Možete omogućiti sustav Cisco Unified Communications Manager za rad u poboljšanom sigurnosnom okruženju. S pomoću tih poboljšanja telefonska mreža djeluje u skladu sa skupinom strogih kontrola za sigurnost i upravljanje rizicima kako biste vi i vaši korisnici bili zaštićeni.

Poboljšano sigurnosno okruženje uključuje sljedeće značajke:

  • Provjeru autentičnosti pri pretraživanju kontakata.

  • TCP kao zadani protokol za daljinsku reviziju zapisnika.

  • Način FIPS.

  • Poboljšana pravila koja se odnose na vjerodajnice.

  • Podršku za SHA-2 skupinu za pretvaranje vrijednosti za digitalne potpise.

  • Podrška za RSA ključ veličine od 512 bita i 4096 bita.

Uz Cisco Unified Communications Manager Release 14.0 i Cisco Video Phone Firmware Release 2.1 i noviji, telefoni podržavaju SIP OAuth provjeru autentičnosti.

OAuth je podržan za proxy trivijalni protokol za prijenos datoteka (TFTP) s Cisco Unified Communications Manager izdanjem 14.0(1)SU1 ili novijim. Proxy TFTP i OAuth za proxy TFTP nisu podržani na mobilnim Remote Access (MRA).

Dodatne informacije o sigurnosti potražite na sljedećim mjestima:

Vaš telefon može pohraniti samo ograničeni broj datoteka iz popisa pouzdanih identiteta (engl. Identity Trust List, ITL). Datoteke ITL-a ne mogu premašiti 64 k na telefonu tako da ograničite broj datoteka koje sustav Cisco Unified Communications Manager šalje telefonu.

Podržane sigurnosne značajke

Sigurnosne značajke štite od prijetnji, uključujući prijetnje identitetu telefona i podacima. Te značajke uspostavljaju i održavaju prijenose komunikacije provjerene autentičnosti između telefona i poslužitelja sustava Cisco Unified Communications Manager te osiguravaju da telefon upotrebljava samo digitalno potpisane datoteke.

Cisco Unified Communications Manager, izdanje 8.5 (1) i kasnije, uključuje sigurnost prema zadanim postavkama, što omogućuje slijedeće sigurnosne mogućnosti za Cisco IP telefone bez funkcioniranja CTL klijenta:

  • Potpisivanje konfiguracijskih datoteka telefona

  • Šifriranje konfiguracijske datoteke telefona

  • HTTPS s uslugom Tomcat i ostalim web-uslugama

Sigurnosna upozorenja i medijske značajke i dalje zahtijevaju od vas da pokrenete CTL klijenta i upotrebljavate hardverske e-tokene.

Provedba sigurnosti u sustavu Cisco Unified Communications Manager sprječava krađu identiteta telefona i poslužitelja sustava Cisco Unified Communications Manager,sprječava neovlašteno mijenjanje podataka i signala poziva i prijenos medijskog sadržaja.

Kako bi ublažili te prijetnje, mreža Cisco IP telefonije uspostavlja i održava sigurne (šifrirane) prijenose komunikacije između telefona i poslužitelja, digitalno potpisuje datoteke prije nego što se prenesu na telefon te šifrira prijenose medijskog sadržaja i signalizaciju poziva između Cisco IP telefona.

Certifikat lokalnog značaja (engl. Locally Significant Certificate, LSC) instalira se na telefone nakon izvršavanja potrebnih zadataka povezanih s Proxy funkcijom izdavatelja certifikata (engl. Certificate Authority Proxy Function, CAPF). Možete upotrebljavati sustav Cisco Unified Communications Manager Administration za konfiguriranje LSC-a, kako je opisano u članku Cisco Unified Communications Manager u vodiču za sigurnost. Alternativno, možete pokrenuti instalaciju LSC iz izbornika Sigurnosne postavke na telefonu. Ovaj izbornik omogućuje vam ažuriranje ili uklanjanje LSC-a.

LSC se ne može upotrebljavati kao korisnički certifikat za EAP-TLS s pomoću provjere autentičnosti WLAN.

Telefoni upotrebljavaju sigurnosni profil telefona, koji definira je li uređaj siguran. Informacije o primjeni sigurnosnog profila na telefon potražite u dokumentaciji za određeno izdanje sustava Cisco Unified Communications Manager.

Ako konfigurirate postavke vezane uz sigurnost u sustavu Cisco Unified Communications Manager Administration, konfiguracijska datoteka telefona sadrži osjetljive informacije. Kako biste osigurali privatnost konfiguracijske datoteke, morate je konfigurirati za šifriranje. Podrobne informacije potražite u dokumentaciji određenog izdanja sustava Cisco Unified Communications Manager koji imate.

Telefon je u skladu sa Saveznim standardom za obradu informacija (FIPS). To funkcionirati ispravno, a za način rada FIPS-a potreban je ključ veličine od 2048 bita ili veći. Ako je certifikat manji od 2048 bita, telefon se neće registrirati u sustav Cisco Unified Communications Manager i telefon se nije uspio registrirati. Veličina ključa certifikata nije sukladna FIPS-u prikazuje se na telefonu.

Ako telefon ima LSC, morate ažurirati LSC veličinu ključa na 2048 bita ili više prije omogućivanja FIPS-a.

Sljedeća tablica pruža pregled sigurnosnih značajki koje telefoni podržavaju. Dodatne informacije potražite u dokumentaciji određenog izdanja sustava Cisco Unified Communications Manager koji imate.

Za prikaz sigurnosnog načina pritisnite Postavke Tvrda tipka postavki I idite na Mrežne i servisne > Sigurnosne postavke.

Tablica 1. Pregled sigurnosnih značajki

Značajka

Opis

Provjera autentičnosti slike

Potpisane binarne datoteke sprječavaju neovlaštene izmjene slike firmvera prije učitavanja slike na telefon.

Neovlaštene izmjene slike uzrokuju da telefon ne uspijeva dovršiti postupak provjere autentičnosti i odbacuje nove slike.

Instalacija certifikata web-mjesta klijenta

Za svaki Cisco IP telefon potreban je jedinstveni certifikat za provjeru autentičnosti uređaja. Telefoni uključuju certifikat instaliran u proizvodnji (engl. manufacturing installed certificate, MIC), ali za dodatnu sigurnost možete odrediti instalaciju certifikata u sustav Cisco Unified Communications Manager Administration s pomoću Proxyja davatelja certifikata (engl. Certificate Authority Proxy, CAPF). Alternativno, možete instalirati Certifikat lokalnog značaja (LSC) iz izbornika konfiguracije sigurnosti na telefon.

Autentifikacija uređaja

Prikazuje se između poslužitelja sustava Cisco Unified Communications Manager i telefona kada svaki entitet prihvati certifikat drugog entiteta. Određuje hoće li se prikazati sigurna veza između telefona i sustava Cisco Unified Communications Manager; i, ako je potrebno, stvara sigurnu putanju signalizacija između entiteta s pomoću TLS protokola. Cisco Unified Communications Manager ne registrira telefone ako im ne može provjeriti autentičnost.

