Možete omogućiti rad okruženja Cisco Unified Communications Manager u poboljšanom sigurnosnom okruženju. S tim poboljšanjima, vaša telefonska mreža radi pod nizom strogih sigurnosnih kontrola i kontrola upravljanja rizikom kako bi zaštitila vas i vaše korisnike.

Poboljšano sigurnosno okruženje sadrži sljedeće značajke:

  • Provjera autentičnosti pretraživanja kontakata.

  • TCP kao zadani protokol za zapisivanje daljinske revizije.

  • način rada FIPS.

  • Poboljšana politika vjerodajnica.

  • Podrška obitelji SHA-2 hash za digitalne potpise.

  • Podrška za RSA ključ veličine 512 bita i 4096 bita.

S Cisco Unified Communications Manager izdanjem 14.0 i izdanjem firmvera Cisco Video Phone 2.1 i noviji, telefoni podržavaju SIP OAuth provjeru autentičnosti.

OAuth je podržan za Proxy Trivial File Transfer Protocol (TFTP) s Cisco Unified Communications Manager izdanjem 14.0(1)SU1 ili novijim. Proxy TFTP i OAuth za proxy TFTP nisu podržani na usluzi Mobile Remote Access (MRA).

Dodatne informacije o sigurnosti potražite u nastavku:

Vaš telefon može pohraniti samo ograničen broj datoteka Popisa pouzdanih identiteta (ITL). ITL datoteke na telefonu ne smiju prelaziti 64K pa ograničite broj datoteka koje Cisco Unified Communications Manager šalje telefonu.

Podržane sigurnosne značajke

Sigurnosne značajke štite od prijetnji, uključujući prijetnje identitetu telefona i podacima. Te značajke uspostavljaju i održavaju autenticirane komunikacijske direktne prijenose između telefona i poslužitelja Cisco Unified Communications Manager i osiguravaju da telefon koristi samo digitalno potpisane datoteke.

Cisco Unified Communications Manager, izdanje 8.5(1) i novije uključuje Sigurnost prema zadanim postavkama, koje pruža sljedeće sigurnosne značajke za Cisco IP telefone bez pokretanja CTL klijenta:

  • Potpisivanje datoteka za konfiguraciju telefona

  • Šifriranje konfiguracijske datoteke telefona

  • HTTPS s Tomcatom i drugim web uslugama

Sigurne značajke signalizacije i medija i dalje zahtijevaju pokretanje CTL klijenta i upotrebu hardverskih eTokena.

Implementacija sigurnosti u sustav Cisco Unified Communications Manager sprječava krađu identiteta telefona i Cisco Unified Communications Manager poslužitelja, sprječava neovlašteno rukovanje podacima i sprječava signalizaciju poziva i neovlašteno rukovanje direktnim prijenosom medija.

Kako bi ublažila te prijetnje, mreža Cisco IP telefonije uspostavlja i održava sigurne (šifrirane) komunikacijske direktne prijenose između telefona i poslužitelja, digitalno potpisuje datoteke prije prijenosa na telefon i šifrira direktne prijenose medija i signalizaciju poziva između Cisco IP telefona.

Lokalno značajan certifikat (LSC) instalira se na telefone nakon što izvršite potrebne zadatke koji su povezani s proxy funkcijom izdavača certifikata (CAPF). Možete upotrijebiti administraciju Cisco Unified Communications Manager za konfiguriranje LSC-a, prema opisu iz sigurnosnog vodiča za Cisco Unified Communications Manager. Alternativno, možete pokrenuti instalaciju LSC-a iz izbornika Postavke sigurnosti na telefonu. Ovaj izbornik također omogućuje ažuriranje ili uklanjanje LSC-a.

LSC se ne može koristiti kao korisnički certifikat za EAP-TLS s provjerom autentičnosti WLAN-om.

Telefoni koriste sigurnosni profil telefona koji definira je li uređaj nesiguran ili siguran. Informacije o primjeni sigurnosnog profila na telefon potražite u dokumentaciji za svoje konkretno izdanje programa Cisco Unified Communications Manager.

Ako konfigurirate postavke vezane uz sigurnost u Cisco Unified Communications Manager Administration, konfiguracijska datoteka telefona sadrži osjetljive informacije. Da biste osigurali privatnost konfiguracijske datoteke, morate je konfigurirati za šifriranje. Detaljne informacije potražite u dokumentaciji za vaše konkretno izdanje programa Cisco Unified Communications Manager.

Telefon je u skladu sa saveznim standardom za obradu informacija (FIPS). Za ispravan rad FIPS način rada zahtijeva veličinu ključa od 2048 bita ili veću. Ako je certifikat manji od 2048 bita, telefon se neće registrirati u Cisco Unified Communications Manager, a telefon se nije uspio registrirati. Veličina ključa certifikata nije FIPS usklađena prikazuje se na telefonu.

Ako telefon ima LSC, morate ažurirati veličinu LSC ključa na 2048 bita ili veću prije nego što omogućite FIPS.

Sljedeća tablica daje pregled sigurnosnih značajki koje telefoni podržavaju. Za više informacija pogledajte dokumentaciju za vaše priopćenje za Cisco Unified Communications Manager.

Za prikaz načina sigurnosti pritisnite Postavke hardverski ključ Postavke i prijeđite na Mreža i usluga > Postavke sigurnosti.

Tablica 1. Pregled sigurnosnih značajki

Značajka

Opis

Provjera autentičnosti slike

Potpisane binarne datoteke sprečavaju neovlašteno korištenje slike firmvera prije učitavanja slike na telefon.

Zbog neovlaštenog pristupa slici telefon neće uspjeti u postupku provjere autentičnosti i odbiti novu sliku.

Instalacija certifikata web-mjesta korisnika

Svaki Cisco IP telefon zahtijeva jedinstveni certifikat za provjeru autentičnosti uređaja. Telefoni uključuju certifikat instaliran u proizvodnji (MIC), ali za dodatnu sigurnost možete odrediti instalaciju certifikata u administraciji Cisco Unified Communications Manager pomoću proxy funkcije Certificate Authority (CAPF). Alternativno, možete instalirati lokalno značajan certifikat (LSC) iz izbornika sigurnosne konfiguracije na telefonu.

Provjera autentičnosti uređaja

Događa se između poslužitelja Cisco Unified Communications Manager i telefona kad svaki entitet prihvati certifikat drugog entiteta. Određuje treba li doći do sigurne veze između telefona i Cisco Unified Communications Manager; i, ako je potrebno, stvara sigurnu signalizacijsku putanju između entiteta pomoću TLS protokola. Cisco Unified Communications Manager ne registrira telefone osim ako ih ne može provjeriti autentičnost.

