A biztonsági funkciók védelmet nyújtanak a fenyegetésekkel szemben, beleértve a telefon személyazonosságát és az adatokat fenyegető veszélyeket. Ezek a funkciók hitelesített kommunikációs adatfolyamokat hoznak létre és tartanak fenn a telefon és a Cisco Unified Communications Manager szerver között, és gondoskodnak arról, hogy a telefon csak digitálisan aláírt fájlokat használjon.

A Cisco Unified Communications Manager 8.5(1) és újabb verziói az alapértelmezett biztonságot tartalmazzák, amely a következő biztonsági funkciókat biztosítja a Cisco IP-telefonok számára a CTL ügyfél futtatása nélkül:

• A telefon konfigurációs fájljainak aláírása

• A telefon konfigurációs fájljának titkosítása

• HTTPS a Tomcat-tal és más webszolgáltatásokkal

A Cisco Unified Communications Manager rendszerben a biztonság megvalósítása megakadályozza a telefon és a Cisco Unified Communications Manager szerver identitáslopását, az adatok manipulálását, valamint a hívások jelzésátvitelét és a médiastream manipulálását.

E fenyegetések enyhítése érdekében a Cisco IP-telefonhálózat biztonságos (titkosított) kommunikációs streameket hoz létre és tart fenn a telefon és a szerver között, digitálisan aláírja a fájlokat a telefonra való átvitel előtt, és titkosítja a médiafolyamatokat és a hívásjelzéseket a Cisco IP-telefonok között.

A Locally Significant Certificate (LSC) telepíti a telefonokat, miután elvégezte a Certificate Authority Proxy Function (CAPF) funkcióhoz kapcsolódó szükséges feladatokat. Az LSC konfigurálásához a Cisco Unified Communications Manager adminisztráció segítségével használhatja a Cisco Unified Communications Manager biztonsági útmutatójában leírtak szerint. Alternatív megoldásként kezdeményezheti az LSC telepítését a telefon Biztonsági beállítások menüjéből. Ezzel a menüvel frissítheti vagy eltávolíthatja az LSC-t is.

Az LSC nem használható felhasználói tanúsítványként WLAN-hitelesítéssel rendelkező EAP-TLS-hez.

A telefonok a telefon biztonsági profilját használják, amely meghatározza, hogy az eszköz nem biztonságos-e vagy sem. A biztonsági profil telefonra történő alkalmazásáról az adott Cisco Unified Communications Manager-verzió dokumentációjában talál bővebb tájékoztatást.

Ha a biztonsággal kapcsolatos beállításokat a Cisco Unified Communications Manager Administration alkalmazásban konfigurálja, a telefon konfigurációs fájlja érzékeny adatokat tartalmaz. A konfigurációs fájl adatainak védelme érdekében be kell állítania a titkosítást. Részletes információkat az adott Cisco Unified Communications Manager-verzió dokumentációjában talál.

A telefon megfelel a Federal Information Processing Standard (FIPS) szabványnak. A megfelelő működés érdekében az FIPS mód 2048 bites vagy nagyobb kulcsméretet igényel. Ha a tanúsítvány 2048 bitnél kisebb, a telefon nem fog regisztrálni a Cisco Unified Communications Manager alkalmazásban, és a telefon nem fog regisztrálni. A tanúsítványkulcs mérete nem FIPS-kompatibilis kijelzők a telefonon.

Ha a telefon rendelkezik LSC-vel, az LSC kulcsméretet 2048 bitre vagy nagyobb méretűre kell frissítenie, mielőtt engedélyezi az FIPS-t.

A következő táblázat áttekintést nyújt a telefonok által támogatott biztonsági funkciókról. További információt az adott Cisco Unified Communications Manager-verzió dokumentációjában talál.

A Biztonsági mód megtekintéséhez nyomja meg a Beállítások gombot, és navigáljon a Hálózat és szolgáltatás > Biztonsági beállításokelemre.

Az alábbi táblázat a megbízhatósági lista frissítési riasztási üzeneteit és jelentését tartalmazza. További információért olvassa el a Cisco Unified Communications Manager dokumentációját.

A Biztonsági beállítás menü információkat tartalmaz a különböző biztonsági beállításokról. A menü hozzáférést biztosít a megbízhatósági lista menühöz is, és jelzi, hogy a CTL vagy az ITL fájl telepítve van-e a telefonra.

A következő táblázat a Biztonsági beállítás menü opcióit ismerteti.

A Cisco IP-telefonok támogatják a 802.1x hitelesítést.

