È possibile consentire a Cisco Unified Communications Manager di funzionare in un ambiente con sicurezza avanzata. Grazie a tali miglioramenti, la rete telefonica funziona rispettando una serie di severi controlli per la gestione della protezione e dei rischi al fine di proteggere i singoli utenti.

L'ambiente con protezione avanzata include le seguenti funzionalità:

  • Autenticazione per la ricerca di contatti.

  • TCP come protocollo predefinito per la registrazione di controllo remota.

  • Modalità FIPS.

  • Criteri migliorati per le credenziali.

  • Supporto della famiglia SHA-2 di hash per la firma digitale.

  • Supporto per una dimensione di chiave RSA a 512 bit e 4096 bit.

Con Cisco Unified Communications Manager Release 14.0 e Cisco Video Phone Firmware Release 2.1 e successive, i telefoni supportano l'autenticazione SIP OAuth.

OAuth è supportato per il protocollo TFTP (Proxy Trivial File Transfer Protocol) con Cisco Unified Communications Manager versione 14.0(1)SU1 o successiva. Proxy TFTP e OAuth perProxy TFTP non sono supportati su MRA (Mobile Remote Access).

Per ulteriori informazioni sulla protezione, vedere:

Il telefono può memorizzare solo un numero limitato di file ITL (Identity Trust List). I file ITL non possono superare il limite di 64 K sul telefono, quindi limitare il numero di file ITL che Cisco Unified Communications Manager invia al telefono.

Funzioni di sicurezza supportate

Le funzioni di sicurezza consentono di proteggere dalle minacce, comprese quelle all'identità del telefono e ai dati. Queste funzioni stabiliscono e mantengono flussi di comunicazioni autenticati tra il telefono e il server Cisco Unified Communications Manager e garantiscono che il telefono utilizzi solo file con firma digitale.

Cisco Unified Communications Manager Release 8.5(1) e versioni successive comprende Protezione per valore predefinito, che fornisce le seguenti funzioni di sicurezza ai telefoni IP Cisco senza dover eseguire il client CTL:

  • Firma dei file di configurazione del telefono

  • Crittografia del file di configurazione del telefono

  • HTTPS con Tomcat e altri servizi Web

Le funzioni dei supporti e di segnalazione protette richiedono ancora l'esecuzione del client CTL e l'utilizzo di eToken hardware.

Tramite l'implementazione della protezione nel sistema di Cisco Unified Communications Manager è possibile impedire il furto di identità del telefono e del server Cisco Unified Communications Manager, l'alterazione dei dati e della segnalazione delle chiamate e del flusso multimediale.

Per ridurre queste minacce, la rete di telefonia IP Cisco stabilisce e mantiene dei flussi di comunicazione protetti (crittografati) tra i telefoni e il server, aggiunge una firma digitale ai file prima del trasferimento sui telefoni e crittografa i flussi multimediali e la segnalazione delle chiamate tra i telefoni IP Cisco.

Dopo aver eseguito le attività necessarie associate a CAPF (Certificate Authority Proxy Function), sui telefoni viene installato un LSC (Locally Significant Certificate). È possibile utilizzare Cisco Unified Communications Manager Administration per configurare un LSC, come descritto nella Guida alla protezione di Cisco Unified Communications Manager. In alternativa, è possibile avviare l'installazione di un LSC dal menu Impostazioni di sicurezza sul telefono. Questo menu consente inoltre di aggiornare o rimuovere un LSC.

Non è possibile utilizzare un LSC come certificato utente per EAP-TLS con l'autenticazione WLAN.

I telefoni utilizzano il profilo di protezione che ne definisce lo stato di protezione. Per informazioni sull'applicazione del profilo di protezione al telefono, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.

Se vengono configurate le impostazioni relative alla protezione in Cisco Unified Communications Manager Administration, il file di configurazione del telefono conterrà delle informazioni riservate. Per garantire la privacy del file di configurazione, è necessario configurarlo per la crittografia. Per informazioni dettagliate, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.