Provjera autentičnosti datoteke

Provjerava valjanost digitalno potpisanih datoteka koje telefon preuzima. Telefon provjerava valjanost potpisa kako bi bio siguran da nakon stvaranja datoteke nije došlo do tamperacije datoteke. Datoteke za koje provjera autentičnosti nije uspjela ne zapisuju se u Flash memoriju na telefonu. Telefon odbija takve datoteke bez daljnje obrade.

Šifriranje datoteke

Šifriranje sprječava otkrivanje osjetljivih informacija dok je datoteka u prijenosu na telefon. Osim toga, telefon provjerava potpis kako bi bio siguran da nakon stvaranja datoteke nije došlo do tamperenja datoteke. Datoteke za koje provjera autentičnosti nije uspjela ne zapisuju se u Flash memoriju na telefonu. Telefon odbija takve datoteke bez daljnje obrade.

Provjera autentičnosti signaliziranjem

Koristi TLS protokol za provjeru valjanosti da nije došlo do tamperacije signalnih paketa tijekom prijenosa.

Proizvodnja instaliranog certifikata

Svaki Cisco IP telefon sadrži jedinstveni proizvodni instalirani certifikat (MIC) koji se koristi za provjeru autentičnosti uređaja. MIC omogućuje stalni jedinstveni dokaz identiteta za telefon i omogućuje programu Cisco Unified Communications Manager provjeru autentičnosti telefona.

Šifriranje medija

Upotrebljava SRTP kako bi se osiguralo da se direktni prijenosi medija između podržanih uređaja dokažu sigurnim i da samo predviđeni uređaj prima i čita podatke. Uključuje izradu primarnog para medijskih ključeva za uređaje, isporuku ključeva na uređaje i osiguravanje isporuke ključeva dok su ključevi u transportu.

CAPF (proxy funkcija izdavača certifikata)

Provodi dijelove postupka generiranja certifikata koji su previše intenzivni za telefon i komunicira s telefonom za generiranje ključeva i instalaciju certifikata. CAPF se može konfigurirati da u ime telefona zatraži certifikate od korisnički određenih certifikacijskih tijela ili se može konfigurirati da lokalno generira certifikate.

Podržane su i vrste tipki EC (eliptična krivulja) i RSA. Kako biste koristili EC ključ, provjerite je li omogućen parametar "Podrška za napredne algoritme šifriranja krajnje točke" (iz System > Enterpriseparametra).

Dodatne informacije o CAPF-u i povezanim konfiguracijama potražite u sljedećim dokumentima:

Sigurnosni profil

Definira je li telefon nesiguran, provjerena autentičnost, šifriran ili zaštićen. Ostali unosi u ovoj tablici opisuju sigurnosne značajke.

Šifrirane konfiguracijske datoteke

Omogućuje vam osiguranje privatnosti konfiguracijskih datoteka telefona.

Neobavezno onemogućavanje web-poslužitelja za telefon

Iz sigurnosnih razloga možete onemogućiti pristup web-stranicama za telefon (koje prikazuju razne operativne statistike za telefon) i portalu samoodržavanja.

Očvršćivanje telefona

Dodatne sigurnosne opcije kojima upravljate putem administracije za Cisco Unified Communications Manager:

  • Onemogućavanje ulaza za osobno računalo
  • Onemogućavanje besplatnog ARP-a (GARP)
  • Onemogućavanje pristupa VLAN-u za Voice PC
  • Onemogućavanje pristupa izborniku Postavke ili omogućavanje ograničenog pristupa
  • Onemogućavanje pristupa web-stranicama za telefon
  • Onemogućavanje ulaza za Bluetooth dodatnu opremu
  • Ograničavanje TLS šifri

802.1X provjera autentičnosti

Cisco IP telefon može upotrebljavati 802.1X provjeru autentičnosti za traženje i dobivanje pristupa mreži. Za više informacija pogledajte Provjera autentičnosti 802.1X .

Sigurna prebacivanje SIP-a u slučaju pogreške za SRST

Nakon što konfigurirate referencu za sigurnost opstanka na udaljenom mjestu telefonije (SRST), a zatim ponovno postavite zavisne uređaje u Cisco Unified Communications Manager Administration, TFTP poslužitelj dodaje SRST certifikat na telefon cnf.xml datoteku i šalje datoteku na telefon. Sigurni telefon zatim koristi TLS vezu za interakciju s SRST-omogućenim usmjerivačem.

Signalizacijsko šifriranje

Osigurava da su sve SIP signalizacijske poruke koje se šalju između uređaja i poslužitelja Cisco Unified Communications Manager šifrirane.

Alarm ažuriranja popisa povjerenja

Kada se popis pouzdanih ažurira na telefonu, Cisco Unified Communications Manager prima alarm koji ukazuje na uspjeh ili neuspjeh ažuriranja. Više informacija potražite u sljedećoj tablici.

AES 256 šifriranje

Kada su povezani s Cisco Unified Communications Manager izdanjem 10.5(2) i novijim, telefoni podržavaju podršku za šifriranje AES 256 za TLS i SIP za šifriranje signalizacije i medija. To telefonima omogućuje pokretanje i podršku TLS 1.2 veza pomoću AES-256 šifri koji se temelje na SHA-2 (Secure Hash Algorithm) standardima i sukladni su saveznim standardima za obradu informacija (FIPS). Šifre uključuju:

  • Za TLS veze:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Za sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Za više informacija pogledajte dokumentaciju za Cisco Unified Communications Manager.

Certifikati algoritma eliptične krivulje digitalnog potpisa (ECDSA)

U sklopu certifikacije zajedničkih kriterija (CC), Cisco Unified Communications Manager; dodao je ECDSA certifikate u verziji 11.0. To utječe na sve proizvode glasovnog operacijskog sustava (VOS) s CUCM 11.5 i novijim verzijama.

Certifikat za više poslužitelja (SAN) s Cisco UCM-om

Telefon podržava Cisco UCM s konfiguriranim Tomcat certifikatima za više poslužitelja (SAN). Ispravna adresa TFTP poslužitelja može se pronaći u ITL datoteci telefona za registraciju telefona.

Dodatne informacije o značajci potražite u nastavku:

Sljedeća tablica sadrži poruke za ažuriranje alarma i značenje popisa povjerenja. Za više informacija pogledajte dokumentaciju za Cisco Unified Communications Manager.