Provjera autentičnosti datoteke

Potvrdjuje digitalno potpisane datoteke koje telefon preuzima. Telefon provjerava valjanost potpisa kako bi bilo sigurno da se nije dogodila neovlaštena izmjena nakon stvaranja datoteke. Datoteke kod kojih provjera autentčnosti ne uspije ne upisuju se u brzu memoriju telefona. Telefon odbacuje takve datoteke bez daljnje obrade.

Šifriranje datoteke

Šifriranje sprječava otkrivanje osjetljivih informacija za vrijeme prijenosa datoteke na telefon. Uz to, telefon provjerava valjanost potpisa kako bi bilo sigurno da se nije dogodila neovlaštena izmjena nakon stvaranja datoteke. Datoteke kod kojih provjera autentčnosti ne uspije ne upisuju se u brzu memoriju telefona. Telefon odbacuje takve datoteke bez daljnje obrade.

Signalizacija provjere autentičnosti

Upotrebljava TLS protokol kako bi se provjerilo da tijekom prijenosa nije došlo do neovlaštenih izmjena signalnih pakiranja.

Certifikat koji je instalirao proizvođač

Svaki Cisco IP telefon sadrži jedinstveni certifikat koji je instalirao proizvođač (MIC) i koji se upotrebljava za provjeru autentičnosti uređaja. MIC pruža stalni jedinstven dokaz identiteta za telefon i omogućuje sustavu Cisco Unified Communications Manager provjeru autentičnosti telefona.

Šifriranje medija

Upotrebljava SRTP kako bi se osiguralo da prijenos medijskih sadržaja između podržanih uređaja bude siguran i da samo željeni uređaj prima i čita podatke. Uključuje stvaranje para primarnog medijskog ključa za uređaje, isporuku ključeva uređajima i osiguravanje isporuke ključeva tijekom prenošenja ključeva.

CAPF (engl. Certificate Authority Proxy Function, Proxy funkcija izdavatelja certifikata)

Implementira dijelove postupka za stvaranje certifikata koji su preintenzivno obrađivani za telefon i komunicira s telefonom za stvaranje ključa i instalaciju certifikata. CAPF se može konfigurirati kako bi zatražio potvrde od ovlaštenih korisnika certifikata u ime telefona ili se može konfigurirati za lokalno stvaranje certifikata.

Podržane su EC (eliptična krivulja) i RSA ključne vrste. Za korištenje ključa EC provjerite je li omogućen parametar "Endpoint Advanced Encryption Algorithms Support" (iz parametra System >Enterprise).

Dodatne informacije o CAPF i povezanim konfiguracijama potražite u sljedećim dokumentima:

Sigurnosni profil

Određuje je li telefon nesiguran, je li mu provjerena autentičnost, je li šifriran ili zaštićen. Ostali unosi u ovoj tablici opisuju sigurnosne značajke.

Šifrirane konfiguracijske datoteke

Omogućuje vam osiguravanje privatnosti konfiguracijskih datoteka telefona.

Onemogućavanje neobveznog web-poslužitelja za telefon

Iz sigurnosnih razloga možete spriječiti pristup web-mjestima za telefon (što prikazuju razne operacijske statistike za telefon) i portal za samoodržavanje.

Ojačavanje sigurnosti telefona

Dodatne sigurnosne mogućnosti koje nadzirete iz sustava Cisco Unified Communications Manager Administration:

  • Onemogućivanje PC ulaza
  • Onemogućivanje besplatnog ARP-a (engl. Gratuitous ARP, GARP)
  • Onemogućivanje pristupa PC glasu VLAN-u
  • Onemogućavanje pristupa izborniku postavki ili pružanje ograničenog pristupa
  • Onemogućavanje pristupa web-mjestima za telefon
  • Onemogućivanje priključnice za Bluetooth pribor
  • Ograničavanje šifri TLS-a

802.1X autentifikacija

Cisco IP telefon može upotrebljavati protokol 802.1X za provjeru autentičnosti za zahtjev i pristup mreži. Dodatne informacije potražite u članku Protokol 802.1X za provjeru autentičnosti.

Siguran SIP za prebacivanje u slučaju pogreške za SRST

Nakon konfiguriranja reference za sigurnost Opstanak telefonije na udaljenom mjestu (engl. Survivable Remote Site Telephony, SRST), a zatim vraćanja na izvorne postavke ovisnih uređaja u sustav Cisco Unified Communications Manager Administration, poslužitelj TFTP-a dodaje certifikat SRST datoteci cnf. xml telefona i datoteku šalje telefonu. Siguran telefon zatim upotrebljava TLS vezu za interakciju s usmjerivačem s omogućenim SRST-om.

Šifriranje signalizacije

Jamči da će sve poruke SIP signalizacije koje se šalju između uređaja i sustava Cisco Unified Communications Manager server biti šifrirane.

Alarm za ažuriranje popisa pouzdanih

Kada se na telefonu ažurira Popis pouzdanih, Cisco Unified Communications Manager prima alarm koji označuje uspjeh ili neuspjeh ažuriranja. Dodatne informacije potražite u tablicama u nastavku.

Šifriranje AES 256

Kada ste spojeni na sustav Cisco Unified Communications Manager Release 10.5 (2) i noviji, telefoni podržavaju šifriranje AES 256 podržano za protokole TLS i SIP za signaliziranje i medijsko šifriranje. Ovo omogućuje telefonima da pokreću i podržavaju TLS 1.2 povezivanja s pomoću šifri koje se temelje na algoritmu AES-256 koji se poklapa sa standardom SHA-2 (engl. Secure Hash Algorithm, Sigurnosni algoritam za pretvaranje vrijednosti) i sukladne su Saveznim standardima za obradu informacija (engl. Federal Information Processing Standards, FIPS). Šifre uključuju:

  • Za TLS veze:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Za sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Za više informacija pogledajte dokumentaciju za Cisco Unified Communications Manager.

Algoritam digitalnog potpisa eliptične krivulje (Certifikati Eliptička krivulja digitalni potpis algoritam, ECDSA)

Kao dio certifikacije zajedničkih kriterija (engl. Common Criteria, CC), Cisco Unified Communications Manager; dodani ECDSA certifikati u verziji 11.0. To se odnosi na sve proizvode Glasovnog operativnog sustava (engl. Voice Operating System, VOS) koji se odvijaju na CUCM 11.5 i novijim verzijama.

Tomcat certifikat za više poslužitelja (SAN) s Cisco UCM

Telefon podržava Cisco UCM s konfiguriranim Tomcat certifikatima za više poslužitelja (SAN). Ispravnu adresu TFTP poslužitelja možete pronaći u ITL datoteci telefona za registraciju telefona.

Dodatne informacije o značajki potražite u sljedećim člancima:

Tablica u nastavku sadrži Popis pouzdanih poruka s alarmima za ažuriranje i značenjem. Za više informacija pogledajte dokumentaciju za Cisco Unified Communications Manager.

