אתה יכול לאפשר את Cisco Unified Communications Manager לפעול בסביבת אבטחה משופרת. עם שיפורים אלה, רשת הטלפון שלך פועלת תחת מערכת בקרות אבטחה וניהול סיכונים קפדניות כדי להגן עליך ועל המשתמשים שלך.

סביבת האבטחה המשופרת כוללת את התכונות הבאות:

  • אימות חיפוש אנשי קשר.

  • TCP כפרוטוקול ברירת המחדל עבור רישום ביקורת מרחוק.

  • מצב FIPS.

  • מדיניות אישורים משופרת.

  • תמיכה במשפחת הגיבובים SHA-2 עבור חתימות דיגיטליות.

  • תמיכה בגודל מפתח RSA של 512 סיביות ו-4096 סיביות.

עם מהדורת Cisco Unified Communications Manager 14.0 וקושחת טלפון הווידאו Cisco מהדורה 2.1 ואילך, הטלפונים תומכים באימות SIP OAuth.

OAuth נתמך עבור Proxy Trivial File Transfer Protocol (TFTP) עם מהדורת Cisco Unified Communications Manager 14.0(1)SU1 ואילך. TFTP Proxy ו- OAuth עבור TFTP Proxy אינם נתמכים ב- Mobile Remote Access (MRA).

למידע נוסף על אבטחה, ראה את הפרטים הבאים:

הטלפון שלך יכול לאחסן רק מספר מוגבל של קבצי רשימת אמון זהות (ITL). קבצי ITL לא יכולים לעלות על 64K בטלפון, לכן הגבל את מספר הקבצים שמנהל התקשורת המאוחדת של Cisco שולח לטלפון.

תכונות אבטחה נתמכות

תכונות אבטחה מגנות מפני איומים, כולל איומים על זהות הטלפון ועל הנתונים. תכונות אלה מייצרות ושומרות על זרמי תקשורת מאומתים בין הטלפון לשרת Cisco Unified Communications Manager, ומבטיחות שהטלפון משתמש רק בקבצים חתומים דיגיטלית.

Cisco Unified Communications Manager מהדורה 8.5(1) ואילך כולל אבטחה כברירת מחדל, המספקת את תכונות האבטחה הבאות עבור טלפונים IP של Cisco מבלי להפעיל את לקוח CTL:

  • חתימה על קבצי התצורה של הטלפון

  • הצפנת קובץ תצורת הטלפון

  • HTTPS עם Tomcat ושירותי אינטרנט אחרים

תכונות איתות ומדיה מאובטחות עדיין מחייבות אותך להפעיל את לקוח CTL ולהשתמש ב-eTokens של חומרה.

הטמעת אבטחה במערכת Cisco Unified Communications Manager מונעת גניבת זהות של הטלפון ושל שרת Cisco Unified Communications Manager, מונעת חבלה בנתונים ומונעת איתות שיחות וחבלה בזרם מדיה.

כדי להקל על איומים אלו, רשת הטלפוניה של Cisco IP מקימה ומתחזקת זרמי תקשורת מאובטחים (מוצפנים) בין טלפון לשרת, חותמת דיגיטלית על קבצים לפני שהם מועברים לטלפון, ומצפינה זרמי מדיה ואיתות שיחות בין טלפונים של Cisco IP.

אישור מקומי משמעותי (LSC) מותקן בטלפונים לאחר ביצוע המשימות הדרושות המשויכות לפונקציית Proxy Authority (CAPF). אתה יכול להשתמש בניהול Cisco Unified Communications Manager כדי להגדיר LSC, כמתואר במדריך האבטחה של Cisco Unified Communications Manager. לחלופין, תוכל ליזום התקנה של LSC מתפריט הגדרות האבטחה בטלפון. תפריט זה גם מאפשר לך לעדכן או להסיר LSC.

לא ניתן להשתמש ב-LSC כאישור המשתמש עבור EAP-TLS עם אימות WLAN.

הטלפונים משתמשים בפרופיל האבטחה של הטלפון, המגדיר אם המכשיר אינו מאובטח או מאובטח. למידע על החלת פרופיל האבטחה על הטלפון, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

אם תגדיר הגדרות הקשורות לאבטחה ב-Cisco Unified Communications Manager Administration, קובץ התצורה של הטלפון מכיל מידע רגיש. כדי להבטיח את הפרטיות של קובץ תצורה, עליך להגדיר אותו להצפנה. למידע מפורט, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

הטלפון תואם לתקן הפדרלי לעיבוד מידע (FIPS). כדי לתפקד כהלכה, מצב FIPS דורש גודל מפתח של 2048 סיביות או יותר. אם האישור קטן מ-2048 סיביות, הטלפון לא יירשם אצל Cisco Unified Communications Manager ו- הטלפון נכשל ברישום. גודל מפתח אישור אינו תואם FIPS מוצג בטלפון.

אם לטלפון יש LSC, עליך לעדכן את גודל מפתח ה-LSC ל-2048 סיביות או יותר לפני הפעלת FIPS.

הטבלה הבאה מספקת סקירה כללית של תכונות האבטחה שבהן הטלפונים תומכים. לפרטים נוספים, ראה תיעוד עבור גירסת Cisco Unified Communications Manager הספיציפי שלך.

כדי להציג את מצב אבטחה, לחץ על הגדרות המקש הקשיח Settings (הגדרות) ונווט אל הגדרות רשת ושירות >אבטחה.

שולחן 1. סקירה כללית של תכונות אבטחה

תכונה

תיאור

אימות תמונה

קבצים בינאריים חתומים מונעים התעסקות בתמונת הקושחה לפני טעינת התמונה בטלפון.

התעסקות בתמונה גורמת לטלפון להיכשל בתהליך האימות ולדחות את התמונה החדשה.

התקנת תעודת אתר לקוח

כל טלפון IP של Cisco דורש אישור ייחודי לאימות המכשיר. טלפונים כוללים אישור מותקן בייצור (MIC), אך ליתר אבטחה, אתה יכול לציין התקנת אישור ב-Cisco Unified Communications Manager Administration באמצעות פונקציית ה-Certificate Authority Proxy Function (CAPF). לחלופין, אתה יכול להתקין אישור מקומי משמעותי (LSC) מתפריט תצורת אבטחה בטלפון.

אימות מכשיר

מתרחש בין שרת Cisco Unified Communications Manager לטלפון כאשר כל ישות מקבלת את האישור של הישות האחרת. קובע אם יש להיווצר חיבור מאובטח בין הטלפון למנהל תקשורת מאוחדת של Cisco; ובמידת הצורך, יוצר נתיב איתות מאובטח בין הישויות באמצעות פרוטוקול TLS. Cisco Unified Communications Manager אינו רושם טלפונים אלא אם כן הוא יכול לאמת אותם.

