באפשרותך לאפשר ל-Cisco Unified Communications Manager לפעול בסביבת אבטחה משופרת. עם שיפורים אלה, רשת הטלפון פועלת תחת מערכת של בקרות אבטחה וניהול סיכונים קפדניות כדי להגן עליך ועל המשתמשים שלך.

סביבת האבטחה המשופרת כוללת את התכונות הבאות:

  • אימות חיפוש איש קשר.

  • TCP כפרוטוקול ברירת המחדל עבור רישום ביקורת מרחוק.

  • מצב FIPS.

  • מדיניות אישורים משופרת.

  • תמיכה במשפחת SHA-2 של גיהוקים לחתימות דיגיטליות.

  • תמיכה בגודל מפתח RSA של 512 סיביות ו-4096 סיביות.

עם Cisco Unified Communications Manager מהדורת 14.0 ומהדורת קושחה של טלפון וידאו של Cisco 2.1 ואילך, הטלפונים תומכים באימות SIP OAuth.

OAuth נתמך עבור Proxy Trivial File Transfer Protocol ‏(TFTP) עם מהדורת Cisco Unified Communications Manager 14.0(1)SU1 ואילך. Proxy TFTP ו-OAuth עבור Proxy TFTP אינו נתמך ב-Mobile Remote Access (MRA).

לקבלת מידע נוסף על אבטחה, ראה את הדברים הבאים:

הטלפון יכול לאחסן רק מספר מוגבל של קובצי רשימת אמון זהויות (ITL). קובצי ITL לא יכולים לחרוג מ-64K בטלפון, לכן הגבל את מספר הקבצים ש-Cisco Unified Communications Manager שולח לטלפון.

תכונות אבטחה נתמכות

תכונות אבטחה מגינות מפני איומים, כולל איומים על זהות הטלפון ונתונים. תכונות אלה יוצרות ומתחזקות זרמי תקשורת מאומתים בין הטלפון לבין שרת Cisco Unified Communications Manager, ומבטיחות שהטלפון משתמש בקבצים חתומים דיגיטלית בלבד.

מהדורת Cisco Unified Communications Manager 8.5(1) ואילך כוללת אבטחה כברירת מחדל, שמספקת את תכונות האבטחה הבאות עבור טלפוני Cisco IP מבלי להפעיל את לקוח CTL:

  • חתימה על קובצי התצורה של הטלפון

  • הצפנת קובץ תצורת טלפון

  • HTTPS עם Tomcat ושירותי אינטרנט אחרים

תכונות איתות ומדיה מאובטחות עדיין מחייבות אותך להפעיל את לקוח CTL ולהשתמש ב-eTokens בחומרה.

יישום אבטחה במערכת Cisco Unified Communications Manager מונע גניבת זהות של הטלפון ושרת Cisco Unified Communications Manager, מונע עיבוד נתונים ומונע עיבוד איתות שיחות וזרם מדיה.

כדי להקל על האיומים האלה, רשת הטלפוניה של Cisco IP יוצרת ומתחזקת זרמי תקשורת מאובטחים (מוצפנים) בין טלפון לשרת, חותמת דיגיטלית קבצים לפני שהם מועברים לטלפון ומצפינה זרמי מדיה ואיתות שיחות בין טלפוני Cisco IP.

אישור משמעותי מקומי (LSC) מותקן בטלפונים לאחר ביצוע המשימות הנדרשות המשויכות לפונקציית ה-PROXY של רשות האישורים (CAPF). באפשרותך להשתמש ב-Cisco Unified Communications Manager Administration כדי להגדיר LSC, כפי שמתואר במדריך האבטחה של Cisco Unified Communications Manager. לחלופין, ניתן ליזום את ההתקנה של LSC מתפריט הגדרות אבטחה בטלפון. תפריט זה גם מאפשר לך לעדכן או להסיר LSC.

לא ניתן להשתמש ב-LSC כתעודת המשתמש עבור EAP-TLS עם אימות WLAN.

הטלפונים משתמשים בפרופיל אבטחת הטלפון, המגדיר אם המכשיר אינו מאובטח או מאובטח. לקבלת מידע אודות החלת פרופיל האבטחה על הטלפון, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

אם אתה מגדיר הגדרות הקשורות לאבטחה ב-Cisco Unified Communications Manager Administration, קובץ התצורה של הטלפון מכיל מידע רגיש. כדי להבטיח את הפרטיות של קובץ תצורה, עליך להגדיר אותו להצפנה. לקבלת מידע מפורט, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

הטלפון תואם לתקן עיבוד מידע פדרלי (FIPS). כדי לתפקד כראוי, מצב FIPS דורש גודל מפתח של 2048 סיביות ומעלה. אם התעודה קטנה מ-2048 סיביות, הטלפון לא יירשם עם Cisco Unified Communications Manager ו-הטלפון לא יירשם. גודל מפתח Cert אינו צגים תואמים ל-FIPS בטלפון.

אם לטלפון יש LSC, עליך לעדכן את גודל מפתח LSC ל-2048 סיביות ומעלה לפני הפעלת FIPS.

הטבלה הבאה מספקת סקירה כללית של תכונות האבטחה שנתמכות על ידי הטלפונים. לקבלת מידע נוסף, עיין בתיעוד של המהדורה הספציפית של מנהל התקשורת המאוחדת של Cisco.

כדי להציג את מצב האבטחה, לחץ על הגדרות המקש הקשה של הגדרות ונווט אל רשת ושירות > הגדרות אבטחה.

טבלה 1. סקירה כללית של תכונות אבטחה

תכונה

תיאור

אימות תמונה

קבצים בינאריים חתומים מונעים התעסקות עם תמונת הקושחה לפני שהתמונה נטענת בטלפון.

הטעיה בתמונה גורמת לטלפון להיכשל בתהליך האימות ולדחיית התמונה החדשה.

התקנת אישור אתר הלקוח

כל טלפון Cisco IP דורש אישור ייחודי עבור אימות מכשיר. הטלפונים כוללים תעודה מותקנת בייצור (MIC), אך לאבטחה נוספת, ניתן לציין התקנת תעודה ב-Cisco Unified Communications Manager Administration באמצעות הפונקציה Certificate Authority Proxy ‏(CAPF). לחלופין, ניתן להתקין תעודה משמעותית מקומית (LSC) מתפריט 'תצורת אבטחה' בטלפון.

אימות מכשיר

מתרחש בין שרת Cisco Unified Communications Manager לבין הטלפון כאשר כל ישות מקבלת את התעודה של הישות האחרת. קובע אם יש להתרחש חיבור מאובטח בין הטלפון ל-Cisco Unified Communications Manager; ואם יש צורך, יוצר נתיב איתות מאובטח בין הישויות באמצעות פרוטוקול TLS. Cisco Unified Communications Manager לא רושם טלפונים אלא אם כן הוא יכול לאמת אותם.