Il telefono è conforme allo standard FIPS (Federal Information Processing Standard). Per il corretto funzionamento della modalità FIPS, è necessario impostare una dimensione di chiave di 2048 bit o superiore. Se la dimensione della chiave del certificato è inferiore a 2048 bit o superiore, il telefono non viene registrato con Cisco Unified Communications Manager e sul telefono viene visualizzato il messaggio Impossibile registrare il telefono. La dimensione della chiave del certificato non è conforme a FIPS.

Se il telefono ha un LSC, prima di abilitare FIPS, è necessario impostare la dimensione della chiave LSC su 2048 bit o su una dimensione superiore.

Nella tabella seguente viene presentata una panoramica delle funzioni di protezione supportate dai telefoni. Per ulteriori informazioni, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.

Per visualizzare la modalità di sicurezza, premere Impostazioni Il tasto rigido Impostazioni E passare a Impostazioni di rete e servizio > Sicurezza.

Tabella 1. Panoramica delle funzioni di sicurezza

Funzione

Descrizione

Autenticazione immagine

I file binari con firma impediscono l'alterazione tramite l'immagine del firmware prima che tale immagine venga caricata sul telefono.

La manomissione con l'immagine impedisce al telefono di eseguire il processo di autenticazione e determina il rifiuto della nuova immagine.

Installazione del certificato del sito del cliente

Ogni telefono IP Cisco richiede un certificato univoco per l'autenticazione del dispositivo. Nei telefoni è incluso un certificato MIC (Manufacturing Installed Certificate), ma per maggiore sicurezza, è possibile specificare l'installazione di un certificato su Cisco Unified Communications Manager Administration tramite CAPF (Certificate Authority Proxy Function). In alternativa, è possibile installare un LSC (Locally Significant Certificate) dal menu di configurazione della protezione del telefono.

Autenticazione dispositivo

Si verifica tra il server Cisco Unified Communications Manager e il telefono quando ciascuna entità accetta il certificato dell'altra. Determina se deve essere stabilita una connessione protetta tra il telefono e un server Cisco Unified Communications Manager e, se necessario, crea un percorso di segnalazione protetto tra le due entità mediante il protocollo TLS. Cisco Unified Communications Manager non registra i telefoni a meno che non sia in grado di autenticarli.

Autenticazione file

Convalida i file con firma digitale scaricati dal telefono. Il telefono convalida le firme per garantire che i file non siano stati alterati dopo la creazione. I file che non vengono autenticati non vengono scritti nella memoria flash del telefono. Il telefono rifiuta tali file senza ulteriore elaborazione.

Crittografia file

La crittografia impedisce la divulgazione delle informazioni riservate durante il passaggio del file verso il telefono. Inoltre, il telefono convalida la firma per garantire che il file non sia stato alterato dopo la creazione. I file che non vengono autenticati non vengono scritti nella memoria flash del telefono. Il telefono rifiuta tali file senza ulteriore elaborazione.

Autenticazione segnalazione

Utilizza il protocollo TLS per confermare che i pacchetti di segnalazione non siano stati alterati durante la trasmissione.

MIC (Manufacturing Installed Certificate)

Ciascun telefono IP Cisco contiene un certificato MIC (manufacturing installed certificate) univoco, utilizzato per l'autenticazione del dispositivo. Il certificato MIC rappresenta una garanzia univoca e permanente di identità per il telefono e consente a Cisco Unified Communications Manager di autenticare il telefono.

Crittografia supporti

Utilizza il protocollo SRTP per garantire che i flussi multimediali tra i dispositivi supportati risultino protetti e che solo il dispositivo previsto riceva e legga i dati. Comprende la creazione di una coppia di chiavi primaria di supporti per i dispositivi, la consegna delle chiavi ai dispositivi e la protezione della consegna delle chiavi durante il loro trasporto.