אימות קובץ

מאמת קבצים חתומים דיגיטלית שהטלפון מוריד. הטלפון מאמת את החתימה כדי לוודא שלא התרחשו שיבוש קבצים לאחר יצירת הקובץ. קבצים שנכשלים באימות אינם נכתבים לזיכרון פלאש בטלפון. הטלפון דוחה קבצים כאלה ללא עיבוד נוסף.

הצפנת קבצים

ההצפנה מונעת חשיפת מידע רגיש בזמן שהקובץ נמצא במעבר לטלפון. בנוסף, הטלפון מאמת את החתימה כדי לוודא שלא התרחשו שיבוש קבצים לאחר יצירת הקובץ. קבצים שנכשלים באימות אינם נכתבים לזיכרון פלאש בטלפון. הטלפון דוחה קבצים כאלה ללא עיבוד נוסף.

אימות איתות

משתמש בפרוטוקול TLS כדי לאמת שלא התרחשה התעסקות במנות איתות במהלך השידור.

ייצור אישור מותקן

כל טלפון IP של Cisco מכיל אישור מותקן ייצור ייחודי (MIC), המשמש לאימות המכשיר. ה-MIC מספק הוכחה ייחודית קבועה של זהות לטלפון ומאפשר ל-Cisco Unified Communications Manager לאמת את הטלפון.

הצפנת מדיה

משתמש ב-SRTP כדי להבטיח שזרמי מדיה בין מכשירים נתמכים יוכיחו את עצמם מאובטחים ושרק המכשיר המיועד מקבל וקורא את הנתונים. כולל יצירת צמד מפתחות מדיה ראשיים למכשירים, מסירת המפתחות למכשירים ואבטחת מסירת המפתחות בזמן שהמפתחות נמצאים בהובלה.

CAPF (פונקציית פרוקסי של רשות האישורים)

מיישמת חלקים מהליך הפקת האישורים עתירי עיבוד מדי עבור הטלפון, ומקיימת אינטראקציה עם הטלפון לצורך הפקת מפתחות והתקנת אישורים. ניתן להגדיר את ה-CAPF לבקש אישורים מרשויות אישורים שצוינו על ידי הלקוח מטעם הטלפון, או שהוא יכול להיות מוגדר להפקת אישורים באופן מקומי.

שני סוגי המקשים EC (עקומה אליפטית) ו-RSA נתמכים. כדי להשתמש במפתח EC, ודא שהפרמטר "Endpoint Advanced Encryption Algorithms Support" (מתוך הפרמטר System >Enterprise) מופעל.

לקבלת מידע נוסף אודות תצורות CAPF וקשורות, עיין במסמכים הבאים:

פרופיל אבטחה

מגדיר אם הטלפון אינו מאובטח, מאומת, מוצפן או מוגן. ערכים אחרים בטבלה זו מתארים תכונות אבטחה.

קבצי תצורה מוצפנים

מאפשר לך להבטיח את הפרטיות של קובצי התצורה של הטלפון.

השבתת שרת אינטרנט אופציונלית עבור טלפון

למטרות אבטחה, אתה יכול למנוע גישה לדפי האינטרנט של טלפון (המציגים נתונים סטטיסטיים תפעוליים שונים עבור הטלפון) ופורטל טיפול עצמי.

התקשות טלפון

אפשרויות אבטחה נוספות, שבהן אתה שולט מניהול Cisco Unified Communications Manager:

  • השבתת יציאת המחשב
  • השבתת ARP ללא תשלום (GARP)
  • השבתת גישת PC Voice VLAN
  • השבתת גישה לתפריט ההגדרות או מתן גישה מוגבלת
  • השבתת גישה לדפי אינטרנט עבור טלפון
  • השבתת יציאת אביזרי Bluetooth
  • הגבלת צפני TLS

אימות 802.1X

טלפון Cisco IP יכול להשתמש באימות 802.1X כדי לבקש ולקבל גישה לרשת. לִרְאוֹת אימות 802.1X למידע נוסף.

Secure SIP Failover עבור SRST

לאחר שתגדיר התייחסות ל-Survivable Remote Site Telephony (SRST) לאבטחה ולאחר מכן איפוס את ההתקנים התלויים ב-Cisco Unified Communications Manager Administration, שרת TFTP מוסיף את אישור ה-SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. לאחר מכן, טלפון מאובטח משתמש בחיבור TLS כדי ליצור אינטראקציה עם הנתב התומך ב-SRST.

הצפנת איתות

מבטיח שכל הודעות איתות SIP שנשלחות בין ההתקן לשרת Cisco Unified Communications Manager מוצפנות.

אזעקת עדכון רשימת אמון

כאשר רשימת האמון מתעדכנת בטלפון, Cisco Unified Communications Manager מקבל אזעקה המציינת הצלחה או כישלון של העדכון. עיין בטבלה הבאה למידע נוסף.

AES 256 הצפנה

כאשר הם מחוברים ל-Cisco Unified Communications Manager Release 10.5(2) ואילך, הטלפונים תומכים בתמיכה בהצפנה של AES 256 עבור TLS ו-SIP עבור איתות והצפנת מדיה. זה מאפשר לטלפונים ליזום ולתמוך בחיבורי TLS 1.2 באמצעות צפנים מבוססי AES-256 התואמים לתקני SHA-2 (Secure Hash Algorithm) ותואמים לתקני עיבוד מידע פדרליים (FIPS). הצפנים כוללים:

  • עבור חיבורי TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • עבור sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

לפרטים נוספים, ראה תיעוד Cisco Unified Communications Manager.

תעודות אלגוריתם חתימה דיגיטלית של עקומה אליפטית (ECDSA).

כחלק מהסמכת Common Criteria (CC), Cisco Unified Communications Manager; הוסיפו תעודות ECDSA בגרסה 11.0. זה משפיע על כל מוצרי מערכת ההפעלה הקולית (VOS) המריצים CUCM 11.5 ואילך.

אישור Tomcat מרובה שרתים (SAN) עם Cisco UCM

הטלפון תומך Cisco UCM עם אישורי Tomcat מרובי שרתים (SAN) מוגדרים. ניתן למצוא את כתובת שרת TFTP הנכונה בקובץ ITL של הטלפון לצורך רישום הטלפון.

לקבלת מידע נוסף אודות התכונה, עיין בנושאים הבאים:

הטבלה הבאה מכילה את הודעות האזעקה והמשמעות של עדכון רשימת האמון. לפרטים נוספים, ראה תיעוד Cisco Unified Communications Manager.

