikkoa ja määrittää, onko CTL- tai ITL-tiedosto asennettu puhelimeen.

Seuraavassa taulukossa kuvataan Suojausmääritykset-valikon asetukset.

Cisco IP Phones tukee 802.1X-todennusta.

Cisco IP Phones- ja Cisco Catalyst -kytkimet käyttävät yleensä Cisco Discovery Protocol (CDP) -painikkeita tunnistaakseen toisensa ja määrittääkseen parametreja, kuten VLAN -varaus- ja linjavirtavaatimukset. CDP ei tunnista paikallisesti liitettyjä työasemia. Cisco IP Phones tarjota EAPOL-läpikulkumekanismin. Tämän mekanismin avulla Cisco IP Phone liitetty työasema voi välittää EAPOL-viestejä LAN-kytkimen 802.1X-todentimelle. Läpivientimekanismi varmistaa sen, että IP-puhelin ei toimi LÄHI-kytkimenä todentaakseen datapäätepisteen ennen verkkoon siirtymistä.

Cisco IP Phones myös välityspalvelimen EAPOL-uloskirjautumismekanismin. Jos paikallisesti liitetty tietokone katkeaa IP puhelimesta, LAN-kytkin ei näe fyysistä yhteyttä virheellisen, koska LAN-kytkimen ja IP-puhelimen välinen yhteys säilyy. Verkon eheyden välttämiseksi IP-puhelin lähettää EAPOL-Logoff-viestin kytkimelle vikasietoisen tietokoneen puolesta, mikä käynnistää LAN-kytkimen tyhjentämään vikasietoisen tietokoneen todennustietueen.

802.1X-todennuksen tuki edellyttää useita osia:

• Cisco IP Phone: Puhelin aloittaa verkkoyhteyspyynnön. Cisco IP Phones sisältää 802.1X-ant. Tämän anomuksen avulla verkonvalvojat voivat hallita IP puhelimien yhteyttä LÄHI-verkon kytkinportteihin. Puhelimen 802.1X-supplicant-versio käyttää verkon todennusasetuksia EAP-FAST ja EAP-TLS.

• Todennuspalvelin: Todennuspalvelin ja kytkin on määritettävä jaetulle salaisuudelta, joka todentaa puhelimen.

• Kytkin: Kytkimen on tuettava 802.1X-protokollaa, jotta se voi toimia todentajana ja välittää viestejä puhelimen ja todennuspalvelimen välillä. Kun vaihto on valmis, kytkin myöntää tai hylkää puhelinyhteyden verkkoon.

Sinun on määritettävä 802.1X seuraavilla toiminnoilla.

• Määritä muut osat, ennen kuin otat 802.1X-todennuksen käyttöön puhelimessa.

• Määritä PC-portti: 802.1X-standardi ei ota huomioon VLAN-laitteita, ja suosittelee siksi, että vain yksi laite todennetaan tiettyyn kytkinporttiin. Jotkin kytkimet tukevat kuitenkin monitoimitodennusta. Kytkinmääritykset määräävät, voiko tietokoneen liittää puhelimen PC-porttiin.

  • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit ottaa PC-portin käyttöön ja liittää siihen tietokoneen. Tässä tapauksessa Cisco IP Phones tukemaan välityspalvelinta EAPOL-Logoffia, jotta voit seurata kytkimen ja siihen liitetyn tietokoneen välistä todennus vaihtamista.

    Lisätietoja Cisco Catalyst -kytkimien IEEE 802.1X -tuesta on Cisco Catalyst -kytkinmäärityksissä seuraavassa osoitteessa:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Poissa käytöstä: Jos kytkin ei tue useita 802.1X-yhteensopivia laitteita samassa portissa, sinun tulee poistaa PC-portti käytöstä, kun 802.1X-todennus on käytössä. Jos et poista tätä porttia käytöstä ja yrität liittää siihen tietokoneen, kytkin estää verkkoyhteyden sekä puhelimeen että tietokoneeseen.

