Vous pouvez activer Cisco Unified Communications Manager pour fonctionner dans un environnement de sécurité renforcée. Grâce à ces améliorations, votre réseau téléphonique fonctionne dans le cadre d'un ensemble de commandes de gestion des risques et de sécurité strictes, pour vous protéger, ainsi que vos utilisateurs.

L'environnement de sécurité renforcée inclut les fonctionnalités suivantes :

  • Authentification de recherche de contacts.

  • TCP en tant que protocole par défaut pour l'enregistrement d'audit à distance.

  • Mode FIPS.

  • Une politique d'authentification améliorée.

  • Prise en charge de la gamme SHA-2 de hachage pour la signature numérique.

  • Prise en charge d'une taille de clé RSA de 512 et 4096 bits.

Grâce à Cisco Unified Communications Manager version 14.0 et à la version 2.1 et ultérieure du micrologiciel du téléphone vidéo Cisco, les téléphones prennent en charge l'authentification OAuth SIP.

OAuth est pris en charge par le protocole TFTP (Trivial File Transfer Protocol) par proxy avec Cisco Unified Communications Manager version 14.0(1)SU1 ou ultérieure. Les proxy TFTP et OAuth pour proxy TFTP ne sont pas pris en charge sur Mobile Remote Access (MRA).

Pour plus d'informations sur la sécurité, voir ce qui suit :

Le téléphone ne peut stocker qu'un nombre limité de fichiers de liste de confiance d'identité (ITL). Les fichiers ITL ne peuvent pas dépasser la limite de 64 Ko sur le téléphone, alors limitez le nombre de fichiers que Cisco Unified Communications Manager envoie au téléphone.

Fonctionnalités de sécurité prises en charge

Les fonctionnalités de sécurité offrent une protection contre les menaces, notamment les menaces relatives à l’identité du téléphone et aux données. Ces fonctionnalités établissent et maintiennent des flux de communication authentifiés entre le téléphone et le serveur Cisco Unified Communications Manager. De plus, elles veillent à ce que le téléphone utilise uniquement des fichiers à signature numérique.

Les versions 8.5(1) et ultérieures de Cisco Unified Communications Manager incluent Security par défaut, qui permet aux fonctionnalités de sécurité pour les téléphones IP Cisco d'être utilisées sans le client CTL :

  • Signature des fichiers de configuration du téléphone

  • Chiffrement des fichiers de configuration du téléphone

  • HTTPS avec Tomcat et d'autres services Web

Il est toutefois nécessaire d'exécuter le client CTL et d'utiliser les eTokens matériels pour bénéficier du signalement sécurisé et des fonctionnalités multimédia.

Implémenter la sécurité dans le système Cisco Unified Communications Manager permet de prévenir les usurpations d'identité pour le téléphone et le serveur Cisco Unified Communications Manager, la falsification des données ainsi que la falsification du signalement des appels et des flux multimédia.

Pour se protéger contre ces menaces, le réseau de téléphonie IP Cisco Unified établit et maintient des flux de communication sécurisés (chiffrés) entre un téléphone et le serveur, signe numériquement les fichiers avant leur transfert vers un téléphone et crypte les flux multimédia ainsi que le signalement des appels entre les téléphones IP Cisco Unified.

Lorsque vous effectuez les tâches nécessaires associées au CAPF (fonction proxy de l'autorité de certification), un LSC (certificat valable localement) est installé sur les téléphones. Vous pouvez utiliser Cisco Unified Communications Manager Administration pour configurer un LSC, comme indiqué dans le guide de sécurité de Cisco Unified Communications Manager. Vous pouvez aussi lancer l'installation d'un LSC à partir du menu Paramètres de sécurité du téléphone. Vous pouvez aussi effectuer dans ce menu la mise à jour ou la suppression du certificat LSC.

Un certificat valable localement ne peut être utilisé comme certificat utilisateur pour EAP-TLS avec l'authentification de réseau WLAN.

Les téléphones utilisent le profil de sécurité du téléphone, qui détermine si le périphérique est sécurisé ou non. Pour plus d'informations sur l'application du profil de sécurité au téléphone, consultez la documentation relative à votre version particulière de Cisco Unified Communications Manager.

Si vous configurez des paramètres de sécurité dans Cisco Unified Communications Manager Administration, sachez que le fichier de configuration du téléphone contient des informations sensibles. Pour garantir la confidentialité d'un fichier de configuration, vous devez configurer son chiffrement. Pour plus d'informations, reportez-vous à la documentation relative à votre version particulière de Cisco Unified Communications Manager.

Le téléphone est conforme à la norme FIPS (Federal Information Processing Standards). Pour fonctionner correctement, le mode FIPS exige une taille de clé de 2048 bits ou supérieure. Si le certificat est d'une taille inférieure à 2048 bits, le téléphone ne s'enregistre pas auprès de Cisco Unified Communications Manager et le message Le téléphone n'a pas pu être enregistré. La taille de la clé de certificat n'est pas conforme à FIPS s'affiche sur le téléphone.

Si le téléphone comporte un LSC (certificat valable localement), vous devez mettre à jour la taille de clé du LSC à 2048 bits ou plus avant d'activer FIPS.

Le tableau suivant fournit une vue d'ensemble des fonctionnalités de sécurité prises en charge par le téléphone. Pour obtenir plus d'informations, reportez-vous à la documentation de votre version de Cisco Unified Communications Manager.

Pour afficher le mode de sécurité, appuyez sur Paramètres Le lecteur dur Paramètres Et accédez à Paramètres réseau et service > sécurité.

Tableau 1. Vue d’ensemble des fonctionnalités de sécurité

Fonctionnalité

Description

Authentification de l’image

Des fichiers binaires signés permettent de prévenir la falsification du fichier image du micrologiciel avant que celui-ci ne soit chargé sur un téléphone.

La modification de l’image entraînerait l’échec du processus d'authentification du téléphone et le rejet de la nouvelle image.

Installation d'un certificat sur site client

Un certificat unique doit être affecté à chaque téléphone IP Cisco pour l’authentification de périphérique. Les téléphones comportent un certificat installé par le fabricant (MIC), mais pour plus de sécurité, vous pouvez spécifier l'installation d'un certificat dans Cisco Unified Communications Manager Administration en utilisant la fonctionnalité proxy d'autorité de certificat (CAPF). Vous pouvez aussi installer un certificat valable localement (LSC) à partir du menu Paramétrage de sécurité du téléphone.

Authentification du périphérique

A lieu entre le serveur Cisco Unified Communications Manager et le téléphone lorsque chaque entité accepte le certificat de l'autre entité. Détermine si une connexion sécurisée peut être établie entre le téléphone et un Cisco Unified Communications Manager. Si nécessaire, elle crée un chemin de signalement sécurisé entre ces entités grâce au protocole TLS. Cisco Unified Communications Manager n'enregistre que les téléphones qu'il peut authentifier.