Tablica 2. Popis pouzdanih poruka s alarmima za ažuriranje
Šifra i poruka Opis

1 – TL_SUCCESS

Primljen novi CTL i/ili ITL

2 – CTL_INITIAL_SUCCESS

Primljen novi CTL, nema postojećih TL

3 – ITL_INITIAL_SUCCESS

Primljen novi ITL, nema postojećih TL

4 – TL_INITIAL_SUCCESS

Primljen novi CTL i ITL, nema postojećih TL

5 – TL_FAILED_OLD_CTL

Ažuriranje na novi CTL nije uspjelo, ali imaju prethodni TL

6 – TL_FAILED_NO_TL

Ažuriranje na novi TL nije uspjelo i nemaju stare TL

7 – TL_FAILED

Generički neuspjeh

8 – TL_FAILED_OLD_ITL

Ažuriranje na novi ITL nije uspjelo, ali imaju prethodni TL

9 – TL_FAILED_OLD_TL

Ažuriranje na novi TL nije uspjelo, ali imaju prethodni TL

Izbornik sigurnosnih postavki pruža informacije o različitim sigurnosnim postavkama. Izbornik također pruža pristup izborniku značajke Popis pouzdanih i označuje je li na telefonu instalirana datoteka CTL ili ITL.

U tablici u nastavku opisane su mogućnosti u izborniku sigurnosnih postavki.

Tablica 3. Izbornik sigurnosnih postavki

Mogućnost

Opis

Za promjenu

Sigurnosni način rada

Prikazuje način sigurnosti koji je postavljen za telefon.

Iz sustava Cisco Unified Communications Manager Administration, odaberite stavke Uređaj > Telefon. Postavka se prikazuje u određenom dijelu podataka protokola u prozoru konfiguracije telefona.

LSC

Označava je li lokalno značajan certifikat koji se koristi za sigurnosne značajke instaliran na telefonu (Instaliran) ili nije instaliran na telefonu (Nije instaliran).

Informacije o načinu upravljanja LSC-om na telefonu potražite u dokumentaciji za određeno izdanje sustava Cisco Unified Communications Manager.

Postavljanje cenrtifikata lokalnog značaja (LSC)

Ovaj se zadatak primjenjuje za postavljanje LSC-a s pomoću metode niza za provjeru autentičnosti.

Prije nego što počnete

Provjerite jesu li dovršen odgovarajuće sigurnosne konfiguracije sustava Cisco Unified Communications Manager i Proxy funkcije izdavatelja certifikata (CAPF):

  • Datoteka CTL ili ITL ima certifikat CAPF.

  • U administraciji sustava Cisco Unified Communications Operating provjerite je li instaliran ceetifikat CAPF.

  • CAPF je konfiguriran i radi.

Dodatne informacije o tim postavkama potražite u dokumentaciji određenog izdanja sustava Cisco Unified Communications Manager koji imate.

1

Nabavite CAPF šifru za provjeru autentičnosti koja je postavljena kada je CAPF konfiguriran.

2

Na telefonu pritisnite Postavke the Settings hard key.

3

Ako se to od vas zatraži, unesite lozinku za pristup izborniku Postavke . Lozinku možete dobiti od administratora.

4

Idite na Mrežne i servisne > Sigurnosne postavke > LSC.

Možete kontrolirati pristup izborniku Postavke s pomoću polja Pristup postavkama u sustavu Cisco Unified Communications Manager Administration.

5

Unesite niz za provjeru autentičnosti i odaberite Pošalji.

Telefon počinje instalirati, ažurirati ili uklanjiti LSC, ovisno o tome kako je konfiguriran CAPF. Kada se postupak dovrši, na telefonu se prikaže poruka instaliran ili nije instaliran.

Postupak instaliranja, ažuriranja ili uklanjanja LSC-a može potrajati dugo vremena.

Kada je postupak instaliranja telefona uspješan, prikazuje se poruka Instalirano. Ako se na telefonu prikazuje Nije instalirano, onda autorizacijski niz možda nije točan ili nadogradnja telefona možda nije omogućena. Ako operacija CAPF izbriše LSC, telefon prikazuje poruku Nije instaliran kako bi označio da je operacija bila uspješna. CAPF poslužitelj zapisuje poruke o pogreškama. Pogledajte dokumentaciju CAPF poslužitelja kako biste pronašli zapise i razumjeli značenje poruka o pogrešci.

Omogućivanje načina FIPS

1

U sustavu Cisco Unified Communications Managera Administration odaberite mogućnosti Uređaj > Telefon i pronađite telefon.

2

Pomaknite se do područja Konfiguracija specifična za proizvod.

3

Polje Način FIPS postavite na mogućnost Omogućeno.

4

Izaberite Spremi.

5

Odaberite Primijeni konfiguraciju.

6

Ponovo pokreni telefon.

Isključivanje zvučnika, naglavnih slušalica i slušalice na telefonu

Imate mogućnosti trajnog isključivanja zvučnika, slušalica i slušalica na telefonu za korisnika.

1

U sustavu Cisco Unified Communications Managera Administration odaberite mogućnosti Uređaj > Telefon i pronađite telefon.

2

Pomaknite se do područja Konfiguracija specifična za proizvod.

3

Potvrdite jedan ili više sljedećih potvrdnih okvira da biste isključili mogućnosti telefona:

  • Onemogući zvučnik
  • Onemogući razglas i naglavne slušalice
  • Onemogućite slušalicu

Prema zadanim postavkama ti potvrdni okviri nisu potvrđeni.

4

Izaberite Spremi.

5

Odaberite Primijeni konfiguraciju.

802.1X autentifikacija

Cisco IP telefoni podržavaju protokol 802.1X za provjeru autentičnosti.

Cisco IP telefoni i prespojnici Cisco Catalyst uobičajeno upotrebljavaju Cisco protokol za otkrivanje (engl. Cisco Discovery Protocol, CDP) kako bi identificirali jedni druge i utvrditi parametre kao što su alokacija VLAN-a i zahtjevi za linijsko napajanje. CDP ne prepoznaje lokalno priložene radne stanice. Cisco IP telefoni osiguravaju prolaz EAPOL kroz mehanizam. Ovaj mehanizam omogućuje radnoj stanici priloženoj Cisco IP telefonu da propusti poruke EAPOL-a protokolu 802.1X za provjeru autentičnosti na prespojniku LAN-a. Mehanizam prolaza osigurava da IP telefon ne djeluje kao prespojnik LAN-a za provjeru autentičnosti krajnje točke podataka prije pristupanja mreži.

Cisco IP telefoni također pružaju proxy mehanizam za odjavu s EAPOL-a. Ako lokalno priključeno računalo prekine vezu s IP telefona, prespojnik LAN-a ne vidi da fizički link ne uspijeva, jer se održava veza između prespojnika LAN-a i IP telefona. Kako biste izbjegli ugrožavanje integriteta mreže, IP telefon šalje poruku EAPOL odjave prespojniku u ime računala koje prima podatke, što aktivira prespojnik LAN-a kako bi se očistio unos za provjeru autentičnosti za računalo koje prima podatke.

Podrška protokola 802.1X za provjeru autentičnosti zahtijeva nekoliko komponenti:

  • Cisco IP telefoni: telefon inicira zahtjev za pristup mreži. Cisco IP telefoni sadrže alt za slanje zamolbe u protokolu 802.1X Ovaj alat za slanje zamolbe omogućuje administratorima mreže kontrolu povezanosti IP telefona s LAN ulazima za prespajanje. Trenutačno izdanje alata za slanje zamolbe u protokolu 802.1X telefona upotrebljava mogućnosti EAP-FAST i EAP-TLS za provjeru autentičnosti mreže.