Tablica 2. Pouzdani popis poruka za ažuriranje alarma
Kôd i poruka Opis

1 – TL_USPJEH

Primljen novi CTL i/ili ITL

2 – CTL_POČETNI_USPJEH

Primljen novi CTL, bez postojećeg TL-a

3 – ITL_POČETNI_USPJEH

Primljen novi ITL, bez postojećeg TL-a

4 – TL_POČETNI_USPJEH

Primljen novi CTL i ITL, bez postojećeg TL-a

5 – TL_NEUSPJEŠNO_STARI_CTL

Ažuriranje na novi CTL nije uspjelo, ali ima prethodni TL

6 – TL_NIJE USPIO_NE_TL

Ažuriranje na novi TL nije uspjelo i nemate starog TL

7 – TL_NEUSPJEŠNO

Generički neuspjeh

8 – TL_NEUSPJEŠNO_STARI_ITL

Ažuriranje na novi ITL nije uspjelo, ali ima prethodni TL

9 – TL_NEUSPJEŠNO_STARI_TL

Ažuriranje na novi TL nije uspjelo, ali ima prethodni TL

Izbornik Sigurnosna postavka pruža informacije o raznim sigurnosnim postavkama. Izbornik također omogućuje pristup izborniku popisa povjerenja i naznačuje je li CTL ili ITL datoteka instalirana na telefonu.

U sljedećoj su tablici opisane opcije u izborniku Postavljanje sigurnosti.

Tablica 3. Izbornik za postavljanje sigurnosti

Opcija

Opis

Za promjenu

Sigurnosni način

Prikazuje način sigurnosti postavljen za telefon.

U administraciji za Cisco Unified Communications Manager odaberite Uređaj > Telefon. Postavka se pojavljuje u dijelu Informacije o protokolu u prozoru Konfiguracija telefona.

lsc

Naznačuje je li lokalno značajan certifikat koji se koristi za sigurnosne značajke instaliran na telefonu (instaliran) ili nije instaliran na telefonu (nije instaliran).

Informacije o upravljanju LSC-om za svoj telefon potražite u dokumentaciji za određeno izdanje programa Cisco Unified Communications Manager.

Postavite certifikat lokalnog značaja (LSC)

Ovaj se zadatak odnosi na postavljanje LSC-a s metodom provjere autentičnosti niza.

Prije početka

Provjerite jesu li dovršene odgovarajuće konfiguracije sigurnosti Cisco Unified Communications Manager i Certificate Authority Proxy Function (CAPF):

  • CTL ili ITL datoteka ima CAPF certifikat.

  • U administraciji operacijskog sustava Cisco Unified Communications provjerite je li CAPF certifikat instaliran.

  • CAPF je pokrenut i konfiguriran.

Više informacija o tim postavkama potražite u dokumentaciji za svoje konkretno izdanje programa Cisco Unified Communications Manager.

1

Nabavite kôd za provjeru autentičnosti CAPF koji je postavljen kada je CAPF konfiguriran.

2

Na telefonu pritisnite Postavke hardverski ključ Postavke.

3

Ako se to od vas traži, unesite lozinku kako biste pristupili izborniku Postavke . Lozinku možete dobiti od administratora.

4

Idite na Mrežne i usluge > Postavke sigurnosti > LSC.

Pristup izborniku Postavke možete kontrolirati pomoću polja Pristup postavkama u Cisco Unified Communications Manager Administration.

5

Unesite niz za provjeru autentičnosti i odaberite Pošalji.

Telefon počinje instalirati, ažurirati ili ukloniti LSC, ovisno o tome kako je konfiguriran CAPF. Kada je postupak dovršen, na telefonu se prikazuje Instalirano ili Nije instalirano.

Postupak instalacije, ažuriranja ili uklanjanja LSC-a može potrajati dugo.

Kada je postupak instalacije telefona uspješan, prikazuje se poruka Instalirano . Ako telefon prikazuje opciju Nije instaliran, tada je niz autorizacije možda netočan ili se nadogradnja telefona možda neće omogućiti. Ako operacija CAPF izbriše LSC, telefon prikazuje Nije instalirano kako bi naznačio da je operacija uspjela. CAPF poslužitelj zapisuje poruke o pogrešci. Pogledajte dokumentaciju CAPF poslužitelja kako biste pronašli zapisnike i razumjeli značenje poruka o pogrešci.

Omogući način rada FIPS

1

U administraciji za Cisco Unified Communications Manager, odaberite Uređaj > Telefon i pronađite telefon.

2

Krećite se do područja Konfiguracija prema proizvodu .

3

Postavite polje FIPS načina na Omogućeno.

4

Odaberite Spremi.

5

Odaberite Primijeni konfiguraciju.

6

Ponovo pokrenite telefon.

Isključite zvučnik, naglavne slušalice i slušalicu na telefonu

Za korisnika možete trajno isključiti zvučnik, naglavne slušalice i slušalicu na telefonu.

1

U administraciji za Cisco Unified Communications Manager, odaberite Uređaj > Telefon i pronađite telefon.

2

Krećite se do područja Konfiguracija prema proizvodu .

3

Označite jedan ili više sljedećih potvrdnih okvira kako biste isključili mogućnosti telefona:

  • Onemogući zvučnik
  • Onemogući zvučnik i naglavne slušalice
  • Onemogući slušalicu

Ti potvrdni okviri su prema zadanim postavkama neoznačeni.

4

Odaberite Spremi.

5

Odaberite Primijeni konfiguraciju.

802.1X provjera autentičnosti

Cisco IP telefoni podržavaju provjeru autentičnosti 802.1X.

Cisco IP telefoni i sklopke Cisco Catalyst tradicionalno koriste Cisco Discovery Protocol (CDP) za međusobnu identifikaciju i određivanje parametara kao što su VLAN dodjela i zahtjevi unutar linije za napajanje. CDP ne identificira lokalno priključene radne stanice. Cisco IP telefoni pružaju EAPOL mehanizam prolaska. Ovaj mehanizam omogućuje radnoj stanici priključenoj na Cisco IP telefon da prosljeđuje EAPOL poruke na 802.1X autentifikator na LAN sklopki. Mehanizam prolaska osigurava da IP telefon ne djeluje kao LAN prekidač za provjeru autentičnosti krajnje točke podataka prije pristupa mreži.

Cisco IP telefoni također pružaju proxy EAPOL Logoff mehanizam. Ako se lokalno priključeno računalo prekine vezu s IP telefonom, LAN prekidač ne vidi fizičku vezu ne uspije, jer se održava veza između LAN sklopke i IP telefona. Kako bi se izbjeglo ugrožavanje integriteta mreže, IP telefon šalje EAPOL-Logoff poruku sklopci u ime silaznog računala, koja pokreće LAN prekidač za brisanje unosa provjere autentičnosti za silazno računalo.

Podrška za provjeru autentičnosti 802.1X zahtijeva nekoliko komponenti:

  • Cisco IP telefon: Telefon pokreće zahtjev za pristup mreži. Cisco IP telefoni sadrže dobavljača 802.1X. Ovaj dobavljač administratorima mreže omogućuje upravljanje povezivanjem IP telefona s priključcima za LAN prebacivanje. Trenutno izdanje dobavljača telefona 802.1X koristi EAP-FAST i EAP-TLS opcije za provjeru autentičnosti mreže.