Authentification des fichiers

Valide les fichiers signés numériquement qui ont été téléchargés sur le téléphone. Le téléphone valide la signature pour garantir qu'aucune falsification n'a eu lieu après la création du fichier. Les fichiers qui ne peuvent pas être authentifiés ne sont pas inscrits dans la mémoire flash du téléphone. Le téléphone rejette ces fichiers, sans traitement supplémentaire.

Chiffrement des fichiers

Le chiffrement garantit la confidentialité des informations sensibles lorsque le fichier est en transit vers le téléphone. De plus, le téléphone valide la signature pour confirmer qu'aucune falsification n'a eu lieu après la création du fichier. Les fichiers qui ne peuvent pas être authentifiés ne sont pas inscrits dans la mémoire flash du téléphone. Le téléphone rejette ces fichiers, sans traitement supplémentaire.

Authentification du signalement

Utilise le protocole TLS pour vérifier qu'aucune falsification des paquets de signalement n'a eu lieu pendant la transmission.

Certificat installé en usine

Chaque téléphone IP Cisco contient un certificat unique installé en usine (MIC), qui est utilisé pour l’authentification du périphérique. Le MIC agit comme une preuve unique et permanente d'identité pour le téléphone et permet à Cisco Unified Communications Manager d'authentifier le téléphone.

Chiffrement multimédia

Utilise SRTP pour garantir la sécurité des flux multimédia entre les périphériques pris en charge et pour garantir que seul l'appareil souhaité peut recevoir et lire les données. Implique la création d’une paire de clés multimédia principales pour les périphériques, la remise de ces clés sur les périphériques, et la sécurisation de la remise des clés pendant leur transport.

CAPF (fonction proxy de l'autorité de certification)

Met en œuvre des parties de la procédure de génération de certificat qui nécessitent un traitement trop intensif pour le téléphone, et interagit avec le téléphone pour générer des clés et pour installer des certificats. La fonctionnalité CAPF peut être configurée pour demander à la place du téléphone, des certificats provenant d'autorités de certification spécifiées par le client, ou pour générer des certificats localement.

Les types de touches EC (courbe elliptique) et RSA sont pris en charge. Pour utiliser la clé EC, assurez-vous que le paramètre "Endpoint Advanced Encryption Algorithms Support" (à partir du paramètre System >Enterprise) est activé.

Pour plus d'informations sur CAPF et les configurations associées, consultez les documents suivants :

Profil de sécurité

Détermine si un téléphone n'est pas sécurisé, s'il est authentifié, chiffré ou protégé. Les autres entrées de ce tableau décrivent des fonctionnalités de sécurité.

Fichiers de configuration chiffrés

Permettent d'assurer la confidentialité des fichiers de configuration du téléphone.

Désactivation optionnelle d'un serveur web pour un téléphone

Pour des raisons de sécurité, vous pouvez empêcher l'accès aux pages web pour un téléphone (qui révèlent plusieurs statistiques opérationnelles pour le téléphone) ainsi qu'au portail d'aide en libre-service.

Renforcement de la sécurité du téléphone

Options de sécurité supplémentaires, paramétrables depuis Cisco Unified Communications Manager Administration :

  • Désactivation du port PC
  • Désactivation des requêtes ARP gratuites (GARP)
  • Désactivation de l'accès au VLAN vocal du PC
  • Désactiver l'accès au menu Paramètres ou fournir un accès restreint
  • Désactivation de l'accès aux pages web pour un téléphone
  • Désactivation du port d'accessoires Bluetooth
  • Restriction des codes de chiffrement TLS

Authentification 802.1x

Le téléphone IP Cisco peut utiliser l’authentification 802.1X pour demander et obtenir l'accès au réseau. Pour plus d'informations, reportez-vous à la section Authentification 802.1X.

Basculement SIP sécurisé pour SRST

Lorsque vous configurez une référence de sécurité Survivable Remote Site Telephony (SRST) et que vous réinitialisez les périphériques associés dans Cisco Unified Communications Manager Administration, le serveur TFTP ajoute le certificat SRST au fichier cnf.xml du téléphone et envoie ce fichier au téléphone. Un téléphone sécurisé utilise alors une connexion TLS pour interagir avec le routeur compatible SRST.

Chiffrement du signalement

Garantit le chiffrement de tous les messages de signalement SIP transmis entre l'appareil et le serveur Cisco Unified Communications Manager.

Alerte Liste de confiance mise à jour

Lorsque la liste de confiance est mise à jour sur le téléphone, Cisco Unified Communications Manager reçoit une alerte indiquant la réussite ou l'échec de la mise à jour. Pour plus d'informations, reportez-vous au tableau suivant.

Chiffrement AES 256

S'ils sont connectés à Cisco Unified Communications Manager version 10.5(2) ou ultérieure, les téléphones peuvent utiliser le chiffrement AES 256 pour TLS et SIP lors du chiffrement du signalement et des flux multimédia. Les téléphones peuvent ainsi établir et prendre en charge des connexions TLS 1.2 à l'aide de codes AES-256 conformes aux normes SHA-2 (algorithme de hachage sécurisé) et respectant les normes fédérales de traitement d’informations (FIPS). Les codes de chiffrement sont les suivants :

  • Pour les connexions TLS :
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Pour sRTP :
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Pour plus d'informations, reportez-vous à la documentation de Cisco Unified Communications Manager.

Certificats ECDSA (Elliptic Curve Digital Signature Algorithm )

Dans le cadre de la certification de critères communs (CC), Cisco Unified Communications Manager a ajouté des certificats ECDSA dans la version 11.0. Cela affecte tous les produits de système d'exploitation vocal (VOS) fonctionnant avec les versions CUCM 11.5 et versions ultérieures.

Certificat Tomcat multiserveur (SAN) avec Cisco UCM

Le téléphone prend en charge Cisco UCM avec des certificats Tomcat multiserveurs (SAN) configurés. L'adresse correcte du serveur TFTP figure dans le fichier ITL du téléphone pour l'enregistrement du téléphone.

Pour plus d'informations sur la fonctionnalité, consultez les rubriques suivantes :

Le tableau suivant contient les différents messages d'alerte de mise à jour de la liste de confiance ainsi que leur signification. Pour plus d'informations, reportez-vous à la documentation de Cisco Unified Communications Manager.