A Cisco IP-telefonok és a Cisco Catalyst kapcsolók hagyományosan a Cisco Discovery Protocol (CDP) protokollt használják egymás azonosítására és az olyan paraméterek meghatározására, mint a VLAN-kiosztás és a beépített tápellátás követelményei. A CDP nem azonosítja a helyileg csatlakoztatott munkaállomásokat. A Cisco IP-telefonok EAPOL átvezető mechanizmust biztosítanak. Ez a mechanizmus lehetővé teszi, hogy a Cisco IP telefonhoz csatlakoztatott munkaállomás továbbítsa az EAPOL üzeneteket a 802.1X hitelesítőnek a LAN kapcsolón. Az átvezető mechanizmus biztosítja, hogy az IP-telefon ne működjön LAN-kapcsolóként az adatvégpont hitelesítéséhez a hálózat elérése előtt.

A Cisco IP-telefonok proxy EAPOL kijelentkezési mechanizmust is biztosítanak. Ha a helyileg csatlakoztatott számítógép bontja a kapcsolatot az IP-telefonnal, a LAN-kapcsoló nem látja a fizikai kapcsolatot, mert megmarad a LAN-kapcsoló és az IP-telefon közötti kapcsolat. A hálózati integritás veszélyeztetésének elkerülése érdekében az IP-telefon egy EAPOL-Logoff üzenetet küld a kapcsolónak a downstream PC nevében, amely elindítja a LAN kapcsolót, hogy törölje a downstream PC hitelesítési bejegyzését.

A 802.1X hitelesítés támogatásához több összetevő szükséges:

• Cisco IP-telefon: A telefon kezdeményezi a hálózat elérésére irányuló kérést. A Cisco IP-telefonok 802.1X kérvényt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára, hogy szabályozzák az IP-telefonok csatlakozását a LAN-kapcsoló portokhoz. A telefon 802.1X kérvényező jelenlegi kiadása az EAP-FAST és EAP-TLS opciókat használja a hálózati hitelesítéshez.

• Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót is olyan megosztott titkos kóddal kell konfigurálni, amely hitelesíti a telefont.

• Váltás: A kapcsolónak támogatnia kell a 802.1X-et, hogy hitelesítőként működhessen, és továbbíthassa az üzeneteket a telefon és a hitelesítési kiszolgáló között. Miután a csere befejeződött, a kapcsoló megadja vagy megtagadja a telefonnak a hálózathoz való hozzáférést.

A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.

• Konfigurálja a többi összetevőt, mielőtt engedélyezi a 802.1X hitelesítést a telefonon.

• PC port konfigurálása: A 802.1X szabvány nem veszi figyelembe a VLAN-t, ezért azt javasolja, hogy csak egy eszközt kell hitelesíteni egy adott kapcsolóportra. Egyes kapcsolók azonban támogatják a többtartományos hitelesítést. A kapcsolókonfiguráció határozza meg, hogy csatlakoztathat-e számítógépet a telefon PC portjához.

  • Engedélyezve: Ha a többtartományos hitelesítést támogató kapcsolót használ, engedélyezheti a PC portot, és csatlakoztathat hozzá egy PC-t. Ebben az esetben a Cisco IP-telefonok támogatják az EAPOL-Logoff proxy protokollt a kapcsoló és a csatlakoztatott PC közötti hitelesítési cserék figyeléséhez.

    A Cisco Catalyst kapcsolók IEEE 802.1X támogatásával kapcsolatos további információkért tekintse meg a Cisco Catalyst kapcsoló konfigurációs útmutatóját:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Letiltva: Ha a kapcsoló nem támogat több 802.1X-kompatibilis eszközt ugyanazon a porton, akkor a 802.1X-hitelesítés engedélyezésekor tiltsa le a PC-portot. Ha nem tiltja le ezt a portot, majd megpróbál PC-t csatolni hozzá, a kapcsoló megtagadja a hálózati hozzáférést a telefonhoz és a PC-hez is.

• Hang VLAN konfigurálása: Mivel a 802.1X szabvány nem tartalmazza a VLAN-okat, ezt a beállítást a kapcsolási támogatás alapján kell konfigurálnia.
  • Engedélyezve: Ha a többtartományos hitelesítést támogató kapcsolót használ, továbbra is használhatja a hang VLAN-t.
  • Letiltva: Ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a Voice VLAN-t, és fontolja meg a port hozzárendelését a natív VLAN-hoz.
• (Csak a Cisco Desk Phone 9800 Series telefonokhoz)

  A Cisco 9800 sorozatú asztali telefonok előhívóazonosítójában más előhívószám található, mint a többi Cisco telefoné. Ha engedélyezni szeretné, hogy a telefon átadhassa a 802.1x azonosítást, állítsa be a Radius·Felhasználónév paramétert úgy, hogy az tartalmazza a Cisco Desk Phone 9800 Series telefont.