CAPF (Certificate Authority Proxy Function)

Implementa parti della procedura di generazione del certificato che richiedono elevati sforzi di elaborazione da parte del telefono e interagisce con il telefono per la generazione di chiavi e l'installazione del certificato. È possibile configurare CAPF in modo che richieda certificati da autorità di certificazione specificate dal cliente per conto del telefono, oppure per generare certificati localmente.

Sono supportati entrambi i tipi di chiave EC (curva ellittica) e RSA. Per utilizzare la chiave EC, assicurarsi che il parametro "Endpoint Advanced Encryption Algorithms Support" (dal parametro System >Enterprise) sia abilitato.

Per ulteriori informazioni su CAPF e sulle configurazioni correlate, vedere i seguenti documenti:

Profilo di protezione

Definisce se il telefono è in stato non protetto, autenticato, crittografato o protetto. Le altre voci di questa tabella descrivono le funzioni di protezione.

File di configurazione crittografati

Consente di garantire la privacy dei file di configurazione del telefono.

Disabilitazione facoltativa del server Web per i telefoni

Per motivi di sicurezza, è possibile impedire l'accesso alle pagine Web del telefono (in cui vengono visualizzate diverse statistiche di operatività del telefono) e del portale Self Care.

Aumento della sicurezza del telefono

Ulteriori opzioni di protezione, controllabili da Cisco Unified Communications Manager Administration:

  • Disabilitazione della porta PC
  • Disabilitazione di Gratuitous ARP (GARP)
  • Disabilitazione dell'accesso alla VLAN vocale del PC
  • Disabilitazione dell'accesso al menu Impostazioni o accesso limitato
  • Disabilitazione dell'accesso alle pagine Web di un telefono
  • Disabilitazione della porta dell'accessorio Bluetooth
  • Limitazione delle crittografie TLS

Autenticazione 802.1X

Il telefono IP Cisco può utilizzare l'autenticazione 802.1X per richiedere e ottenere accesso alla rete. Per ulteriori informazioni, vedere Autenticazione 802.1x.

Failover SIP protetto per SRST

In seguito alla configurazione di un riferimento SRST (Survivable Remote Site Telephony) per la protezione e alla reimpostazione dei dispositivi dipendenti in Cisco Unified Communications Manager Administration, il server TFTP aggiunge il certificato SRST al file cnf.xml del telefono e invia tale file al telefono. Un telefono protetto utilizza quindi una connessione TLS per interagire con il router SRST compatibile.

Crittografia segnalazione

Garantisce che tutti i messaggi di segnalazione SIP inviati tra il dispositivo e il server Cisco Unified Communications Manager siano crittografati.

Avviso aggiornamento Trust List

In caso di aggiornamenti della Trust List sul telefono, Cisco Unified Communications Manager riceve un avviso che indica il completamento o la mancata riuscita dell'aggiornamento. Per ulteriori informazioni, consultare la tabella seguente.

Crittografia AES 256

Quando sono collegati a Cisco Unified Communications Manager Release 10.5(2) e versioni successive, i telefoni supportano la crittografia AES 256 per TLS e SIP per la segnalazione e la crittografia dei supporti. Ciò consente ai telefoni di avviare e supportare le connessioni TLS 1.2 tramite codici basati su AES-256 conformi a standard SHA-2 (Secure Hash Algorithm) e compatibili con FIPS (Federal Information Processing Standards). Le crittografie includono:

  • Per connessioni TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Per sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Per ulteriori informazioni, consultare la documentazione di Cisco Unified Communications Manager.

Certificati Elliptic Curve Digital Signature Algorithm (ECDSA)

Come parte della certificazione dei criteri comuni (CC), Cisco Unified Communications Manager ha aggiunto i certificati ECDSA nella versione 11.0. Ciò ha effetto su tutti i prodotti VOS (Voice Operating System) su cui è in esecuzione CUCM 11.5 e versioni successive.