אימות קובץ

מאמת קבצים חתומים דיגיטלית שהטלפון מוריד. הטלפון מאמת את החתימה כדי לוודא שהשימוש בקובץ לא התרחש לאחר יצירת הקובץ. קבצים שנכשלים באימות לא נכתבים לזיכרון Flash בטלפון. הטלפון דוחה קבצים כאלה ללא עיבוד נוסף.

הצפנת קובץ

הצפנה מונעת חשיפה של מידע רגיש בזמן שהקובץ נמצא במעבר לטלפון. בנוסף, הטלפון מאמת את החתימה כדי לוודא שהשימוש בקובץ לא התרחש לאחר יצירת הקובץ. קבצים שנכשלים באימות לא נכתבים לזיכרון Flash בטלפון. הטלפון דוחה קבצים כאלה ללא עיבוד נוסף.

אימות איתות

משתמש בפרוטוקול TLS כדי לאמת שלא התרחש עיבוד למנות איתות במהלך השידור.

אישור ייצור מותקן

כל טלפון Cisco IP מכיל אישור ייצור מותקן (MIC) ייחודי, המשמש לאימות מכשירים. המיקרופון מספק הוכחת זהות ייחודית קבועה עבור הטלפון ומאפשר ל-Cisco Unified Communications Manager לאמת את הטלפון.

הצפנת מדיה

משתמש ב-SRTP כדי להבטיח שזרמי מדיה בין מכשירים נתמכים יהיו מאובטחים ושרק המכשיר המיועד מקבל וקורא את הנתונים. כולל יצירת זוג מקשים ראשיים של מדיה עבור המכשירים, העברת המפתחות למכשירים ואבטחת מסירת המפתחות בזמן שהמפתחות נמצאים בתנועה.

CAPF (Certificate Authority Proxy Function)

מיישם חלקים של תהליך יצירת האישורים האינטנסיביים מדי עבור הטלפון, ומקיים אינטראקציה עם הטלפון ליצירת מפתחות והתקנת אישורים. ניתן להגדיר את ה-CAPF לבקש אישורים מרשויות אישורים שצוינו על-ידי הלקוח בשם הטלפון, או שניתן להגדיר אותו ליצור אישורים באופן מקומי.

שני סוגי מפתחות EC (עקומה אליפטית) ו-RSA נתמכים. כדי להשתמש במקש EC, ודא שהפרמטר "תמיכה באלגוריתמי הצפנה מתקדמים של נקודת קצה" (מתוך מערכת > פרמטר ארגון) מופעל.

לקבלת מידע נוסף על CAPF ותצורות קשורות, עיין במסמכים הבאים:

פרופיל אבטחה

מגדיר אם הטלפון אינו מאובטח, מאומת, מוצפן או מוגן. ערכים אחרים בטבלה זו מתארים תכונות אבטחה.

קובצי תצורה מוצפנים

מאפשר לך להבטיח את הפרטיות של קובצי תצורת הטלפון.

השבתת שרת אינטרנט אופציונלי עבור טלפון

למטרות אבטחה, באפשרותך למנוע גישה לדפי האינטרנט עבור טלפון (המציגים סטטיסטיקות תפעוליות שונות עבור הטלפון) ולפורטל השירות העצמי.

חידוד טלפון

אפשרויות אבטחה נוספות, שבהן אתה שולט מ-Cisco Unified Communications Manager Administration:

  • השבתת יציאת מחשב
  • השבתת ARP חינם (GARP)
  • השבתת גישת VLAN קולי של המחשב
  • השבתת גישה לתפריט הגדרות או מתן גישה מוגבלת
  • השבתת גישה לדפי אינטרנט עבור טלפון
  • השבתת יציאת אביזר Bluetooth
  • הגבלת צופני TLS

אימות 802.1X

טלפון Cisco IP יכול להשתמש באימות 802.1X כדי לבקש גישה לרשת ולקבל גישה אליה. ראה אימות 802.1X לקבלת מידע נוסף.

יתירות כשל של SIP מאובטח עבור SRST

לאחר קביעת התצורה של הפניה לטלפוניית אתר מרוחק (SRST) לאבטחה ולאחר מכן לאפס את המכשירים התלויים ב-Cisco Unified Communications Manager Administration, שרת ה-TFTP מוסיף את תעודת SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. לאחר מכן טלפון מאובטח משתמש בחיבור TLS כדי לקיים אינטראקציה עם הנתב התומך ב-SRST.

הצפנת איתות

מבטיח שכל הודעות איתות SIP הנשלחות בין המכשיר לשרת Cisco Unified Communications Manager מוצפנות.

התראה על עדכון של רשימת אמון

כאשר רשימת האמון מתעדכנת בטלפון, Cisco Unified Communications Manager מקבל התראה המציינת את ההצלחה או הכישלון של העדכון. לקבלת מידע נוסף, עיין בטבלה הבאה.

הצפנת AES 256

בעת חיבור למהדורת Cisco Unified Communications Manager 10.5(2) ואילך, הטלפונים תומכים בתמיכה בהצפנת AES 256 עבור TLS ו-SIP עבור הצפנת איתות ומדיה. זה מאפשר לטלפונים להתחיל ולתמוך בחיבורי TLS 1.2 באמצעות צפנים מבוססי AES-256 התואמים לתקני SHA-2 (אלגוריתם Hash מאובטח) והם תואמים לתקני עיבוד מידע פדרליים (FIPS). הצפנים כוללים:

  • עבור חיבורי TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • עבור sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

למידע נוסף, עיין בתיעוד של Cisco Unified Communications Manager.

תעודות Elliptic Curve Digital Signature Algorithm (ECDSA)

כחלק מאישור Common Criteria (CC), Cisco Unified Communications Manager; הוסיף תעודות ECDSA בגרסה 11.0. זה משפיע על כל מוצרי מערכת ההפעלה הקולית (VOS) המריצים את CUCM 11.5 ואילך.

אישור Tomcat של ריבוי שרתים (SAN) עם Cisco UCM

הטלפון תומך ב-Cisco UCM עם תעודות Tomcat Multi-Server (SAN) מוגדרות. ניתן למצוא את הכתובת הנכונה של שרת TFTP בקובץ ITL של הטלפון עבור רישום הטלפון.

לקבלת מידע נוסף על התכונה, ראה את הדברים הבאים:

הטבלה הבאה מכילה את הודעות ההתראה והעדכון של רשימת האמון. למידע נוסף, עיין בתיעוד של Cisco Unified Communications Manager.