  • Poslužitelj za provjeru autentičnosti: Poslužitelj za provjeru autentičnosti i sklopka moraju biti konfigurirani s dijeljenom tajnom koja provjerava autentičnost telefona.

  • Promijeni: Prekidač mora podržavati 802.1X kako bi mogao djelovati kao alat za provjeru autentičnosti i prosljeđivati poruke između telefona i poslužitelja za provjeru autentičnosti. Po dovršetku razmjene, prekidač dodjeljuje ili uskraćuje pristup telefonu mreži.

Morate izvršiti sljedeće radnje za konfiguriranje 802.1X.

  • Konfigurirajte ostale komponente prije nego što omogućite 802.1X provjeru autentičnosti na telefonu.

  • Konfiguriraj priključak za osobno računalo: 802.1X standard ne uzima u obzir VLAN-ove i stoga preporučuje da samo jedan uređaj treba biti provjeren autentičnost za određeni priključak prekidača. Međutim, neki prekidači podržavaju provjeru autentičnosti u više domena. Konfiguracija preklopnika određuje možete li PC povezati na PC priključak telefona.

    • Omogućeno: Ako upotrebljavate prekidač koji podržava provjeru autentičnosti u više domena, možete omogućiti ulaz računala i povezati računalo s njim. U tom slučaju, Cisco IP telefoni podržavaju proxy EAPOL-Logoff za praćenje razmjene provjere autentičnosti između sklopke i priloženog računala.

      Za više informacija o IEEE 802.1X podršci na prekidačima Cisco Catalyst pogledajte vodiče za konfiguraciju prebacivanja Cisco Catalyst na:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogućeno: Ako prekidač ne podržava više uređaja sukladnih s 802.1X na istom ulazu, onemogućite priključak računala kada je omogućena provjera autentičnosti 802.1X. Ako ne onemogućite taj priključak, a zatim pokušate priložiti osobno računalo, preklopnik uskraćuje mrežni pristup telefonu i osobnom računalu.

  • Konfiguriranje glasovnog VLAN-a: Budući da standard 802.1X ne računa za VLAN-ove, trebali biste konfigurirati ovu postavku na temelju podrške za prebacivanje.
    • Omogućeno: Ako upotrebljavate prekidač koji podržava provjeru autentičnosti u više domena, možete ga nastaviti upotrebljavati glasovni VLAN.
    • Onemogućeno: Ako prekidač ne podržava provjeru autentičnosti u više domena, onemogućite glasovni VLAN i razmislite o dodjeljivanju ulaza nativnom VLAN-u.
  • (Samo za Cisco stolni telefon serije 9800)

    Cisco stolni telefon serije 9800 ima drugačiji predbroj u PID-u od predbroja za druge Cisco telefone. Da biste omogućili telefonu da prođe provjeru autentičnosti 802.1X, postavite parametar Radius·User-Name tako da uključuje svoj Cisco stolni telefon serije 9800.

    Na primjer, PID telefona 9841 je DP-9841; možete postaviti Radius·Korisničko ime za Početak s DP ili Sadrži DP. Možete ga postaviti u oba sljedeća odjeljka:

    • Pravila > Uvjeti > Uvjeti biblioteke

    • Pravila > Postavljanje pravila > Pravila autorizacije > Pravilo autorizacije

Omogući 802.1X provjeru autentičnosti

Možete omogućiti 802.1X provjeru autentičnosti za svoj telefon prateći sljedeće korake:

1

Pritisnite Postavke hardverski ključ Postavke.

2

Ako se to od vas traži, unesite lozinku kako biste pristupili izborniku Postavke . Lozinku možete dobiti od administratora.

3

Idite na Mreža i usluga > Postavke sigurnosti > Provjera autentičnosti 802.1X.

4

Uključite provjeru autentičnosti IEEE 802.1X.

5

Odaberite Primijeni.

Prikažite informacije o sigurnosnim postavkama na telefonu

Informacije o postavkama sigurnosti možete pregledati u izborniku telefona. Dostupnost informacija ovisi o mrežnim postavkama u vašoj organizaciji.

1

Pritisnite Postavke ključ Postavke.

2

Idite na Mreža i usluga > Postavke sigurnosti.

3

U Postavkama sigurnosti pogledajte sljedeće informacije.

Tablica 4. Parametri za postavke sigurnosti

Parametri

Opis

Sigurnosni način

Prikazuje način sigurnosti postavljen za telefon.

lsc

Naznačuje je li lokalno značajan certifikat koji se koristi za sigurnosne značajke instaliran na telefonu (Da) ili nije instaliran na telefonu (Ne).

Popis povjerenja

Popis povjerenja pruža podizbornike za CTL, ITL i potpisane konfiguracijske datoteke.

Podizbornik CTL datoteke prikazuje sadržaj CTL datoteke. Podizbornik ITL datoteke prikazuje sadržaj ITL datoteke.

Izbornik popisa povjerenja također prikazuje sljedeće informacije:

  • CTL potpis: SHA1 znak CTL datoteke
  • Unified CM/TFTP poslužitelj: naziv Cisco Unified Communications Manager i TFTP poslužitelja koje telefon koristi. Prikazuje ikonu certifikata ako je certifikat instaliran za ovaj poslužitelj.
  • CAPF poslužitelj: naziv CAPF poslužitelja koji telefon koristi. Prikazuje ikonu certifikata ako je certifikat instaliran za ovaj poslužitelj.
  • SRST usmjerivač: IP adresu pouzdanog SRST usmjerivača koji telefon može koristiti. Prikazuje ikonu certifikata ako je certifikat instaliran za ovaj poslužitelj.

Sigurnost telefonskih poziva

Kada je za telefon implementirana sigurnost, sigurne telefonske pozive možete identificirati pomoću ikona na zaslonu telefona. Također možete odrediti je li povezani telefon siguran i zaštićen ako se na početku poziva reproducira ton sigurnosti.

U sigurnom pozivu šifrirani su svi signalizacijski pozivi i medijski direktni prijenosi. Sigurni poziv pruža visoku razinu sigurnosti pružajući integritet i privatnost poziva. Kada je poziv u tijeku šifriran, možete vidjeti zaštićenu ikonu ikona lokota za siguran poziv na liniji. Za siguran telefon također možete pregledati ikonu provjerene autentičnosti ili šifriranu ikonu pokraj povezanog poslužitelja u izborniku telefona (Postavke > O ovom uređaju).