  Például a 9841-es telefon PID-je DP-9841; a Radius·Felhasználónév beállítása DP-vel kezdődik vagy DP-t tartalmaz. Az alábbi két szakaszban állíthatja be:

  • Szabályzat > Feltételek > Könyvtár feltételei

  • Szabályzat > Szabályzatkészletek > Engedélyezési szabályzat > 1. engedélyezési szabály

Amikor a telefon biztonsága megvalósul, a biztonságos telefonhívásokat a telefon kijelzőjén található ikonok segítségével azonosíthatja. Azt is meghatározhatja, hogy a csatlakoztatott telefon biztonságos-e és védett-e, ha a hívás elején biztonsági hang hallható.

Biztonságos hívás esetén az összes hívásjelzési és médiafolyamat titkosítva van. A biztonságos hívás magas szintű biztonságot nyújt, és biztosítja a hívás integritását és magánszféráját. Amikor egy folyamatban lévő hívás titkosítva van, megjelenik a biztonságos ikon a vonalon. Biztonságos telefonoknál a hitelesített ikon is megtekinthető vagy a titkosított ikont a csatlakoztatott kiszolgáló mellett a telefon menüjében (Beállítások >> Az eszköz névjegye).

Biztonságos hívás esetén a hívás elején biztonsági hang hallható, jelezve, hogy a másik csatlakoztatott telefon is fogad és továbbít biztonságos hangot. Ha a hívás nem biztonságos telefonhoz kapcsolódik, a biztonsági hang nem játszik le.

Amikor a telefon a Cisco Unified Communications Manager alkalmazásban biztonságosként (titkosított és megbízható) van konfigurálva, védett állapotot kaphat. Ezt követően, ha szükséges, a védett telefon beállítható úgy, hogy a hívás elején hangjelzést játsszon le:

• Védett eszköz: A biztonságos telefon állapotának védelemre történő módosításához jelölje be a Védett eszköz jelölőnégyzetet a Cisco Unified Communications Manager adminisztráció (Eszköz > Telefon) Telefon konfigurációs ablakában.

• Biztonságos kijelzési hang lejátszása: Ha engedélyezni szeretné, hogy a védett telefon biztonságos vagy nem biztonságos kijelzőhangot játsszon le, állítsa a Biztonságos kijelzőhang lejátszása beállítást True értékre. Alapértelmezés szerint a Biztonságos kijelzési hang lejátszása Hamis értékre van állítva. Ezt a beállítást a Cisco Unified Communications Manager adminisztrációs felületén állíthatja be (Rendszer > Szolgáltatási paraméterek). Válassza ki a kiszolgálót, majd a Unified Communications Manager szolgáltatást. A Szolgáltatásparaméter-konfiguráció ablakban válassza ki a Funkció – Biztonságos hangjelzés területen található beállítást. Az alapértelmezett érték Hamis.

Mivel a hatótávolságon belüli összes WLAN-eszköz fogadni tudja az összes többi WLAN-forgalmat, a hangkommunikáció biztosítása kritikus fontosságú a WLAN-hálózatokon. A Cisco SAFE Security architektúra támogatja a telefont, hogy a behatolók ne manipulálják és ne blokkolják a hangforgalmat. A hálózatok biztonságával kapcsolatos további információkért lásd: http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A Cisco vezeték nélküli IP-telefonos megoldás a következő, a telefon által támogatott hitelesítési módszerek segítségével biztosítja a vezeték nélküli hálózat biztonságát, amely megakadályozza a jogosulatlan bejelentkezést és a sérült kommunikációt:

• Hitelesítés megnyitása: Bármely vezeték nélküli eszköz kérheti a hitelesítést egy nyitott rendszerben. A kérelmet fogadó AP engedélyezheti a hitelesítést bármely kérelmezőnek vagy csak a felhasználók listáján szereplő kérelmezőknek. A vezeték nélküli eszköz és a hozzáférési pont (AP) közötti kommunikáció nem titkosítható.

• Bővíthető hitelesítési protokoll-Flexible Authentication via Secure Tunneling (EAP-FAST) hitelesítés: Ez a kliens-szerver biztonsági architektúra az AP és a RADIUS szerver közötti Transport Level Security (TLS) alagútban titkosítja az EAP-tranzakciókat, mint például az Identity Services Engine (ISE).