טבלה 2. רשימת אמון תעדכן הודעות התראה
קוד והודעה תיאור

1 - TL_הצלחה

התקבל CTL ו/או ITL חדשים

2 - _הצלחה ראשונית_CTL

התקבל CTL חדש, אין TL קיים

3 - _הצלחה ראשונית_ITL

התקבל ITL חדש, אין TL קיים

4 - _הצלחה ראשונית_TL

התקבל CTL ו-ITL חדשים, אין TL קיים

5 - TL _נכשל_CTL הישן_CTL

עדכון ל-CTL חדש נכשל, אבל יש TL קודם

6 - TL_נכשל_לא_TL

עדכון ל-TL חדש נכשל, ואין TL ישן

7 - TL_נכשל

כשל כללי

8 - TL_נכשל_ישן_ITL

עדכון ל-ITL חדש נכשל, אבל יש TL קודם

9 - _ישן_TL _נכשל

עדכון ל-TL חדש נכשל, אבל יש TL קודם

תפריט הגדרת האבטחה מספק מידע על הגדרות אבטחה שונות. התפריט מספק גם גישה לתפריט רשימת אמון ומציין אם קובץ CTL או ITL מותקן בטלפון.

הטבלה הבאה מתארת את האפשרויות בתפריט הגדרת אבטחה.

טבלה 2. תפריט הגדרת אבטחה

אפשרות

תיאור

כדי לשנות

מצב אבטחה

מציג את מצב האבטחה המוגדר עבור הטלפון.

מתוך 'ניהול Cisco Unified Communications Manager', בחר מכשיר > טלפון. ההגדרה מופיעה בחלק 'מידע ספציפי לפרוטוקול' בחלון תצורת הטלפון.

LSC - עברית

מציין אם תעודה משמעותית מקומית המשמשת לתכונות אבטחה מותקנת בטלפון (מותקן) או לא מותקן בטלפון (לא מותקן).

לקבלת מידע אודות אופן ניהול ה-LSC עבור הטלפון שלך, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

הגדרת תעודה משמעותית מקומית (LSC)

משימה זו חלה על הגדרת LSC עם שיטת מחרוזת האימות.

לפני שתתחיל

ודא שתצורות האבטחה המתאימות של Cisco Unified Communications Manager ו-Certificate Authority Proxy Function ‏(CAPF) הושלמו:

  • קובץ CTL או ITL כולל תעודת CAPF.

  • ב-Cisco Unified Communications Operating System Administration, ודא שתעודת CAPF מותקנת.

  • ה-CAPF פועל ומוגדר.

לקבלת מידע נוסף על הגדרות אלה, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

1

השג את קוד אימות CAPF שהוגדר כאשר ה-CAPF הוגדר.

2

בטלפון, לחץ על הגדרות המקש הקשה של הגדרות.

3

אם תתבקש, הזן את הסיסמה כדי לגשת לתפריט הגדרות . באפשרותך לקבל את הסיסמה ממנהל המערכת.

4

נווט אל רשת ושירות > הגדרות אבטחה > LSC.

באפשרותך לשלוט בגישה לתפריט 'הגדרות' באמצעות השדה הגדרות גישה ב-Cisco Unified Communications Manager Administration.

5

הזן את מחרוזת האימות ובחר שלח.

הטלפון מתחיל להתקין, לעדכן או להסיר את ה-LSC, בהתאם לאופן שבו ה-CAPF מוגדר. לאחר השלמת ההליך, יוצג בטלפון או לא מותקן.

תהליך ההתקנה, העדכון או ההסרה של LSC עשוי להימשך זמן רב.

כאשר הליך התקנת הטלפון מוצלח, ההודעה מותקנת מוצגת. אם הטלפון מציג את לא מותקן, ייתכן שמחרוזת ההרשאה שגויה או שלא ניתן להפעיל את שדרוג הטלפון. אם פעולת CAPF מוחקת את LSC, הטלפון מציג את לא מותקן כדי לציין שהפעולה הצליחה. שרת CAPF רושם את הודעות השגיאה. עיין בתיעוד שרת CAPF כדי לאתר את יומני הרישום וכדי להבין את המשמעות של הודעות השגיאה.

הפעל מצב FIPS

1

ב-Cisco Unified Communications Manager Administration, בחר מכשיר > טלפון ואתר את הטלפון.

2

נווט לאזור תצורה ספציפית למוצר .

3

הגדר את השדה מצב FIPS למצב מופעל.

4

בחר שמור.

5

בחר החל תצורה.

6

הפעל מחדש את הטלפון.

כבה את הדיבורית, האוזניות והשפופרת בטלפון

באפשרותך לכבות לצמיתות את הרמקול, האוזניות והשפופרת בטלפון עבור המשתמש שלך.

1

ב-Cisco Unified Communications Manager Administration, בחר מכשיר > טלפון ואתר את הטלפון.

2

נווט לאזור תצורה ספציפית למוצר .

3

סמן אחת או יותר מתיבות הסימון הבאות כדי לכבות את היכולות של הטלפון:

  • השבת דיבורית
  • השבתת דיבורית ואוזניות
  • השבת שפופרת

כברירת מחדל, תיבות סימון אלה אינן מסומנות.

4

בחר שמור.

5

בחר החל תצורה.

אימות 802.1X

טלפוני Cisco IP תומכים באימות 802.1X.

Cisco IP Phones ו - Cisco Catalyst switchs משתמשים באופן מסורתי ב - Cisco Discovery Protocol (CDP) כדי לזהות אחד את השני ולקבוע פרמטרים כגון הקצאת VLAN ודרישות כוח בתוך השורה. CDP אינו מזהה תחנות עבודה מצורפות באופן מקומי. טלפוני Cisco IP מספקים מנגנון מעבר EAPOL. מנגנון זה מאפשר לתחנת עבודה המחוברת לטלפון Cisco IP להעביר הודעות EAPOL למאמת 802.1X במתג LAN. מנגנון המעבר מבטיח שטלפון ה-IP לא יפעל כמתג LAN לאימות נקודת קצה של נתונים לפני הגישה לרשת.

טלפוני Cisco IP מספקים גם מנגנון לוגוף EAPOL של Proxy. אם המחשב המחובר באופן מקומי מתנתק מטלפון ה-IP, מתג ה-LAN לא רואה את הקישור הפיזי נכשל, מכיוון שהקישור בין מתג ה-LAN לבין טלפון ה-IP נשמר. כדי להימנע מפגיעה בשלמות הרשת, טלפון ה-IP שולח הודעת EAPOL-Logoff למתג מטעם המחשב במורד הזרם, מה שמפעיל את מתג ה-LAN כדי לנקות את ערך האימות עבור המחשב במורד הזרם.