Ako se poziv usmjerava kroz segmente poziva koji nisu IP, na primjer, PSTN, poziv može biti nesiguran iako je šifriran unutar IP mreže i s njom je povezana ikona zaključavanja.

U sigurnom pozivu na početku poziva reproducira se sigurnosni ton koji ukazuje na to da drugi povezani telefon također prima i prenosi siguran zvuk. Ako se vaš poziv poveže s nesigurnim telefonom, ton sigurnosti se ne reproducira.

Sigurni pozivi podržani su samo za veze između dva telefona. Neke značajke, kao što su konferencijski pozivi i dijeljene linije, nisu dostupne kada je konfiguriran siguran poziv.

Kada je telefon konfiguriran kao siguran (šifriran i pouzdan) u Cisco Unified Communications Manageru, može mu se dati zaštićeni status. Nakon toga, po želji, zaštićeni telefon može se konfigurirati da reproducira indikativni ton na početku poziva:

  • Zaštićeni uređaj: Za promjenu statusa sigurnog telefona u zaštićeni, označite potvrdni okvir Zaštićeni uređaj u prozoru Konfiguracija telefona u administraciji Cisco Unified Communications Manager (Uređaj > Telefon).

  • Reproduciraj ton sigurnosnog indikatora: Da biste zaštićenom telefonu omogućili reprodukciju sigurnog ili nesigurnog indikatora, postavite postavku Reproduciraj siguran ton indikatora na Istinito. Prema zadanim postavkama, reprodukcija sigurnog tona pokazatelja postavljena je na Netočno. Ovu opciju postavite u Cisco Unified Communications Manager Administration (System > Parametri usluge). Odaberite poslužitelj, a zatim uslugu Unified Communications Manager. U prozoru konfiguracije parametra usluge odaberite opciju u području Značajka – Siguran ton. Zadana vrijednost je Netočna.

Identifikacija sigurnog konferencijskog poziva

Možete pokrenuti siguran konferencijski poziv i pratiti razinu sigurnosti sudionika. Siguran konferencijski poziv uspostavlja se pomoću ovog postupka:

  1. Korisnik započinje konferenciju sa sigurnog telefona.

  2. Cisco Unified Communications Manager pozivu dodjeljuje siguran konferencijski most.

  3. Kako se sudionici dodaju, Cisco Unified Communications Manager provjerava sigurnosni način svakog telefona i održava sigurnu razinu za konferenciju.

  4. Telefon prikazuje razinu sigurnosti konferencijskog poziva. Sigurna konferencija prikazuje sigurnu ikonu ikona lokota za siguran poziv.

Sigurni pozivi podržani su između dva telefona. Za zaštićene telefone neke značajke, kao što su konferencijski pozivi, zajedničke linije i Extension Mobility, nisu dostupne kada je konfiguriran siguran poziv.

Sljedeća tablica prikazuje informacije o promjenama razina sigurnosti konferencije ovisno o razini sigurnosti telefona pokretača, razinama sigurnosti sudionika i dostupnosti sigurnih konferencijskih mostova.

Stol 5. Sigurnosna ograničenja s konferencijskim pozivima

Razina sigurnosti inicijatora telefona

Upotrijebljena značajka

Sigurnosna razina sudionika

Rezultati djelovanja

Nesigurno

Konferencija

Sigurno

Nesiguran konferencijski most

Nesigurna konferencija

Sigurno

Konferencija

Najmanje jedan član nije siguran.

Sigurna konferencijska premosnica

Nesigurna konferencija

Sigurno

Konferencija

Sigurno

Sigurna konferencijska premosnica

Sigurno šifrirana konferencija na razini

Nesigurno

Upoznaj me

Šifrirana je minimalna razina sigurnosti.

Pokretač prima poruku Ne ispunjava razinu sigurnosti, poziv je odbijen.

Sigurno

Upoznaj me

Minimalna razina sigurnosti nije sigurna.

Sigurna konferencijska premosnica

Konferencija prihvaća sve pozive.

Sigurna identifikacija telefonskih poziva

Siguran poziv uspostavlja se kada je vaš telefon, a telefon na drugoj strani, konfiguriran za siguran poziv. Drugi telefon može biti na istoj Ciscovoj IP mreži ili na mreži izvan IP mreže. Sigurni pozivi mogu se upućivati samo između dva telefona. Konferencijski pozivi trebali bi podržavati sigurni poziv nakon postavljanja sigurnog konferencijskog mosta.

Zaštićeni poziv uspostavlja se pomoću ovog postupka:

  1. Korisnik započinje poziv sa zaštićenog telefona (zaštićeni sigurnosni način rada).

  2. Telefon prikazuje sigurnosnu ikonu ikona lokota za siguran poziv na zaslonu telefona. Ikona prikazuje da je telefon konfiguriran za sigurne pozive, ali to ne znači da je i drugi povezani telefon zaštićen.

  3. Korisnik će čuti ton sigurnosti ako se poziv poveže s drugim zaštićenim telefonom, što ukazuje da su oba kraja razgovora šifrirana i zaštićena. Ako se poziv poveže s nesigurnim telefonom, korisnik ne čuje ton sigurnosti.

Sigurni pozivi podržani su između dva telefona. Za zaštićene telefone neke značajke, kao što su konferencijski pozivi, zajedničke linije i Extension Mobility, nisu dostupne kada je konfiguriran siguran poziv.

Samo zaštićeni telefoni reproduciraju te sigurne ili nesigurne tonove pokazatelja. Nezaštićeni telefoni nikada ne reproduciraju tonove. Ako se ukupni status poziva promijeni tijekom poziva, mijenja se ton pokazatelja, a zaštićeni telefon reproducira odgovarajući ton.

Zaštićeni telefon reproducira ton ili ne u ovim okolnostima:

  • Kada je omogućena opcija Reproduciraj siguran ton pokazatelja:

    • Kada je uspostavljen sveobuhvatni sigurni medij, a status poziva je siguran, telefon reproducira zaštićeni ton indikacije (tri duga zvučna signala s stankama).

    • Kada je uspostavljen sveobuhvatni nesigurni medij, a status poziva nije siguran, telefon reproducira nesiguran indikacijski ton (šest kratkih zvučnih signala s kratkim stankama).

Ako je opcija Reproduciraj siguran ton pokazatelja onemogućena, ton se neće reproducirati.

Omogući šifriranje za upad

Cisco Unified Communications Manager provjerava status sigurnosti telefona prilikom uspostave konferencija i mijenja sigurnosnu indikaciju za konferenciju ili blokira završetak poziva kako bi se održao integritet i sigurnost u sustavu.

Korisnik se ne može upasti u šifrirani poziv ako telefon koji se koristi za upad nije konfiguriran za šifriranje. Kada upad u tom slučaju ne uspije, na telefonu se reproducira ton promjene redoslijeda (brzo zauzeto) da je upad pokrenut.