Tableau 2. Messages d'alerte Liste de confiance mise à jour
Code et message Description

1 - TL_SUCCESS

Nouveau CTL et/ou ITL reçu

2 - CTL_INITIAL_SUCCESS

Nouveau CTL reçu, pas de TL existant

3 - ITL_INITIAL_SUCCESS

Nouveau ITL reçu, pas de TL existant

4 - TL_INITIAL_SUCCESS

Nouveaux CTL et ITL reçus, pas de TL existant

5 - TL_FAILED_OLD_CTL

Échec de la MàJ du nouveau CTL, mais TL précédent présent

6 - TL_FAILED_NO_TL

Échec de la MàJ du nouveau TL, pas de TL précédent présent

7 - TL_FAILED

Échec générique

8 - TL_FAILED_OLD_ITL

Échec de la MàJ du nouveau ITL, mais TL précédent présent

9 - TL_FAILED_OLD_TL

Échec de la MàJ de la nouveau TL, mais TL précédent présent

Le menu Paramétrage de sécurité fournit des informations sur les différents paramètres de sécurité. Il permet également d'accéder au menu Liste de confiance et indique si les fichiers CTL ou ITL sont installés sur le téléphone.

Le tableau suivant décrit les options disponibles dans le menu Paramétrage de sécurité.

Tableau 3. Menu Paramétrage de sécurité

Option

Description

Pour modifier

Mode de sécurité

Affiche le mode de sécurité qui est défini pour le téléphone.

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone. Les paramètres sont affichés dans la partie Informations propres au protocole de la fenêtre Configuration du téléphone.

LSC

Indique si un certificat valable localement utilisé pour des fonctionnalités de sécurité est installé sur le téléphone (Installé) ou n'est pas installé sur le téléphone (Non installé).

Pour plus d'informations sur la gestion du LSC pour votre téléphone, consultez la documentation relative à votre version particulière de Cisco Unified Communications Manager.

Configuration d’un certificat localement important (LSC)

Cette tâche s'applique à la configuration d'un certificat valable localement avec la méthode de chaîne d'authentification.

Avant de commencer

Vérifiez que les configurations de sécurité pour Cisco Unified Communications Manager et pour CAPF (Certificate Authority Proxy Function, fonction proxy d'autorité de certificat) ont été effectuées :

  • Le fichier CTL ou ITL doit être doté d'un certificat CAPF.

  • Les certificats CAPF doivent être installés dans Cisco Unified Communications Operating System Administration.

  • CAPF doit être configuré et en cours d’exécution.

Pour plus d'informations sur ces paramètres, consultez la documentation relative à votre version particulière de Cisco Unified Communications Manager.

1

Obtenez le code d’authentification CAPF qui a été défini lors de la configuration de CAPF.

2

Sur le téléphone, appuyez sur Paramètres the Settings hard key.

3

Si vous y êtes invité, entrez le mot de passe pour accéder au menu Paramètres . Vous pouvez obtenir le mot de passe auprès de votre administrateur.

4

Accédez à Réseau et services > Paramètres de sécurité> LSC.

Vous pouvez contrôler l'accès au menu Paramètres grâce au champ Accès aux paramètres de Cisco Unified Communications Manager Administration.

5

Saisissez la chaîne d'authentification et sélectionnez Soumettre .

Le téléphone commence à installer, mettre à jour ou supprimer le certificat valable localement, selon le mode de configuration du CAPF. Lorsque la procédure est terminée, le texte Installé ou Non installé s'affiche à l’écran du téléphone.

Le processus d’installation, de mise à jour ou de suppression du certificat valable localement peut prendre un certain temps.

Lorsque l’installation sur le téléphone réussit, le message Installé s’affiche. Si le téléphone affiche Non installé, la chaîne d’autorisation est peut-être incorrecte, ou il est peut-être impossible d’effectuer une mise à niveau sur le téléphone. Si l’opération de CAPF supprime le certificat valable localement, le téléphone affiche Non installé pour indiquer la réussite de l’opération. Le serveur CAPF enregistre les messages d’erreur. Reportez-vous à la documentation relative au serveur CAPF pour savoir où trouver les journaux et pour connaître la signification des messages d’erreur.

Activer le mode FIPS

1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone, et localisez le téléphone.

2

Déplacez-vous jusqu'à la zone Configuration spécifique au produit.

3

Définissez le champ Mode FIPS à Activé.

4

Sélectionnez Enregistrer.

5

Sélectionnez Appliquer la configuration.

6

Redémarrez le téléphone.

Désactiver le haut-parleur, le casque et le combiné d'un téléphone

Vous pouvez désactiver définitivement le haut-parleur, le casque et le combiné d'un téléphone pour votre utilisateur.

1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone, et localisez le téléphone.

2

Déplacez-vous jusqu'à la zone Configuration spécifique au produit.

3

Cochez une ou plusieurs des cases suivantes pour désactiver les fonctionnalités du téléphone :

  • Désactivation du haut-parleur
  • Désactiver le haut-parleur et le casque
  • Désactiver le combiné

Par défaut, ces cases sont désactivées.

4

Sélectionnez Enregistrer.

5

Sélectionnez Appliquer la configuration.

Authentification 802.1x

Les téléphones IP Cisco prennent en charge l’authentification 802.1X.

Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole de découverte Cisco (CDP) pour s’identifier entre eux et pour déterminer des paramètres tels que l’allocation d’un réseau VLAN et les exigences relatives à l'alimentation en ligne. CDP n’identifie pas localement les postes de travail raccordés. Les téléphones IP Cisco fournissent un mécanisme de connexion directe à EAPOL. Grâce à ce mécanisme, un poste de travail raccordé au téléphone IP Cisco peut faire passer des messages EAPOL à l’authentifiant 802.1X et au commutateur LAN. Le mécanisme de connexion directe assure que le téléphone IP n’agisse pas en tant que commutateur LAN pour authentifier un terminal de données avant d'accéder au réseau.

Les téléphones IP Cisco fournissent également un mécanisme de déconnexion d’EAPOL par proxy. Si l’ordinateur raccordé localement est déconnecté du téléphone IP, le commutateur LAN ne détecte pas l’interruption de la liaison physique, car la liaison entre le commutateur LAN et le téléphone IP est maintenue. Pour éviter de compromettre l’intégrité du réseau, le téléphone IP envoie au commutateur un message EAPOL-Logoff au nom de l’ordinateur en aval, pour que le commutateur LAN efface la valeur d’authentification correspondant à l'ordinateur en aval.

La prise en charge de l’authentification 802.1X requiert plusieurs composants :

  • Téléphone IP Cisco : le téléphone envoie la requête d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux autoriser de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l’authentification réseau.

  • Serveur d'authentification : le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé qui authentifie le téléphone.

  • Commutateur : le commutateur doit prendre en charge la norme 802.1X, afin de pouvoir agir comme authentifiant et transmettre les messages entre le téléphone et le serveur d'authentification. Une fois l’échange terminé, le commutateur accorde ou refuse au téléphone l’autorisation d’accéder au réseau.

Vous devez effectuer les actions suivantes pour configurer 802.1X.