תמיכה באימות 802.1X דורשת מספר רכיבים:

  • טלפון IP של סרגל סטנסילים Stencils הטלפון יוזם את הבקשה לגישה לרשת. טלפוני Cisco IP מכילים מבקש 802.1X. מבקש זה מאפשר למנהלי רשת לשלוט בקישוריות של טלפוני IP ליציאות מתג LAN. המהדורה הנוכחית של מתחנן הטלפון 802.1X משתמשת באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.

  • שרת אימות: יש להגדיר את שרת האימות ואת המתג יחד עם סוד משותף שמאמת את הטלפון.

  • מתג: על המתג לתמוך ב -802.1X, כך שיוכל לשמש כמאמת ולהעביר את ההודעות בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או מונע את הגישה הטלפונית לרשת.

עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.

  • הגדר את הרכיבים האחרים לפני שאתה מפעיל 802.1X אימות בטלפון.

  • קבע תצורה של יציאת מחשב: תקן 802.1X אינו מתייחס לרשתות VLAN ולכן ממליץ שיש לאמת מכשיר יחיד ליציאת מתג ספציפית בלבד. עם זאת, מתגים מסוימים תומכים באימות מרובה תחומים. תצורת המתג קובעת אם ניתן לחבר מחשב ליציאת המחשב של הטלפון.

    • מופעל: אם אתה משתמש במתג שתומך באימות מרובה תחומים, תוכל להפעיל את יציאת המחשב ולחבר אליו מחשב. במקרה זה, טלפוני Cisco IP תומכים ב-PROXY EAPOL-Logoff כדי לנטר את חילופי האימות בין המתג לבין המחשב המחובר.

      לקבלת מידע נוסף על תמיכת IEEE 802.1X במתגי Cisco Catalyst, עיין במדריכי התצורה של מתגי Cisco Catalyst בכתובת:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • מושבת: אם המתג אינו תומך במכשירים מרובים התואמים ל-802.1X באותה יציאה, עליך להשבית את יציאת המחשב כאשר מופעל אימות 802.1X. אם לא תשבית יציאה זו ולאחר מכן תנסה לצרף אליה מחשב, המתג ידחה את גישת הרשת הן לטלפון והן למחשב האישי.

  • הגדר VLAN קולי: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתג.
    • מופעל: אם אתה משתמש במתג שתומך באימות מרובה תחומים, תוכל להמשיך להשתמש ב-VLAN הקולי.
    • מושבת: אם המתג אינו תומך באימות מרובה דומיינים, השבת את ה-VLAN הקולי ושקול להקצות את היציאה ל-VLAN המקורי.
  • (עבור טלפון שולחני Cisco מסדרת 9800 בלבד)

    לטלפון שולחני של Cisco מדגם 9800 יש קידומת שונה ב-PID מזו עבור טלפונים אחרים של Cisco. כדי לאפשר לטלפון שלך להעביר אימות 802.1X, הגדר את הפרמטר שם משתמש כדי לכלול את הטלפון השולחני של Cisco מדגם 9800.

    לדוגמה, ה-PID של הטלפון 9841 הוא DP-9841; באפשרותך להגדיר את שם משתמש ברדיוס כדי להתחיל עם DP או מכיל DP. ניתן להגדיר אותה בשני הקטעים הבאים:

    • מדיניות > תנאים > תנאי ספרייה

    • מדיניות > הגדרות מדיניות > מדיניות הרשאה > כלל הרשאה 1

אפשר אימות 802.1X

באפשרותך להפעיל אימות 802.1X עבור הטלפון שלך על-ידי ביצוע השלבים הבאים:

1

לחץ על הגדרותהמקש הקשה של הגדרות.

2

אם תתבקש, הזן את הסיסמה כדי לגשת לתפריט הגדרות . באפשרותך לקבל את הסיסמה ממנהל המערכת.

3

נווט אל רשת ושירות > הגדרות אבטחה > אימות 802.1X.

4

הפעל אימות IEEE 802.1X.

5

יש לבחור באפשרות הגשת מועמדות.

הצג מידע על הגדרות אבטחה בטלפון

באפשרותך להציג את המידע אודות הגדרות האבטחה בתפריט הטלפון. זמינות המידע תלויה בהגדרות הרשת בארגון שלך.

1

לחץ על הגדרותאת מפתח ההגדרות.

2

נווט אל רשת ושירות > הגדרות אבטחה.

3

בהגדרות אבטחה, הצג את המידע הבא.

טבלה 4. פרמטרים עבור הגדרות אבטחה

פרמטרים

תיאור

מצב אבטחה

מציג את מצב האבטחה המוגדר עבור הטלפון.

LSC - עברית

מציין אם תעודה משמעותית מקומית המשמשת לתכונות אבטחה מותקנת בטלפון (כן) או לא מותקנת בטלפון (לא).

רשימת אמון

רשימת האמון מספקת תפריטי משנה עבור קובצי התצורה החתומים CTL, ITL.

תפריט המשנה של קובץ CTL מציג את התוכן של קובץ CTL. תפריט המשנה של קובץ ITL מציג את התוכן של קובץ ITL.

התפריט 'רשימת אמון' מציג גם את המידע הבא:

  • חתימת CTL: hash SHA1 של קובץ CTL
  • שרת Unified CM/TFTP: השם של Cisco Unified Communications Manager ו-TFTP Server שבו משתמש הטלפון. הצגת סמל תעודה אם תעודה מותקנת עבור שרת זה.
  • שרת CAPF: שם שרת ה-CAPF שבו משתמש הטלפון. הצגת סמל תעודה אם תעודה מותקנת עבור שרת זה.
  • נתב SRST: כתובת ה-IP של נתב SRST המהימן שבו הטלפון יכול להשתמש. הצגת סמל תעודה אם תעודה מותקנת עבור שרת זה.

אבטחת שיחות טלפון

כאשר האבטחה מיושמת עבור טלפון, באפשרותך לזהות שיחות טלפון מאובטחות באמצעות סמלים במסך הטלפון. באפשרותך גם לקבוע אם הטלפון המחובר מאובטח ומוגן אם צליל אבטחה מושמע בתחילת השיחה.

בשיחה מאובטחת, כל איתות השיחות והזרמות המדיה מוצפנים. שיחה מאובטחת מציעה רמה גבוהה של אבטחה, ומספקת יושרה ופרטיות לשיחה. כאשר שיחה מתבצעת מוצפנת, באפשרותך לראות את הסמל המאובטח סמל המנעול עבור שיחה מאובטחת בקו. עבור טלפון מאובטח, באפשרותך גם להציג את הסמל המאומת או את הסמל המוצפן לצד השרת המחובר בתפריט הטלפון (הגדרות > אודות מכשיר זה).