• Määritä puheposti VLAN: Koska 802.1X-standardi ei vastaa VLAN-standardista, määritä asetus kytkintuen perusteella.
  • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit jatkaa sitä käyttämällä ääntä VLAN.
  • Poissa käytöstä: Jos kytkin ei tue monitoimitodennusta, poista puheposti VLAN käytöstä ja harkitse portin määrittämistä natiiville VLAN.
• (Vain Cisco Desk Phone 9800 -sarjalle)

  Cisco Desk Phone 9800 -sarjassa on eri etuliite kuin muissa Cisco-puhelimissa. Määritä säde, jotta puhelin läpäisee 802.1X-todennuksen . Käyttäjänimiparametri , joka sisältää Cisco Desk Phone 9800 -sarjan.

  Esimerkiksi puhelimen 9841 PID on DP-9841; voit asettaa säteellä olevan aset. Käyttäjänimi , joka aloitetaan DP: stä tai sisältää DP:n. Voit määrittää sen molempiin seuraaviin kohtiin:

  • Käytäntö > Ehdot > Eibrary-ehdot

  • Käytäntö > Politiikkasarjat > Valtuutuskäytäntö > Valtuutussääntö 1

Kun puhelimen suojaus on otettu käyttöön, voit tunnistaa suojatut puhelut puhelimen näytön kuvakkeilla. Voit myös määrittää, onko yhdistetty puhelin turvallinen ja suojattu, jos puhelun alussa kuuluu suojausääni.

Suojatussa puhelussa kaikki puheluiden signalointi ja mediavirrat salataan. Suojattu puhelu tarjoaa korkean suojaustason, joka tarjoaa puhelun eheyden ja yksityisyyden. Kun meneillään oleva puhelu on salattu, näet suojatun kuvakkeen linjalla. Suojatun puhelimen todennettu kuvake on myös saatavilla. Tai salattu kuvake Puhelinvalikossa olevan yhdistetyn palvelimen vieressä (Asetukset > Tietoja tästä laitteesta).

Suojatussa puhelussa puhelun alussa toistetaan suojausääni, joka osoittaa, että toinen yhdistetty puhelin vastaanottaa ja lähettää turvallista ääntä. Jos puhelu yhdistetään suojaamattomaan puhelimeen, suojausääni ei toista.

Kun puhelin on määritetty turvalliseksi (salatuksi ja luotetuksi) kohteessa Cisco Unified Communications Manager, sille voi antaa suojeltu tila. Tämän jälkeen suojattu puhelin voidaan tarvittaessa määrittää toistamaan merkkiääni puhelun alussa:

• Suojattu laite: Jos haluat muuttaa suojatun puhelimen tilan suojatuksi, valitse Cisco Unified Communications Manager Administration (Laite > Puhelin) Puhelinmääritykset -ikkunan Suojattu laite -valintaruutu.

• Toista turvallinen merkkiääni: Jos haluat suojatun puhelimen toistavan turvallisen tai suojaamattoman merkkiäänen, aseta Suojattu merkkiääni -asetuksen arvoksi Tosi. Palauta suojattu merkkiääni oletusarvoisesti arvoon Epätosi. Määrität tämän asetuksen Cisco Unified Communications Manager Administration (Järjestelmä > Service-parametrit). Valitse palvelin ja sitten Unified Communications Manager-palvelu. Valitse Service Parameter Configuration window asetus Ominaisuus – Suojattu ääni -alueelta. Oletusarvo on Epätosi.

Koska kaikki WLAN -laitteet voivat vastaanottaa kaiken muun WLAN -liikennettä, puheviestinnän ottaminen käyttöön on WLAN-laitteissa erittäin tärkeää. Varmista, etteivät tunkeilijat manipuloi ääniliikennettä eivätkä kaappaa sitä, Cisco SAFE Security -arkkitehtuuri tukee puhelinta. Lisätietoja verkkojen suojauksen toiminnoista on kohdassa http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco Langaton IP -puhelinratkaisu tarjoaa langattoman verkon suojauksen, joka estää luvattomia sisään- ja vaaranna viestintää käyttämällä seuraavia puhelimen tukemia todennusmenetelmiä:

• Avaa todennus: Kaikki langattomat laitteet voivat pyytää todennusta avoimessa järjestelmässä. Pyynnön vastaanottava käyttöasema voi myöntää todennuksen kenelle tahansa pyynnön esittäjälle tai vain pyynnön esittäjille, jotka ovat käyttäjäluettelossa. Langattoman laitteen ja TUKIASEMAn välistä viestintää ei ehkä salata.