Certificato Tomcat multiserver (SAN) con Cisco UCM

Il telefono supporta Cisco UCM con certificati Tomcat multiserver (SAN) configurati. L'indirizzo corretto del server TFTP può essere trovato nel file ITL del telefono per la registrazione del telefono.

Per ulteriori informazioni sulla funzionalità, vedere quanto segue:

Nella tabella seguente vengono elencati i messaggi di avviso sull'aggiornamento della Trust List e il relativo significato. Per ulteriori informazioni, consultare la documentazione di Cisco Unified Communications Manager.

Tabella 2. Messaggi di avviso aggiornamento Trust List
Codice e messaggio Descrizione

1 - TL_SUCCESS

Nuovo CTL e/o ITL ricevuto

2 - CTL_INITIAL_SUCCESS

Nuovo CTL ricevuto, nessuna TL esistente

3 - ITL_INITIAL_SUCCESS

Nuovo ITL ricevuto, nessuna TL esistente

4 - TL_INITIAL_SUCCESS

Nuovi CTL e ITL ricevuti, nessuna TL esistente

5 - TL_FAILED_OLD_CTL

Aggiornamento alla nuova CTL non riuscito, ma TL precedente disponibile

6 - TL_FAILED_NO_TL

Aggiornamento alla nuova TL non riuscito e nessuna TL precedente presente

7 - TL_FAILED

Errore generico

8 - TL_FAILED_OLD_ITL

Aggiornamento alla nuova ITL non riuscito, ma TL precedente disponibile

9 - TL_FAILED_OLD_TL

Aggiornamento alla nuova TL non riuscito, ma TL precedente disponibile

Nel menu Impostazione protezione vengono fornite delle informazioni sulle diverse impostazioni di protezione. Il menu fornisce inoltre accesso al menu Trust List e indica se il file CTL o ITL è installato sul telefono.

Nella tabella seguente vengono descritte le opzioni disponibili nel menu Impostazione protezione.

Tabella 3. Menu Impostazione protezione

Opzione

Descrizione

Per modificare

Modalità Protezione

Visualizza la modalità di protezione impostata per il telefono.

Da Cisco Unified Communications Manager Administration, selezionare Dispositivo > Telefono. L'impostazione viene visualizzata nell'area Informazioni specifiche protocollo della finestra Configurazione telefono.

LSC

Indica se un certificato significativo a livello locale utilizzato per le funzionalità di sicurezza è installato nel telefono (Installato) o non è installato nel telefono (Non installato).

Per informazioni sulla gestione del certificato LSC del telefono, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.

Impostazione di un certificato importante in locale (LSC, Locally Significant Certificate)

Questa attività è valida per l'impostazione di un LSC con il metodo stringa di autenticazione.

Operazioni preliminari

Assicurarsi che le configurazioni delle impostazioni di sicurezza appropriate di Cisco Unified Communications Manager e di Certificate Authority Proxy Function (CAPF) siano complete:

  • Il file CTL o ITL dispone di un certificato CAPF.

  • In Cisco Unified Communications Operating System Administration, verificare che il certificato CAPF sia installato.

  • Il certificato CAPF è in esecuzione e configurato.

Per ulteriori informazioni su queste impostazioni, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.

1

Ottenere il codice di autenticazione CAPF impostato al momento della configurazione di CAPF.

2

Sul telefono, premere Impostazioni the Settings hard key.

3

Se richiesto, immettere la password per accedere al menu Impostazioni . È possibile ottenere la password dall'amministratore.

4

Passare a Rete e servizio > Impostazioni di sicurezza>LSC .

È possibile controllare l'accesso al menu delle impostazioni mediante il campo Accesso alle impostazioni nella finestra Configurazione telefono di Cisco Unified Communications Manager Administration.

5

Immettere la stringa di autenticazione e selezionare Invia.

A seconda della configurazione del certificato CAPF, il telefono avvia l'installazione, l'aggiornamento o la rimozione del certificato LSC. Al termine della procedura, sul telefono viene visualizzato il messaggio Installato o Non installato.