אם השיחה מנותבת דרך קטעי שיחות שאינם IP, לדוגמה, PSTN, ייתכן שהשיחה אינה מאובטחת למרות שהיא מוצפנת ברשת ה-IP ויש לה סמל מנעול משויך אליה.

בשיחה מאובטחת, צליל אבטחה מושמע בתחילת השיחה כדי לציין שהטלפון המחובר האחר מקבל ומשדר שמע מאובטח. אם השיחה מתחברת לטלפון לא מאובטח, צליל האבטחה לא מושמע.

שיחות מאובטחות נתמכות עבור חיבורים בין שני טלפונים בלבד. תכונות מסוימות, כגון שיחות ועידה וקווים משותפים, אינן זמינות כאשר תצורת שיחות מאובטחות.

כאשר טלפון מוגדר כמאובטח (מוצפן ואמין) ב-Cisco Unified Communications Manager, ניתן להעניק לו מצב מוגן . לאחר מכן, אם תרצה, ניתן להגדיר את הטלפון המוגן להשמיע צליל אינדיקציה בתחילת שיחה:

  • מכשיר מוגן: כדי לשנות את המצב של טלפון מאובטח למצב מוגן, סמן את תיבת הסימון 'מכשיר מוגן' בחלון תצורת הטלפון ב'ניהול Cisco Unified Communications Manager' (מכשיר > טלפון).

  • השמע צליל חיוג מאובטח: כדי לאפשר לטלפון המוגן להשמיע צליל חיווי מאובטח או לא מאובטח, הגדר את ההגדרה 'השמע צליל חיווי מאובטח' ל-True. כברירת מחדל, Play Secure Indication Tone מוגדר ל-False. הגדרת אפשרות זו ב-Cisco Unified Communications Manager Administration ‏(מערכת > פרמטרי שירות). בחר את השרת ולאחר מכן את שירות Unified Communications Manager. בחלון התצורה של פרמטר השירות, בחר את האפשרות באזור התכונה - צליל מאובטח. דוגמה 1. setcookie() send examples

זיהוי שיחת ועידה מאובטחת

באפשרותך ליזום שיחת ועידה מאובטחת ולנטר את רמת האבטחה של המשתתפים. שיחת ועידה מאובטחת נוצרת באמצעות התהליך הזה:

  1. משתמש יוזם את שיחת הוועידה מטלפון מאובטח.

  2. Cisco Unified Communications Manager מקצה לשיחה גשר ועידה מאובטח.

  3. בעת הוספת משתתפים, Cisco Unified Communications Manager מאמת את מצב האבטחה של כל טלפון ושומר על רמת האבטחה עבור שיחת הוועידה.

  4. הטלפון מציג את רמת האבטחה של שיחת הוועידה. ועידה מאובטחת מציגה את הסמל המאובטח סמל המנעול עבור שיחה מאובטחת.

שיחות מאובטחות נתמכות בין שני טלפונים. עבור טלפונים מוגנים, תכונות מסוימות, כגון שיחות ועידה, קווים משותפים וניידות שלוחה, אינן זמינות כאשר תצורת שיחות מאובטחות.

הטבלה הבאה מספקת מידע על השינויים ברמות אבטחת הוועידה בהתאם לרמת האבטחה של הטלפון של היוזם, רמות האבטחה של המשתתפים והזמינות של גשרים מאובטחים של הוועידה.

טבלה 5. הגבלות אבטחה עם שיחות ועידה

רמת אבטחה של טלפון יוזם

תכונה בשימוש

רמת אבטחה של משתתפים

תוצאות פעולה

לא מאובטח

שיחת ועידה

מאובטח

גשר ועידה לא מאובטח

שיחת ועידה לא מאובטחת

מאובטח

שיחת ועידה

לפחות חבר אחד אינו מאובטח.

גשר ועידה מאובטח

שיחת ועידה לא מאובטחת

מאובטח

שיחת ועידה

מאובטח

גשר ועידה מאובטח

שיחת ועידה ברמה מוצפנת מאובטחת

לא מאובטח

פגוש אותי

רמת אבטחה מינימלית מוצפנת.

היוזם מקבל הודעה לא עומד ברמת האבטחה, השיחה נדחתה.

מאובטח

פגוש אותי

רמת אבטחה מינימלית אינה מאובטחת.

גשר ועידה מאובטח

שיחת הוועידה מקבלת את כל השיחות.

זיהוי שיחת טלפון מאובטחת

שיחה מאובטחת נוצרת כאשר הטלפון שלך, והטלפון בצד השני, מוגדר לשיחות מאובטחות. הטלפון השני יכול להיות באותה רשת Cisco IP, או ברשת מחוץ לרשת IP. ניתן לבצע שיחות מאובטחות רק בין שני טלפונים. שיחות ועידה צריכות לתמוך בשיחה מאובטחת לאחר הגדרת גשר ועידה מאובטח.

מתבצעת שיחה מאובטחת באמצעות תהליך זה:

  1. משתמש יוזם את השיחה מטלפון מאובטח (מצב אבטחה מאובטח).

  2. הטלפון מציג את הסמל המאובטח סמל המנעול עבור שיחה מאובטחת במסך הטלפון. סמל זה מציין שהטלפון מוגדר לשיחות מאובטחות, אך אין זה אומר שהטלפון המחובר האחר מאובטח גם כן.

  3. המשתמש שומע צליל אבטחה אם השיחה מתחברת לטלפון מאובטח אחר, המציין ששני הקצוות של השיחה מוצפנים ומאובטחים. אם השיחה מתחברת לטלפון לא מאובטח, המשתמש לא שומע את צליל האבטחה.

שיחות מאובטחות נתמכות בין שני טלפונים. עבור טלפונים מוגנים, תכונות מסוימות, כגון שיחות ועידה, קווים משותפים וניידות שלוחה, אינן זמינות כאשר תצורת שיחות מאובטחות.

רק טלפונים מוגנים משמיעים צלילי אינדיקציה מאובטחים או לא מאובטחים אלה. טלפונים לא מוגנים לעולם לא משמיעים צלילים. אם מצב השיחה הכולל משתנה במהלך השיחה, צליל החיווי משתנה והטלפון המוגן משמיע את הצליל המתאים.

טלפון מוגן משמיע צליל או לא בנסיבות אלה:

  • כאשר האפשרות 'השמע צליל חיווי מאובטח' מופעלת:

    • כאשר מדיה מאובטחת מקצה לקצה מוגדרת ומצב השיחה מאובטח, הטלפון משמיע את צליל החיווי המאובטח (שלושה צפצופים ארוכים עם הפסקות).