שולחן 2. הודעות אזעקה לעדכון רשימת אמון
קוד והודעה תיאור

1 - TL_SUCCESS

קיבל CTL ו/או ITL חדשים

2 - CTL_INITIAL_SUCCESS

קיבל CTL חדש, אין TL קיים

3 - ITL_INITIAL_SUCCESS

קיבל ITL חדש, אין TL קיים

4 - TL_INITIAL_SUCCESS

קיבלו CTL ו-ITL חדשים, ללא TL קיים

5 - TL_FAILED_OLD_CTL

עדכון ל-CTL חדש נכשל, אבל יש TL קודם

6 - TL_FAILED_NO_TL

העדכון ל-TL החדש נכשל, ואין להם TL ישן

7 - TL_FAILED

כשל גנרי

8 - TL_FAILED_OLD_ITL

עדכון ל-ITL חדש נכשל, אבל יש TL קודם

9 - TL_FAILED_OLD_TL

עדכון ל-TL חדש נכשל, אבל יש TL קודם

תפריט הגדרות אבטחה מספק מידע על הגדרות אבטחה שונות. התפריט מספק גם גישה לתפריט רשימת האמון ומציין אם קובץ ה-CTL או ה-ITL מותקן בטלפון.

הטבלה הבאה מתארת את האפשרויות בתפריט הגדרות אבטחה.

שולחן 3. תפריט הגדרות אבטחה

אפשרות

תיאור

לשנות

מצב אבטחה

מציג את מצב האבטחה שהוגדר עבור הטלפון.

מתוך Cisco Unified Communications Manager Administration, בחר התקן > טלפון. ההגדרה מופיעה בחלק של מידע ספציפי לפרוטוקול של חלון תצורת הטלפון.

LSC

מציין אם אישור בעל חשיבות מקומית המשמש לתכונות אבטחה מותקן בטלפון (מותקן) או אינו מותקן בטלפון (לא מותקן).

למידע על אופן ניהול ה-LSC עבור הטלפון שלך, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

הגדר אישור מקומי משמעותי (LSC)

משימה זו חלה על הגדרת LSC עם שיטת מחרוזת האימות.

לפני שאתה מתחיל

ודא שתצורות האבטחה המתאימה של Cisco Unified Communications Manager ושל פונקציית ה-Certificate Authority Proxy Function (CAPF) הושלמו:

  • לקובץ CTL או ITL יש אישור CAPF.

  • ב-Cisco Unified Communications Operating System Administration, ודא שאישור CAPF מותקן.

  • ה-CAPF פועל ומוגדר.

למידע נוסף על הגדרות אלה, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

1

השג את קוד האימות CAPF שהוגדר בעת הגדרת ה-CAPF.

2

בטלפון, לחץ על הגדרות the Settings hard key.

3

אם תתבקש, הזן את הסיסמה כדי לגשת לתפריט הגדרות . באפשרותך לקבל את הסיסמה ממנהל המערכת שלך.

4

נווט אל הגדרות רשת ושירות > אבטחה> LSC.

אתה יכול לשלוט בגישה לתפריט ההגדרות באמצעות ה גישה להגדרות שדה בניהול Cisco Unified Communications Manager.

5

הזן את מחרוזת האימות ובחר שלח.

הטלפון מתחיל להתקין, לעדכן או להסיר את ה-LSC, בהתאם לאופן תצורת ה-CAPF. כאשר ההליך הושלם, מותקן או לא מותקן יופיע בטלפון.

תהליך ההתקנה, העדכון או ההסרה של LSC עשוי להימשך זמן רב.

כאשר הליך התקנת הטלפון מצליח, ה מוּתקָן ההודעה מוצגת. אם הטלפון מוצג לא מותקן, ייתכן שמחרוזת ההרשאה אינה נכונה או שדרוג הטלפון אינו מופעל. אם פעולת CAPF מוחקת את ה-LSC, הטלפון יוצג לא מותקן כדי לציין שהמבצע הצליח. שרת CAPF רושם את הודעות השגיאה. עיין בתיעוד שרת CAPF כדי לאתר את היומנים וכדי להבין את המשמעות של הודעות השגיאה.

הפעל את מצב FIPS

1

ב- Cisco Unified Communications Manager Administration, בחר התקן > טלפון, ואתר את הטלפון.

2

נווט אל תצורה ספציפית למוצר אֵזוֹר.

3

הגדר את מצב FIPS שדה ל מופעל.

4

בחר שמור.

5

בחר החל תצורה.

6

הפעל מחדש של הטלפון.

כיבוי רמקול, אוזניות ושפופרת בטלפון

למשתמש יש אפשרויות לכבות לצמיתות את הרמקול, האוזניות והשפופרת בטלפון.

1

ב- Cisco Unified Communications Manager Administration, בחר התקן > טלפון, ואתר את הטלפון.

2

נווט אל תצורה ספציפית למוצר אֵזוֹר.

3

סמן אחת או יותר מתיבות הסימון הבאות כדי לבטל את יכולות הטלפון:

  • השבתת דיבורית
  • השבתת דיבורית ואוזניות
  • השבתת שפופרת

כברירת מחדל, תיבות סימון אלה אינן מסומנות.

4

בחר שמור.

5

בחר החל תצורה.

אימות 802.1X

טלפונים IP של Cisco תומכים באימות 802.1X.

טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות. CDP אינו מזהה תחנות עבודה מחוברות מקומיות. טלפון Cisco IP מספק מנגנון מעבר EAPOL. מנגנון זה מאפשר לתחנת עבודה המחוברת לטלפון Cisco IP להעביר הודעות EAPOL למאמת 802.1X במתג LAN. מנגנון המעבר מבטיח שטלפון ה-IP לא יפעל כמתג LAN לאימות נקודת קצה נתונים לפני הגישה לרשת.

טלפון Cisco IP מספק בנוסף מנגנון התנתקות של פרוקסי EAPOL. אם המחשב המחובר המקומי מתנתק מטלפון ה-IP, מתג ה-LAN לא רואה את הקישור הפיזי נכשל, מכיוון שהקישור בין מתג ה-LAN לטלפון ה-IP נשמר. כדי להימנע מלפגוע בשלמות הרשת, טלפון ה-IP שולח הודעת EAPOL-Logoff למתג מטעם המחשב במורד הזרם, המפעיל את מתג ה-LAN לנקות את ערך האימות של המחשב במורד הזרם.

דרושים מספר רכיבים לתמיכה באימות 802.1X:

  • טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.

  • שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף שמאמת את הטלפון.

  • החלף: המתג חייב לתמוך ב-802.1X, כך שהוא יכול לשמש כמאמת ולהעביר את ההודעות בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.

עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.

  • הגדר את הרכיבים האחרים לפני שתפעיל את אימות 802.1X בטלפון.