Ako je telefon pokretača konfiguriran za šifriranje, pokretač upada može upasti u nesiguran poziv s šifriranog telefona. Nakon što se dogodi upad, Cisco Unified Communications Manager poziv klasificira kao nesiguran.

Ako je telefon pokretača konfiguriran za šifriranje, pokretač upadanja može upasti u šifrirani poziv, a telefon označava da je poziv šifriran.

Sigurnost WLAN-a

Budući da svi WLAN uređaji koji su u dometu mogu primati sav drugi WLAN promet, osiguravanje glasovne komunikacije ključno je u WLAN-ovima. Kako biste osigurali da uljezi ne manipuliraju ili presreću glasovni promet, Cisco SAFE Security arhitektura podržava telefon. Za više informacija o sigurnosti u mrežama pogledajte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rješenje Cisco bežične IP telefonije pruža sigurnost bežične mreže koja sprečava neovlaštene prijave i kompromitiranu komunikaciju pomoću sljedećih metoda provjere autentičnosti koje telefon podržava:

  • Otvori provjeru autentičnosti: Bilo koji bežični uređaj može zatražiti provjeru autentičnosti u otvorenom sustavu. AP koji prima zahtjev može dodijeliti provjeru autentičnosti bilo kojem podnositelju zahtjeva ili samo podnositeljima zahtjeva koji se nalaze na popisu korisnika. Komunikacija između bežičnog uređaja i pristupne točke (AP) može biti nešifrirana.

  • Prošireni protokol provjere autentičnosti – fleksibilna provjera autentičnosti putem sigurnog tuneliranja (EAP-FAST): Ova sigurnosna arhitektura klijenta-poslužitelja šifrira EAP transakcije unutar tunela Transport Level Security (TLS) između AP i RADIUS poslužitelja, kao što je Identity Services Engine (ISE).

    TLS tunel koristi vjerodajnice za zaštićeni pristup (PAC-ove) za provjeru autentičnosti između klijenta (telefona) i RADIUS poslužitelja. Poslužitelj klijentu (telefonu) šalje ID autoriteta (AID), koji zauzvrat odabire odgovarajući PAC. Klijent (telefon) vraća PAC-Opaque na RADIUS poslužitelj. Poslužitelj dešifrira PAC s primarnim ključem. Obje krajnje točke sada sadrže PAC tipku i izrađen je TLS tunel. EAP-FAST podržava automatsko dodjeljivanje PAC-a, ali morate je omogućiti na RADIUS poslužitelju.

    U ISE-u, prema zadanim postavkama, PAC istječe za tjedan dana. Ako telefon ima PAC koji je istekao, provjera autentičnosti na RADIUS poslužitelju traje dulje dok telefon dobije novi PAC. Kako biste izbjegli kašnjenja u PAC omogućavanju, postavite razdoblje isteka PAC-a na 90 dana ili više na ISE ili RADIUS poslužitelju.

  • Provjera autentičnosti proširenim protokolom – sigurnost prijenosa sloja (EAP-TLS): EAP-TLS zahtijeva certifikat klijenta za provjeru autentičnosti i pristup mreži. Za bežični EAP-TLS certifikat klijenta može biti MIC, LSC ili certifikat instaliran od strane korisnika.

  • Zaštićeni prošireni protokol za provjeru autentičnosti (PEAP): Cisco vlasnička shema međusobne provjere autentičnosti temeljem lozinke između klijenta (telefona) i RADIUS poslužitelja. Telefon može koristiti PEAP za provjeru autentičnosti s bežičnom mrežom. Podržane su i PEAP MSCHAPV2 i PEAP GTC metode provjere autentičnosti.

  • Prethodno podijeljeni ključ (PSK): Telefon podržava ASCII format. Taj format morate koristiti prilikom postavljanja prethodno podijeljenog ključa WPA/WPA2/SAE:

    ASCII: ASCII-znakovni niz od 8 do 63 znaka (0 – 9, mala i velika slova A – Z i posebni znakovi)

    Primjer: GREG123567@9ZX&W

Sljedeće sheme provjere autentičnosti upotrebljavaju RADIUS poslužitelj za upravljanje ključevima za provjeru autentičnosti:

  • wpa/wpa2/wpa3: Upotrebljava informacije o RADIUS poslužitelju za generiranje jedinstvenih ključeva za provjeru autentičnosti. Budući da se ti ključevi generiraju na centraliziranom RADIUS poslužitelju, WPA2/WPA3 pruža više sigurnosti od WPA unaprijed dijeljenih ključeva koji su pohranjeni na AP-ju i telefonu.

  • Brzo sigurno roaming: Koristi RADIUS poslužitelj i informacije o bežičnom poslužitelju domene (WDS) za upravljanje i provjeru autentičnosti ključeva. WDS stvara predmemoriju sigurnosnih vjerodajnica za klijentske uređaje s podrškom za FT za brzu i sigurnu ponovnu provjeru autentičnosti. Cisco stolni telefoni 9861 i 9871 i Cisco videotelefon 8875 podržavaju 802.11r (FT). I preko zraka i preko DS-a podržani su kako bi se omogućilo brzo sigurno roaming. Ali toplo preporučujemo upotrebu metode 802.11r (FT) preko zraka.

S WPA/WPA2/WPA3 ključevi za šifriranje ne unose se na telefon, već se automatski izvode između AP i telefona. No, EAP korisničko ime i lozinka koji se koriste za provjeru autentičnosti moraju se unijeti na svakom telefonu.

Kako bi se osigurao siguran glasovni promet, telefon podržava TKIP i AES za šifriranje. Kada se ti mehanizmi koriste za šifriranje, signalizacijski SIP paketi i glasovni paketi protokola prijenosa u stvarnom vremenu (RTP) šifriraju se između AP-a i telefona.

tkip

WPA koristi TKIP šifriranje koje ima nekoliko poboljšanja u odnosu na WEP. TKIP pruža šifru po paketu ključeva i duže vektore inicijalizacije (IV-ove) koji jačaju šifriranje. Osim toga, provjera integriteta poruke (MIC) osigurava da se šifrirani paketi ne mijenjaju. TKIP uklanja predvidljivost WEP-a koja pomaže uljezima dešifrirati WEP ključ.

aes

Metoda šifriranja koja se koristi za WPA2/WPA3 provjeru autentičnosti. Ovaj nacionalni standard za šifriranje koristi simetrični algoritam koji ima isti ključ za šifriranje i dešifriranje. AES koristi šifriranje lanca blokiranja šifri (CBC) veličine 128 bita, što podržava najmanje veličine ključeva od 128 bita, 192 bita i 256 bita. Telefon podržava veličinu ključa od 256 bita.