  • Poslužitelj za provjeru autentičnosti: poslužitelj za provjeru autentičnosti i skretnica moraju biti konfigurirani sa zajedničkom tajnom koja provjerava autentičnost telefona.

  • Prespojnik: prespojnik mora podržavati protokol 802.1X, tako da može djelovati kao alat za provjeru autentičnosti i propuštati poruke između telefona i poslužitelja za provjeru autentičnosti. Nakon dovršetka razmjene, prespojnik odobrava ili odbija odobriti pristup telefona mreži.

Kako biste konfigurirali protokol 802.1X, morate izvršiti radnje navedene u nastavku.

  • Konfigurirajte ostale komponente prije nego što omogućite protokol 802.1X za provjeru autentičnosti na telefonu.

  • Konfiguracija PC ulaza: standard 802.1X ne uzima u obzir VLANs i stoga preporučuje provjeru autentičnosti za samo jedan uređaj za određeni ulaz za prespajanje. Međutim, neki prespojnici podržavaju provjeru autentičnosti višestrukih domena. Konfiguracija prespojnika određuje možete li računalo povezati na PC ulaz na telefonu.

    • Omogućeno: ako upotrebljavate prespojnik koji podržava provjeru autentičnosti višestrukih domena, možete omogućiti PC ulaz i na njega povezati računalo. U ovom slučaju, Cisco IP telefoni podržavaju proxy EAPOL-odjavu za nadzor provjere autentičnosti razmjena između prespojnika i priključenog računala.

      Za više informacija o podršci protokola IEEE 802.1X na prespojnicima Cisco Catalyst, pogledajte upute za konfiguriranje prespojnika Cisco Catalyst na web-mjestu:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogućeno: ako prespojnik ne podržava više uređaja kompatibilnih s protokolom 802.1X na istom priključku, trebali biste onemogućiti PC ulaz kada se omogući protokol 802.1X za provjeru autentičnosti. Ako ne onemogućite ovaj ulaz, a zatim pokušate priključiti računalo na njega, prespojnik odbija pristup mreži i telefonu i računalu.

  • Konfiguriranje Glasovnog VLAN-a: Budući da standard 802.1X ne računa na VLAN-ove, trebali biste konfigurirati ovu postavku na temelju podrške prespojnika.
    • Omogućeno: ako upotrebljavate prespojnik koji podržava provjeru autentičnosti višestrukih domena, možete ga nastaviti upotrebljavati za glasovni VLAN.
    • Onemogućeno: ako prespojnik ne podržava provjeru autentičnosti višestukih domena, onemogućite glasovni VLAN i razmislite o dodjeljivanju ulaza izvornom VLAN-u.
  • (Samo za Cisco stolni telefon serije 9800)

    Cisco stolni telefon serije 9800 ima drugačiji prefiks u PID-u od onog za ostale Cisco telefone. Da biste telefonu omogućili prolazak provjere autentičnosti 802.1X, postavite radij· Parametar korisničko ime koji uključuje vaš Cisco Desk Phone 9800 Series.

    Na primjer, PID telefona 9841 je DP-9841; možete postaviti radijus· Korisničko ime za početak s DP ili sadrži DP. Možete ga postaviti u oba sljedeća odjeljka:

    • Uvjeti > Uvjeti > Uvjeti biblioteke

    • Pravila > Skupovi pravila> Pravila autorizacije> Pravilo autorizacije 1

Omogućivanje protokola 802.1X za provjeru autentičnosti

Možete omogućiti protokol 802.1X za provjeru autentičnosti na telefonu prateći sljedeće korake:

1

Pritisnite Postavke the Settings hard key.

2

Ako se to od vas zatraži, unesite lozinku za pristup izborniku Postavke . Lozinku možete dobiti od administratora.

3

Idite na Mrežne i servisne > Sigurnosne postavke > 802.1X provjera autentičnosti.

4

Uključite IEEE 802.1X provjeru autentičnosti.

5

Odaberite Primijeni.

Prikaz informacija o sigurnosnim postavkama na telefonu

Informacije o sigurnosnim postavkama možete pregledati u izborniku telefona. Dostupnost informacija ovisi o mrežnim postavkama u vašoj tvrtki ili ustanovi.

1

Pritisnite Postavke the Settings key.

2

Idite na Mrežne i servisne > sigurnosne postavke.

3

U sigurnosnim postavkama pogledajte sljedeće informacije.

Stol 4. Parametri za sigurnosne postavke

Parametri

Opis

Sigurnosni način rada

Prikazuje način sigurnosti koji je postavljen za telefon.

LSC

Označava je li lokalno značajan certifikat koji se koristi za sigurnosne značajke instaliran na telefonu (Da) ili nije instaliran na telefonu (ne).

Popis pouzdanosti

Popis pouzdanosti pruža podizbornike za CTL, ITL i potpisane konfiguracijske datoteke.

Podizbornik CTL datoteka prikazuje sadržaj CTL datoteke. Podizbornik ITL datoteka prikazuje sadržaj ITL datoteke.

Izbornik Popis pouzdanosti također prikazuje sljedeće informacije:

  • CTL Potpis: SHA1 raspršivanje CTL datoteke
  • Unified CM/TFTP poslužitelja: naziv poslužitelja Cisco Unified Communications Manager i TFTP koji telefon koristi. Prikazuje ikonu certifikata ako je instaliran certifikat za ovaj poslužitelj.
  • CAPF poslužitelj: naziv poslužitelja za CAPF koji telefon koristi. Prikazuje ikonu certifikata ako je instaliran certifikat za ovaj poslužitelj.
  • SRST usmjerivač: IP adresa pouzdanog usmjerivača SRST koji telefon može koristiti. Prikazuje ikonu certifikata ako je instaliran certifikat za ovaj poslužitelj.

Sigurnost telefonskih poziva

Kada se sigurnost za telefon implementira, možete identificirati sigurne telefonske pozive prema ikonama na zaslonu telefona. Također možete utvrditi je li spojeni telefon siguran i zaštićen ako se na početku poziva reproducira sigurnosni ton.

U sigurnom pozivu, šifrirani su svi signali poziva i prijenos medijskog sadržaja. Siguran poziv pruža visoku razinu sigurnosti, pružajući integritet i privatnost poziva. Kada je poziv u tijeku šifriran, možete vidjeti ikonu sigurnosti Ikona zaključaj za siguran poziv Na liniji. Za siguran telefon možete vidjeti i ikonu provjerene autentičnosti Ili šifriranu ikonu Pored povezanog poslužitelja u telefonskom izborniku (Postavke > O ovom uređaju).

Ako je poziv usmjeren putem etape poziva koji nije IP poziv, na primjer, PSTN, poziv može biti nesiguran, iako je šifriran unutar IP mreže i ima ikonu zaključavanja povezanu s njom.

U sigurnom pozivu, na početku poziva reproducira se sigurnosni ton kako bi označio da drugi spojeni telefon također prima i prenosi sigurnosni zvuk. Ako se vaš poziv poveže s nesigurnim telefonom, sigurnosni ton neće se reproducirati.

Sigurno pozivanje podržano je samo za veze između dva telefona. Neke značajke, kao što su konferencijski poziv i dijeljene linije, nisu dostupni kada je konfigurirano sigurno pozivanje.