  • הגדר את יציאת המחשב: תקן 802.1X אינו מתייחס לרשתות VLAN ולכן ממליץ שרק התקן בודד יעבור אימות ליציאת מתג ספציפית. עם זאת, מתגים מסוימים תומכים באימות מרובה תחומים. תצורת המתג קובעת אם באפשרותך לחבר מחשב ליציאת המחשב של הטלפון.

    • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להפעיל את יציאת המחשב ולחבר אליו מחשב. במקרה זה, טלפון Cisco IP תומך בפרוקסי EAPOEAPOL-Logoff כדי לנטר את חילופי האימות בין המתג למחשב המחובר.

      למידע נוסף על תמיכה ב-IEEE 802.1X על מתגי Cisco Catalyst, עיין במדריכי תצורת מתג Cisco Catalyst בכתובת:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • נָכֶה: אם המתג אינו תומך במספר התקנים תואמי 802.1X באותה יציאה, עליך להשבית את יציאת המחשב כאשר אימות 802.1X מופעל. אם לא תבטל יציאה זו ולאחר מכן תנסה לחבר אליה מחשב, המתג מונע גישה לרשת הן לטלפון והן למחשב.

  • הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.
    • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להמשיך בו כדי להשתמש ב-VLAN הקולי.
    • נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
  • (עבור טלפון שולחני Cisco מסדרת 9800 בלבד)

    לטלפון השולחני של Cisco מסדרת 9800 יש קידומת שונה ב-PID מזו של טלפונים אחרים של Cisco. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש שיכלול את טלפון Cisco Desk Phone 9800 Series.

    לדוגמה, PID של טלפון 9841 הוא DP-9841; באפשרותך להגדיר רדיוס· שם משתמש להתחיל עם DP או מכיל DP. ניתן להגדיר אותו בשני הסעיפים הבאים:

    • מדיניות > תנאים > תנאי הספרייה

    • מדיניות > ערכות מדיניות> מדיניות הרשאה> כלל הרשאה 1

אפשר אימות 802.1X

אתה יכול להפעיל אימות 802.1X עבור הטלפון שלך על ידי ביצוע השלבים הבאים:

1

לחץ על Settings.the Settings hard key.

2

אם תתבקש, הזן את הסיסמה כדי לגשת לתפריט הגדרות . באפשרותך לקבל את הסיסמה ממנהל המערכת שלך.

3

נווט אל הגדרות רשת ושירות > אבטחה> אימות 802.1X.

4

הפעל אימות IEEE 802.1X.

5

בחר החל.

הצגת מידע אודות הגדרות אבטחה בטלפון

באפשרותך להציג את המידע אודות הגדרות האבטחה בתפריט הטלפון. זמינות המידע תלויה בהגדרות הרשת בארגון שלך.

1

לחץ על Settings.the Settings key.

2

נווט אל הגדרות רשת ושירות >אבטחה.

3

בהגדרות אבטחה, הצג את המידע הבא.

טבלה 4. פרמטרים עבור הגדרות אבטחה

פרמטרים

תיאור

מצב אבטחה

מציג את מצב האבטחה שהוגדר עבור הטלפון.

LSC

מציין אם אישור בעל חשיבות מקומית המשמש לתכונות אבטחה מותקן בטלפון (כן) או אינו מותקן בטלפון (לא).

רשימת יחסי אמון

רשימת יחסי האמון מספקת תפריטי משנה לקבצים CTL, ITL ו- Signed Configuration.

תפריט המשנה CTL File מציג את תוכן קובץ CTL. תפריט המשנה ITL File מציג את התוכן של קובץ ITL.

תפריט רשימת אמון מציג גם את המידע הבא:

  • CTL חתימה: קוד hash SHA1 של קובץ CTL
  • שרת Unified CM/TFTP: שם שרת Cisco Unified Communications Manager ושרת TFTP שבו משתמש הטלפון. מציג סמל אישור אם מותקן אישור עבור שרת זה.
  • שרת CAPF: שם שרת CAPF שבו משתמש הטלפון. מציג סמל אישור אם מותקן אישור עבור שרת זה.
  • SRST Router: כתובת IP של הנתב SRST המהימן שבו הטלפון יכול להשתמש. מציג סמל אישור אם מותקן אישור עבור שרת זה.

אבטחת שיחות טלפון

כאשר מיושמת אבטחה עבור טלפון, אתה יכול לזהות שיחות טלפון מאובטחות על ידי סמלים על מסך הטלפון. אתה יכול גם לקבוע אם הטלפון המחובר מאובטח ומוגן אם נשמע צליל אבטחה בתחילת השיחה.

בשיחה מאובטחת, כל איתות השיחות וזרמי המדיה מוצפנים. שיחה מאובטחת מציעה רמת אבטחה גבוהה, המעניקה שלמות ופרטיות לשיחה. כאשר שיחה מתבצעת מוצפנת, תוכל לראות את הסמל מאובטח סמל המנעול עבור שיחה מאובטחת על הקו. עבור טלפון מאובטח, באפשרותך גם להציג את הסמל המאומת או על הסמל המוצפן לצד השרת המחובר בתפריט הטלפון (הגדרות > אודות התקן זה).

אם השיחה מנותבת דרך רגלי שיחה שאינן IP, למשל, PSTN, השיחה עלולה להיות לא מאובטחת למרות שהיא מוצפנת בתוך רשת ה-IP ויש לה סמל מנעול המשויך אליה.

בשיחה מאובטחת, צליל אבטחה מושמע בתחילת השיחה כדי לציין שהטלפון האחר המחובר גם הוא מקבל ומשדר אודיו מאובטח. אם השיחה שלך מתחברת לטלפון לא מאובטח, צליל האבטחה לא מתנגן.

שיחות מאובטחות נתמכות עבור חיבורים בין שני טלפונים בלבד. תכונות מסוימות, כגון שיחות ועידה וקווים משותפים, אינן זמינות כאשר מוגדרת שיחות מאובטחות.

כאשר טלפון מוגדר כמאובטח (מוצפן ומהימן) ב-Cisco Unified Communications Manager, ניתן לתת לו מוגן מצב. לאחר מכן, אם תרצה, ניתן להגדיר את הטלפון המוגן להשמיע צליל חיווי בתחילת שיחה:

  • מכשיר מוגן: כדי לשנות את הסטטוס של טלפון מאובטח למגן, סמן את תיבת הסימון התקן מוגן בחלון תצורת הטלפון ב- Cisco Unified Communications Manager Administration (התקן > טלפון).

  • השמע צליל חיווי מאובטח: כדי לאפשר לטלפון המוגן להשמיע צליל חיווי מאובטח או לא מאובטח, הגדר את ההגדרה הפעל צליל חיווי מאובטח ל-True. כברירת מחדל, Play Secure Indication Tone מוגדר ל-False. אתה מגדיר אפשרות זו בניהול Cisco Unified Communications Manager (מערכת > פרמטרי שירות). בחר את השרת ולאחר מכן את שירות Unified Communications Manager. בחלון תצורת פרמטר שירות, בחר את האפשרות באזור תכונה - טון מאובטח. ברירת המחדל היא False.