• Laaja todennusprotokollan joustava todennus suojatun tunnelointitoiminnon (EAP-FAST) avulla -todennus: Tämä asiakas-palvelinsuojausarkkitehtuuli salata EAP-tapahtumat AP:n ja RADIUS-palvelimen välisessä siirtotason suojaustunnelissa (TLS), kuten Ise-palvelimen identiteetin ja palvelujen moduulin.

  TLS-tunneli käyttää suojatun käytön tunnistetietoja (PAC) todennukseen asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Palvelin lähettää asiakkaalle (puhelimella) viranomaisen tunnuksen (AID), joka TURN valitsee asianmukaisen PAC-yhteyden. Asiakas (puhelin) palauttaa PAC-kvaque-palvelimen RADIUS-palvelimeen. Palvelin poistaa PAC:n salauksen ensisijaisella näppäimellä. Molemmissa päätepisteissä on nyt PAC-avain ja TLS-tunneli luodaan. EAP-FAST tukee automaattista PAC-valmistelua, mutta sinun on otettava se käyttöön RADIUS-palvelimessa.

  ISE:ssa PAC vanhenee oletusarvoisesti viikon kuluttua. Jos puhelimen pac on vanhentunut, todennus RADIUS-palvelimella kestää kauemmin, kun puhelin saa uuden PAC:n. Voit välttää PAC-valmistelun viiveet asettamalla PAC-vanhenemisajaksi 90 päivää tai pidempään ISE- tai RADIUS-palvelimessa.

• Laaja todennusprotokollan ja siirtokerrossuojauksen (EAP-TLS) todennus: EAP-TLS edellyttää asiakasvarmennetta todennusta ja verkkoyhteyttä varten. Langattomassa EAP-TLS asiakasvarmenne voi olla MIC, LSC, tai käyttäjän asentama varmenne.

• Suojattu laajennustodennusprotokolla (PEAP): Cisco asiakkaan (puhelimen) ja RADIUS-palvelimen välinen oma salasanapohjainen todennusmalli. Puhelin voi käyttää PEAP langattoman verkon todennukseen. Sekä PEAP-MSCHAPV2- että PEAP-GTC-todennusmenetelmiä tuetaan.

• Esijaettu avain (PSK): Puhelin tukee ASCII -muotoa. Tätä muotoa on käytettävä määritettäessä WPA/WPA2/SAE Esijaettua avainta:

  ASCII: ASCII-merkkinen merkkijono, jonka pituus on 8 - 63 merkkiä (0-9, pieni ja iso kirjaiminen A-Z sekä erikoismerkit)

  Esimerkki: GREG123567@9ZX&W

Seuraavat todennusmallit käyttävät RADIUS-palvelinta todennusavainten hallintaan:

• WPA/WPA2/WPA3: Käyttää RADIUS-palvelimen tietoja yksilöllisiä avaimia todennusta varten. Koska nämä avaimet luodaan keskitetylle RADIUS-palvelimelle, WPA2/WPA3 tarjoaa enemmän suojausta kuin WPA esivalmistetut avaimet, jotka on tallennettu käyttöp. ja puhelimeen.

• Fast Secure Roaming: Käyttää RADIUS-palvelinta ja WDS -tietoja avainten hallintaan ja todennukseen. WDS luo suojaustunnisteiden välimuistin FT-yhteensopiville asiakaslaitteille, jotta ne voidaan toistaa nopeasti ja turvallisesti. Cisco Desk -puhelin 9861 ja 9871 ja Cisco VideoPuhelin 8875 tukevat 802.11r (FT). Sekä ilmassa että DS:n yllä tuetaan, jotta verkkovierailu on nopea suojattu. Suosittelemme kuitenkin vahvasti, että käytät 802.11r (FT) ilmamenetelmää.

WPA/WPA2/WPA3 -näppäimellä salausavaimia ei syötetä puhelimeen, vaan ne johdetaan automaattisesti apin ja puhelimen välillä. Todennukseen käytettävä EAP-käyttäjänimi ja salasana on kuitenkin annettava kullekin puhelimelle.