  A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC-kat) használ a hitelesítéshez az ügyfél (telefon) és a RADIUS szerver között. A szerver egy Authority azonosítót (AID) küld az ügyfélnek (telefonnak), amely viszont kiválasztja a megfelelő PAC-t. A kliens (telefon) PAC-átlátszatlan értéket ad vissza a RADIUS szervernek. A kiszolgáló visszafejti a PAC-t az elsődleges kulccsal. Mostantól mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC kiépítést, de engedélyeznie kell a RADIUS szerveren.

  ISE esetén a PAC alapértelmezés szerint egy hét alatt lejár. Ha a telefon lejárt PAC-val rendelkezik, a RADIUS szerverrel történő hitelesítés hosszabb időt vesz igénybe, amíg a telefon új PAC-t kap. A PAC-szolgáltatás késéseinek elkerülése érdekében állítsa be a PAC lejárati idejét 90 napra vagy annál hosszabb időre az ISE vagy a RADIUS szerveren.

• Bővíthető hitelesítési protokoll-Transport Layer Security (EAP-TLS) hitelesítés: Az EAP-TLS kliens tanúsítványt igényel a hitelesítéshez és a hálózati hozzáféréshez. Vezeték nélküli EAP-TLS esetén a kliens tanúsítvány lehet MIC, LSC vagy felhasználó által telepített tanúsítvány.

• Védett bővíthető hitelesítési protokoll (PEAP): A Cisco saját, jelszó alapú kölcsönös hitelesítési rendszere az ügyfél (telefon) és a RADIUS szerver között. A telefon a PEAP protokollt használhatja a vezeték nélküli hálózaton történő hitelesítéshez. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.

• Előre megosztott kulcs (PSK): A telefon támogatja az ASCII formátumot. Ezt a formátumot kell használnia az előre megosztott WPA/WPA2/SAE kulcs beállításakor:

  ASCII: 8–63 karakteres ASCII-karakterlánc (0–9, kisbetű és nagybetű A–Z, speciális karakterek)

  Példa: GREG123567@9ZX&W

A következő hitelesítési sémák a RADIUS kiszolgálót használják a hitelesítési kulcsok kezelésére:

• wpa/wpa2/wpa3: A RADIUS-kiszolgáló adatait használja a hitelesítéshez szükséges egyedi kulcsok létrehozásához. Mivel ezek a kulcsok a központosított RADIUS szerveren generálódnak, a WPA2/WPA3 nagyobb biztonságot nyújt, mint az AP-n és a telefonon tárolt WPA előre mentett kulcsok.

• Gyors biztonságos barangolás: A RADIUS szerver és egy vezeték nélküli tartománykiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehoz egy biztonsági hitelesítő adatok gyorsítótárát az FT-kompatibilis ügyféleszközök számára a gyors és biztonságos ismételt hitelesítés érdekében. A Cisco 9861-es és 9871-es asztali telefon és a Cisco 8875-ös videotelefon támogatja a 802.11r (FT) szabványt. A gyors biztonságos barangolás érdekében mind a levegőben, mind a DS-en keresztül támogatott. De határozottan javasoljuk a 802.11r (FT) levegő alapú módszer használatát.

A WPA/WPA2/WPA3 esetén a titkosítási kulcsok nincsenek megadva a telefonon, de automatikusan származtatják az AP és a telefon között. A hitelesítéshez használt EAP felhasználónevet és jelszót azonban minden telefonon meg kell adni.

A hangforgalom biztonságának biztosítása érdekében a telefon támogatja a TKIP és az AES titkosítást. Amikor ezeket a mechanizmusokat titkosításra használják, a jelátviteli SIP-csomagok és a voice Real-Time Transport Protocol (RTP) csomagok egyaránt titkosítva vannak az AP és a telefon között.

tkip

A WPA TKIP titkosítást használ, amely számos fejlesztéssel rendelkezik a WEP-n keresztül. A TKIP csomagonként kulcstitkosítást és hosszabb inicializációs vektorokat (IV-ket) biztosít, amelyek erősítik a titkosítást. Emellett az üzenet integritásának ellenőrzése (MIC) biztosítja, hogy a titkosított csomagok nem változnak. A TKIP eltávolítja a WEP kiszámíthatóságát, amely segít a behatolóknak megfejteni a WEP-kulcsot.

Aes megye

A WPA2/WPA3 hitelesítéshez használt titkosítási módszer. Ez a titkosítási szabvány egy szimmetrikus algoritmust használ, amely azonos kulccsal rendelkezik a titkosításhoz és a visszafejtéshez. Az AES 128 bites Cipher Blocking Chain (CBC) titkosítást használ, amely minimálisan támogatja a 128, 192 és 256 bites kulcsméretet. A telefon 256 bites kulcsméretet támogat.