זיהוי מאובטח של שיחת ועידה

אתה יכול ליזום שיחת ועידה מאובטחת ולנטר את רמת האבטחה של המשתתפים. שיחת ועידה מאובטחת נוצרת באמצעות תהליך זה:

  1. משתמש יוזם את הוועידה מטלפון מאובטח.

  2. Cisco Unified Communications Manager מקצה גשר ועידה מאובטח לשיחה.

  3. עם הוספת משתתפים, Cisco Unified Communications Manager מאמת את מצב האבטחה של כל טלפון ושומר על רמת האבטחה לוועידה.

  4. הטלפון מציג את רמת האבטחה של שיחת הועידה. שיחת ועידה מאובטחת מציגה את הסמל המאובטח סמל המנעול עבור שיחה מאובטחת.

שיחות מאובטחות נתמכות בין שני טלפונים. עבור טלפונים מוגנים, תכונות מסוימות, כגון שיחות ועידה, קווים משותפים וניידות שלוחות, אינן זמינות כאשר מוגדרת שיחה מאובטחת.

הטבלה הבאה מספקת מידע על שינויים ברמות האבטחה של ועידה בהתאם לרמת האבטחה של הטלפון היוזם, רמות האבטחה של המשתתפים והזמינות של גשרי ועידה מאובטחים.

טבלה 5. הגבלות אבטחה עם שיחות ועידה

רמת אבטחת טלפון יוזם

תכונה בשימוש

רמת אבטחה של המשתתפים

תוצאות הפעולה

לא בטוח

שיחת ועידה

לבטח

גשר ועידות לא מאובטח

ועידה לא מאובטחת

לבטח

שיחת ועידה

לפחות חבר אחד אינו מאובטח.

גשר ועידות מאובטח

ועידה לא מאובטחת

לבטח

שיחת ועידה

לבטח

גשר ועידות מאובטח

ועידה ברמה מוצפנת מאובטחת

לא בטוח

Meet Me

רמת האבטחה המינימלית מוצפנת.

היוזם מקבל הודעה לא עומד ברמת אבטחה, השיחה נדחתה.

לבטח

Meet Me

רמת האבטחה המינימלית אינה מאובטחת.

גשר ועידות מאובטח

ועידה מקבלת את כל השיחות.

זיהוי שיחות טלפון מאובטח

שיחה מאובטחת נוצרת כאשר הטלפון שלך, והטלפון מהצד השני, מוגדרים לשיחות מאובטחות. הטלפון השני יכול להיות באותה רשת IP של Cisco, או ברשת מחוץ לרשת ה-IP. ניתן לבצע שיחות מאובטחות רק בין שני טלפונים. שיחות ועידה צריכות לתמוך בשיחה מאובטחת לאחר הגדרת גשר ועידה מאובטח.

שיחה מאובטחת נוצרת באמצעות תהליך זה:

  1. משתמש יוזם את השיחה מטלפון מאובטח (מצב אבטחה מאובטח).

  2. הטלפון מציג את סמל האבטחה סמל המנעול עבור שיחה מאובטחת במסך הטלפון. סמל זה מציין שהטלפון מוגדר לשיחות מאובטחות, אך אין זה אומר שגם הטלפון האחר המחובר מאובטח.

  3. המשתמש שומע צליל אבטחה אם השיחה מתחברת לטלפון מאובטח אחר, המציין ששני קצוות השיחה מוצפנים ומאובטחים. אם השיחה מתחברת לטלפון לא מאובטח, המשתמש לא שומע את צליל האבטחה.

שיחות מאובטחות נתמכות בין שני טלפונים. עבור טלפונים מוגנים, תכונות מסוימות, כגון שיחות ועידה, קווים משותפים וניידות שלוחות, אינן זמינות כאשר מוגדרת שיחה מאובטחת.

רק טלפונים מוגנים משמיעים צלילי חיווי מאובטחים או לא מאובטחים אלה. טלפונים לא מוגנים אף פעם לא משמיעים צלילים. אם סטטוס השיחה הכללי משתנה במהלך השיחה, צליל החיווי משתנה והטלפון המוגן משמיע את הצליל המתאים.

טלפון מוגן משמיע צליל או לא בנסיבות אלה:

  • כאשר האפשרות הפעל צליל חיווי מאובטח מופעלת:

    • כאשר נוצרת מדיה מאובטחת מקצה לקצה ומצב השיחה מאובטח, הטלפון משמיע את צליל החיווי המאובטח (שלושה צפצופים ארוכים עם הפסקות).

    • כאשר נוצרת מדיה לא מאובטחת מקצה לקצה ומצב השיחה אינו מאובטח, הטלפון משמיע את צליל החיווי הלא מאובטח (שישה צפצופים קצרים עם הפסקות קצרות).

אם האפשרות Play Secure Indication Tone מושבתת, שום צליל לא מושמע.

ספק הצפנה עבור דוברה

Cisco Unified Communications Manager בודקת את מצב האבטחה של הטלפון בעת קביעת שיחות ועידה ומשנה את חיווי האבטחה עבור הוועידה או חוסמת את השלמת השיחה כדי לשמור על תקינות ואבטחה במערכת.

למשתמש אין אפשרות להצטרף לשיחה מוצפנת אם הטלפון המשמש לדוברה אינו מוגדר להצפנה. במקרה זה, כאשר דוברה נכשלת במקרה זה, מושמע צליל סידור מחדש (תפוס מהיר) בטלפון שבו הופעלה הדוברה.

אם הטלפון היוזם מוגדר להצפנה, יוזם הדוברה יכול להצטרף לשיחה לא מאובטחת מהטלפון המוצפן. לאחר ביצוע הדוברה, Cisco Unified Communications Manager מסווג את השיחה כלא מאובטחת.

אם הטלפון היוזם מוגדר להצפנה, יוזם הדוברה יכול להצטרף לשיחה מוצפנת, והטלפון מציין שהשיחה מוצפנת.

אבטחת WLAN

סעיף זה חל רק על דגמי טלפון בעלי יכולת Wi-Fi.

אבטחת WLAN

מכיוון שכל התקני ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN האחרת, אבטחת תקשורת קולית היא קריטית ב-WLAN. כדי להבטיח שהפורצים לא יבצעו מניפולציות ולא יירטו תעבורה קולית, ארכיטקטורת Cisco SAFE Security תומכת בטלפון. למידע נוסף על אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

פתרון הטלפוניה IP האלחוטית של Cisco מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת בסכנה באמצעות שיטות האימות הבאות שבהן תומך הטלפון:

  • פתח את האימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת משתמשים. ייתכן שהתקשורת בין ההתקן האלחוטי לנקודת הגישה (AP) אינה מוצפנת.