Jotta ääniliikenne on turvallista, puhelin tukee TKIP-koodausta ja AES salausta varten. Kun näitä määritystä käytetään salaukseen, sekä viestittävät SIP -paketit että reaaliaikainen siirtoprotokolla (RTP) -paketit salataan apin ja puhelimen välillä.

TKIP

WPA käyttää TKIP-salausta, jossa on useita parannusta WEP-salaukseen. TKIP tarjoaa per-paketti-avainsalakirjoitusta ja pidempiä alustusvektoreita (IVs), jotka vahvistavat salausta. Lisäksi viestin eheystarkistus (MIC) varmistaa, ettei salattuja pakkauksia muuteta. TKIP poistaa WEP -näppäimen ennustettavuuden, joka auttaa tunkeilijoille WEP-avaimen tulkitsemisen.

AES

WPA2/WPA3-todennuksessa käytettävä salausmenetelmä. Tämä kansallinen salausnormi käyttää symmetristä algoritmia, jolla on sama avain salaukseen ja salauksen purkamiseen. AES käyttää kooltaan 128 bitin salausta ( Cipher Blocking Chain, CBC), joka tukee vähintään 128 bitin, 192 bitin ja 256 bitin avainkokoja. Puhelin tukee 256 bitin näppäinkokoa.

Todennus- ja salausjärjestelmät on määritetty langattomaan lähiverkkoon. VLAN-numerot on määritetty verkossa ja APS:ssä, ja ne määrittävät eri todennus- ja salausyhdistelmiä. SSID yhdistää ohjelman VLAN ja tietyn todennus- ja salausmallin. Jotta langattomat asiakaslaitteet todennetaan oikein, samat SSID-protokollat on määritettävä todennus- ja salausmalleille APS-laitteissa ja puhelimessa.

Jotkin todennusjärjestelmät edellyttävät tietyntyyppistä salausta.

Seuraavassa taulukossa on lueteltu tukiasemamäärityksiä vastaavat puhelimen verkkomääritykset.

Assured Services SIP(AS-SIP) on kokoelma ominaisuuksia ja protokollia, jotka tarjoavat erittäin turvallisen puhelunkulun Cisco IP Phones- ja kolmannen osapuolen puhelimille. Seuraavat ominaisuudet tunnetaan yleisesti nimellä AS-SIP:

• Monitasoinen etusija ja korvaus (MLPP)
• Eriytettyjen palvelujen koodipiste (DSCP)
• Siirtokerrossuojaus (TLS) ja turvallinen reaaliaikainen siirtoprotokolla (SRTP)
• Internet-protokollan versio 6 (IPv6)

AS-SIP käytetään usein monitasoisen etusijan ja korvaustilan (MLPP) kanssa priorisoidakseen puheluita hätätilan aikana. MLPP -määrityksellä määrität lähteville puheluille prioriteettitason tasolta 1 (matala) tasolle 5 (korkea). Kun vastaanotat puhelun, puhelimessa näkyy etusijatason kuvake, jossa näkyy puhelun tärkeys.

Määritä AS-SIP seuraavasti: Cisco Unified Communications Manager:

• Koontikäyttäjän määrittäminen siten, että loppukäyttäjä käyttää koontitodennusta SIP -pyynnöissä.
• Määritä SIP Phone Secure Port –Cisco Unified Communications Manager käyttää tätä porttia SIP-puhelimien SIP-linjarekisteröintiin TLS-kohdassa.
• Käynnistä palvelut uudelleen – Kun olet määrittänut suojatun portin, käynnistä uudelleen Cisco Unified Communications Manager- ja Cisco CTL Provider -palvelut. Määritä SIP-profiili AS-SIP-konfiguroi SIP-profiili SIP-asetuksissa AS-SIP-päätepisteille ja SIP -ulkolinjoille. Puhelinkohtaisia parametreja ei ladata kolmannen osapuolen AS-SIP-puhelimelle. Niitä käyttää vain Cisco Unified Manager. Kolmansien osapuolten puhelinten on määritettävä samat asetukset paikallisesti.
• Määritä puhelimen suojausprofiili asetukseksi AS-SIP – Voit määrittää suojausasetuksia, kuten TLS, SRTP,, käyttämällä puhelimen suojausprofiilia ja koontitodennusta.
• Määritä AS-SIP-päätepiste – Määritä Cisco IP Phone- tai kolmannen osapuolen päätepiste AS-SIP-tuella.
• Liitä laite loppukäyttäjään – liitä päätepiste käyttäjään.
• Määritä SIP Rungon suojausprofiili kohteelle AS-SIP – Voit määrittää SIP-ulkolinjan suojausprofiililla TLS tai koontitodennuksen SIP-ulkolinjalle.
• Määritä SIP-ulkolinja kohteelle AS-SIP – Määritä SIP-ulkolinjalle AS-SIP-tuki.
• Määritä AS-SIP-toiminnot – määritä lisää AS-SIP-toimintoja, kuten MLPP, TLS, V.150 ja IPv6.