  • Configurez les autres composants avant d'activer l’authentification 802.1X sur le téléphone.

  • Configure PC Port (Configurer le port PC) : La norme 802.1X ne tenant pas compte des VLAN, il est recommandé qu’un seul périphérique soit authentifié pour un port de commutation donné. Toutefois, certains commutateurs prennent en charge l’authentification sur plusieurs domaines. La configuration du commutateur détermine si vous pouvez brancher un ordinateur dans le port PC du téléphone.

    • Activé : si vous utilisez un commutateur qui prend en charge l'authentification multi-domaine, vous pouvez activer le port PC et y connecter un ordinateur. Dans ce cas, les téléphones IP Cisco prennent en charge la déconnexion d’EAPOL par proxy pour surveiller les échanges d’authentification entre le commutateur et l’ordinateur relié.

      Pour obtenir plus d’informations sur la prise en charge de la norme IEEE 802.1X sur les commutateurs Catalyst Cisco, reportez-vous aux guides de configuration des commutateurs Catalyst Cisco, disponibles à l'adresse :

      Http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Désactivé : si le commutateur ne prend pas en charge plusieurs périphériques conformes à 802.1x sur le même port, vous devez désactiver le port PC lorsque l'authentification 802.1x est activée. Si vous ne désactivez pas ce port et tentez ensuite d’y raccorder un ordinateur, le commutateur refusera l'accès réseau au téléphone et à l’ordinateur.

  • Configure Voice VLAN (Configurer le VLAN voix) : la norme 802.1X ne tenant pas compte des VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.
    • Activé : si vous utilisez un commutateur qui prend en charge l’authentification sur plusieurs domaines, vous pouvez continuer à utiliser le VLAN voix.
    • Désactivé : si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port à un VLAN natif.
  • (Pour téléphone de bureau Cisco série 9800 uniquement)

    Le PID du téléphone de bureau Cisco 9800 Series comporte un préfixe différent de celui des autres téléphones Cisco. Pour activer votre téléphone avec succès l'authentification 802.1x, définissez le Rayon· Nom d'utilisateur pour inclure votre téléphone de bureau Cisco série 9800.

    Par exemple, le PID du téléphone 9841 est DP-9841 ; vous pouvez définir Radius· Nom d'utilisateur commençant par DP ou contient DP. Vous pouvez le définir dans les deux sections suivantes :

    • Stratégie > Conditions > Conditions de la bibliothèque

    • Stratégie > Ensembles de stratégies > Autorisation Stratégie > Règle d'autorisation 1

Activer l'authentification 802.1X

Vous pouvez activer l'authentification 802.1 X pour votre téléphone en procédant comme suit :

1

Appuyez sur Paramètresthe Settings hard key.

2

Si vous y êtes invité, entrez le mot de passe pour accéder au menu Paramètres . Vous pouvez obtenir le mot de passe auprès de votre administrateur.

3

Accédez à Réseau et services > Paramètres de sécurité> Authentification 802.1X.

4

Activez l'authentification IEEE 802.1X.

5

Sélectionnez Appliquer.

Afficher les informations relatives aux paramètres de sécurité du téléphone

Vous pouvez afficher les informations relatives aux paramètres de sécurité dans le menu du téléphone. La disponibilité des informations dépend des paramètres réseau de votre organisation.

1

Appuyez sur Paramètresthe Settings key.

2

Accédez à Réseau et services > Paramètres de sécurité.

3

Dans les paramètres de sécurité, affichez les informations suivantes.

Tableau 4. Paramètres des paramètres de sécurité

Paramètres

Description

Mode sécurité

Affiche le mode de sécurité qui est défini pour le téléphone.

LSC

Indique si un certificat valable localement utilisé pour des fonctionnalités de sécurité est installé sur le téléphone (Oui) ou n'est pas installé sur le téléphone (Non).

Liste de confiance

La Liste sécurisée dispose de sous-menus pour le CTL, l'ITL et les fichiers de configuration signés.

Le sous-menu Fichier CTL affiche le contenu du fichier CTL. Le sous-menu Fichier ITL affiche le contenu du fichier ITL.

Le menu Liste sécurisée affiche également les informations suivantes :

  • Signature CTL : l'empreinte SHA1 du fichier CTL
  • CM unifié / Serveur TFTP : le nom du Cisco Unified Communications Manager et du serveur TFTP utilisés par le téléphone. Affiche une icône de certificat si un certificat est installé pour ce serveur.
  • Serveur CAPF : le nom du serveur CAPF utilisé par le téléphone. Affiche une icône de certificat si un certificat est installé pour ce serveur.
  • Routeur SRST : l'adresse IP du routeur SRST de confiance que le téléphone peut utiliser. Affiche une icône de certificat si un certificat est installé pour ce serveur.

Sécurité des appels téléphoniques

Lorsque la sécurité est appliquée à un téléphone, une icône s'affiche à l’écran du téléphone. Une tonalité de sécurité est également émise au début des appels lorsque le téléphone connecté est sécurisé et protégé.

Lors d’un appel sécurisé, tous les flux de signalisation d’appel et multimédia sont chiffrés. Les appels sécurisé offrent un niveau élevé de sécurité, ce qui assure leur intégrité et leur confidentialité. Lorsqu'un appel en cours est chiffré, l'icône de sécurité apparaît L'icône en forme de verrou pour un appel sécurisé Sur la ligne. Dans le cas d'un téléphone sécurisé, vous pouvez également afficher l'icône authentifiée Ou l'icône chiffrée En regard du serveur connecté dans le menu du téléphone (Paramètres > À propos de ce périphérique).

Si l’appel est acheminé au moyen de tronçons autres que des tronçons IP, par exemple, par PSTN, l'appel risque de ne pas être sécurisé même s’il est chiffré sur le réseau IP et que l’icône représentant un verrou y est associée.

Lors d’un appel sécurisé, une tonalité de sécurité est émise au début de l’appel pour indiquer que l’autre téléphone connecté reçoit et émet aussi de l’audio sécurisé. Si l'appel se connecte à un téléphone non sécurisé, la tonalité de sécurité n’est pas émise.

Les appels sécurisés ne sont pris en charge que pour les connexions entre deux téléphones. Certaines fonctionnalités, comme la conférence téléphonique et la ligne partagée, ne sont pas disponibles lorsque l'appel sécurisé est configuré.

Lorsqu'un téléphone est configuré comme sécurisé (chiffré et fiable) dans Cisco Unified Communications Manager, il peut recevoir protégé statut. Ensuite, si vous le souhaitez, le téléphone protégé peut être configuré pour émettre une tonalité indicative au début de l'appel :

  • Protected Device (Périphérique protégé) : pour remplacer l’état d’un téléphone sécurisé par l’état protégé, cochez la case Protected Device (Périphérique protégé) dans la fenêtre Phone Configuration (Configuration du téléphone) de Cisco Unified Communications Manager Administration (Périphérique > Téléphone).

