Vous pouvez activer Cisco Unified Communications Manager pour qu'il fonctionne dans un environnement de sécurité renforcée. Grâce à ces améliorations, votre réseau téléphonique fonctionne sous un ensemble de contrôles stricts de sécurité et de gestion des risques pour vous protéger, ainsi que vos utilisateurs.

L'environnement de sécurité renforcée comprend les fonctionnalités suivantes :

  • Authentification de recherche de contacts.

  • TCP comme protocole par défaut pour la journalisation d'audit à distance.

  • Mode FIPS.

  • Une politique d'authentification améliorée.

  • Prise en charge de la famille de hachages SHA-2 pour les signatures numériques.

  • Prise en charge d'une taille de clé RSA de 512 bits et 4096 bits.

Avec Cisco Unified Communications Manager version 14.0 et la version du micrologiciel du téléphone vidéo Cisco 2.1 et versions ultérieures, les téléphones prennent en charge l'authentification SIP OAuth.

OAuth est pris en charge par le protocole TFTP (Trivial File Transfer Protocol) proxy avec Cisco Unified Communications Manager version 14.0 (1) SU1 ou version ultérieure. Les proxy TFTP et OAuth pour proxy TFTP ne sont pas pris en charge sur Mobile Remote Access (MRA).

Pour plus d'informations sur la sécurité, voir ce qui suit :

Votre téléphone ne peut stocker qu'un nombre limité de fichiers de liste de confiance d'identité (ITL). Les fichiers ITL ne peuvent pas dépasser 64 K sur le téléphone, alors limitez le nombre de fichiers que Cisco Unified Communications Manager envoie au téléphone.

Fonctionnalités de sécurité prises en charge

Les fonctionnalités de sécurité protègent contre les menaces, notamment contre l'identité du téléphone et contre les données. Ces fonctionnalités établissent et maintiennent des flux de communication authentifiés entre le téléphone et le serveur Cisco Unified Communications Manager, et garantissent que le téléphone n'utilise que des fichiers signés numériquement.

La version 8.5 (1) et ultérieures de Cisco Unified Communications Manager inclut la fonction de sécurité par défaut, qui fournit les fonctionnalités de sécurité suivantes pour les téléphones IP Cisco sans exécuter le client CTL :

  • Signature des fichiers de configuration téléphoniques

  • Chiffrement du fichier de configuration du téléphone

  • HTTPS avec Tomcat et d’autres services web

La signalisation sécurisée et les fonctionnalités média nécessitent toujours que vous exécutiez le client CTL et utilisiez les eTokens matériels.

La mise en œuvre de la sécurité dans le système Cisco Unified Communications Manager empêche l'usurpation d'identité du téléphone et du serveur Cisco Unified Communications Manager, empêche la falsification des données et empêche la signalisation des appels et la falsification du flux de médias.

Pour atténuer ces menaces, le réseau de téléphonie IP Cisco établit et maintient des flux de communication sécurisés (chiffrés) entre un téléphone et le serveur, signe numériquement les fichiers avant leur transfert vers un téléphone, et crypte les flux multimédia et la signalisation d'appel entre les téléphones IP Cisco.

Un certificat localement significatif (LSC) est installé sur les téléphones une fois que vous avez effectué les tâches nécessaires associées à la fonction proxy de l'autorité de certification (CAPF). Vous pouvez utiliser Cisco Unified Communications Manager Administration pour configurer un LSC, comme décrit dans le Guide de sécurité de Cisco Unified Communications Manager. Vous pouvez également lancer l'installation d'un certificat valable localement à partir du menu Paramètres de sécurité du téléphone. Ce menu vous permet également de mettre à jour ou de supprimer un certificat valable localement.

Un certificat valable localement ne peut pas être utilisé comme certificat utilisateur pour EAP-TLS avec authentification WLAN.

Les téléphones utilisent le profil de sécurité du téléphone, qui définit si le périphérique est sécurisé ou non. Pour plus d'informations sur l'application du profil de sécurité au téléphone, consultez la documentation relative à votre version particulière de Cisco Unified Communications Manager.

Si vous configurez des paramètres de sécurité dans Cisco Unified Communications Manager Administration, le fichier de configuration du téléphone contient des informations sensibles. Pour garantir la confidentialité d'un fichier de configuration, vous devez le configurer pour le chiffrement. Pour obtenir des informations détaillées, reportez-vous à la documentation relative à votre version particulière de Cisco Unified Communications Manager.

Le téléphone est conforme à la norme FIPS (Federal Information Processing Standard). Pour fonctionner correctement, le mode FIPS nécessite une taille de clé de 2048 bits ou plus. Si le certificat est inférieur à 2048 bits, le téléphone ne s'enregistre pas auprès de Cisco Unified Communications Manager et Le téléphone n'a pas pu être enregistré. La taille de la clé de certificat n'est pas conforme à FIPS s'affiche sur le téléphone.

Si le téléphone dispose d'un certificat valable localement, vous devez mettre à jour la taille de clé du certificat valable localement à 2048 bits ou plus avant d'activer FIPS.

Le tableau suivant présente une vue d'ensemble des fonctionnalités de sécurité prises en charge par les téléphones. Pour plus d'informations, reportez-vous à la documentation relative à votre version particulière de Cisco Unified Communications Manager.

Pour afficher le mode de sécurité, appuyez sur Paramètres la touche matérielle Paramètres et allez dans Réseau et service > Paramètres de sécurité.

Tableau 1. Aperçu des fonctionnalités de sécurité

Fonctionnalité

Description

Authentification des images

Des fichiers binaires signés empêchent la falsification de l'image du micrologiciel avant que celle-ci ne soit chargée sur un téléphone.

La falsification de l'image entraîne l'échec du processus d'authentification du téléphone et le rejet de la nouvelle image.

Installation du certificat du site du client

Chaque téléphone IP Cisco nécessite un certificat unique pour l'authentification de périphérique. Les téléphones comportent un certificat installé en usine (MIC), mais pour plus de sécurité, vous pouvez spécifier l'installation d'un certificat dans Cisco Unified Communications Manager Administration à l'aide de la fonction proxy d'autorité de certification (CAPF). Vous pouvez également installer un certificat valable localement (LSC) à partir du menu Configuration de sécurité du téléphone.

Authentification du périphérique

Se produit entre le serveur Cisco Unified Communications Manager et le téléphone lorsque chaque entité accepte le certificat de l'autre entité. Détermine si une connexion sécurisée entre le téléphone et un Cisco Unified Communications Manager doit se produire ; et si nécessaire, crée un chemin de signalisation sécurisé entre les entités à l'aide du protocole TLS. Cisco Unified Communications Manager n'enregistre pas les téléphones à moins qu'il ne puisse les authentifier.