    • כאשר נוצרת מדיה לא מאובטחת מקצה לקצה ומצב השיחה אינו מאובטח, הטלפון משמיע את צליל החיווי הלא מאובטח (שישה צפצופים קצרים עם הפסקות קצרות).

אם האפשרות Play Secure Indication Tone מושבתת, לא מושמע צליל.

ספק הצפנה עבור התפרצות

Cisco Unified Communications Manager בודק את מצב אבטחת הטלפון בעת הקמת ועידות משנה את חיווי האבטחה עבור הוועידה או חוסם את השלמת השיחה כדי לשמור על שלמות ואבטחה במערכת.

משתמש לא יכול לפרוץ לשיחה מוצפנת אם הטלפון המשמש להתפרצות אינו מוגדר להצפנה. כאשר התפרצות נכשלת במקרה זה, צליל סידור מחדש (תפוס מהיר) מושמע בטלפון שבו התפרצות הופעל.

אם הטלפון היוזם מוגדר להצפנה, יוזם ההתפרצות יכול להתפרץ לשיחה לא מאובטחת מהטלפון המוצפן. לאחר ההתפרצות, Cisco Unified Communications Manager מסווג את השיחה כלא מאובטחת.

אם הטלפון היוזם מוגדר להצפנה, יוזם ההתפרצות יכול להתפרץ לשיחה מוצפנת, והטלפון מציין שהשיחה מוצפנת.

אבטחת WLAN

מכיוון שכל מכשירי ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN אחרת, אבטחת תקשורת קולית היא קריטית ברשתות WLAN. כדי להבטיח שפולשים לא יטופלו או יירטו תעבורת קול, ארכיטקטורת האבטחה הבטוחה של Cisco תומכת בטלפון. לקבלת מידע נוסף על אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

פתרון הטלפוניה האלחוטית של Cisco IP מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת פגומה באמצעות שיטות האימות הבאות התומכות בטלפון:

  • פתח אימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת המשתמשים. לא ניתן להצפין תקשורת בין המכשיר האלחוטי לנקודת גישה (AP).

  • פרוטוקול אימות הניתן להרחבה-אימות גמיש באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחת שרת לקוח זו מצפינה עסקאות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין ה-AP לבין שרת RADIUS, כגון מנוע שירותי הזהויות (ISE).

    מנהרת TLS משתמשת באישורי גישה מוגנים (PACs) לאימות בין הלקוח (הטלפון) לבין שרת הרדיוס. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת הרדיוס. השרת מפענח את ה-PAC באמצעות המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח ה-PAC ומנהרת TLS נוצרה. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת הרדיוס.

    ב-ISE, כברירת מחדל, ה-PAC יפוג בעוד שבוע אחד. אם לטלפון יש PAC פג תוקף, אימות עם שרת הרדיוס לוקח זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.

  • אימות הניתן להרחבת פרוטוקול אימות-אבטחת שכבת תעבורה (EAP-TLS): EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, אישור הלקוח יכול להיות אישור MIC‏, LSC או מותקן על-ידי המשתמש.

  • פרוטוקול אימות מורחב מוגן (PEAP): סכמת אימות הדדית המבוססת על סיסמה קניינית של Cisco בין הלקוח (הטלפון) לבין שרת RADIUS. הטלפון יכול להשתמש ב-PEAP לאימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.

  • מפתח משותף מראש (PSK): הטלפון תומך בתבנית ASCII. עליך להשתמש בתבנית זו בעת הגדרת מפתח משותף מראש של WPA/WPA2/SAE:

    ASCII: מחרוזת תווים ASCII שאורכה 8 עד 63 תווים (0-9, A-Z קטנה וגדולה ותווים מיוחדים)

    דוגמה: גרג123567@9ZX&W

סכימות האימות הבאות משתמשות בשרת הרדיוס כדי לנהל מפתחות אימות:

  • WPA/WPA2/WPA3: משתמש במידע שרת RADIUS כדי ליצור מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת הרדיוס הריכוזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות WPA משותפים מראש המאוחסנים ב-AP ובטלפון.

  • נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע שרת דומיין אלחוטי (WDS) כדי לנהל ולאמת מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור מכשירי לקוח התומכים ב-FT לאימות מחדש מהיר ומאובטח. טלפון שולחני של Cisco 9861 ו-9871 ו-Cisco Video Phone 8875 תומכים ב-802.11r (FT). הן מעל האוויר והן מעל ה-DS נתמכות כדי לאפשר נדידה מהירה ומאובטחת. אבל אנו ממליצים בחום להשתמש ב- 802.11r (FT) מעל שיטת האוויר.

עם WPA/WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין ה-AP לטלפון. אך יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.

כדי לוודא שתעבורת הקול מאובטחת, הטלפון תומך ב-TKIP וב-AES להצפנה. כאשר מנגנונים אלה משמשים להצפנה, הן חבילות SIP לאיתות והן חבילות פרוטוקול תעבורה קולי בזמן אמת (RTP) מוצפנות בין ה-AP לטלפון.

טקיפ

WPA משתמש בהצפנת TKIP שיש לה כמה שיפורים על WEP. TKIP מספק הצפנה לכל מנה וקטורי אתחול ארוכים יותר (IVs) שמחזקים הצפנה. בנוסף, בדיקת תקינות ההודעות (MIC) מבטיחה שהחבילות המוצפנות לא משתנות. TKIP מסיר את יכולת החיזוי של WEP המסייעת לפולשים לפענח את מפתח WEP.

aes

שיטת הצפנה המשמשת לאימות WPA2/WPA3. תקן לאומי זה להצפנה משתמש באלגוריתם סימטרי בעל אותו מפתח להצפנה ולפענוח. AES משתמש בהצפנת שרשרת חסימות הצפנה (CBC) בגודל 128 סיביות, התומכת בגדלי מפתח של 128 סיביות, 192 סיביות ו-256 סיביות, כמינימום. הטלפון תומך בגודל מפתח של 256 סיביות.

טלפון שולחני של Cisco 9861 ו-9871 ו-Cisco Video Phone 8875 אינם תומכים ב-Cisco Key Integrity Protocol (CKIP) עם CMIC.

סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-AP ומציינות שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולתוכנית האימות וההצפנה המסוימת. כדי שמכשירי לקוח אלחוטיים יאומתו בהצלחה, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם ב-AP ובטלפון.

תוכניות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.

  • בעת שימוש במפתח משותף מראש של WPA, במפתח משותף מראש של WPA2 או SAE, יש להגדיר את המפתח המשותף מראש בטלפון באופן סטטי. מקשים אלה חייבים להתאים למפתחות שנמצאים ב-AP.