Kada je telefon konfiguriran kao siguran (šifriran i pouzdan) u Cisco Unified Communications Manager, može mu se dati zaštićena status. Nakon toga, ako želite, zaštićen telefon može biti konfiguriran za reprodukciju tona indikatora na početku poziva:

  • Zaštićeni uređaj: za promjenu statusa telefona iz sigurnog u zaštićen, provjerite potvrdni okvir Zaštićeni uređaj u prozoru Konfiguracija telefona u sustavu Cisco Unified Communications Manager Administration (Uređaj > Telefon).

  • Reproduciranje indikatora sigurnog tona: kako biste omogućili zaštićenom telefonu da reproducira ton indikatora sigurnosti ili nesigurnosti, postavku Reproduciraj siguran ton indikatora postavite na Točno. Prema zadanim postavkama, postavka Reproduciraj siguran ton indikatora postavljena je na Netočno. Ovu mogućnost postavljate u sustavu Cisco Unified Communications Manager Administration (Sustav > Parametri usluge). Odaberite poslužitelj, a zatim uslugu Unified Communications Manager. U prozoru Konfiguracija parametara usluge odaberite mogućnost u području Funkcija – Sigurnosni ton. Zadana postavka je Netočno.

Identifikacija sigurnog konferencijskog poziva

Možete pokrenuti siguran konferencijski poziv i nadzirati razinu sigurnosti sudionika. Siguran konferencijski poziv uspostavlja se ovim postupkom:

  1. Korisnik pokreće konferenciju sa sigurnog telefona.

  2. Cisco Unified Communications Manager dodjeljuje pozivu sigurnu konferencijsku vezu.

  3. Nakon dodavanja sudionika, Cisco Unified Communications Manager provjerava način sigurnosti svakog telefona i održava sigurnu razinu za konferenciju.

  4. Telefon prikazuje razinu sigurnosti konferencijskog poziva. Sigurna konferencija prikazuje ikonu sigurnosti Ikona zaključaj za siguran poziv.

Sigurno pozivanje podržano je između dva telefona. Za zaštićene telefone, neke značajke, kao što su konferencijski poziv, dijeljene linije i značajka Extension Mobility nisu dostupni kada je konfigurirano sigurno pozivanje.

U tablici u nastavku nalaze se informacije o promjenama razina sigurnosti konferencije, ovisno o razini sigurnosti inicijalnog telefona, razinama sigurnosti sudionika te dostupnosti sigurne konferencijske veze.

Tablica 5. Sigurnosna ograničenja glede konferencijskih poziva

Razina sigurnosti inicijalnog telefona

Upotrijebljena značajka

Razina sigurnosti sudionika

Rezultati djelovanja

Nije siguran

Konferencija

Siguran

Konferencijska veza nije sigurna

Konferencija nije sigurna

Siguran

Konferencija

Barem jedan član nije siguran.

Konferencijska veza je sigurna

Konferencija nije sigurna

Siguran

Konferencija

Siguran

Konferencijska veza je sigurna

Sigurna šifrirana razina konferencije

Nije siguran

Meet Me

Minimalna razina sigurnosti šifrirana je.

Inicijator prima poruku Ne zadovoljava razinu sigurnosti, poziv odbijen.

Siguran

Meet Me

Minimalna razina sigurnosti nije sigurna.

Konferencijska veza je sigurna

Konferencija prihvaća sve pozive.

Identifikacija sigurnog telefonskog poziva

Siguran poziv uspostavlja se kada se vaš telefon i telefon s druge strane, konfiguriraju za sigurno pozivanje. Drugi telefon može biti u istoj Cisco IP mreži ili na mreži izvan IP mreže. Sigurni pozivi mogu se uspostaviti samo između dva telefona. Konferencijski pozivi trebali bi podržavati siguran poziv nakon postavljanja sigurne konferencijske veze.

Siguran poziv uspostavlja se ovim postupkom:

  1. Korisnik započinje poziv sa sigurnog telefona (zaštićen sigurnosni način rada).

  2. Telefon prikazuje ikonu sigurnosti Ikona zaključaj za siguran poziv Na zaslonu telefona. Ova ikona označuje da je telefon konfiguriran za sigurne pozive, ali to ne znači da je i drugi spojeni telefon također siguran.

  3. Korisnik će čuti sigurnosni ton ako se poziv poveže s drugim sigurnim telefonom, što označuje da su oba kraja razgovora šifrirana i osigurana. Ako se poziv poveže s telefonom koji nije siguran, korisnik neće čuti sigurnosni ton.

Sigurno pozivanje podržano je između dva telefona. Za zaštićene telefone, neke značajke, kao što su konferencijski poziv, dijeljene linije i značajka Extension Mobility nisu dostupni kada je konfigurirano sigurno pozivanje.

Samo zaštićeni telefoni reproduciraju ove tonove indikatora sigurnosti tj. nesigurnosti. Nezaštićeni telefoni nikada ne reproduciraju tonove. Ako se tijekom poziva promijeni ukupnan statusa poziva, mijenja se ton indikatora i zaštićeni telefon reproducira odgovarajući ton.

Zaštićen telefon reproducira ili ne reproducira ton pod ovim okolnostima:

  • Kada je omogućena mogućnost Reproduciraj siguran ton indikatora:

    • Kada se uspostavi siguran medij s jednog na drugi kraj i status poziva je siguran, telefon reproducira sigurni ton indikatora (tri duga zvučna signala s pauzama).

    • Kada se uspostavi nesiguran medij s jednog na drugi kraj i status poziva nije siguran, telefon reproducira ton indikatora koji ukazuje na nesigurnost (šest kratkih zvučnih signala s kratkim pauzama).

Ako je mogućnost Reproduciraj siguran ton indikatora onemogućena, ton se ne reproducira.

Omogući šifriranje za teglenicu

Cisco Unified Communications Manager provjerava status sigurnosti telefona prilikom uspostavljanja konferencija i mijenja sigurnosnu oznaku za konferenciju ili blokira dovršetak poziva radi održavanja integriteta i sigurnosti u sustavu.

Korisnik ne može upasti u šifrirani poziv ako telefon koji se koristi za upadanje nije konfiguriran za šifriranje. Kada teglenica u ovom slučaju ne uspije, na telefonu se reproducira ton za promjenu redoslijeda (brzo zauzet) da je teglenica pokrenuta.

Ako je telefon pokretača konfiguriran za šifriranje, pokretač teglenice može upasti u nesiguran poziv sa šifriranog telefona. Nakon što se teglenica dogodi, Cisco Unified Communications Manager klasificira poziv kao nesiguran.

Ako je telefon pokretača konfiguriran za šifriranje, pokretač upada može upasti u šifrirani poziv, a telefon naznačuje da je poziv šifriran.

WLAN sigurnost

Ovaj odjeljak primjenjiv je samo na modele telefona s mogućnošću Wi-Fi.