  • Play Secure Indication Tone (Émettre la tonalité de sécurisation) : pour que le téléphone protégé émette une tonalité indiquant que le téléphone est sécurisé ou non, définissez cette option par True. Par défaut, l’option Play Secure Indication Tone (Émettre la tonalité de sécurisation) est définie par False. Vous pouvez régler cette option dans Cisco Unified Communications Manager Administration (Système > Paramètres de service). Sélectionnez le serveur, puis le service Unified Communications Manager. Dans la fenêtre Service Parameter Configuration (Configuration des paramètres de service), sélectionnez l’option dans la zone Fonction - Tonalité de sécurité. La valeur par défaut est False.

Identification d’une conférence téléphonique sécurisée

Vous pouvez lancer une conférence téléphonique sécurisée et surveiller le niveau de sécurité des participants. Le processus d’établissement d’une conférence téléphonique sécurisée est le suivant :

  1. Un utilisateur lance la conférence sur un téléphone sécurisé.

  2. Cisco Unified Communications Manager attribue un pont de conférence sécurisé à l'appel.

  3. À mesure que les participants sont ajoutés à la conférence, Cisco Unified Communications Manager vérifie le mode de sécurité de chaque téléphone et maintient le niveau de sécurité de la conférence.

  4. Le téléphone affiche le niveau de sécurité de la conférence téléphonique. Lors d'une conférence sécurisée, l'icône de sécurité s'affiche L'icône en forme de verrou pour un appel sécurisé.

Les appels sécurisés sont pris en charge entre deux téléphones. Pour les téléphones sécurisés, certaines fonctionnalités, comme la conférence téléphonique, la ligne partagée et Extension Mobility (Mobilité de poste), ne sont pas disponibles lorsque l'appel sécurisé est configuré.

Le tableau suivant présente des informations sur les modifications du niveau de sécurité en fonction du niveau de sécurité du téléphone de l’initiateur, le niveau de sécurité des participants, et la disponibilité des ponts de conférence sécurisés.

Tableau 5. Restrictions relatives à la sécurisation des conférences téléphoniques

Niveau de sécurité du téléphone de l’initiateur

Fonctionnalité utilisée

Niveau de sécurité des participants

Résultat de l'action

Non sécurisé

Conférence

Sécurisé

Pont de conférence non sécurisé

Conférence non sécurisée

Sécurisé

Conférence

Au moins un membre n’est pas sécurisé.

Pont de conférence sécurisé

Conférence non sécurisée

Sécurisé

Conférence

Sécurisé

Pont de conférence sécurisé

Conférence de niveau sécurisé chiffré

Non sécurisé

MultConf

Le niveau de sécurité minimum est chiffré.

L’initiateur reçoit le message Ne respecte pas le niveau de sécurité, appel rejeté.

Sécurisé

MultConf

Le niveau de sécurité minimum est non sécurisé.

Pont de conférence sécurisé

La conférence accepte tous les appels.

Identification d’un appel téléphonique sécurisé

Un appel sécurisé est établi lorsque votre téléphone et le téléphone distant sont configurés avec la sécurisation des appels. L'autre téléphone peut résider sur le même réseau IP Cisco, ou sur un autre réseau hors du réseau IP. Il n’est possible de passer des appels sécurisés qu’entre deux téléphones. Il est nécessaire de configurer un pont de conférence sécurisé pour que les conférences téléphoniques prennent en charge les appels sécurisés.

Le processus d’établissement d’un appel sécurisé est le suivant :

  1. Un utilisateur passe l’appel sur un téléphone sécurisé (mode de sécurité sécurisé).

  2. Le téléphone affiche l'icône de sécurisation L'icône en forme de verrou pour un appel sécurisé Sur l'écran du téléphone. Cette icône indique que le téléphone est configuré pour les appels sécurisés, mais cela ne signifie pas que l’autre téléphone connecté est sécurisé.

  3. L’utilisateur entend une tonalité de sécurité si l’appel est connecté à un autre téléphone sécurisé, indiquant que les deux extrémités de la conversation sont chiffrées et sécurisées. Si l’appel est connecté à un téléphone non sécurisé, l'utilisateur n’entend pas la tonalité de sécurité.

Les appels sécurisés sont pris en charge entre deux téléphones. Pour les téléphones sécurisés, certaines fonctionnalités, comme la conférence téléphonique, la ligne partagée et Extension Mobility (Mobilité de poste), ne sont pas disponibles lorsque l'appel sécurisé est configuré.

Seuls les téléphones protégés émettent ces tonalités de sécurisation ou de non-sécurisation. Les téléphones non protégés n'émettent jamais les tonalités. Si l'état global de l'appel change au cours d'un appel, la tonalité indicative change et le téléphone protégé émet la tonalité adéquate.

L’émission d’une tonalité sur les téléphones protégés est soumise aux conditions suivantes :

  • Lorsque l’option Play Secure Indication Tone (Émettre la tonalité de sécurisation) est activée :

    • Lorsqu'une connexion sécurisée de bout en bout est établie et que l'état de l'appel est sécurisé, le téléphone émet la tonalité de sécurisation (trois bips longs avec des pauses).

    • Lorsqu'une connexion n’est pas sécurisée de bout en bout et que l'appel n’est pas sécurisé, le téléphone émet la tonalité de non-sécurisation (six bips courts avec de brèves pauses).

Lorsque l'option Play Secure Indication Tone (Émettre la tonalité de sécurisation) est désactivée, aucune tonalité n’est émise.

Fourniture de chiffrement pour l'insertion

Cisco Unified Communications Manager vérifie le statut de sécurité du téléphone lorsque des conférences sont établies et modifie les indications de sécurité pour la conférence ou bloque la réalisation de l'appel pour maintenir l'intégrité et la sécurité du système.

Un utilisateur ne peut pas s'insérer dans un appel chiffré si le téléphone utilisé pour l'insertion n'est pas configuré pour le chiffrement. Lorsque l'insertion échoue dans ce cas, une tonalité de réorganisation (Tonalité occupé rapide) sort du téléphone sur lequel a été lancée l'insertion.

Si le téléphone de l'initiateur est configuré pour le chiffrement, l'initiateur de l'insertion peut s'insérer dans un appel non sécurisé à partir du téléphone chiffré. Après l'insertion, Cisco Unified Communications Manager classe l'appel comme étant non sécurisé.

Si le téléphone de l'initiateur est configuré pour le chiffrement, l'initiateur de l'insertion peut s'insérer dans un appel chiffré et le téléphone indique que l'appel est chiffré.