  • Extensible Authentication Protocol-Flexible Authentication באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחה זו של שרת-לקוח מצפינה טרנזקציות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין נקודת הגישה לשרת ה-RADIUS, כגון Identity Services Engine (ISE).

    מנהרת TLS משתמשת באישורי גישה מוגנת (PAC) לאימות בין הלקוח (טלפון) לשרת RADIUS. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת RADIUS. השרת מפענח את ה-PAC עם המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח PAC ונוצרת מנהרת TLS. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת RADIUS.

    ב- ISE, כברירת מחדל, תוקפו של PAC פג בעוד שבוע. אם לטלפון יש PAC שפג תוקפו, האימות עם שרת RADIUS נמשך זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.

  • אימות פרוטוקול הרחבה-שכבת תחבורה (EAP-TLS) אימות: EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, ניתן MIC אישור הלקוח, אישור LSC או אישור המותקן על-ידי המשתמש.

  • Protected Extensible Authentication Protocol (PEAP): סכימת אימות הדדי מבוססת סיסמאות קניינית של Cisco בין הלקוח (טלפון) לשרת RADIUS. הטלפון יכול להשתמש ב-PEAP לצורך אימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.

  • מפתח טרום-משותף (PSK): הטלפון תומך בתבנית ASCII. עליך להשתמש בתבנית זו בעת הגדרת מפתח משותף מראש של WPA/WPA2/SAE:

    ASCII: מחרוזת תווים ASCII באורך של 8 עד 63 תווים (0-9, אותיות קטנות ואותיות גדולות AZ, ותווים מיוחדים)

    דוגמה: GREG123567@9ZX&W

סכימות האימות הבאות משתמשות בשרת RADIUS לניהול מפתחות אימות:

  • WPA/WPA2/WPA3: משתמש במידע שרת RADIUS ליצירת מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת ה-RADIUS המרכזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות משותפים מראש של WPA המאוחסנים ב-AP ובטלפון.

  • נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע של שרת תחום אלחוטי (WDS) לניהול ואימות מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור התקני לקוח התומכים ב-FT לצורך אימות מחדש מהיר ומאובטח. טלפון שולחני Cisco 9861 ו- 9871 וטלפון Cisco Video Phone 8875 תומכים ב- 802.11r (FT). הן דרך האוויר והן מעל DS נתמכות כדי לאפשר נדידה מהירה ומאובטחת. אבל אנו ממליצים בחום להשתמש בשיטת 802.11r (FT) מעל האוויר.

עם WPA/WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין נקודת הגישה לטלפון. אבל יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.

כדי להבטיח שתעבורת הקול מאובטחת, הטלפון תומך ב-TKIP וב-AES להצפנה. כאשר מנגנונים אלה משמשים להצפנה, הן מנות SIP האיתות והן מנות פרוטוקול תעבורה בזמן אמת (RTP) קוליות מוצפנות בין נקודת הגישה והטלפון.

TKIP

WPA משתמש בהצפנת TKIP הכוללת מספר שיפורים במהלך WEP. TKIP מספקת הצפנת מפתח לכל מנה ווקטורי אתחול ארוכים יותר (IVs) המחזקים את ההצפנה. בנוסף, בדיקת תקינות ההודעה (MIC) מבטיחה שמנות מוצפנות אינן משתנות. TKIP מסיר את יכולת החיזוי של WEP המסייעת לפולשים לפענח את מפתח ה-WEP.

AES

שיטת הצפנה המשמשת לאימות WPA2/WPA3. תקן לאומי זה להצפנה משתמש באלגוריתם סימטרי בעל אותו מפתח להצפנה ולפענוח. AES משתמש בהצפנת Chipher Blocking Chain (CBC) בגודל 128 סיביות, התומך בגדלים של מפתחות של 128 סיביות, 192 סיביות ו-256 סיביות, כמינימום. הטלפון תומך בגודל מפתח של 256 סיביות.

Cisco Desk Phone דגמים 9861 ו-9871 ו-Cisco Video Phone 8875 אינם תומכים בפרוטוקול תקינות מפתחות של Cisco (CKIP) עם CMIC.

סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-APs ומציינים שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולסכימת האימות וההצפנה המסוימת. כדי שהתקני לקוח אלחוטיים יוכלו לבצע אימות מוצלח, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם בנקודות הגישה ובטלפון.

סכימות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.

  • כאשר אתה משתמש במפתח טרום-שיתוף WPA, מפתח שיתוף מראש של WPA2 או SAE, המפתח הטרום-משותף חייב להיות מוגדר באופן סטטי בטלפון. מפתחות אלה חייבים להתאים למפתחות שנמצאים ב-AP.

  • הטלפון תומך במשא ומתן EAP אוטומטי עבור FAST או PEAP, אך לא עבור TLS. עבור מצב EAP-TLS, יש לציין אותו.

סכימות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור הטלפון המתאים לתצורת נקודת גישה.

טבלה 6. ערכות אימות והצפנה
סוג FSRאימותניהול מפתחהצפנהמסגרת ניהול מוגנת (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESלא
802.11r (FT)WPA3

SAE

FT-SAE

AESכן
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן

הגדר פרופיל LAN אלחוטי

אתה יכול לנהל את פרופיל הרשת האלחוטית שלך על ידי הגדרת אישורים, פס תדרים, שיטת אימות וכן הלאה.

זכור את ההערות הבאות לפני שתגדיר את פרופיל ה-WLAN:

  • שם משתמש וסיסמא

    • כאשר הרשת שלך משתמשת ב-EAP-FAST ו-PEAP לאימות משתמש, עליך להגדיר הן את שם המשתמש והן את הסיסמה אם נדרשים ב-Remote Authentication Dial-In Service (RADIUS) ובטלפון.

    • האישורים שתזין בפרופיל ה-LAN האלחוטי חייבים להיות זהים לאישורים שהגדרת בשרת RADIUS.

    • אם אתה משתמש בדומיינים בתוך הרשת שלך, עליך להזין את שם המשתמש עם שם הדומיין, בפורמט: תחום\שם משתמש.