Authentification des fichiers

Valide les fichiers signés numériquement téléchargés par le téléphone. Le téléphone valide la signature pour s'assurer que le fichier n'a pas été altéré après la création du fichier. Les fichiers qui échouent à l'authentification ne sont pas écrits dans la mémoire flash du téléphone. Le téléphone rejette ces fichiers sans traitement ultérieur.

Chiffrement des fichiers

Le chiffrement empêche la divulgation d'informations sensibles lorsque le fichier est en transit vers le téléphone. De plus, le téléphone valide la signature pour s'assurer que le fichier n'a pas été altéré après sa création. Les fichiers qui échouent à l'authentification ne sont pas écrits dans la mémoire flash du téléphone. Le téléphone rejette ces fichiers sans traitement ultérieur.

Authentification de la signalisation

Utilise le protocole TLS pour vérifier qu'aucune falsification des paquets de signalisation n'a eu lieu pendant la transmission.

Certificat installé en usine

Chaque téléphone IP Cisco contient un certificat unique installé en usine (MIC), qui est utilisé pour l’authentification du périphérique. Le MIC fournit une preuve unique et permanente d'identité pour le téléphone et permet à Cisco Unified Communications Manager d'authentifier le téléphone.

Cryptage média

Utilise SRTP pour s'assurer que les flux multimédia entre les périphériques pris en charge sont sécurisés et que seul le périphérique prévu reçoit et lit les données. Comprend la création d'une paire de clés média principale pour les périphériques, la livraison des clés aux périphériques et la sécurisation de la livraison des clés pendant que celles-ci sont en transport.

CAPF (fonction proxy de l'autorité de certification)

Met en œuvre des parties de la procédure de génération de certificat qui nécessitent trop de traitement pour le téléphone, et interagit avec le téléphone pour la génération de clés et l'installation de certificat. Le CAPF peut être configuré pour demander des certificats à partir d'autorités de certification spécifiées par le client pour le compte du téléphone, ou il peut être configuré pour générer des certificats localement.

Les deux types de touches EC (Elliptical Curve) et RSA sont pris en charge. Pour utiliser la clé EC, vérifiez que le paramètre « Prise en charge des algorithmes de chiffrement avancés des terminaux » (à partir de Système > Paramètre d'entreprise) est activé.

Pour plus d'informations sur CAPF et les configurations connexes, consultez les documents suivants :

Profil de sécurité

Définit si le téléphone est non sécurisé, authentifié, chiffré ou protégé. Les autres entrées de ce tableau décrivent des fonctions de sécurité.

Fichiers de configuration chiffrés

Vous permet de garantir la confidentialité des fichiers de configuration du téléphone.

Désactivation optionnelle d'un serveur web pour un téléphone

Pour des raisons de sécurité, vous pouvez empêcher l'accès aux pages Web d'un téléphone (qui affichent diverses statistiques de fonctionnement du téléphone) et au portail d'aide en libre-service.

Renforcement du téléphone

Options de sécurité supplémentaires, que vous contrôlez depuis Cisco Unified Communications Manager Administration :

  • Désactivation du port PC
  • Désactivation de la fonction Gratuitous ARP (GARP)
  • Désactivation de l'accès au VLAN vocal du PC
  • Désactivation de l’accès au menu Paramètres ou fourniture d’un accès restreint
  • Désactivation de l'accès aux pages Web d'un téléphone
  • Désactivation du port d'accessoires Bluetooth
  • Restriction des codes de chiffrement TLS

Authentification 802.1X

Le téléphone IP Cisco peut utiliser l'authentification 802.1X pour demander et obtenir l'accès au réseau. Voir Authentification 802.1X pour plus d'informations.

Basculement SIP sécurisé pour SRST

Après avoir configuré une référence SRST (Survivable Remote Site Telephony) pour la sécurité, puis réinitialisé les périphériques dépendants dans Cisco Unified Communications Manager Administration, le serveur TFTP ajoute le certificat SRST au fichier cnf.xml du téléphone et envoie le fichier au téléphone. Un téléphone sécurisé utilise ensuite une connexion TLS pour interagir avec le routeur compatible SRST.

Chiffrement de la signalisation

Garantit que tous les messages de signalisation SIP qui sont envoyés entre le périphérique et le serveur Cisco Unified Communications Manager sont chiffrés.

Alerte de mise à jour de la liste de confiance

Lorsque la liste de confiance est mise à jour sur le téléphone, Cisco Unified Communications Manager reçoit une alarme pour indiquer la réussite ou l'échec de la mise à jour. Reportez-vous au tableau suivant pour plus d'informations.

Chiffrement AES 256

Lorsqu'ils sont connectés à Cisco Unified Communications Manager version 10.5 (2) et versions ultérieures, les téléphones prennent en charge la prise en charge du chiffrement AES 256 pour TLS et SIP pour le chiffrement de signalisation et des médias. Cela permet aux téléphones d’initier et de prendre en charge des connexions TLS 1.2 à l’aide de codes de chiffrement AES-256 conformes aux normes SHA-2 (Secure Hash Algorithm) et conformes aux normes fédérales de traitement de l’information (FIPS). Les codes de chiffrement incluent :

  • Pour les connexions TLS :
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Pour sRTP :
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Pour plus d'informations, reportez-vous à la documentation de Cisco Unified Communications Manager.

Certificats ECDSA (Elliptic Curve Digital Signature Algorithm)

Dans le cadre de la certification de critères communs (CC), Cisco Unified Communications Manager ; a ajouté des certificats ECDSA dans la version 11.0. Cela affecte tous les produits de système d'exploitation vocal (VOS) exécutant CUCM 11.5 et versions ultérieures.

Certificat Tomcat multi-serveur (SAN) avec Cisco UCM

Le téléphone prend en charge Cisco UCM avec des certificats Tomcat multi-serveurs (SAN) configurés. L’adresse correcte du serveur TFTP se trouve dans le fichier ITL du téléphone pour l’enregistrement du téléphone.

Pour plus d'informations sur la fonctionnalité, consultez les rubriques suivantes :

Le tableau suivant contient les messages d'alarme de mise à jour de la liste de confiance et leur signification. Pour plus d'informations, reportez-vous à la documentation de Cisco Unified Communications Manager.