Il completamento del processo di installazione, aggiornamento o rimozione del certificato LSC potrebbe richiedere diversi istanti.

Se la procedura di installazione del telefono riesce correttamente, viene visualizzato il messaggio Installato. Se sul telefono viene visualizzato il messaggio Non installato, la stringa di autorizzazione potrebbe essere errata o il telefono potrebbe non essere abilitato per l'aggiornamento. Se l'operazione CAPF elimina il certificato LSC, sul telefono viene visualizzato il messaggio Non installato per indicare che l'operazione è riuscita correttamente. Il server CAPF registra i messaggi di errore. Fare riferimento alla documentazione del server CAPF per consultare i registri e comprendere il significato dei messaggi di errore.

Abilitazione della modalità FIPS

1

In Cisco Unified Communications Manager Administration, selezionare Dispositivo > Telefono e individuare il telefono.

2

Accedere all'area Configurazione specifica del prodotto.

3

Impostare il campo Modalità FIPS su Abilitato.

4

Selezionare Salva.

5

Selezionare Applica configurazione.

6

Riavviare il telefono.

Disattivare vivavoce, cuffie e ricevitore su un telefono

È possibile disattivare in modo permanente il vivavoce, l'auricolare e il ricevitore di un telefono per l'utente.

1

In Cisco Unified Communications Manager Administration, selezionare Dispositivo > Telefono e individuare il telefono.

2

Accedere all'area Configurazione specifica del prodotto.

3

Selezionare una o più delle seguenti caselle di controllo per disattivare le funzionalità del telefono:

  • Disabilia altoparlante
  • Disabilita altoparlante e cuffia
  • Disabilita ricevitore

Per impostazione predefinita, queste caselle di controllo sono deselezionate.

4

Selezionare Salva.

5

Selezionare Applica configurazione.

Autenticazione 802.1X

Il telefono IP Cisco supporta l'autenticazione 802.1X.

I telefoni IP Cisco e gli switch Cisco Catalyst generalmente utilizzano il protocollo CDP (Cisco Discovery Protocol) per l'identificazione reciproca e per l'individuazione di parametri come l'allocazione VLAN e i requisiti di alimentazione in linea. Il protocollo CDP non identifica le workstation collegate in locale. I telefoni IP Cisco sono dotati di un meccanismo EAPOL pass-through. Questo meccanismo consente alla postazione di lavoro collegata al telefono IP Cisco di trasmettere i messaggi EAPOL all'autenticatore 802.1X sullo switch LAN. Il meccanismo pass-through garantisce che il telefono IP non agisca come switch LAN per l'autenticazione dell'endpoint dei dati prima di accedere alla rete.

I telefoni IP Cisco sono dotati inoltre di un meccanismo di disconnessione EAPOL proxy. Se il PC collegato in locale viene disconnesso dal telefono IP, lo switch LAN non rileva l'errore del collegamento fisico perché il collegamento tra lo switch LAN e il telefono IP viene mantenuto. Per evitare di compromettere l'integrità della rete, il telefono IP invia un messaggio di disconnessione EAPOL allo switch per conto del PC downstream, che attiva lo switch LAN allo scopo di cancellare la voce di autenticazione relativa al PC downstream.

Il supporto dell'autenticazione 802.1X richiede diversi componenti:

  • Telefono IP Cisco: il telefono avvia la richiesta di accesso alla rete. I telefoni IP Cisco sono dotati di un richiedente 802.1X. Tale richiedente consente agli amministratori di rete di controllare la connettività dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella versione corrente del richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST e EAP-TLS.

  • Server di autenticazione: il server di autenticazione e lo switch devono essere entrambi configurati con un segreto condiviso che autentica il telefono.

  • Switch: lo switch deve supportare 802.1X per poter agire come autenticatore e trasmettere i messaggi tra il telefono e il server di autenticazione. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.