Cisco stolni telefoni 9861 i 9871 i Cisco videotelefon 8875 ne podržavaju protokol integriteta ključa Cisco (CKIP) s CMIC-om.

Sheme provjere autentičnosti i šifriranja postavljene su unutar bežičnog LAN-a. VLAN-ovi su konfigurirani u mreži i na pristupnim točkama te navode različite kombinacije provjere autentičnosti i šifriranja. SSID se povezuje s VLAN-om i određenom shemom provjere autentičnosti i šifriranja. Kako bi se uspješno provjerila autentičnost uređaja bežičnih klijenata, morate konfigurirati iste SSID-ove s njihovim shemama provjere autentičnosti i šifriranja na AP-ovima i na telefonu.

Neke sheme provjere autentičnosti zahtijevaju određene vrste šifriranja.

  • Kada koristite prethodno dijeljeni ključ WPA, prethodno dijeljeni ključ WPA2 ili SAE, prethodno dijeljeni ključ mora biti statički postavljen na telefonu. Ti ključevi moraju odgovarati ključevima koji se nalaze na pristupnoj točki.

  • Telefon podržava automatsko EAP pregovaranje za FAST ili PEAP, ali ne i za TLS. Za način rada EAP-TLS morate ga navesti.

Sheme provjere autentičnosti i šifriranja u sljedećoj tablici prikazuju mogućnosti mrežne konfiguracije za telefon koje odgovaraju AP konfiguraciji.

Stol 6. Sheme provjere autentičnosti i šifriranja
Vrsta FSR-aProvjera autentičnostiUpravljanje ključevimaŠifriranjeZaštićeni okvir upravljanja (PMF)
802.11r (FT)PSK

wpa- psk

wpa-psk-sha256

ft-psk

aesNe
802.11r (FT)WPA3

sae

ft-sae

aesDa
802.11r (FT)EAP-TLS

WPA-EAP

ft-eap

aesNe
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

aesDa
802.11r (FT)EAP-FAST

WPA-EAP

ft-eap

aesNe
802.11r (FT)brza eap (wpa3)

wpa-eap-sha256

ft-eap

aesDa
802.11r (FT)eap- peap

WPA-EAP

ft-eap

aesNe
802.11r (FT)eap- peap (wpa3)

wpa-eap-sha256

ft-eap

aesDa

Konfiguriranje profila za bežični LAN

Svojim profilom bežične mreže možete upravljati konfiguriranjem vjerodajnica, frekvencijskog pojasa, metodom provjere autentičnosti itd.

Imajte na umu sljedeće bilješke prije konfiguriranja WLAN profila:

  • Korisničko ime i lozinka

    • Kada vaša mreža koristi EAP-FAST i PEAP za provjeru autentičnosti korisnika, morate konfigurirati korisničko ime i lozinku ako je potrebno na korisničkoj usluzi za uključivanje biranjem na daljinu provjere autentičnosti (RADIUS) i na telefonu.

    • Vjerodajnice koje unesete u profil bežičnog LAN-a moraju biti identične vjerodajnicama koje ste konfigurirali na RADIUS poslužitelju.

    • Ako upotrebljavate domene unutar svoje mreže, korisničko ime morate unijeti s nazivom domene, u formatu: domena\korisničko ime.

  • Zbog sljedećih radnji postojeća Wi-Fi lozinka može se izbrisati:

    • Unesite nevažeći ID korisnika ili lozinku
    • Instalira se nevažeći ili istekli korijenski CA kada je vrsta EAP-a postavljena na PEAP-MSCHAPV2 ili PEAP-GTC
    • Onemogućavanje vrste EAP-a u upotrebi na RADIUS poslužitelju prije prebacivanja telefona na novu vrstu EAP-a
  • Kako biste promijenili vrstu EAP-a, prvo omogućite novu vrstu EAP-a na RADIUS poslužitelju, a zatim prebacite telefon na vrstu EAP-a. Kada su svi telefoni promijenjeni na novu vrstu EAP-a, možete onemogućiti prethodnu vrstu EAP-a ako želite.
1

U administraciji za Cisco Unified Communications Manager, odaberite Postavke uređaja > uređaja > Profil bežičnog LAN-a.

2

Odaberite mrežni profil koji želite konfigurirati.

3

Postavite parametre.

4

Kliknite na Spremi.

Konfiguriranje SCEP parametara

Simple Certificate Enrollment Protocol (SCEP) je standard za automatsku dodjelu i obnavljanje certifikata. SCEP poslužitelj može automatski održavati vaše certifikate korisnika i poslužitelja.

Morate konfigurirati sljedeće SCEP parametre na web-stranici telefona

  • RA IP adresa

  • SHA-1 ili SHA-256 otisak prsta korijenskog CA certifikata za SCEP poslužitelj

Cisco IOS Registration Authority (RA) služi kao proxy za SCEP poslužitelj. SCEP klijent na telefonu koristi parametre koje preuzima Cisco Unified Communication Manager. Nakon što konfigurirate parametre, telefon šalje SCEP getcs zahtjev RA-u i korijenski CA certifikat provjerava se pomoću definiranog otiska prsta.

Prije početka

Na SCEP poslužitelju konfigurirajte SCEP registracijski agent (RA) za:

  • Djeluj kao PKI točka povjerenja
  • Djeluje kao PKI RA
  • Izvršite provjeru autentičnosti uređaja s pomoću RADIUS poslužitelja

Za više informacija pogledajte dokumentaciju za SCEP poslužitelj.

1

U administraciji za Cisco Unified Communications Manager odaberite Uređaj > Telefon.

2

Pronađite telefon.

3

Pomaknite se do područja Konfiguracijski raspored specifičan za proizvod .

4

Označite potvrdni okvir WLAN SCEP Server kako biste aktivirali SCEP parametar.

5

Označite potvrdni okvir WLAN Root CA otisak prsta (SHA256 ili SHA1) kako biste aktivirali SCEP QED parametar.

Postavljanje podržanih verzija TLS-a

Možete postaviti minimalnu verziju TLS-a potrebnu za klijent, odnosno poslužitelj.

Prema zadanim postavkama, minimalna TLS verzija poslužitelja i klijenta je 1.2. Postavka utječe na sljedeće funkcije:

  • Veza za web-pristup HTTPS-u
  • Omogućavanje za lokalni telefon
  • Omogućavanje za mobilni i daljinski pristup (MRA)
  • HTTPS usluge, npr. usluge imenika
  • Datagram Transport Layer Security (DTLS)
  • Entitet pristupa ulazu (PAE)
  • Prošireni protokol provjere autentičnosti – sigurnost prijenosa sloja (EAP-TLS)

Za više informacija o kompatibilnosti TLS 1.3 za Cisco IP telefone pogledajte odjeljak Matrica kompatibilnosti TLS 1.3 za proizvode suradnje tvrtke Cisco.