  • הטלפון תומך במשא ומתן אוטומטי של EAP עבור FAST או PEAP, אך לא עבור TLS. עבור מצב EAP-TLS, עליך לציין אותו.

סכימות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור הטלפון התואמות לתצורת AP.

טבלה 6. סכמות אימות והצפנה
סוג FSRאימותניהול מפתחותהצפנהמסגרת ניהול מוגנת (PMF)
802.11r (FT)PSK

WPA-PSK (באנגלית)

wpa-psk-sha256

ft-psk

aesלא
802.11r (FT)WPA3

סאי

ft-sae

aesכן
802.11r (FT)EAP-TLS

wpa-eap

רגל- eap

aesלא
802.11r (FT)eap-tls‏ (wpa3)

wpa-eap-sha256

רגל- eap

aesכן
802.11r (FT)EAP-FAST

wpa-eap

רגל- eap

aesלא
802.11r (FT)eap-fast‏ (wpa3)

wpa-eap-sha256

רגל- eap

aesכן
802.11r (FT)eap-peap

wpa-eap

רגל- eap

aesלא
802.11r (FT)eap-peap‏ (wpa3)

wpa-eap-sha256

רגל- eap

aesכן

קבע תצורה של פרופיל LAN אלחוטי

באפשרותך לנהל את פרופיל הרשת האלחוטית שלך על-ידי הגדרת פרטי כניסה, פס תדר, שיטת אימות וכן הלאה.

זכור את ההערות הבאות לפני שתקבע את התצורה של פרופיל WLAN:

  • שם משתמש וסיסמה

    • כאשר הרשת שלך משתמשת ב-EAP-FAST ו-PEAP לאימות משתמשים, עליך להגדיר הן את שם המשתמש והן את הסיסמה לפי הצורך בשירות המשתמש לחיוג לאימות מרחוק (RADIUS) והן בטלפון.

    • האישורים שאתה מזין בפרופיל ה-LAN האלחוטי חייבים להיות זהים לאישורים שהגדרת בשרת הרדיוס.

    • אם אתה משתמש בדומיינים בתוך הרשת שלך, עליך להזין את שם המשתמש עם שם הדומיין, בתבנית: דומיין\שם משתמש.

  • הפעולות הבאות עשויות לגרום לניקוי סיסמת ה-Wi-Fi הקיימת:

    • הזנת מזהה משתמש או סיסמה לא חוקיים
    • התקנת CA שורש לא חוקי או שתוקפה פג כאשר סוג EAP מוגדר ל-PEAP-MSCHAPV2 או PEAP-GTC
    • השבתת סוג EAP שנמצא בשימוש בשרת רדיוס לפני העברת הטלפון לסוג EAP החדש
  • כדי לשנות את סוג EAP, הקפד להפעיל תחילה את סוג EAP החדש בשרת הרדיוס, ולאחר מכן החלף את הטלפון לסוג EAP. כאשר כל הטלפונים השתנו לסוג EAP החדש, באפשרותך להשבית את סוג EAP הקודם אם תרצה.
1

ב-Cisco Unified Communications Manager Administration, בחר מכשיר > הגדרות מכשיר > פרופיל LAN אלחוטי.

2

בחר את פרופיל הרשת שברצונך להגדיר.

3

הגדר את הפרמטרים.

4

לחץ על שמור.

הגדרת תצורת פרמטרי SCEP

Simple Certificate Enrollment Protocol ‏(SCEP) הוא הסטנדרט להקצאה וחידוש אוטומטי של אישורים. שרת SCEP יכול לשמור אוטומטית על אישורי המשתמש והשרת שלך.

עליך להגדיר את פרמטרי ה-SCEP הבאים בדף האינטרנט של הטלפון שלך

  • כתובת IP RA

  • טביעת אצבע SHA-1 או SHA-256 של תעודת CA הבסיס עבור שרת SCEP

רשות הרישום של Cisco IOS (RA) משמשת כפרוקסי לשרת SCEP. לקוח SCEP בטלפון משתמש בפרמטרים שמורידים מ-Cisco Unified Communication Manager. לאחר קביעת התצורה של הפרמטרים, הטלפון שולח בקשת SCEP getcs ל-RA ותעודת ה-CA הראשית מאומתת באמצעות טביעת האצבע המוגדרת.

לפני שתתחיל

בשרת SCEP, קבע את התצורה של סוכן רישום SCEP (RA) ל:

  • פעל כנקודת אמון של PKI
  • לפעול כמו PKI RA
  • בצע אימות מכשיר באמצעות שרת רדיוס

לקבלת מידע נוסף, עיין בתיעוד שרת SCEP שלך.

1

מתוך Cisco Unified Communications Manager Administration, בחר מכשיר > טלפון.

2

אתר את הטלפון.

3

גלול לאזור פריסת תצורה ספציפית למוצר .

4

סמן את תיבת הסימון WLAN SCEP Server כדי להפעיל את פרמטר SCEP.

5

סמן את תיבת הסימון WLAN Root CA Fingerprint (SHA256 או SHA1) כדי להפעיל את הפרמטר SCEP QED.

הגדר את הגרסאות הנתמכות של TLS

באפשרותך להגדיר את הגרסה המינימלית של TLS הנדרשת עבור הלקוח והשרת בהתאמה.

כברירת מחדל, גרסת TLS המינימלית של השרת והלקוח היא גם 1.2. להגדרה יש השפעה על הפונקציות הבאות:

  • חיבור גישה לאינטרנט של HTTPS
  • צירוף עבור טלפון מקומי
  • קליטה לגישה ניידת ומרוחקת (MRA)
  • שירותי HTTPS, כגון שירותי ספר הטלפונים
  • אבטחת שכבת תעבורה של Datagram ‏(DTLS)
  • ישות גישת יציאה (PAE)
  • פרוטוקול אימות הניתן להרחבה-אבטחת שכבת תעבורה (EAP-TLS)

לקבלת מידע נוסף על תאימות TLS 1.3 עבור טלפוני Cisco IP, ראה מטריצת תאימות TLS 1.3 עבור מוצרי שיתוף פעולה של Cisco.

1

היכנס אל Cisco Unified Communications Manager Administration כמנהל מערכת.

2

נווט לאחד מהחלונות הבאים:

  • מערכת > תצורת טלפון ארגוני
  • מכשיר > הגדרות מכשיר > פרופיל טלפון נפוץ
  • מכשיר > טלפון > תצורת טלפון
3

הגדר את השדה גרסת לקוח Min TLS :

האפשרות "TLS 1.3" זמינה ב-Cisco Unified CM 15SU2, ואילך.
  • TLS 1.1: לקוח TLS תומך בגרסאות של TLS מ-1.1 עד 1.3.