WLAN sigurnost

Budući da svi uređaji WLAN-a koji su u dometu mogu primati sav drugi WLAN promet, osiguravanje glasovne komunikacije je nužno u WLAN-ovima. Kako bi se osiguralo da uljezi ne manipuliraju i ne presretnu glasovni promet, arhitektura Cisco SAFE Security podržava telefon. Dodatne informacije o sigurnosti u mrežama potražite na web-mjestu http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rješenje Cisco bežične IP telefonije pruža sigurnost bežične mreže koja sprječava neovlaštene prijave i ugroženu komunikaciju pomoću sljedećih metoda provjere autentičnosti koje telefon podržava:

  • Otvori provjeru autentičnosti: svaki bežični uređaj može zatražiti provjeru autentičnosti u otvorenom sustavu. AP koji prima zahtjev može odobriti provjeru autentičnosti svakom tražitelju ili samo tražiteljima koji se nalaze na popisu korisnika. Komunikacija između bežičnog uređaja i pristupne točke (AP) može biti nešifrirana.

  • Proširivi protokol provjere autentičnosti – fleksibilna provjera autentičnosti putem sigurnog tuneliranja (EAP-FAST) Provjera autentičnosti: Ova sigurnosna arhitektura klijent-poslužitelj šifrira EAP transakcija unutar tunela za sigurnost razine prijenosa (TLS) između AP-a i poslužitelja RADIUS, kao što je Identity Services Engine (ISE).

    Tunel TLS upotrebljava Vjerodajnice za zaštićeni pristup (engl. Protected Access Credential, PAC) za provjeru autentičnosti između klijenta (telefona) i poslužitelja RADIUS. Poslužitelj šalje ID ovlaštenja (engl. Authority ID, AID) klijentu (telefon), što zauzvrat odabire odgovarajući PAC. Klijent (telefon) vraća neproziran PAC poslužitelju RADIUS-u. Poslužitelj primarnim ključem dešifrira PAC. Obje krajnje točke sada sadrže ključ PAC i stvara se TLS tunel. EAP-FAST podržava automatsku dodjelu PAC-a, ali ga morate omogućiti na poslužitelju RADIUS-u.

    U ISE-u, prema zadanim postavkama, PAC istječe za tjedan dana. Ako telefon ima istekli PAC, provjera autentičnosti na poslužitelju RADIUS traje dulje dok telefon dobije novi PAC. Kako biste izbjegli kašnjenja pri dodjeli PAC-ova, postavite razdoblje trajanja PAC-a na 90 dana ili dulje na ISE-u ili poslužitelju RADIUS.

  • Protokol proširene provjere autentičnosti – Sigurnost na razini prijenosa (engl. Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) za provjeru autentičnosti: EAP-TLS zahtijeva certifikat klijenta za provjeru autentičnosti i pristup mreži. Za bežične EAP-TLS certifikat klijenta može se MIC, LSC ili certifikat koji je instalirao korisnik.

  • Protokol za zaštićenu proširenu provjeru autentičnosti (engl. Protected Extensible Authentication Protocol, PEAP): Vlasnička shema tvrtke Cisco uzajamne provjere autentičnosti temeljena na lozinci između klijenta (telefona) i poslužitelja RADIUS. Telefon može koristiti PEAP za provjeru autentičnosti s bežičnom mrežom. Podržani su i PEAP-MSCHAPV2 i PEAP-GTC načini provjere autentičnosti.

  • Unaprijed dijeljeni ključ (PSK): telefon podržava ASCII format. Ovaj oblik morate koristiti prilikom postavljanja unaprijed dijeljenog ključa WPA/WPA2/SAE:

    ASCII: niz ASCII znakova duljine 8 do 63 znakova (0 – 9, malo i veliko slovo A – Z i posebni znakovi)

    Primjer: GREG123567@9ZX&W

Sheme provjere autentičnosti u nastavku upotrebljavaju poslužitelj RADIUS za upravljanje ključevima za provjeru autentičnosti:

  • WPA/WPA2/WPA3: Koristi informacije o RADIUS poslužitelju za generiranje jedinstvenih ključeva za provjeru autentičnosti. Budući da se ovi ključevi stvaraju na središnjem poslužitelju RADIUS, WPA2/WPA3 pruža više sigurnosti nego unaprijed dijeljeni ključevi WPA pohranjeni na AP-u i telefonu.

  • Brz i siguran roaming: upotrebljava poslužitelj RADIUS i podatke o poslužitelju bežične domene (engl. wireless domain server, WDS) za upravljanje i provjeru autentičnosti ključeva. WDS stvara predmemoriju sigurnosnih vjerodajnica za klijentske uređaje s omogućenim FT-om za brzu i sigurnu ponovnu provjeru autentičnosti. Cisco Desk Phone 9861 i 9871 i Cisco Video Phone 8875 podržavaju 802.11r (FT). I u zraku i putem DS-a podržani su kako bi se omogućio brz i siguran roaming. Ali mi snažno preporučujemo uporabu protokola 802.11r (FT) zračnim putem.

Uz WPA/WPA2/WPA3 ključevi za šifriranje ne unose se na telefon, već se automatski izvode između AP-a i telefona. No, EAP korisničko ime i lozinka koji se upotrebljavaju za provjeru autentičnosti moraju biti unesene u svaki telefon.

Da bi glasovni promet bio siguran, telefon podržava TKIP i AES za šifriranje. Kada se ti mehanizmi koriste za šifriranje, i signalni SIP paketi i glasovni paketi protokola prijenosa u stvarnom vremenu (RTP) šifrirani su između AP-a i telefona.

TKIP

WPA koristi TKIP enkripciju koja ima nekoliko poboljšanja u odnosu na WEP. TKIP pruža ključ za šifriranje po paketu i dulje vektore inicijalizacije (engl. initialization vector, IV) što ojačava šifriranje. Osim toga, provjera integriteta poruke (engl. message integrity check, MIC) osigurava da se šifrirani paketi ne mijenjaju. TKIP uklanja predvidljivost WEP-a koja pomaže uljezima dešifrirati WEP ključ.

AES

Metoda šifriranja koja se koristi za WPA2/WPA3 provjeru autentičnosti. Ovaj nacionalni standard za šifriranje upotrebljava simetrični algoritam koji ima isti ključ za šifriranje i dešifriranje. AES upotrebljava Lanac za blokiranje šifre (engl. Cipher Blocking Chain, CBC) za šifriranje u veličini od 128 bita, što podržava veličine ključeva od 128 bita, 192 bita i 256 bita, kao minimum. Telefon podržava veličinu ključa od 256 bita.

Cisco Desk Phone 9861 i 9871 i Cisco Video Phone 8875 ne podržavaju Cisco Key Integrity Protocol (CKIP) s CMIC-om.

Provjera autentičnosti i sheme šifriranja postavljeni su unutar bežičnog LAN-a. VLAN-ovi su konfigurirani u mreži i na AP-ovima i određuju različite kombinacije provjere autentičnosti i šifriranja. SSID se povezuje s VLAN-om i određenom shemom za provjeru autentičnosti i šifriranje. Da bi bežični klijentski uređaji uspješno provjerili autentičnost, morate konfigurirati iste SSID-ove s njihovim shemama provjere autentičnosti i šifriranja na AP-ovima i na telefonu.

Neke sheme za provjeru autentičnosti zahtijevaju određene vrste šifriranja.

  • Kada koristite WPA unaprijed dijeljeni ključ, unaprijed dijeljeni ključ WPA2 ili SAE, unaprijed dijeljeni ključ mora biti statički postavljen na telefonu. Ovi ključevi moraju se poklapati s ključevima koji se nalaze na AP-u.