Tableau 2. Messages d'alarme de mise à jour de la liste de confiance
Code et message Description

1 - TL_RÉUSSI

Nouveau CTL et/ou ITL reçu

2 - SUCCÈS INITIAL__CTL

Nouveau CTL reçu, pas de TL existant

3 - SUCCÈS_INITIAL_INITIAL

Nouveau ITL reçu, pas de TL existant

4 - SUCCÈS INITIAL__INITIAL

Nouveaux CTL et ITL reçus, pas de TL existant

5 - TL_ÉCHEC_OLD_CTL

Échec de la mise à jour du nouveau CTL, mais TL précédent présent

6 - TL_A ÉCHOUÉ_AUCUN_TL

Échec de la mise à jour du nouveau TL, et il n’y a pas d’ancien TL

7 - L_A ÉCHOUÉ

Échec générique

8 - TL_ÉCHEC_ANCIEN_ITL

Échec de la mise à jour du nouvel ITL, mais TL précédent présent

9 - TL_A ÉCHOUÉ_OLD_TL

Échec de la mise à jour du nouveau TL, mais TL précédent présent

Le menu Paramétrage de sécurité fournit des informations sur les différents paramètres de sécurité. Le menu permet également d'accéder au menu Liste de confiance et indique si le fichier CTL ou ITL est installé sur le téléphone.

Le tableau suivant décrit les options du menu Paramétrage de sécurité.

Tableau 3. Menu Paramétrage de sécurité

Option

Description

Pour changer

Mode de sécurité

Affiche le mode de sécurité qui est défini pour le téléphone.

Dans Cisco Unified Communications Manager Administration, choisissez Périphérique > Téléphone. Le paramètre apparaît dans la partie Protocol Specific Information (Informations spécifiques au protocole) de la fenêtre Phone Configuration (Configuration du téléphone).

lsc

Indique si un certificat valable localement qui est utilisé pour les fonctions de sécurité est installé sur le téléphone (installé) ou non installé sur le téléphone (non installé).

Pour plus d'informations sur la gestion du certificat valable localement pour votre téléphone, consultez la documentation relative à votre version particulière de Cisco Unified Communications Manager.

Configurer un certificat localement significatif (LSC)

Cette tâche s'applique à la configuration d'un certificat valable localement avec la méthode de chaîne d'authentification.

Avant de commencer

Assurez-vous que les configurations de sécurité appropriées de Cisco Unified Communications Manager et de la fonction proxy d'autorité de certification (CAPF) sont terminées :

  • Le fichier CTL ou ITL comporte un certificat CAPF.

  • Dans Cisco Unified Communications Operating System Administration, vérifiez que le certificat CAPF est installé.

  • Le CAPF est en cours d’exécution et configuré.

Pour plus d'informations sur ces paramètres, consultez la documentation relative à votre version particulière de Cisco Unified Communications Manager.

1

Obtenez le code d'authentification CAPF qui a été défini lors de la configuration du CAPF.

2

Sur le téléphone, appuyez sur Paramètres la touche matérielle Paramètres.

3

Si vous y êtes invité, saisissez le mot de passe pour accéder au menu Paramètres . Vous pouvez obtenir le mot de passe de votre administrateur.

4

Allez dans Réseau et Service > Paramètres de sécurité > LSC.

Vous pouvez contrôler l'accès au menu Paramètres à l'aide du champ Accès aux paramètres de Cisco Unified Communications Manager Administration.

5

Saisissez la chaine de caractères d'authentification et sélectionnez Soumettre.

Le téléphone commence à installer, mettre à jour ou supprimer le certificat valable localement, selon la configuration du CAPF. Lorsque la procédure est terminée, Installé ou Non installé s'affiche sur le téléphone.

Le processus d'installation, de mise à jour ou de suppression du certificat valable localement peut prendre beaucoup de temps.

Lorsque la procédure d'installation du téléphone est réussie, le message Installé s'affiche. Si le téléphone affiche Non installé, la chaîne d'autorisation est peut-être incorrecte ou la mise à niveau du téléphone n'est pas activée. Si l'opération CAPF supprime le certificat valable localement, le téléphone affiche Non installé pour indiquer que l'opération a réussi. Le serveur CAPF enregistre les messages d'erreur. Reportez-vous à la documentation du serveur CAPF pour localiser les journaux et comprendre la signification des messages d'erreur.

Activer le mode FIPS

1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone et localisez le téléphone.

2

Allez à la zone Configuration spécifique au produit .

3

Configurez le champ Mode FIPS sur Activé.

4

Sélectionnez Enregistrer.

5

Sélectionnez Appliquer la configuration.

6

Redémarrez le téléphone.

Désactivez le haut-parleur, le casque et le combiné sur un téléphone

Vous avez la possibilité de désactiver définitivement le haut-parleur, le casque et le combiné sur un téléphone pour votre utilisateur.

1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone et localisez le téléphone.

2

Allez à la zone Configuration spécifique au produit .

3

Activez une ou plusieurs des cases à cocher suivantes pour désactiver les fonctions du téléphone :

  • Désactiver le haut-parleur
  • Désactiver le haut-parleur et le casque
  • Désactiver le combiné

Par défaut, ces cases à cocher sont décochées.

4

Sélectionnez Enregistrer.

5

Sélectionnez Appliquer la configuration.

Authentification 802.1X

Les téléphones IP Cisco prennent en charge l'authentification 802.1X.

Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole CDP (Cisco Discovery Protocol) pour s’identifier les uns les autres et déterminer des paramètres tels que l’allocation VLAN et les besoins en alimentation en ligne. CDP n’identifie pas localement les postes de travail raccordés. Les téléphones IP Cisco fournissent un mécanisme de transmission EAPOL. Ce mécanisme permet à un poste de travail raccordé au téléphone IP Cisco de transmettre des messages EAPOL à l’authentificateur 802.1X au niveau du commutateur LAN. Le mécanisme de transmission directe garantit que le téléphone IP n'agit pas en tant que commutateur LAN pour authentifier un point de terminaison de données avant d'accéder au réseau.

Les téléphones IP Cisco fournissent également un mécanisme de déconnexion EAPOL par proxy. Si l’ordinateur connecté localement se déconnecte du téléphone IP, le commutateur LAN ne voit pas la connexion physique en panne, car la liaison entre le commutateur LAN et le téléphone IP est maintenue. Pour éviter de compromettre l'intégrité du réseau, le téléphone IP envoie un message EAPOL-Logoff au commutateur pour le compte de l'ordinateur en aval, ce qui déclenche le commutateur LAN pour effacer l'entrée d'authentification de l'ordinateur en aval.