Lisätietoja AS-SIP-määrittämisestä on Cisco Unified Communications Manager -oppaan AS-SIP päätepisteiden määrittäminen -kohdassa.

Kun pakolliset tarkistuskoodit (FAC) tai asiakasasiakoodit (CMC) tai molemmat on määritetty puhelimeen, käyttäjien on annettava tarvittavat salasanat, jotta he voivat valita numeron.

Lisätietoja FAC- ja CMC-asetusten määrittämisestä Cisco Unified Communications Manager on ominaisuusmääritysoppaanCisco Unified Communications Manager, Versio 12.5 (1) tai uudempien asiakasasiakoodien ja pakotettujen tarkistuskoodien kohdassa.

Cisco VPN -toiminnon avulla voit säilyttää verkon turvallisuuden ja antaa käyttäjille turvallisen ja luotettavan menetelmän, jolla he voivat muodostaa yhteyden yritysverkkoon. Käytä tätä toimintoa, kun

• Puhelin sijaitsee luotetun verkon ulkopuolella
• Puhelimen ja Cisco Unified Communications Manager välinen verkkoliikenne ylittää ei-luotetun verkon

VPN -protokollalla on kolme yleistä lähestymistapaa asiakkaan todennukseen:

• Digitaaliset varmenteet
• Salasanat
• Käyttäjänimi ja salasana

Kullakin menetelmällä on etunsa. Mutta jos yrityksen suojauskäytäntö sallii sen, suosittelemme varmennepohjaista lähestymistapaa, koska varmenteet mahdollistavat saumattoman sisäänkirjauksen ilman käyttäjän väliintuloa. Sekä LSC- että MIC -varmenteita tuetaan.

Jos haluat määrittää jonkin VPN-toiminnoista, varaa laite ensin tiloissa ja voit sitten ottaa laitteen käyttöön off-premise-tilassa.

Lisätietoja varmenteen todennuksesta ja VPN-verkon kanssa työskentelystä on kohdassa AnyConnect VPN-puhelimen asa-varmenteen todennuksen määrittäminen.

Salasanan tai käyttäjänimen ja salasanan avulla käyttäjää pyydetään kirjautumaan tunnistetietoihin. Määritä käyttäjän kirjautumisen tunnistetiedot yrityksen suojauskäytännön mukaisesti. Voit myös määrittää Salasanan sinnikkyys -asetuksen siten, että käyttäjän salasana tallennetaan puhelimeen. Käyttäjän salasana tallennetaan, kunnes kirjautumisyritys epäonnistuu, käyttäjä tyhjentää salasanan manuaalisesti tai puhelin palauttaa virran tai menettää tehonsa.

Toinen hyödyllinen työkalu on Ota autom. verkon tunnistus käyttöön -asetus. Kun tämä valintaruutu on käytössä, VPN-asiakas voidaan suorittaa vain, kun se havaitsee sen olevan yrityksen verkon ulkopuolella. Tämä asetus on oletusarvoisesti poistettu käytöstä.

Cisco-puhelin tukee asiakastyyppinä Cisco SVC IPPhone Client v1.0 -sovellusta.

Lisätietoja VPN määrittämisestä Unified CM -ohjelmassa on kohdassa Cisco Unified Communications Manager-ominaisuusmääritysopas.

Cisco VPN-toiminto käyttää Secure Sockets Layer (SSL) -toimintoa verkon turvallisuuden suojelemiseksi.