  • Telefon podržava automatsko pregovaranje o EAP za FAST ili PEAP, ali ne i za TLS. Za EAP-TLS način morate ga navesti.

Sheme provjere autentičnosti i šifriranja u sljedećoj tablici prikazuju mogućnosti mrežne konfiguracije telefona koje odgovaraju AP konfiguraciji.

Tablica 6. Sheme za provjeru autentičnosti i šifriranje
Vrsta FSR-aProvjera autentičnostiUpravljanje ključevimaŠifriranjeZaštićeni okvir upravljanja (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESDa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa

Konfiguriranje profila bežičnog LAN-a

Možete upravljati svojim profilom bežične mreže tako da konfigurirate vjerodajnice, frekvencijski opseg, način provjere autentičnosti i tako dalje.

Imajte na umu sljedeće bilješke prije nego što konfigurirate WLAN profil:

  • Korisničko ime i lozinka

    • Kada vaša mreža upotrebljava EAP-FAST i PEAP za provjeru autentičnosti korisnika, morate konfigurirati i korisničko ime i lozinku, ako je to potrebno, na Korisničkoj usluzi biranja za daljinsku provjeru autentičnosti (engl. Remote Authentication Dial-In User Service, RADIUS) i telefonu.

    • Vjerodajnice koje unesete u profil bežičnog LAN-a moraju biti identične vjerodajnicama koje ste konfigurirali na poslužitelju RADIUS.

    • Ako upotrebljavate domene unutar svoje mreže, morate unijeti korisničko ime s nazivom domene, u formatu: domena\korisničkoime.

  • Sljedeće radnje mogle bi rezultirati poništavanjem postojeće Wi-Fi lozinke:

    • Unos nevaljanog ID-a korisnika ili lozinke
    • Instaliranje nevaljanog ili isteklog Korijenskog CA kada je vrsta EAP postavljena na PEAP-MSCHAPV2 ili PEAP-GTC
    • Onemogućivanje EAP vrste koja se upotrebljava na poslužitelju RADIUS prije prebacivanja telefona na novu vrstu EAP-a
  • Za promjenu vrste EAP-a provjerite jeste li najprije omogućili novu vrstu EAP-a na poslužitelju RADIUS, a zatim prebacite telefon na vrstu EAP. Kada su svi telefoni promijenjeni na novu vrstu EAP-a, možete onemogućiti prethodnu vrstu EAP-a, ako želite.
1

U sustavu Cisco Unified Communications Manager Administration odaberite stavke Uređaj > Postavke uređaja > Profil bežičnog LAN-a.

2

Odaberite mrežni profil koji želite konfigurirati.

3

Postavite parametre.

4

Kliknite Spremi.

Ručno instaliranje certifikata poslužitelja za provjeru autentičnosti

Možete ručno instalirati certifikat poslužitelja za provjeru autentičnosti na telefon ako jednostavan protokol za upisivanje certifikata (engl. Simple Certificate Enrollment Protocol, SCEP) nije dostupan.

Korijenski CA certifikat koji je izdao certifikat RADIUS poslužitelja mora biti instaliran za EAP-TLS.

Prije nego što počnete

Prije instaliranja certifikata na telefon, certifikat poslužitelja za provjeru autentičnosti morate spremiti na svoje računalo. Certifikat mora biti šifriran u PEM (Base-64) ili DER.

1

Na web-stranici za administraciju telefona odaberite mogućnost Certifikati.

2

Pronađite polje CA poslužitelja za provjeru autentičnosti i kliknite stavku Instaliraj.

3

Potražite certifikat na vašem računalu.

4

Kliknite na Prijenos.

5

Ponovno pokrenite telefon nakon dovršetka prijenosa.

Ako ponovo instalirate više certifikata, koristit će se samo posljednji instalirani.

Ručno instaliranje certifikata korisnika

Možete ručno instalirati certifikat korisnika na telefon ako jednostavan protokol za upisivanje certifikata (engl. Simple Certificate Enrollment Protocol, SCEP) nije dostupan.

Predinstalirani certifikat instalirane proizvodnje (MIC) može se koristiti kao korisnički certifikat za EAP-TLS.

Nakon instaliranja certifikata korisnika, dodajte ga na Popis pouzdanih na poslužitelju RADIJUS.

Prije nego što počnete

Prije nego što instalirate certifikat korisnika za telefon, morate imati:

  • Certifikat korisnika spremljen na računalu. Certifikat mora biti u formatu PKCS #12.

  • Lozinka za izdvajanje certifikata.

    Ova lozinka može sadržavati do 16 znakova.

1

Na web-stranici za administraciju telefona odaberite mogućnost Certifikati.

2

Pronađite polje Korisnički instalirano i kliknite mogućnost Instaliraj.

3

Potražite certifikat na vašem računalu.

4

U polje Izdvoji lozinku unesite lozinku izdvojenu iz certifikata.

5

Kliknite na Prijenos.

6

Ponovno pokrenite telefon nakon dovršetka prijenosa.

Ručno uklanjanje sigurnosnog certifikata

Možete ručno ukloniti sigurnosni certifikat s telefona ako Jednostavan protokol za upisivanje certifikata (engl. Simple Certificate Enrollment Protocol, SCEP) nije dostupan.

1

Na web-stranici za administraciju telefona odaberite mogućnost Certifikati.

2

Pronađite certifikat na stranici Certifikati.

3

Kliknite Izbriši.

4

Nakon dovršetka procesa brisanja ponovno pokrenite telefon.

Konfiguriranje parametara SCEP-a

Simple Certificate Enrollment Protocol (SCEP) je standard za automatsku dodjelu i obnavljanje certifikata. Poslužitelj SCEP može automatski održavati vaš korisnički certifikat i certifikat poslužitelja.

Na web-stranici telefona morate konfigurirati sljedeće parametre SCEP-a

  • RA adresa IP

  • SHA-1 ili SHA-256 otisak otiska korijenskog CA certifikata za poslužitelj SCEP

Cisco IOS ovlaštenje za registraciju (engl. Registration Authority, RA) služi kao proxy na poslužitelj SCEP. Klijent SCEP-a na telefonu upotrebljava parametre koji se preuzimaju iz sustava Cisco Unified Communication Manager. Nakon što konfigurirate parametre, telefon šalje SCEP getcs zahtjev RA-u, a korijenski CA certifikat se provjerava pomoću definiranog otiska prsta.

Prije nego što počnete

Na poslužitelju SCEP konfigurirajte agenta SCEP-a za registraciju (engl. Registration Agent, RA) na:

  • Djelovanje kao PKI točka povjerenja
  • Djelovanje kao PKI RA
  • Izvođenje provjere autentičnosti uređaja s pomoću poslužitelja RADIUS

Dodatne informacije potražite u dokumentaciji o poslužitelju SCEP.

1

U sustavu Cisco Unified Communications Manager Administration, odaberite stavke Uređaj > Telefon.

2

Pronađite telefon.

3

Pomaknite se do područja Prikaz konfiguracije specifične za proizvod.

4

Potvrdite okvir SCEP poslužitelj WLAN da biste aktivirali parametar SCEP.

5

Označite potvrdni okvir WLAN korijenski CA otisak prsta (SHA256 ili SHA1) kako biste aktivirali parameter SCEP QED.