Sécurité WLAN

Cette section s'applique uniquement aux modèles de téléphones équipés de la fonctionnalité Wi-Fi.

Sécurité WLAN

Tout périphérique WLAN étant à portée peut recevoir n'importe quel trafic WLAN : en conséquence, la sécurisation des communications voix est un élément essentiel des réseaux WLAN. Pour garantir qu'aucun intrus ne manipule ou n'intercepte le trafic voix, l'architecture de sécurité SAFE de Cisco prend en charge le téléphone. Pour plus d'informations sur la sécurité dans les réseaux, consultez http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solution de téléphonie Cisco Wireless IP assure la sécurité des réseaux sans fil, empêchant les connexions non autorisées et les communications dangereuses à l'aide des méthodes d'authentification suivantes prises en charge par le téléphone :

  • Authentification ouverte : tout périphérique sans fil peut demander une authentification dans un système ouvert. Le point d'accès qui reçoit la requête peut accorder l'authentification à n'importe quel demandeur ou seulement aux demandeurs présents sur une liste d'utilisateurs. Les communications entre le périphérique sans fil et le point d'accès (AP) peuvent être non chiffrées.

  • Authentification EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) : cette architecture de sécurité client-serveur chiffre EAP transactions circulant par un tunnel de sécurité au niveau du transport (TLS) entre le point d'accès et le serveur RADIUS, tel que le moteur des services de vérification d'identité (ISE).

    Le tunnel TLS utilise des identifiants PAC (Protected Access Credentials) lors de l'authentification du client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au client (téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux terminaux détiennent alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le provisionnement automatique de PAC, mais vous devez activer cette option sur le serveur RADIUS.

    Dans ISE, par défaut, le PAC expire au bout d'une semaine. Si le téléphone détient un PAC qui a expiré, l'authentification avec le serveur RADIUS prend plus de temps, car le téléphone doit obtenir un nouveau PAC. Pour éviter les délais de provisionnement de PAC, configurez la durée de vie du PAC à 90 jours ou plus sur le serveur ISE ou RADIUS.

  • L'authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)  : EAP-TLS requiert un certificat client pour l'authentification et l'accès au réseau. Pour les EAP-TLS sans fil, le certificat client peut être MIC, LSC ou installé par l'utilisateur.

  • Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Le téléphone peut utiliser PEAP pour s'authentifier auprès du réseau sans fil. Les méthodes d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.

  • Pre-Shared Key (PSK) : le téléphone prend en charge ASCII format. Vous devez utiliser ce format lors de la configuration d'une clé pré-partagée WPA/WPA2/SAE :

    ASCII : chaîne de caractères ASCII de 8 à 63 caractères en longueur (0-9, minuscules et majuscules A-Z, et caractères spéciaux)

    Exemple : GREG123567@9ZX&W

Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :

  • WPA/WPA2/WPA3 : utilise les informations du serveur RADIUS pour générer des clés d'authentification uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA2/WPA3 assure une sécurité renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.

  • Itinérance sécurisée rapide : utilise le serveur RADIUS et les informations d'un serveur de domaine sans fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations d'identification pour les périphériques clients compatibles FT, permettant ainsi une ré-authentification rapide et sécurisée. Les téléphones de bureau Cisco 9861 et 9871 et les téléphones vidéo Cisco 8875 prennent en charge 802.11r (FT). La DS est prise en charge à la fois sur les ondes et sur la DS pour permettre une itinérance rapide et sécurisée. Mais nous recommandons vivement d'utiliser la méthode 802.11r (FT) aérienne.

Avec WPA/WPA2/WPA3, les clés de chiffrement ne sont pas saisies sur le téléphone, mais sont automatiquement dérivées entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP utilisés pour l'authentification doivent être saisis sur chaque téléphone.

Pour garantir la sécurité du trafic voix, le téléphone prend en charge TKIP et AES pour le chiffrement. Lorsque ces mécanismes sont utilisés pour le chiffrement, les paquets de signalement SIP et les paquets de RTP (Real-Time Transport Protocol) vocal sont chiffrés entre le point d'accès et le téléphone.

TKIP

WPA utilise un chiffrement TKIP qui bénéficie de nombreux avantages par rapport à WEP. TKIP assure un chiffrement des clés par paquet et des vecteurs d'initialisation (IV) plus longs qui renforcent le chiffrement. De plus, un message de vérification d'intégrité (MIC) garantit la non-altération des paquets chiffrés. TKIP permet de supprimer le caractère prévisible de WEP, qui faciliterait le déchiffrage de la clé WEP par des intrus.

AES

Une méthode de codage utilisée pour l'authentification WPA2/WPA3. Ce standard national de chiffrement utilise un algorithme symétrique qui emploie une clé identique pour le chiffrement et le décodage. AES utilise un chiffrement CBC (Cipher Blocking Chain) de 128 bits et prend ainsi en charge les tailles de clé de 128, 192 et 256 bits au minimum. Le téléphone prend en charge une taille de clé de 256 bits.

Les téléphones de bureau Cisco 9861 et 9871 et les téléphones vidéo Cisco 8875 ne prennent pas en charge le protocole CKIP (Cisco Key Integrity Protocol) avec CMIC.

Les modèles d'authentification et de chiffrement sont configurés dans le LAN sans fil. Les VLAN sont configurés dans le réseau et sur les points d'accès. Ils spécifient différentes combinaisons d'authentification et de chiffrement. Un SSID s'associe avec un VLAN et avec un modèle spécifique d'authentification et de chiffrement. Pour que les périphériques clients sans fil réussissent à s'authentifier, vous devez configurer les mêmes SSID avec leurs modèles d'authentification et de chiffrement sur les points d'accès et le téléphone.

Certains modèles d'authentification nécessitent des types de chiffrement spécifiques.

  • Lorsque vous utilisez WPA clé pré-partagée, WPA2 ou SAE, la clé pré-partagée doit être configurée de manière statique sur le téléphone. Ces clés doivent correspondre à celles présentes sur le point d'accès.

  • Le téléphone prend en charge la négociation EAP automatique pour FAST ou PEAP, mais pas pour TLS. Pour EAP-TLS mode, vous devez le préciser.

Les modèles d'authentification et de chiffrement présentés dans le tableau suivant indiquent les options de configuration réseau pour le téléphone correspondant à la configuration du point d'accès.

Tableau 6. Modèles d'authentification et de chiffrement
Type de FSRAuthentificationGestion des clésChiffrementCadre de gestion protégé (CMR)
802.11r (FT)Clé pré-partagée

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNon
802.11r (FT)WPA3

SAE

FT-SAE

AESOui
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNon
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNon
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNon
802.11r (FT)PAE-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui

Configurer un profil LAN sans fil

Vous pouvez gérer le profil de votre réseau sans fil en configurant les informations d'identification, la gamme de fréquences, la méthode d'authentification, etc.