La prise en charge de l'authentification 802.1X nécessite plusieurs composants :

  • Téléphone IP Cisco : Le téléphone lance la demande d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux administrateurs réseau de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l'authentification réseau.

  • Serveur d’authentification : Le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé qui authentifie le téléphone.

  • Commuter : Le commutateur doit prendre en charge 802.1X, afin qu'il puisse agir en tant qu'authentificateur et transmettre les messages entre le téléphone et le serveur d'authentification. Une fois l'échange terminé, le commutateur accorde ou refuse au téléphone l'accès au réseau.

Vous devez effectuer les actions suivantes pour configurer 802.1X.

  • Configurez les autres composants avant d'activer l'authentification 802.1X sur le téléphone.

  • Configurer le port PC : La norme 802.1X ne prend pas en compte les VLAN et recommande donc qu'un seul périphérique soit authentifié sur un port de commutation spécifique. Cependant, certains commutateurs prennent en charge l'authentification sur plusieurs domaines. La configuration du commutateur détermine si vous pouvez connecter un PC au port PC du téléphone.

    • Activé : Si vous utilisez un commutateur qui prend en charge l'authentification sur plusieurs domaines, vous pouvez activer le port PC et y connecter un ordinateur. Dans ce cas, les téléphones IP Cisco prennent en charge le déconnexion de l'EAPOL par proxy pour surveiller les échanges d'authentification entre le commutateur et l'ordinateur connecté.

      Pour plus d'informations sur la prise en charge de la norme IEEE 802.1X sur les commutateurs Catalyst Cisco, reportez-vous aux guides de configuration des commutateurs Catalyst Cisco à l'adresse :

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Désactivé : Si le commutateur ne prend pas en charge plusieurs périphériques compatibles 802.1X sur le même port, vous devez désactiver le port PC lorsque l'authentification 802.1X est activée. Si vous ne désactivez pas ce port et que vous tentez ensuite d’y brancher un ordinateur, le commutateur refuse l’accès réseau au téléphone et à l’ordinateur.

  • Configurer le VLAN voix : Étant donné que la norme 802.1X ne prend pas en compte les VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.
    • Activé : Si vous utilisez un commutateur qui prend en charge l’authentification sur plusieurs domaines, vous pouvez continuer à utiliser le VLAN voix.
    • Désactivé : Si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port au VLAN natif.
  • (Pour les téléphones Cisco Desk Phone série 9800 uniquement)

    Le PID du téléphone de bureau Cisco série 9800 comporte un préfixe différent de celui des autres téléphones Cisco. Pour permettre à votre téléphone de passer l'authentification 802.1X, configurez le paramètre Radius·Nom d'utilisateur pour inclure votre téléphone de bureau Cisco série 9800.

    Par exemple, le PID du téléphone 9841 est DP-9841 ; vous pouvez configurer Radius.Nom d'utilisateur sur Démarrer avec DP ou Contient DP. Vous pouvez le configurer dans les deux sections suivantes :

    • Politique > Conditions > Conditions de la bibliothèque

    • Politique > Ensembles de politiques > Politique d'autorisation > Règle d'autorisation 1

Activer l'authentification 802.1X

Vous pouvez activer l'authentification 802.1X pour votre téléphone en procédant comme suit :

1

Appuyez sur Paramètresla touche matérielle Paramètres.

2

Si vous y êtes invité, saisissez le mot de passe pour accéder au menu Paramètres . Vous pouvez obtenir le mot de passe de votre administrateur.

3

Allez dans Réseau et service > Paramètres de sécurité > Authentification 802.1X.

4

Activez l'authentification IEEE 802.1X.

5

Sélectionnez Appliquer.

Afficher des informations sur les paramètres de sécurité du téléphone

Vous pouvez afficher les informations sur les paramètres de sécurité dans le menu du téléphone. La disponibilité des informations dépend des paramètres réseau de votre organisation.

1

Appuyez sur Paramètresla touche Paramètres.

2

Allez dans Réseau et service > Paramètres de sécurité.

3

Dans les Paramètres de sécurité, affichez les informations suivantes.

Tableau 4. Paramètres des paramètres de sécurité

Paramètres

Description

Mode de sécurité

Affiche le mode de sécurité qui est défini pour le téléphone.

lsc

Indique si un certificat valable localement utilisé pour les fonctions de sécurité est installé sur le téléphone (Oui) ou non sur le téléphone (Non).

Liste de confiance

La liste de confiance fournit des sous-menus pour les fichiers de configuration CTL, ITL et signés.

Le sous-menu Fichier CTL affiche le contenu du fichier CTL. Le sous-menu Fichier ITL affiche le contenu du fichier ITL.

Le menu Liste de confiance affiche également les informations suivantes :

  • Signature CTL : le hachage SHA1 du fichier CTL
  • Serveur Unified CM/TFTP : le nom de Cisco Unified Communications Manager et du serveur TFTP utilisés par le téléphone. Affiche une icône de certificat si un certificat est installé pour ce serveur.
  • Serveur CAPF : le nom du serveur CAPF utilisé par le téléphone. Affiche une icône de certificat si un certificat est installé pour ce serveur.
  • Routeur SRST : l’adresse IP du routeur SRST de confiance que le téléphone peut utiliser. Affiche une icône de certificat si un certificat est installé pour ce serveur.

Sécurité des appels téléphoniques

Lorsque la sécurité est mise en œuvre pour un téléphone, vous pouvez identifier les appels téléphoniques sécurisés par des icônes sur l'écran du téléphone. Vous pouvez également déterminer si le téléphone connecté est sécurisé et protégé si une tonalité de sécurité est émise au début de l'appel.

Lors d'un appel sécurisé, tous les flux de signalisation d'appel et de média sont chiffrés. Un appel sécurisé offre un niveau élevé de sécurité, assurant son intégrité et sa confidentialité. Lorsqu’un appel en cours est chiffré, vous pouvez voir l’icône sécurisée l'icône de verrouillage pour un appel sécurisé sur la ligne. Pour un téléphone sécurisé, vous pouvez également afficher l'icône authentifiée ou l'icône chiffrée à côté du serveur connecté dans le menu du téléphone (Paramètres > À propos de ce périphérique).

Si l'appel est acheminé via des tronçons d'appels non IP, par exemple, RTCP, l'appel peut ne pas être sécurisé même s'il est chiffré sur le réseau IP et qu'une icône de verrouillage lui est associée.