Postavljanje podržanih verzija programa TLS

Možete postaviti minimalnu verziju TLS potrebnu za klijenta, odnosno poslužitelj.

Prema zadanim postavkama minimalna verzija poslužitelja i klijenta TLS je 1.2. Postavka utječe na sljedeće funkcije:

  • Veza za HTTPS web pristup
  • Uvođenje za lokalni telefon
  • Uvođenje za mobilne uređaje i Remote Access (MRA)
  • HTTPS usluge, kao što su imenički servisi
  • Datagram Transport Layer Security (DTLS)
  • Entitet pristupa priključku (PAE)
  • Proširiva provjera autentičnosti Protocol-Transport Layer Security (EAP-TLS)

Dodatne informacije o kompatibilnosti TLS 1.3 za Cisco IP Phones potražite u članku TLS 1.3 Matrica kompatibilnosti za Cisco proizvode za suradnju.

1

Prijavite se u Cisco Unified Communications Manager administraciju kao administrator.

2

Dođite do jednog od sljedećih prozora:

  • Sustav > Konfiguracija telefona poduzeća
  • Postavke uređaja > uređaja> uobičajeni profil telefona
  • Konfiguracija uređaja > telefona > telefona
3

Postavite TLS polje Klijent Min Version :

Opcija "TLS 1.3" dostupna je na Cisco Unified CM 15SU2 ili novijem.
  • TLS 1.1: TLS klijent podržava verzije TLS od 1.1 do 1.3.

    Ako je TLS verzija na poslužitelju manja od 1.1, na primjer, 1.0, tada se veza ne može uspostaviti.

  • TLS 1.2 (zadano): TLS klijent podržava TLS 1.2 i 1.3.

    Ako je TLS verzija na poslužitelju manja od 1.2, na primjer, 1.1 ili 1.0, tada se veza ne može uspostaviti.

  • TLS 1.3: TLS klijent podržava samo TLS 1.3.

    Ako je TLS verzija na poslužitelju niža od 1.3, na primjer, 1.2, 1.1 ili 1.0, tada se veza ne može uspostaviti.

4

Postavite TLS polje Server Min Version :

  • TLS 1.1: TLS poslužitelj podržava verzije TLS od 1.1 do 1.3.

    Ako je TLS verzija u klijentu niža od 1.1, na primjer, 1.0, tada se veza ne može uspostaviti.

  • TLS 1.2 (zadano): TLS poslužitelj podržava TLS 1.2 i 1.3.

    Ako je TLS verzija u klijentu niža od 1.2, na primjer, 1.1 ili 1.0, tada se veza ne može uspostaviti.

  • TLS 1.3: TLS poslužitelj podržava samo TLS 1.3.

    Ako je TLS verzija u klijentu niža od 1.3, na primjer, 1.2, 1.1 ili 1.0, tada se veza ne može uspostaviti.

Od izdanja PhoneOS 3.2 postavka polja "Onemogući TLS 1.0 i TLS 1.1 za web pristup" ne utječe na telefone.
5

Kliknite Spremi.

6

Kliknite Primijeni konfiguraciju.

7

Ponovo pokrenite telefone.

Osigurane usluge SIP

Osigurane usluge SIP (AS-SIP) zbirka je značajki i protokola koji nude vrlo siguran protok poziva za telefone Cisco IP Phones i telefone trećih strana. Sljedeće su značajke zajednički poznate kao AS-SIP:

  • Višerazinski presedan i pretpostavka (MLPP)
  • Šifra diferenciranih usluga (DSCP)
  • Sigurnost transportnog sloja (TLS) i sigurni protokol prijenosa u stvarnom vremenu (SRTP)
  • Internet Protocol verzija 6 (IPv6)

AS-SIP se često koristi s višerazinskom prednošću i predumišljajem (MLPP) za određivanje prioriteta poziva tijekom hitnog slučaja. Uz MLPP dodjeljujete razinu prioriteta odlaznim pozivima, od razine 1 (niska) do razine 5 (visoka). Kada primite poziv, na telefonu se prikazuje ikona razine prvenstva koja pokazuje prioritet poziva.

Da biste konfigurirali AS-SIP, na Cisco Unified Communications Manager dovršite sljedeće zadatke:

  • Konfiguriranje sažetog korisnika – konfigurirajte krajnjeg korisnika da koristi sažetu provjeru autentičnosti za SIP zahtjeve.
  • Konfigurirajte siguran priključak za SIP telefon – Cisco Unified Communications Manager koristi ovaj priključak za slušanje SIP telefona za registracije SIP linije tijekom TLS.
  • Ponovno pokretanje servisa – Nakon konfiguriranja sigurnog priključka ponovno pokrenite usluge Cisco Unified Communications Manager i Cisco CTL Provider. Konfigurirajte SIP profil za AS-SIP-Konfigurirajte SIP profil sa SIP postavkama za as-SIP krajnje točke i za SIP debla. Parametri specifični za telefon ne preuzimaju se na AS-SIP telefon treće strane. Koristi ih samo Cisco Unified Manager. Telefoni drugih proizvođača moraju lokalno konfigurirati iste postavke.
  • Konfiguriranje sigurnosnog profila telefona za AS-SIP—Sigurnosni profil telefona možete koristiti za dodjeljivanje sigurnosnih postavki kao što su TLS, SRTP i sažeta provjera autentičnosti.
  • Konfiguriranje as-SIP krajnje točke – konfigurirajte krajnju točku Cisco IP Phone ili treće strane s podrškom za AS-SIP.
  • Pridruži uređaj krajnjem korisniku – povežite krajnju točku s korisnikom.
  • Konfiguriranje sigurnosnog profila SIP prtljažnika za AS-SIP—Sigurnosni profil sip trunk možete koristiti za dodjeljivanje sigurnosnih značajki kao što su TLS ili sažeta provjera autentičnosti SIP prtljažniku.
  • Konfigurirajte SIP prtljažnik za AS-SIP — konfigurirajte SIP deblo s AS-SIP podrškom.
  • Konfiguriranje AS-SIP značajki – konfigurirajte dodatne AS-SIP značajke kao što su MLPP, TLS, V.150 i IPv6.

Detaljne informacije o konfiguriranju as-SIP-a potražite u poglavlju "Konfiguriranje as-SIP krajnjih točaka" u Vodiču za konfiguriranje značajki za Cisco Unified Communications Manager.

Višerazinski presedan i predumišljaj

Višerazinski presedan i preduvjet (MLPP) omogućuju vam određivanje prioriteta poziva tijekom hitnih slučajeva ili drugih kriznih situacija. Prioritet dodjeljujete odlaznim pozivima u rasponu od 1 do 5. Dolazni pozivi prikazuju ikonu i prioritet poziva. Autentificirani korisnici mogu preduhitriti pozive na ciljane stanice ili putem potpuno pretplaćenih TDM debla.

Ova sposobnost osigurava visoko rangirano osoblje komunikacije kritičnim organizacijama i osoblju.

MLPP se često koristi sa Sures Services SIP(AS-SIP). Detaljne informacije o konfiguriranju MLPP potražite u poglavlju Konfiguriranje višerazinskog presedana i prvenstva u vodiču za konfiguriranje značajki za Cisco Unified Communications Manager.