    אם גרסת TLS בשרת נמוכה מ-1.1, לדוגמה, 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.2 (ברירת מחדל): לקוח TLS תומך ב-TLS 1.2 ו-1.3.

    אם גרסת TLS בשרת נמוכה מ-1.2, לדוגמה, 1.1 או 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.3: לקוח TLS תומך ב-TLS 1.3 בלבד.

    אם גרסת TLS בשרת נמוכה מ-1.3, לדוגמה, 1.2, 1.1 או 1.0, לא ניתן ליצור את החיבור.

4

הגדר את השדה גרסת TLS Server Min :

  • TLS 1.1: שרת TLS תומך בגרסאות של TLS מ-1.1 עד 1.3.

    אם גרסת TLS בלקוח נמוכה מ-1.1, לדוגמה, 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.2 (ברירת מחדל): שרת TLS תומך ב-TLS 1.2 ו-1.3.

    אם גרסת TLS בלקוח נמוכה מ-1.2, לדוגמה, 1.1 או 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.3: שרת TLS תומך ב-TLS 1.3 בלבד.

    אם גרסת TLS בלקוח נמוכה מ-1.3, לדוגמה, 1.2, 1.1 או 1.0, לא ניתן ליצור את החיבור.

ממהדורת PhoneOS 3.2, ההגדרה של השדה "השבת TLS 1.0 ו-TLS 1.1 עבור גישה לאינטרנט" אינה משפיעה על הטלפונים.
5

לחץ על שמור.

6

לחץ על החל תצורה.

7

הפעל מחדש את הטלפונים.

SIP של שירותים מובטחים

שירותים מאובטחים SIP (AS-SIP) הוא אוסף של תכונות ופרוטוקולים המציעים זרימת שיחות מאובטחת מאוד עבור טלפוני Cisco IP וטלפונים של צד שלישי. התכונות הבאות ידועות באופן קולקטיבי כ-AS-SIP:

  • קדימות וקדימות רב-שכבתיים (MLPP)
  • נקודת קוד של שירותים מובחנים (DSCP)
  • אבטחת שכבת תעבורה (TLS) ופרוטוקול תעבורה מאובטח בזמן אמת (SRTP)
  • פרוטוקול אינטרנט גרסה 6 (IPv6)

AS-SIP משמש לעתים קרובות עם קדימות וקדימות רב-שכבתיים (MLPP) כדי לתעדף שיחות במהלך מצב חירום. עם MLPP, אתה מקצה רמת עדיפות לשיחות היוצאות, מרמה 1 (נמוכה) לרמה 5 (גבוהה). כאשר אתה מקבל שיחה, סמל רמת קדימות מוצג בטלפון המציג את עדיפות השיחה.

כדי לקבוע תצורה של AS-SIP, השלם את המשימות הבאות ב-Cisco Unified Communications Manager:

  • קבע תצורה של משתמש תקציר - קבע את תצורת משתמש הקצה לשימוש באימות תקציר עבור בקשות SIP.
  • קבע תצורה של יציאה מאובטחת של טלפון SIP - Cisco Unified Communications Manager משתמש ביציאה זו כדי להאזין לטלפונים SIP עבור רישומי קווי SIP דרך TLS.
  • הפעל מחדש שירותים - לאחר קביעת התצורה של היציאה המאובטחת, הפעל מחדש את שירותי Cisco Unified Communications Manager ואת שירותי Cisco CTL Provider. קבע תצורה של פרופיל SIP עבור AS-SIP-קבע תצורה של פרופיל SIP עם הגדרות SIP עבור נקודות הקצה של AS-SIP ועבור SIP trunks. הפרמטרים הספציפיים לטלפון אינם מורידים לטלפון AS-SIP של צד שלישי. הם משמשים רק את Cisco Unified Manager. טלפונים של צד שלישי חייבים להגדיר את אותן הגדרות באופן מקומי.
  • קבע תצורה של פרופיל אבטחת הטלפון עבור AS-SIP - באפשרותך להשתמש בפרופיל אבטחת הטלפון כדי להקצות הגדרות אבטחה כגון TLS, SRTP ואימות תקציר.
  • קבע תצורה של נקודת קצה של AS-SIP - קבע תצורה של טלפון Cisco IP או נקודת קצה של צד שלישי עם תמיכת AS-SIP.
  • שייך מכשיר למשתמש קצה - שייך את נקודת הקצה למשתמש.
  • קבע תצורה של פרופיל אבטחה של SIP Trunk עבור AS-SIP - באפשרותך להשתמש בפרופיל האבטחה של sip trunk כדי להקצות תכונות אבטחה כגון TLS או DIGEST אימות ל-SIP trunk.
  • קבע תצורה של SIP Trunk עבור AS-SIP - קבע תצורה של SIP trunk עם תמיכת AS-SIP.
  • קבע תצורה של תכונות AS-SIP-קבע תצורה של תכונות AS-SIP נוספות כגון MLPP, TLS, V.150 ו-IPv6.

לקבלת מידע מפורט אודות קביעת התצורה של AS-SIP, עיין בפרק "קביעת התצורה של נקודות קצה של AS-SIP" במדריך התצורה של תכונות עבור Cisco Unified Communications Manager.

קדימות וקדימות רב-שכבתיים

Multilevel Precedence and Preemption (MLPP) מאפשר לך לתעדף שיחות במהלך מצבי חירום או מצבי משבר אחרים. אתה מקצה עדיפות לשיחות יוצאות בטווח של 1 עד 5. שיחות נכנסות מציגות סמל ואת עדיפות השיחה. משתמשים מאומתים יכולים להקצות מראש שיחות לתחנות ייעודיות או דרך ענפי trunk של TDM שנרשמו באופן מלא.

יכולת זו מבטיחה אנשי תקשורת ברמה גבוהה לארגונים ולאנשי צוות קריטיים.

MLPP משמש לעתים קרובות עם שירותים מובטחים SIP(AS-SIP). לקבלת מידע מפורט אודות קביעת התצורה של MLPP, עיין בפרק קביעת תצורה של קדימות רב-שכבתיים במדריך תצורת תכונות עבור Cisco Unified Communications Manager.

הגדר FAC ו-CMC

כאשר קודי ההרשאה הכפויה (FAC) או קודי עניין לקוח (CMC), או שניהם מוגדרים בטלפון, המשתמשים חייבים להזין את הסיסמאות הדרושות כדי לחייג מספר.

לקבלת מידע נוסף על אופן ההגדרה של FAC ו-CMC ב-Cisco Unified Communications Manager, עיין בפרק "קודי עניין לקוח וקודי הרשאה כפוי" במדריך תצורת התכונות עבור Cisco Unified Communications Manager, מהדורה 12.5(1) ואילך.