Lors d'un appel sécurisé, une tonalité de sécurité est émise au début d'un appel pour indiquer que l'autre téléphone connecté reçoit et transmet également un son sécurisé. Si votre appel est connecté à un téléphone non sécurisé, la tonalité de sécurité n'est pas émise.

Les appels sécurisés ne sont pris en charge que pour les connexions entre deux téléphones. Certaines fonctions, telles que la conférence téléphonique et les lignes partagées, ne sont pas disponibles lorsque l'appel sécurisé est configuré.

Lorsqu'un téléphone est configuré comme sécurisé (chiffré et approuvé) dans Cisco Unified Communications Manager, il peut recevoir un statut protégé . Ensuite, si vous le souhaitez, le téléphone protégé peut être configuré pour émettre une tonalité d'indication au début d'un appel :

  • Périphérique protégé : Pour remplacer l'état d'un téléphone sécurisé par protégé, cochez la case Protected Device (Périphérique protégé) dans la fenêtre Phone Configuration (Configuration du téléphone) de Cisco Unified Communications Manager Administration (Périphérique > Téléphone).

  • Diffuser la tonalité de sécurisation : Pour permettre au téléphone protégé de diffuser une tonalité d'indication sécurisée ou non, définissez le paramètre Play Secure Indication Tone sur True (Lire la tonalité d'indication sécurisée). Par défaut, Play Secure Indication Tone (Émettre la tonalité de sécurisation) est défini sur False (Faux). Vous configurez cette option dans Cisco Unified Communications Manager Administration (Système > Paramètres du service). Sélectionnez le serveur, puis le service Unified Communications Manager. Dans la fenêtre Service Parameter Configuration (Configuration des paramètres de service), sélectionnez l'option dans la zone Fonctionnalité - Tonalité de sécurité. La valeur par défaut est Faux.

Identification sécurisée de la conférence téléphonique

Vous pouvez initier une conférence téléphonique sécurisée et surveiller le niveau de sécurité des participants. Une conférence téléphonique sécurisée est établie à l'aide de ce processus :

  1. Un utilisateur lance la conférence à partir d'un téléphone sécurisé.

  2. Cisco Unified Communications Manager attribue un pont de conférence sécurisé à l'appel.

  3. Au fur et à mesure de l'ajout de participants, Cisco Unified Communications Manager vérifie le mode de sécurité de chaque téléphone et maintient le niveau de sécurité de la conférence.

  4. Le téléphone affiche le niveau de sécurité de la conférence téléphonique. Une conférence sécurisée affiche l'icône sécurisée l'icône de verrouillage pour un appel sécurisé.

Les appels sécurisés sont pris en charge entre deux téléphones. Pour les téléphones protégés, certaines fonctionnalités, telles que la conférence téléphonique, les lignes partagées et Extension Mobility, ne sont pas disponibles lorsque l'appel sécurisé est configuré.

Le tableau suivant fournit des informations sur les modifications apportées aux niveaux de sécurité de la conférence en fonction du niveau de sécurité du téléphone de l'initiateur, des niveaux de sécurité des participants et de la disponibilité des ponts de conférence sécurisés.

Tableau 5. Restrictions de sécurité avec les conférences téléphoniques

Niveau de sécurité du téléphone de l’initiateur

Fonctionnalité utilisée

Niveau de sécurité des participants

Résultats de l'action

Non sécurisé

Conférence

Sécurisée

Pont de conférence non sécurisé

Conférence non sécurisée

Sécurisée

Conférence

Au moins un membre n'est pas sécurisé.

Pont de conférence sécurisé

Conférence non sécurisée

Sécurisée

Conférence

Sécurisée

Pont de conférence sécurisé

Conférence de niveau sécurisé chiffré

Non sécurisé

MultConf

Le niveau de sécurité minimum est chiffré.

L'initiateur reçoit le message Ne respecte pas le niveau de sécurité, appel rejeté.

Sécurisée

MultConf

Le niveau de sécurité minimum n’est pas sécurisé.

Pont de conférence sécurisé

La conférence accepte tous les appels.

Identification des appels téléphoniques sécurisés

Un appel sécurisé est établi lorsque votre téléphone, et le téléphone à l'autre extrémité, sont configurés pour un appel sécurisé. L'autre téléphone peut se trouver sur le même réseau IP Cisco ou sur un réseau extérieur au réseau IP. Les appels sécurisés ne peuvent être passés qu’entre deux téléphones. Les conférences téléphoniques doivent prendre en charge les appels sécurisés après la configuration d'un pont de conférence sécurisé.

Un appel sécurisé est établi à l'aide de ce processus :

  1. Un utilisateur lance l'appel à partir d'un téléphone sécurisé (mode de sécurité sécurisé).

  2. Le téléphone affiche l'icône sécurisée l'icône de verrouillage pour un appel sécurisé sur l'écran du téléphone. Cette icône indique que le téléphone est configuré pour les appels sécurisés, mais cela ne signifie pas que l'autre téléphone connecté est également sécurisé.

  3. L'utilisateur entend une tonalité de sécurité si l'appel est connecté à un autre téléphone sécurisé, indiquant que les deux extrémités de la conversation sont chiffrées et sécurisées. Si l'appel est connecté à un téléphone non sécurisé, l'utilisateur n'entend pas la tonalité de sécurité.

Les appels sécurisés sont pris en charge entre deux téléphones. Pour les téléphones protégés, certaines fonctionnalités, telles que la conférence téléphonique, les lignes partagées et Extension Mobility, ne sont pas disponibles lorsque l'appel sécurisé est configuré.

Seuls les téléphones protégés émettent ces tonalités d'indication sécurisée ou non sécurisée. Les téléphones non protégés ne lisent jamais de tonalités. Si l'état global de l'appel change pendant l'appel, la tonalité de l'indication change et le téléphone protégé émet la tonalité appropriée.

Un téléphone protégé émet une tonalité ou non dans les circonstances suivantes :

  • Lorsque l'option Play Secure Indication Tone est activée :

    • Lorsqu'un support sécurisé de bout en bout est établi et que l'état de l'appel est sécurisé, le téléphone émet la tonalité de sécurisation (trois bips longs avec des pauses).

    • Lorsqu'un média non sécurisé de bout en bout est établi et que l'état de l'appel est non sécurisé, le téléphone émet la tonalité d'indication de non sécurisé (six bips courts avec de brèves pauses).

Si l'option Play Secure Indication Tone (Émettre la tonalité de sécurisation) est désactivée, aucune tonalité n'est émise.