  • הפעולות הבאות עלולות לגרום לניקוי סיסמת ה-Wi-Fi הקיימת:

    • הזנת מזהה משתמש או סיסמה לא חוקיים
    • התקנת אישור בסיס לא חוקי או שפג תוקפו כאשר סוג EAP מוגדר ל-PEAP-MSCHAPV2 או PEAP-GTC
    • השבתת סוג EAP בשימוש בשרת RADIUS לפני העברת הטלפון לסוג EAP החדש
  • כדי לשנות את סוג EAP, ודא שאתה מפעיל את סוג EAP החדש בשרת RADIUS תחילה, ולאחר מכן העבר את הטלפון לסוג EAP. כאשר כל הטלפונים שונו לסוג EAP החדש, תוכל להשבית את סוג ה-EAP הקודם אם תרצה.
1

בניהול Cisco Unified Communications Manager, בחר התקן > הגדרות מכשיר > פרופיל LAN אלחוטי.

2

בחר את פרופיל הרשת שברצונך להגדיר.

3

הגדר את הפרמטרים.

4

לחץ על שמור.

התקן באופן ידני אישור שרת אימות

אתה יכול להתקין באופן ידני אישור שרת אימות בטלפון אם פרוטוקול Simple Certificate Enrollment (SCEP) אינו זמין.

יש להתקין את אישור CA המשמש כבסיס שהנפיק את אישור שרת RADIUS עבור EAP-TLS.

לפני שאתה מתחיל

לפני שתוכל להתקין אישור בטלפון, עליך לשמור על אישור שרת אימות במחשב. האישור חייב להיות מקודד ב-PEM (Base-64) או DER.

1

מדף האינטרנט של ניהול הטלפון, בחר תעודות.

2

אתר את שרת אימות CA שדה ולחץ להתקין.

3

דפדף אל האישור במחשב האישי שלך.

4

נְקִישָׁה העלה.

5

הפעל מחדש את הטלפון לאחר השלמת ההעלאה.

אם תתקין מחדש יותר מאישור אחד, ייעשה שימוש רק באישור האחרון שהותקן.

התקן באופן ידני אישור משתמש

אתה יכול להתקין באופן ידני אישור משתמש בטלפון אם פרוטוקול Simple Certificate Enrollment Protocol (SCEP) אינו זמין.

ניתן להשתמש באישור הייצור המותקן מראש (MIC) כאישור המשתמש עבור EAP-TLS.

לאחר התקנת אישור המשתמש, הוסף אותו לרשימת האמון של שרת RADIUS.

לפני שאתה מתחיל

לפני שתוכל להתקין אישור משתמש עבור טלפון, עליך להיות בעל:

  • תעודת משתמש שנשמרה במחשב האישי שלך. האישור חייב להיות בפורמט PKCS #12.

  • הסיסמה לחילוץ האישור.

    סיסמה זו יכולה להיות באורך של עד 16 תווים.

1

מדף האינטרנט של ניהול הטלפון, בחר תעודות.

2

אתר את משתמש מותקן שדה ולחץ להתקין.

3

דפדף אל האישור במחשב האישי שלך.

4

בתוך ה חלץ סיסמה בשדה, הזן את סיסמת חילוץ האישור.

5

נְקִישָׁה העלה.

6

הפעל מחדש את הטלפון לאחר השלמת ההעלאה.

הסר באופן ידני אישור אבטחה

אתה יכול להסיר באופן ידני אישור אבטחה מהטלפון אם פרוטוקול Simple Certificate Enrollment (SCEP) אינו זמין.

1

מדף האינטרנט של ניהול הטלפון, בחר תעודות.

2

אתר את האישור ב- תעודות עמוד.

3

נְקִישָׁה לִמְחוֹק.

4

הפעל מחדש את הטלפון לאחר סיום תהליך המחיקה.

הגדר את פרמטרי SCEP

Simple Certificate Enrollment Protocol ‏(SCEP) הוא התקן להקצאה וחידוש אוטומטיים של אישורים. שרת SCEP יכול לשמור באופן אוטומטי על תעודות המשתמש והשרת שלך.

עליך להגדיר את הפרמטרים הבאים של SCEP בדף האינטרנט של הטלפון שלך

  • כתובת IP RA

  • טביעת אצבע SHA-1 או SHA-256 של אישור CA השורש עבור שרת SCEP

רשות הרישום של Cisco IOS (RA) משמשת כפרוקסי לשרת SCEP. לקוח SCEP בטלפון משתמש בפרמטרים שהורדו מ- Cisco Unified Communication Manager. לאחר קביעת התצורה של הפרמטרים, הטלפון שולח בקשת SCEP getcs ל-RA ואישור CA הבסיס מאומת באמצעות טביעת האצבע שהוגדרה.

לפני שאתה מתחיל

בשרת SCEP, הגדר את סוכן הרישום של SCEP (RA) כך:

  • פעל כנקודת אמון PKI
  • פעל בתור PKI RA
  • בצע אימות מכשיר באמצעות שרת RADIUS

למידע נוסף, עיין בתיעוד שרת SCEP שלך.

1

מתוך ניהול Cisco Unified Communications Manager, בחר התקן > טלפון.

2

אתר את הטלפון.

3

גלול אל ה- פריסת תצורה ספציפית למוצר אֵזוֹר.

4

סמן את תיבת הסימון WLAN שרת SCEP כדי להפעיל את הפרמטר SCEP.

5

בדוק את ה טביעת אצבע של שורש WLAN CA (SHA256 או SHA1) תיבת סימון כדי להפעיל את הפרמטר SCEP QED.

הגדרת הגירסאות הנתמכות של TLS

באפשרותך להגדיר את הגירסה המינימלית של TLS הנדרשת עבור לקוח ושרת בהתאמה.

כברירת מחדל, גירסת TLS המינימלית של השרת והלקוח היא גם 1.2. להגדרה יש השפעות על הפונקציות הבאות:

  • חיבור גישה לאינטרנט HTTPS
  • קליטה בטלפון מקומי
  • קליטה עבור מכשירים ניידים Remote Access (MRA)
  • שירותי HTTPS, כגון, שירותי מדריך הכתובות
  • אבטחת שכבת תעבורה של Datagram (DTLS)
  • ישות גישה ליציאה (PAE)
  • אבטחת שכבת תעבורה של פרוטוקול אימות מורחב (EAP-TLS)

לקבלת מידע נוסף אודות תאימות TLS 1.3 עבור Cisco IP Phones, ראה TLS מטריצת תאימות 1.3 עבור מוצרי שיתוף פעולה של Cisco.

1

היכנס לניהול Cisco Unified Communications Manager בתור מנהל מערכת.

2

נווט אל אחד מהחלונות הבאים:

  • מערכת > תצורת טלפון ארגוני
  • הגדרות מכשיר > מכשיר> פרופיל טלפון נפוץ
  • תצורת מכשיר > טלפון > טלפון
3

הגדר את השדה TLS Client Min Version :

האפשרות "TLS 1.3" זמינה ב Cisco Unified CM 15SU2 ואילך.
  • TLS 1.1: לקוח TLS תומך בגירסאות של TLS מ- 1.1 עד 1.3.