Gardez à l'esprit les remarques suivantes avant de configurer le profil WLAN :

  • Nom d'utilisateur et mot de passe

    • Lorsque votre réseau utilise EAP-FAST et PEAP pour l'authentification de l'utilisateur, vous devez configurer le nom d'utilisateur et le mot de passe si nécessaire sur le service d'authentification de l'utilisateur à distance (RADIUS) et le téléphone.

    • Les informations d'authentification que vous entrez dans le profil de réseau local sans fil doivent être les mêmes que celles que vous avez configurées sur le serveur RADIUS.

    • Si vous utilisez des domaines à l'intérieur du réseau, vous devez saisir le nom d'utilisateur avec le nom de domaine au format : domaine\nomutilisateur.

  • Les actions suivantes pourraient entraîner la suppression du mot de passe Wifi existant :

    • Entrez un id utilisateur ou un mot de passe non valide
    • L'installation d'une autorité de certification racine expirée ou non valide lorsque le type EAP est défini sur PEAP-MSCHAPV2 ou PEAP-GTC
    • Désactiver le type EAP en cours d'utilisation sur le serveur RADIUS avant de basculer le téléphone vers le nouveau type EAP
  • Pour modifier le type de EAP, assurez-vous d'activer d'abord le nouveau type de EAP sur le serveur RADIUS, puis basculez le téléphone vers le type de EAP. Lorsque tous les téléphones sont passés au nouveau type EAP, vous pouvez désactiver le type EAP précédent si vous le souhaitez.
1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Paramètres du périphérique > Profil du réseau local sans fil.

2

Choisissez le profil réseau à configurer.

3

Configurer les paramètres

4

Cliquez sur Enregistrer.

Installer manuellement un certificat de serveur d'authentification

Vous pouvez installer manuellement un certificat de serveur d'authentification sur un téléphone si le Protocole d'inscription des certificats simples (SCEP) n'est pas disponible.

Le certificat d'autorité de certification racine qui a émis le certificat du serveur RADIUS doit être installé pour EAP-TLS.

Avant de commencer

Avant d'installer un certificat sur un téléphone, vous devez disposer d'un certificat du serveur d'authentification enregistré sur votre PC. Le certificat doit être codé en PEM (Base-64) ou DER.

1

À partir de la page web d'administration du téléphone, choisissez Certificats.

2

Localisez le champ serveur d'authentification de l'autorité de certification et cliquez sur Installer.

3

Trouvez le certificat sur votre PC.

4

Cliquez sur Télécharger.

5

Redémarrez le téléphone une fois que le téléchargement est terminé.

Si vous réinstallez plusieurs certificats, seul le dernier installé sera utilisé.

Installer manuellement un certificat utilisateur

Vous pouvez installer manuellement un certificat utilisateur sur un téléphone si le Protocole d'inscription des certificats simples (SCEP) n'est pas disponible.

Le certificat installé en usine préinstallé (MIC, Manufacturing Installed Certificate) est utilisable en tant que certificat utilisateur pour EAP-TLS.

Après l'installation du certificat utilisateur, ajoutez-le à la liste de confiance du serveur RADIUS.

Avant de commencer

Avant d'installer un certificat utilisateur pour un téléphone, vous devez avoir :

  • Un certificat utilisateur enregistré sur votre PC. Le certificat doit être au format PKCS #12.

  • Le mot de passe permettant d'extraire le certificat.

    Ce mot de passe peut comporter jusqu'à 16 caractères.

1

À partir de la page web d'administration du téléphone, choisissez Certificats.

2

Localisez le champ Installation par l'utilisateur et cliquez sur Installer.

3

Trouvez le certificat sur votre PC.

4

Dans le champ Extraire le mot de passe, saisissez le mot de passe extrait du certificat.

5

Cliquez sur Télécharger.

6

Redémarrez le téléphone une fois que le téléchargement est terminé.

Supprimer manuellement un certificat de sécurité

Vous pouvez supprimer manuellement un certificat de sécurité à partir d'un téléphone si le Protocole d'inscription des certificats simples (SCEP) n'est pas disponible.

1

À partir de la page web d'administration du téléphone, choisissez Certificats.

2

Localisez le certificat sur la page Certificats.

3

Cliquez sur Supprimer.

4

Redémarrez le téléphone une fois terminé le processus de suppression.

Configuration des paramètres SCEP

Le protocole simple d'enregistrement de certificats (SCEP) représente la norme pour la mise à disposition et le renouvellement automatiques de certificats. Le serveur SCEP peut gérer automatiquement vos certificats d'utilisateur et de serveur.

Vous devez configurer les paramètres SCEP suivants sur votre page web du téléphone

  • Adresse IP RA

  • Empreinte SHA-1 ou SHA-256 du certificat CA de certification racine du serveur SCEP

L'autorité d'inscription (Registration Authority, RA) Cisco IOS fait office de proxy pour le serveur SCEP. Le client SCEP sur le téléphone utilise les paramètres qui sont téléchargés à partir de Cisco Unified Communications Manager. Après avoir configuré les paramètres, le téléphone envoie une demande SCEP getcs à la RA et le certificat racine CA est validé à l'aide de l'empreinte défini.

Avant de commencer

Sur le serveur SCEP, configurez le SCEP Agent d'inscription à :

  • Se comporter comme un point de confiance d'infrastructure de clé publique
  • Agir en tant qu'infrastructure de clé publique RA
  • Réaliser l'authentification du périphérique à l'aide d'un serveur RADIUS

Pour plus d'informations, consultez votre documentation de serveur SCEP.

1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone.

2

Localisez le téléphone.

3

Faites défiler la page jusqu'à la zone Configuration spécifique au produit.

4

Cochez la case Serveur SCEP de réseau local sans fil pour activer le paramètre SCEP.

5

Cochez la case Empreinte d'autorité de certification racine de réseau local sans fil (SHA256 ou SHA1) pour activer le paramètre SCEP QED.

Configurer les versions prises en charge de TLS

Vous pouvez configurer la version minimale de TLS requise respectivement pour le client et le serveur.

Par défaut, la version minimale TLS du serveur et du client est la version 1.2. Ce paramètre a des répercussions sur les fonctions suivantes :

  • Connexion d'accès Web HTTPS
  • Intégration des téléphones locaux
  • Intégration pour mobile et Remote Access (MRA)
  • Les services HTTPS, tels que les services d'annuaire
  • Sécurité de la couche de transport de datagramme (DTLS)
  • Entité d'accès au port (PAE)
  • Protocole d'authentification extensible - Sécurité des couches de transport (EAP-TLS)

Pour plus d'informations sur la compatibilité TLS 1.3 pour Cisco IP Phones, reportez-vous à TLS Matrice de compatibilité 1.3 pour les produits Cisco Collaboration.