Fournir un chiffrement pour l’insertion

Cisco Unified Communications Manager vérifie l'état de la sécurité du téléphone lorsque des conférences sont établies et modifie l'indication de sécurité de la conférence ou bloque la réalisation de l'appel pour maintenir l'intégrité et la sécurité du système.

Un utilisateur ne peut pas intervenir dans un appel chiffré si le téléphone utilisé pour intervenir n'est pas configuré pour le chiffrement. Lorsque l'insertion échoue dans ce cas, une tonalité de réorganisation (ligne occupée rapide) est émise sur le téléphone sur lequel l'insertion a été lancée.

Si le téléphone de l'initiateur est configuré pour le chiffrement, l'initiateur d'insertion peut s'insérer dans un appel non sécurisé à partir du téléphone chiffré. Une fois l'insertion effectuée, Cisco Unified Communications Manager classe l'appel comme non sécurisé.

Si le téléphone de l'initiateur est configuré pour le chiffrement, l'initiateur de l'insertion peut s'insérer dans un appel chiffré, et le téléphone indique que l'appel est chiffré.

Sécurité WLAN

Étant donné que tous les périphériques WLAN qui sont à portée peuvent recevoir tout le trafic WLAN, la sécurisation des communications vocales est essentielle dans les réseaux WLAN. Pour garantir que les intrus ne manipulent pas et n'interceptent pas le trafic vocal, l'architecture de sécurité SAFE de Cisco prend en charge le téléphone. Pour plus d'informations sur la sécurité dans les réseaux, voir http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solution de téléphonie IP sans fil Cisco assure la sécurité des réseaux sans fil, empêchant les connexions non autorisées et les communications dangereuses, à l'aide des méthodes d'authentification suivantes prises en charge par le téléphone :

  • Ouvrir l'authentification : Tout périphérique sans fil peut demander une authentification dans un système ouvert. Le point d'accès qui reçoit la demande peut accorder l'authentification à n'importe quel demandeur ou uniquement aux demandeurs figurant sur une liste d'utilisateurs. La communication entre le périphérique sans fil et le point d'accès (AP) peut être non chiffrée.

  • Authentification EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) : Cette architecture de sécurité client-serveur chiffre les transactions EAP au sein d'un tunnel de sécurité de niveau de transport (TLS) entre le point d'accès et le serveur RADIUS, tel que le moteur de services d'identité (ISE).

    Le tunnel TLS utilise des informations d'authentification protégées (PAC) pour l'authentification entre le client (téléphone) et le serveur RADIUS. Le serveur envoie un ID d'autorité (AID) au client (téléphone), qui à son tour sélectionne le PAC approprié. Le client (téléphone) renvoie un PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC avec la clé principale. Les deux terminaux contiennent maintenant la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge la mise à disposition automatique de PAC, mais vous devez l'activer sur le serveur RADIUS.

    Dans ISE, par défaut, le PAC expire dans une semaine. Si le téléphone a un PAC expiré, l'authentification avec le serveur RADIUS prend plus de temps pendant que le téléphone obtient un nouveau PAC. Pour éviter les délais de mise à disposition de PAC, définissez la période d'expiration de PAC à 90 jours ou plus sur le serveur ISE ou RADIUS.

  • Authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) : EAP-TLS nécessite un certificat client pour l'authentification et l'accès au réseau. Pour EAP-TLS sans fil, le certificat client peut être MIC, LSC ou certificat installé par l'utilisateur.

  • Protected Extensible Authentication Protocol (PEAP) : Schéma d'authentification mutuelle propriétaire par mot de passe entre le client (téléphone) et un serveur RADIUS. Le téléphone peut utiliser PEAP pour l'authentification avec le réseau sans fil. Les méthodes d'authentification PEAP-MSCHAPV2 et PEAP-GTC sont prises en charge.

  • Clé pré-partagée (PSK) : Le téléphone prend en charge le format ASCII. Vous devez utiliser ce format lorsque vous configurez une clé pré-partagée WPA/WPA2/SAE :

    ASCII : une chaîne de caractères ASCII de 8 à 63 caractères (0 à 9, A à Z minuscule et majuscule, et caractères spéciaux)

    Exemple: GREG123567@9ZX&W

Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :

  • wpa/wpa2/wpa3 : Utilise les informations du serveur RADIUS pour générer des clés uniques d'authentification. Ces clés étant générées par le serveur RADIUS centralisé, WPA2/WPA3 offre plus de sécurité que les clés prépartagées WPA stockées sur le point d'accès et le téléphone.

  • Itinérance sécurisée rapide : Utilise les informations du serveur RADIUS et d'un serveur de domaine sans fil (WDS) pour gérer et authentifier les clés. Le WDS crée un cache d'informations d'authentification de sécurité pour les périphériques clients avec FT pour une réauthentification rapide et sécurisée. Les téléphones de bureau Cisco 9861 et 9871 et les téléphones vidéo Cisco 8875 prennent en charge 802.11r (FT). Tant sur l'antenne que sur le DS sont pris en charge pour permettre l'itinérance sécurisée rapide. Mais nous vous recommandons fortement d'utiliser la méthode 802.11r (FT) par rapport à la méthode aérienne.

Avec WPA/WPA2/WPA3, les clés de chiffrement ne sont pas saisies sur le téléphone, mais sont automatiquement dérivées entre le point d'accès et le téléphone. Mais les nom d'utilisateur et mot de passe EAP utilisés pour l'authentification doivent être saisis sur chaque téléphone.

Pour garantir que le trafic voix est sécurisé, le téléphone prend en charge TKIP et AES pour le chiffrement. Lorsque ces mécanismes sont utilisés pour le chiffrement, les paquets SIP de signalisation et les paquets RTP (Real-Time Transport Protocol) vocaux sont chiffrés entre le point d'accès et le téléphone.

kip (tkip)

WPA utilise un chiffrement TKIP qui a plusieurs améliorations par rapport à WEP. TKIP fournit un chiffrement de clé par paquet et des vecteurs d'initialisation (IV) plus longs qui renforcent le chiffrement. De plus, une vérification de l’intégrité des messages (MIC, Message Integrity Check) garantit que les paquets chiffrés ne sont pas modifiés. TKIP supprime la prévisibilité de WEP qui aide les intrus à déchiffrer la clé WEP.

aes

Une méthode de chiffrement utilisée pour l'authentification WPA2/WPA3. Cette norme nationale de chiffrement utilise un algorithme symétrique qui possède la même clé pour le chiffrement et le déchiffrement. AES utilise un chiffrement CBC (Cipher Blocking Chain) d'une taille de 128 bits, qui prend en charge les tailles de clés de 128 bits, 192 bits et 256 bits au minimum. Le téléphone prend en charge une taille de clé de 256 bits.