A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-k konfigurálva vannak a hálózaton és az AP-eken, és megadják a hitelesítés és a titkosítás különböző kombinációit. Az SSID egy VLAN-hoz és az adott hitelesítési és titkosítási sémához kapcsolódik. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia a hitelesítési és titkosítási sémájukkal az AP-n és a telefonon.

Egyes hitelesítési rendszerek bizonyos típusú titkosítást igényelnek.

A következő táblázatban található hitelesítési és titkosítási sémák a telefon AP konfigurációjának megfelelő hálózati konfigurációs beállításait mutatják.

A Assured Services SIP (AS-SIP) olyan funkciók és protokollok gyűjteménye, amelyek rendkívül biztonságos hívásfolyamatot biztosítanak a Cisco IP-telefonok és harmadik féltől származó telefonok számára. A következő funkciókat együttesen AS-SIP-ként ismerik:

• Többszintű elsőbbség és előzetes lefoglalás (MLPP)
• Differenciált szolgáltatások kódpontja (DSCP)
• Transport Layer Security (TLS) és Secure Real-time Transport Protocol (SRTP)
• 6-os verziójú internetprotokoll (IPv6)

Az AS-SIP-t gyakran használják többszintű elsőbbséggel és előzetes lefoglalással (MLPP) a hívások priorizálására vészhelyzet esetén. Az MLPP segítségével prioritási szintet rendelhet a kimenő hívásokhoz az 1. szintről (alacsony) az 5. szintig (magas). Hívás fogadásakor a telefonon egy prioritási szint ikon jelenik meg, amely a hívás prioritását mutatja.

Az AS-SIP konfigurálásához végezze el a következő feladatokat a Cisco Unified Communications Manager alkalmazásban:

• Kivonatoló felhasználó konfigurálása – Konfigurálja úgy a végfelhasználót, hogy kivonatoló hitelesítést használjon a SIP-kérésekhez.
• A SIP-telefon biztonságos portjának konfigurálása – A Cisco Unified Communications Manager ezt a portot használja a SIP-telefonok figyelésére TLS-vonalregisztrációkhoz.
• Szolgáltatások újraindítása – A biztonságos port konfigurálása után indítsa újra a Cisco Unified Communications Manager és a Cisco CTL szolgáltató szolgáltatásait. SIP-profil konfigurálása AS-SIP-hez – Konfiguráljon egy SIP-profilt SIP-beállításokkal az AS-SIP-végpontokhoz és a SIP-fővonalakhoz. A telefonspecifikus paraméterek nem töltődnek le harmadik féltől származó AS-SIP telefonra. Ezeket csak a Cisco Unified Manager használja. A harmadik féltől származó telefonoknak helyileg kell konfigurálniuk ugyanazokat a beállításokat.
• Telefonbiztonsági profil konfigurálása AS-SIP-hez – A telefon biztonsági profiljával olyan biztonsági beállításokat rendelhet hozzá, mint a TLS, SRTP és kivonatoló hitelesítés.
• AS-SIP végpont konfigurálása – Konfiguráljon egy Cisco IP-telefont vagy egy harmadik féltől származó végpontot AS-SIP támogatással.
• Eszköz társítása végfelhasználóhoz – Társítsa a végpontot egy felhasználóhoz.
• A SIP trönk biztonsági profiljának konfigurálása AS-SIP esetén – a SIP trönk biztonsági profiljával olyan biztonsági funkciókat rendelhet hozzá egy SIP trönkhöz, mint a TLS vagy a kivonathitelesítés.
• SIP-fővonal konfigurálása AS-SIP-hez – Konfiguráljon egy SIP-fővonalat AS-SIP támogatással.
• AS-SIP-funkciók konfigurálása – Konfiguráljon további AS-SIP-funkciókat, például MLPP, TLS, V.150 és IPv6.

Az AS-SIP konfigurálásáról részletes tájékoztatást olvashat a Cisco Unified Communications Manager funkciókonfigurációs útmutatójának „AS-SIP végpontok konfigurálása” című fejezetében.

Amikor a kötelező hitelesítési kódok (FAC) vagy ügyfélválasztó kódok (CMC) vagy mindkettő konfigurálva van a telefonon, a felhasználóknak meg kell adniuk a szükséges jelszavakat a szám tárcsázásához.

A FAC és a CMC Cisco Unified Communications Manager alkalmazásban való beállításával kapcsolatos további információkért lásd: „Kliens Matter kódok és Kényszerített hitelesítési kódok" fejezet ebben Funkciókonfigurációs útmutató a Cisco Unified Communications Manager 12.5(1) vagy újabb verziójához.