1

Connectez-vous à Cisco Unified Communications Manager Administration en tant qu'administrateur.

2

Accédez à l'une des fenêtres suivantes :

  • Système > Configuration des téléphones d'entreprise
  • Périphérique > Paramètres du périphérique> Profil de téléphone commun
  • Configuration du périphérique > Téléphone >Téléphone
3

Définissez le champ TLS Version minimale du client :

L'option "TLS 1.3" est disponible sur Cisco Unified CM 15SU2, ou version ultérieure.
  • TLS 1.1 : Le client TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS sur le serveur est inférieure à 1.1, par exemple, 1.0, la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : le client TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS sur le serveur est inférieure à 1.2, par exemple, 1.1 ou 1.0, la connexion ne peut pas être établie.

  • TLS 1.3 : Le client TLS ne prend en charge que TLS 1.3.

    Si la version TLS sur le serveur est inférieure à 1.3, par exemple, 1.2, 1.1 ou 1.0, la connexion ne peut pas être établie.

4

Définissez le champ TLS Version minimale du serveur :

  • TLS 1.1 : Le serveur TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS dans le client est inférieure à 1.1, par exemple, 1.0, la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : le serveur TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS dans le client est inférieure à 1.2, par exemple, 1.1 ou 1.0, la connexion ne peut pas être établie.

  • TLS 1.3 : Le serveur TLS ne prend en charge que TLS 1.3.

    Si la version TLS dans le client est inférieure à 1.3, par exemple, 1.2, 1.1 ou 1.0, la connexion ne peut pas être établie.

À partir de la version PhoneOS 3.2, le paramètre du champ "Désactiver TLS 1.0 et TLS 1.1 pour l'accès Web" ne prend pas effet sur les téléphones.
5

Cliquez sur Enregistrer.

6

Cliquez sur Appliquer la configuration.

7

Redémarrez les téléphones.

Services garantis SIP

Assured Services SIP(AS-SIP) (Services garantis SIP) est un ensemble de fonctions et de protocoles qui offrent un flux d'appels hautement sécurisé pour les téléphones IP Cisco et les téléphones tiers. Les fonctionnalités suivantes sont collectivement dénommées AS-SIP :

  • Préséance et préemption à plusieurs niveaux (MLPP, Multilevel Precedence and Preemption)
  • Marquage DSCP (Differentiated Services Code Point)
  • Sécurité de la couche transport (TLS, Transport Layer Security) et protocole de transport sécurisé en temps réel (SRTP, Secure Real-time Transport Protocol)
  • Protocole IP version 6 (IPv6)

AS-SIP est souvent utilisé avec la fonction préséance et préemption à plusieurs niveaux (MLPP) pour classer les appels en cas d'urgence. Avec MLPP, vous affectez un niveau de priorité à vos appels sortants, à partir du niveau 1 (faible) au niveau 5 (élevé). Lorsque vous recevez un appel, une icône de niveau de priorité s'affiche sur le téléphone qui indique la priorité d'appel.

Pour configurer AS-SIP, effectuez les tâches suivantes sur Cisco Unified Communications Manager :

  • Configurer un utilisateur Digest : configurez l'utilisateur final pour utiliser l'authentification digest pour les requêtes SIP entrantes.
  • Configurer le Port sécurisé SIP du téléphone : Cisco Unified Communications Manager utilise ce port pour écouter les téléphones SIP pour les enregistrements de lignes SIP sur TLS.
  • Redémarrer les Services : après avoir configuré le port sécurisé, redémarrer les services du fournisseur Cisco Unified Communications Manager et Cisco CTL. Configurer le profil SIP pour AS-SIP : configurer un profil SIP avec des paramètres SIP pour vos terminaux AS-SIP et vos lignes principales SIP. Les paramètres spécifiques au téléphone ne sont pas téléchargés dans le cas d'un téléphone AS-SIP de fabricant tiers. Ils sont uniquement utilisés par Cisco Unified Manager. Les téléphones de fabricants tiers doivent configurer localement les mêmes paramètres.
  • Configurer le profil de sécurité pour AS-SIP : vous pouvez utiliser le profil de sécurité du téléphone pour attribuer des paramètres de sécurité tels que TLS, SRTP et l'authentification digest.
  • Configurer le point de terminaison AS-SIP : configurer un point de terminaison de téléphone IP Cisco ou un point de terminaison tiers avec prise en charge AS-SIP.
  • Associer le périphérique à l'utilisateur final : associez le point de terminaison à un utilisateur.
  • Configurer un profil de sécurité de ligne principale SIP pour AS-SIP : vous pouvez utiliser le profil de sécurité de ligne principale sip pour affecter des fonctionnalités de sécurité telles que l'authentification TLS ou digest à une ligne principale SIP.
  • Configurez la ligne principale SIP pour AS-SIP : configurez une ligne principale SIP avec prise en charge AS-SIP.
  • Configurer les fonctionnalités AS-SIP : configurer des fonctionnalités AS-SIP supplémentaires telles que MLPP, TLS, V.150 et IPv6.

Pour plus d'informations sur la configuration d'AS-SIP, reportez-vous au chapitre "Configurer les terminaux AS-SIP" du Guide de configuration des fonctions pour Cisco Unified Communications Manager.

Préséance et préemption à plusieurs niveaux

La fonction Préséance et Préemption à Plusieurs Niveaux (MLPP) vous permet de donner la priorité à certains appels au cours des situations d'urgence ou d'autres crises. Vous affectez à vos appels sortants, une priorité comprise entre 1 et 5. Les appels entrants affichent une icône et la priorité d'appel. Les utilisateurs authentifiés peuvent préempter les appels vers des stations ciblées ou via des lignes principales TDM auxquelles vous êtes entièrement abonné.

Cette fonctionnalité garantit au personnel de haut niveau la communication avec les organisations et le personnel critiques.

MLPP est souvent utilisé avec les services garantis Assured Services SIP(AS-SIP). Pour plus d'informations sur la configuration de MLPP, reportez-vous au chapitre Configurer la priorité et la préemption à plusieurs niveaux dans le Guide de configuration des fonctionnalités pour Cisco Unified Communications Manager.

Configurer FAC et CMC

Lorsque les codes d'autorisation forcée (FAC) ou les codes d'affaire client (CMC), ou les deux, sont configurés sur le téléphone, les utilisateurs doivent saisir un numéro par mot de passe requis.

Pour plus d'informations sur la configuration des FAC et des CMC dans Cisco Unified Communications Manager, reportez-vous au chapitre «  Codes d'affaire client et codes d'autorisation forcée" du Guide de configuration des fonctionnalités de Cisco Unified Communications Manager, version 12.5 (1) ou ultérieure.