Les téléphones de bureau Cisco 9861 et 9871 et les téléphones vidéo Cisco 8875 ne prennent pas en charge le protocole CKIP (Cisco Key Integrity Protocol) avec CMIC.

Les modèles d'authentification et de chiffrement sont configurés dans le réseau local sans fil. Les VLAN sont configurés dans le réseau et sur les points d'accès et spécifient différentes combinaisons d'authentification et de chiffrement. Un SSID s'associe à un VLAN et au schéma d'authentification et de chiffrement particulier. Pour que les périphériques clients sans fil puissent s'authentifier avec succès, vous devez configurer les mêmes SSID avec leurs modèles d'authentification et de chiffrement sur les points d'accès et sur le téléphone.

Certains modèles d'authentification nécessitent des types de chiffrement spécifiques.

  • Lorsque vous utilisez une clé pré-partagée WPA, une clé pré-partagée WPA2 ou SAE, la clé pré-partagée doit être configurée de manière statique sur le téléphone. Ces touches doivent correspondre à celles qui se trouvent sur le point d'accès.

  • Le téléphone prend en charge la négociation automatique EAP pour FAST ou PEAP, mais pas pour TLS. Pour le mode EAP-TLS, vous devez le spécifier.

Les modèles d'authentification et de chiffrement du tableau suivant présentent les options de configuration réseau pour le téléphone qui correspond à la configuration du point d'accès.

Tableau 6. Modèles d’authentification et de chiffrement
Type FSRAuthentificationGestion des clésChiffrementCadre de gestion protégé (PMF)
802.11r (FT)PSK

wpa-psk

wpa-psk-sha256

ft-psk

aesNon
802.11r (FT)WPA3

eig

ft-sae

aesOui
802.11r (FT)EAP-TLS

WPA-EAP

ft-eap

aesNon
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

aesOui
802.11r (FT)EAP-FAST

WPA-EAP

ft-eap

aesNon
802.11r (FT)eap-fast (wpa3)

wpa-eap-sha256

ft-eap

aesOui
802.11r (FT)EAP-PEAP

WPA-EAP

ft-eap

aesNon
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap

aesOui

Configurer le profil de réseau local sans fil

Vous pouvez gérer votre profil de réseau sans fil en configurant les informations d'identification, la bande de fréquence, la méthode d'authentification, etc.

Gardez les remarques suivantes à l'esprit avant de configurer le profil de réseau local sans fil :

  • Nom d'utilisateur et mot de passe

    • Lorsque votre réseau utilise EAP-FAST et PEAP pour l'authentification des utilisateurs, vous devez configurer à la fois le nom d'utilisateur et le mot de passe si nécessaire sur le service d'authentification à distance des utilisateurs (RADIUS) et le téléphone.

    • Les informations d'identification que vous saisissez dans le profil LAN sans fil doivent être identiques aux informations d'identification que vous avez configurées sur le serveur RADIUS.

    • Si vous utilisez des domaines de votre réseau, vous devez saisir le nom d'utilisateur avec le nom de domaine, au format : domaine\nom d'utilisateur.

  • Les actions suivantes peuvent entraîner la suppression du mot de passe Wi-Fi existant :

    • Saisir un ID utilisateur ou un mot de passe non valide
    • Installer une autorité de certification racine non valide ou expirée lorsque le type EAP est défini sur PEAP-MSCHAPV2 ou PEAP-GTC
    • Désactivation du type EAP en cours d'utilisation sur le serveur RADIUS avant de commuter le téléphone sur le nouveau type EAP
  • Pour modifier le type EAP, assurez-vous d'abord d'activer le nouveau type EAP sur le serveur RADIUS, puis faites basculer le téléphone sur le type EAP. Lorsque tous les téléphones ont été modifiés avec le nouveau type EAP, vous pouvez désactiver le type EAP précédent si vous le souhaitez.
1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Paramètres du périphérique > Profil LAN sans fil.

2

Choisissez le profil réseau que vous souhaitez configurer.

3

Configurez les paramètres.

4

Cliquez sur Enregistrer.

Configurer les paramètres SCEP

Le protocole simple d'inscription des certificats (SCEP) est la norme pour la mise à disposition et le renouvellement automatiques des certificats. Le serveur SCEP peut gérer automatiquement vos certificats d'utilisateur et de serveur.

Vous devez configurer les paramètres SCEP suivants sur la page web de votre téléphone

  • Adresse IP RA

  • Empreinte SHA-1 ou SHA-256 du certificat d'autorité de certification racine du serveur SCEP

L'autorité d'enregistrement (RA) Cisco IOS sert de proxy au serveur SCEP. Le client SCEP sur le téléphone utilise les paramètres qui sont téléchargés à partir de Cisco Unified Communication Manager. Après avoir configuré les paramètres, le téléphone envoie une requête SCEP getcs à la RA et le certificat de l'autorité de certification racine est validé à l'aide de l'empreinte définie.

Avant de commencer

Sur le serveur SCEP, configurez l'agent d'enregistrement SCEP (RA) pour :

  • Agir comme un point de confiance PKI
  • Agir en tant que RA PKI
  • Effectuer l'authentification du périphérique à l'aide d'un serveur RADIUS

Pour plus d'informations, reportez-vous à la documentation de votre serveur SCEP.

1

À partir de Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone.

2

Recherchez le téléphone.

3

Faites défiler jusqu'à la zone Présentation de la configuration spécifique au produit .

4

Cochez la case Serveur WLAN SCEP pour activer le paramètre SCEP.

5

Cochez la case Empreinte d'autorité de certification racine WLAN (SHA256 ou SHA1) pour activer le paramètre SCEP QED.

Configurez les versions de TLS prises en charge

Vous pouvez configurer la version minimale de TLS requise pour le client et le serveur respectivement.

Par défaut, la version TLS minimale du serveur et du client est à la fois 1.2. Le paramètre a un impact sur les fonctions suivantes :

  • Connexion d’accès au Web HTTPS
  • Intégration pour le téléphone sur site
  • Intégration pour Mobile and Remote Access (MRA)
  • Services HTTPS, tels que les services d’annuaire
  • Sécurité de la couche de transport de datagram (DTLS)
  • Entité d’accès au port (PAE)
  • EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Pour plus d'informations sur la compatibilité TLS 1.3 pour les téléphones IP Cisco, voir Matrice de compatibilité TLS 1.3 pour les produits de collaboration Cisco.