1

Prijavite se u Cisco Unified Communications Manager administraciju kao administrator.

2

Pomaknite se do jednog od sljedećih prozora:

  • Sustav > Konfiguracija telefona poduzeća
  • Uređaj > Postavke uređaja > Uobičajeni profil telefona
  • Uređaj > Telefon > Konfiguracija telefona
3

Postavite polje Minimalna verzija TLS klijenta :

Opcija „TLS 1.3“ dostupna je na Cisco Unified CM 15SU2 ili novijoj.
  • TLS 1.1: TLS klijent podržava verzije TLS-a od 1.1 do 1.3.

    Ako je verzija TLS-a na poslužitelju manja od 1.1, na primjer, 1.0, veza se ne može uspostaviti.

  • TLS 1.2 (zadano): TLS klijent podržava TLS 1.2 i 1.3.

    Ako je verzija TLS-a na poslužitelju manja od 1.2, na primjer, 1.1 ili 1.0, veza se ne može uspostaviti.

  • TLS 1.3: Klijent TLS podržava samo TLS 1.3.

    Ako je verzija TLS-a na poslužitelju manja od 1.3, na primjer, 1.2, 1.1 ili 1.0, veza se ne može uspostaviti.

4

Postavite polje Min verzija TLS poslužitelja :

  • TLS 1.1: TLS poslužitelj podržava verzije TLS-a od 1.1 do 1.3.

    Ako je verzija TLS-a u klijentu niža od 1.1, na primjer, 1.0, veza se ne može uspostaviti.

  • TLS 1.2 (zadano): TLS poslužitelj podržava TLS 1.2 i 1.3.

    Ako je verzija TLS-a u klijentu niža od 1.2, na primjer, 1.1 ili 1.0, veza se ne može uspostaviti.

  • TLS 1.3: TLS poslužitelj podržava samo TLS 1.3.

    Ako je verzija TLS-a u klijentu niža od 1.3, na primjer, 1.2, 1.1 ili 1.0, veza se ne može uspostaviti.

Iz izdanja PhoneOS 3.2 postavka polja „Onemogući TLS 1.0 i TLS 1.1 za web-pristup” ne utječe na telefone.
5

Kliknite na Spremi.

6

Kliknite na Primijeni konfiguraciju.

7

Ponovo pokrenite telefone.

SIP osiguranih usluga

SIP osigurane usluge (AS-SIP) skup je značajki i protokola koji nude vrlo siguran tijek poziva za telefone Cisco IP i telefone trećih strana. Sljedeće značajke zajednički su poznate kao AS-SIP:

  • Višerazinski presedan i pravo prvenstva (MLPP)
  • Diferencirana kodna točka usluga (DSCP)
  • Sigurnost prijenosnog sloja (TLS) i zaštićeni protokol prijenosa u stvarnom vremenu (SRTP)
  • Internet Protocol verzija 6 (IPv6)

AS-SIP se često koristi s višerazinskim prioritetom i pravom prvenstva (MLPP) za davanje prioriteta pozivima tijekom izvanrednog stanja. UZ MLPP dodjeljujete razinu prioriteta odlaznim pozivima, od razine 1 (niska) do razine 5 (visoka). Kada primite poziv, na telefonu se prikazuje ikona razine prednosti koja prikazuje prioritet poziva.

Kako biste konfigurirali AS-SIP, izvršite sljedeće zadatke u programu Cisco Unified Communications Manager:

  • Konfiguriranje korisnika sažetka – konfigurirajte krajnjeg korisnika da koristi provjeru autentičnosti sažetka za SIP zahtjeve.
  • Konfiguriranje sigurnog ulaza SIP telefona – Cisco Unified Communications Manager koristi taj ulaz za slušanje SIP telefona za registracije SIP linija putem TLS-a.
  • Ponovno pokretanje usluga – nakon konfiguriranja sigurnog priključka ponovno pokrenite usluge Cisco Unified Communications Manager i Cisco CTL davatelja usluga. Konfigurirajte SIP profil za AS-SIP-Konfigurirajte SIP profil sa SIP postavkama za svoje krajnje točke AS-SIP i za SIP grupiranja. Parametri specifični za telefon ne preuzimaju se na AS-SIP telefon treće strane. Upotrebljava ih samo Cisco Unified Manager. Telefoni trećih strana moraju lokalno konfigurirati iste postavke.
  • Konfiguriranje profila sigurnosti telefona za AS-SIP – profil sigurnosti telefona možete koristiti za dodjelu sigurnosnih postavki kao što su TLS, SRTP i provjera autentičnosti sažetka.
  • Konfigurirajte AS-SIP krajnju točku – konfigurirajte Cisco IP telefon ili krajnju točku treće strane s AS-SIP podrškom.
  • Povežite uređaj s krajnjim korisnikom – povežite krajnju točku s korisnikom.
  • Konfiguriranje sigurnosnog profila SIP debla za AS-SIP – sigurnosni profil sip debla možete upotrijebiti za dodjelu sigurnosnih značajki poput TLS-a ili provjere autentičnosti sažetaka SIP deblu.
  • Konfiguriranje SIP grupiranja za AS-SIP – konfigurirajte SIP grupiranje s AS-SIP podrškom.
  • Konfiguriranje AS-SIP značajki – konfigurirajte dodatne AS-SIP značajke kao što su MLPP, TLS, V.150 i IPv6.

Detaljne informacije o konfiguriranju AS-SIP-a potražite u poglavlju "Konfiguriranje AS-SIP krajnjih točaka" u Vodiču za konfiguraciju značajki za Cisco Unified Communications Manager.

Višerazinski prioritet i pravo prvenstva

Višerazinski presedan i pravo prvenstva (MLPP) omogućuje vam davanje prioriteta pozivima tijekom hitnih ili drugih kriznih situacija. Prioritet dodjeljujete odlaznim pozivima u rasponu od 1 do 5. Dolazni pozivi prikazuju ikonu i prioritet poziva. Korisnici s provedenom provjerom autentičnosti mogu unaprijed preuzeti pozive na ciljane stanice ili putem potpuno pretplaćenih TDM grupiranja.

Ova mogućnost osigurava visoku razinu komunikacije kritičnim organizacijama i osoblju.

MLPP se često koristi s osiguranim uslugama SIP (AS-SIP). Detaljne informacije o konfiguriranju MLPP-a potražite u poglavlju Konfiguriranje višerazinske prednosti i pravo prvenstva u Vodiču za konfiguraciju značajki za Cisco Unified Communications Manager.