    אם גירסת TLS בשרת נמוכה מ- 1.1, לדוגמה, 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.2 (ברירת מחדל): לקוח TLS תומך TLS 1.2 ו- 1.3.

    אם גירסת TLS בשרת נמוכה מ- 1.2, לדוגמה, 1.1 או 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.3: לקוח TLS תומך TLS 1.3 בלבד.

    אם גירסת TLS בשרת נמוכה מ- 1.3, לדוגמה, 1.2, 1.1 או 1.0, לא ניתן ליצור את החיבור.

4

הגדר את השדה TLS Server Min Version :

  • TLS 1.1: שרת TLS תומך בגרסאות של TLS מ-1.1 עד 1.3.

    אם גירסת TLS בלקוח נמוכה מ- 1.1, לדוגמה, 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.2 (ברירת מחדל): שרת TLS תומך ב-TLS 1.2 ו-1.3.

    אם גירסת TLS בלקוח נמוכה מ- 1.2, לדוגמה, 1.1 או 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.3: שרת TLS תומך ב TLS 1.3 בלבד.

    אם גירסת TLS בלקוח נמוכה מ- 1.3, לדוגמה, 1.2, 1.1 או 1.0, לא ניתן ליצור את החיבור.

ממהדורת PhoneOS 3.2, ההגדרה של השדה "השבת את TLS 1.0 ו- TLS 1.1 עבור גישה לאינטרנט" אינה משפיעה על הטלפונים.
5

לחץ על שמור.

6

לחץ על החל תצורה.

7

הפעל מחדש את הטלפונים.

שירותים מובטחים SIP

שירותים מובטחים SIP(AS-SIP) הוא אוסף של תכונות ופרוטוקולים המציעים זרימת שיחות מאובטחת ביותר עבור טלפונים Cisco IP Phones וטלפונים של צד שלישי. התכונות הבאות נקראות ביחד AS-SIP:

  • קדימות ומניעה רב-שכבתית (MLPP)
  • נקודת קוד של שירותים מובחנים (DSCP)
  • אבטחת שכבת תעבורה (TLS) ופרוטוקול תעבורה מאובטח בזמן אמת (SRTP)
  • פרוטוקול אינטרנט גרסה 6 (IPv6)

AS-SIP משמש לעתים קרובות עם Multilevel Precedence and Preemption (MLPP) כדי לתעדף שיחות במהלך חירום. באמצעות MLPP, תוכל להקצות רמת עדיפות לשיחות היוצאות שלך, מרמה 1 (נמוכה) לרמה 5 (גבוהה). בעת קבלת שיחה, סמל רמת קדימות מוצג בטלפון המציג את עדיפות השיחות.

כדי להגדיר AS-SIP, בצע את המשימות הבאות ב- Cisco Unified Communications Manager:

  • קביעת תצורה של משתמש תקציר – קבע את תצורת משתמש הקצה לשימוש באימות תקציר עבור בקשות SIP.
  • קביעת תצורה של יציאה מאובטחת של טלפון SIP—Cisco Unified Communications Manager משתמש ביציאה זו כדי להאזין לטלפוני SIP לצורך רישומי קו SIP באמצעות TLS.
  • הפעל מחדש את השירותים – לאחר קביעת התצורה של היציאה המאובטחת, הפעל מחדש את שירותי Cisco Unified Communications Manager ו-Cisco CTL Provider. קביעת תצורה של פרופיל SIP עבור AS-SIP-הגדרת פרופיל SIP עם הגדרות SIP עבור נקודות הקצה של AS-SIP ועבור גזעי ה-SIP שלך. הפרמטרים הספציפיים לטלפון אינם יורדים לטלפון AS-SIP של ספק חיצוני. הם משמשים רק את Cisco Unified Manager. טלפונים של ספקים חיצוניים חייבים להגדיר באופן מקומי את אותן הגדרות.
  • קביעת התצורה של פרופיל אבטחת הטלפון עבור AS-SIP—באפשרותך להשתמש בפרופיל האבטחה של הטלפון כדי להקצות הגדרות אבטחה כגון אימות TLS, SRTP ותקציר.
  • קביעת תצורה של נקודת קצה AS-SIP—הגדר נקודת קצה של Cisco IP Phone או של ספק חיצוני עם תמיכה ב- AS-SIP.
  • שיוך מכשיר למשתמש קצה – שיוך נקודת הקצה למשתמש.
  • קבע את תצורת פרופיל האבטחה של תא המטען של SIP עבור AS-SIP—באפשרותך להשתמש בפרופיל האבטחה של תא המטען של SIP כדי להקצות תכונות אבטחה כגון אימות TLS או תקציר לתא מטען של SIP.
  • הגדרת תא מטען של SIP עבור AS-SIP—הגדר תא מטען של SIP עם תמיכה ב-AS-SIP.
  • קביעת תצורה של תכונות AS-SIP—הגדר תכונות AS-SIP נוספות כגון MLPP, TLS, V.150 ו- IPv6.

לקבלת מידע מפורט אודות הגדרת התצורה של AS-SIP, עיין בפרק "קביעת תצורה של נקודות קצה AS-SIP" במדריך תצורת התכונות לקבלת Cisco Unified Communications Manager.

קדימות ומניעה רב-שכבתית

קדימות ומניעה מרובות רמות (MLPP) מאפשרות לך לתעדף שיחות במהלך מצבי חירום או מצבי משבר אחרים. אתה מקצה עדיפות לשיחות היוצאות שלך בטווח שבין 1 ל- 5. שיחות נכנסות מציגות סמל ואת עדיפות השיחות. משתמשים מאומתים יכולים להקדים שיחות לתחנות ממוקדות או דרך תאי מטען TDM המנויים במלואם.

יכולת זו מבטיחה לאנשי צוות בכירים תקשורת לארגונים ואנשי צוות קריטיים.

MLPP משמש לעתים קרובות עם Assured Services SIP(AS-SIP). לקבלת מידע מפורט אודות קביעת התצורה של MLPP, עיין בפרק הגדרת תצורה של קדימות מרובת רמות ומניעה מראש במדריך תצורת התכונות לקבלת Cisco Unified Communications Manager.

הגדרת FAC ו-CMC

כאשר קודי האישור הכפוי (FAC) או קודי הלקוח (CMC), או שניהם מוגדרים בטלפון, על המשתמשים להזין את הסיסמאות הדרושות כדי לחייג מספר.

לקבלת מידע נוסף אודות אופן ההגדרה של FAC ו- CMC ב- Cisco Unified Communications Manager, עיין בפרק "קודי חומר לקוח וקודי הרשאה כפויה" במדריך תצורת התכונות לקבלת Cisco Unified Communications Managerמהדורה 12.5 (1) ואילך.,