1

Connectez-vous à Cisco Unified Communications Manager Administration en tant qu'administrateur.

2

Accédez à l'une des fenêtres suivantes :

  • Système > Configuration du téléphone d'entreprise
  • Périphérique > Paramètres du périphérique > Profil de téléphone commun
  • Périphérique > Téléphone > Configuration du téléphone
3

Configurez le champ Version min du client TLS :

L'option « TLS 1.3 » est disponible sur Cisco Unified CM 15SU2 ou version ultérieure.
  • TLS 1.1 : Le client TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS dans le serveur est inférieure à 1.1, par exemple 1.0, alors la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : Le client TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS dans le serveur est inférieure à 1.2, par exemple 1.1 ou 1.0, alors la connexion ne peut pas être établie.

  • TLS 1.3 : Le client TLS ne prend en charge que TLS 1.3.

    Si la version TLS dans le serveur est inférieure à 1.3, par exemple 1.2, 1.1 ou 1.0, alors la connexion ne peut pas être établie.

4

Configurez le champ Version min du serveur TLS :

  • TLS 1.1 : Le serveur TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS dans le client est inférieure à 1.1, par exemple 1.0, alors la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : Le serveur TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS dans le client est inférieure à 1.2, par exemple 1.1 ou 1.0, alors la connexion ne peut pas être établie.

  • TLS 1.3 : Le serveur TLS ne prend en charge que TLS 1.3.

    Si la version TLS dans le client est inférieure à 1.3, par exemple 1.2, 1.1 ou 1.0, alors la connexion ne peut pas être établie.

À partir de la version PhoneOS 3.2, le paramètre du champ « Désactiver TLS 1.0 et TLS 1.1 pour l'accès Web » n'est pas affecté sur les téléphones.
5

Cliquez sur Enregistrer.

6

Cliquez sur Appliquer la configuration.

7

Redémarrez les téléphones.

Services garantis SIP

Assured Services SIP(AS-SIP) est un ensemble de fonctionnalités et de protocoles qui offrent un flux d'appels hautement sécurisé pour les téléphones IP Cisco et les téléphones tiers. Les fonctionnalités suivantes sont collectivement appelées AS-SIP :

  • Préséance et préemption à plusieurs niveaux (MLPP)
  • Point de code de services différenciés (DSCP)
  • Sécurité de la couche transport (TLS) et protocole de transport sécurisé en temps réel (SRTP)
  • Protocole Internet version 6 (IPv6)

AS-SIP est souvent utilisé avec la fonction de préséance et préemption à plusieurs niveaux (MLPP) pour donner la priorité aux appels en cas d'urgence. Avec MLPP, vous attribuez un niveau de priorité à vos appels sortants, du niveau 1 (faible) au niveau 5 (élevé). Lorsque vous recevez un appel, une icône de niveau de priorité s'affiche sur le téléphone qui indique la priorité d'appel.

Pour configurer AS-SIP, effectuez les tâches suivantes sur Cisco Unified Communications Manager :

  • Configurer un utilisateur Digest : configurez l'utilisateur final pour utiliser l'authentification digest pour les demandes SIP.
  • Configurer le port sécurisé du téléphone SIP : Cisco Unified Communications Manager utilise ce port pour écouter les téléphones SIP pour les enregistrements de lignes SIP sur TLS.
  • Redémarrer les services : après avoir configuré le port sécurisé, redémarrez les services du fournisseur Cisco Unified Communications Manager et Cisco CTL. Configurer le profil SIP pour AS-SIP - Configurez un profil SIP avec des paramètres SIP pour vos terminaux AS-SIP et pour vos troncs SIP. Les paramètres spécifiques au téléphone ne sont pas téléchargés sur un téléphone AS-SIP tiers. Ils ne sont utilisés que par Cisco Unified Manager. Les téléphones de fabricants tiers doivent configurer localement les mêmes paramètres.
  • Configurer le profil de sécurité du téléphone pour AS-SIP : vous pouvez utiliser le profil de sécurité du téléphone pour affecter des paramètres de sécurité tels que l'authentification TLS, SRTP et digest.
  • Configurer le point de terminaison AS-SIP : configurez un point de terminaison de téléphone IP Cisco ou un point de terminaison tiers avec prise en charge AS-SIP.
  • Associer le périphérique à l'utilisateur final : associer le terminal à un utilisateur.
  • Configurer le profil de sécurité du tronc SIP pour AS-SIP : vous pouvez utiliser le profil de sécurité du tronc sip pour affecter des fonctionnalités de sécurité telles que l'authentification TLS ou digest à un tronc SIP.
  • Configurer le tronc SIP pour AS-SIP : configurez un tronc SIP avec prise en charge AS-SIP.
  • Configurer les fonctionnalités AS-SIP : configurez des fonctionnalités AS-SIP supplémentaires telles que MLPP, TLS, V.150 et IPv6.

Pour des informations détaillées sur la configuration de AS-SIP, voir le chapitre « Configurer les points de terminaison AS-SIP » dans le Guide de configuration des fonctionnalités pour Cisco Unified Communications Manager.

Préséance et préemption à plusieurs niveaux

La fonction Préséance et préemption à plusieurs niveaux (MLPP) vous permet de donner la priorité aux appels en cas d'urgence ou dans d'autres situations de crise. Vous attribuez une priorité à vos appels sortants comprise entre 1 et 5. Les appels entrants affichent une icône et la priorité d'appel. Les utilisateurs authentifiés peuvent préempter les appels vers des stations ciblées ou via des trunks TDM entièrement abonnés.

Cette fonctionnalité permet au personnel de haut niveau de communiquer avec les organisations et le personnel critiques.

MLPP est souvent utilisé avec les services assurés SIP(AS-SIP). Pour des informations détaillées sur la configuration MLPP, voir le chapitre Configurer la préséance et préemption à plusieurs niveaux dans le Guide de configuration des fonctionnalités pour Cisco Unified Communications Manager.

Configurer FAC et CMC

Lorsque les codes d'autorisation forcée (FAC) ou les codes d'affaire client (CMC), ou les deux, sont configurés sur le téléphone, les utilisateurs doivent saisir les mots de passe requis pour composer un numéro.

Pour plus d'informations sur la configuration de FAC et CMC dans Cisco Unified Communications Manager, voir le chapitre « Codes d'affaire client et codes d'autorisation forcée » dans le Guide de configuration des fonctionnalités pour Cisco Unified Communications Manager, version 12.5(1) ou ultérieure.