Per configurare l'autenticazione 802.1X, è necessario effettuare i passaggi seguenti.

  • Configurare gli altri componenti prima di abilitare l'autenticazione 802.1X sul telefono.

  • Configurare la porta del PC: lo standard 802.1X non prende in considerazione le reti VLAN e pertanto è consigliabile autenticare un solo dispositivo su una porta dello switch specifica. Tuttavia, alcuni switch supportano l'autenticazione multidominio. In base alla configurazione dello switch, è possibile o meno collegare un PC alla porta PC del telefono.

    • Abilitato: se si sta utilizzando uno switch in grado di supportare l'autenticazione multidominio, è possibile abilitare la porta del PC e connettervi il PC. In questo caso, i telefoni IP Cisco supportano la disconnessione EAPOL del proxy per monitorare gli scambi di autenticazione tra lo switch e il PC collegato.

      Per ulteriori informazioni sul supporto di IEEE 802.1X sugli switch Cisco Catalyst, consultare le guide di configurazione dello switch Cisco Catalyst all'indirizzo:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html.

    • Disabilitato: se lo switch non supporta più dispositivi conformi allo standard 802.1X sulla stessa porta, è consigliabile disabilitare la porta del PC quando l'autenticazione 802.1X è abilitata. Se questa porta non viene disabilitata e successivamente si tenta di collegarvi un PC, lo switch nega l'accesso alla rete sia al telefono sia al PC.

  • Configura rete VLAN vocale: dal momento che lo standard 802.1X non prende in considerazione le reti VLAN, è consigliabile configurare questa impostazione in base al tipo di supporto dello switch in uso.
    • Abilitato: se si sta utilizzando uno switch in grado di supportare l'autenticazione multidominio, è possibile continuare a utilizzare la VLAN vocale.
    • Disabilitato: se lo switch non supporta l'autenticazione multidominio, disabilitare la VLAN vocale e valutare di assegnare la porta alla rete VLAN nativa.
  • (Solo per Cisco Desk Phone serie 9800)

    Cisco Desk Phone serie 9800 ha un prefisso nel PID diverso da quello degli altri telefoni Cisco. Per consentire al telefono di superare l'autenticazione 802.1X, impostare il raggio· Parametro User-Name per includere il Cisco Desk Phone serie 9800.

    Ad esempio, il PID del telefono 9841 è DP-9841; è possibile impostare Radius· Nome utente per iniziare con DP o Contiene DP. È possibile impostarlo in entrambe le sezioni seguenti:

    • Politica > Condizioni > Condizioni della biblioteca

    • Criteri > Set di criteri> Criteri di autorizzazione> Regola di autorizzazione 1

Abilitazione dell'autenticazione 802.1X

Attenersi alla seguente procedura per abilitare l'autenticazione 802.1X per il telefono:

1

Premere Impostazioni.the Settings hard key.

2

Se richiesto, immettere la password per accedere al menu Impostazioni . È possibile ottenere la password dall'amministratore.

3

Passare a Impostazioni di rete e servizio > Sicurezza > Autenticazione 802.1X.

4

Attivare l'autenticazione IEEE 802.1X.

5

Selezionare Applica.

Visualizzare le informazioni sulle impostazioni di sicurezza sul telefono

È possibile visualizzare le informazioni sulle impostazioni di sicurezza nel menu del telefono. La disponibilità delle informazioni dipende dalle impostazioni di rete dell'organizzazione.

1

Premere Impostazioni.the Settings key.

2

Passare a Impostazioni di rete e servizio > Sicurezza.

3

In Impostazioni di protezione, visualizzare le seguenti informazioni.

Tabella 4. Parametri per le impostazioni di sicurezza

Parametri

Descrizione

Modalità Protezione

Visualizza la modalità di protezione impostata per il telefono.

LSC

Indica se sul telefono è installato (Sì) o meno (No) un certificato LCS, utilizzato per le funzioni di protezione.

Trust List

La Trust List fornisce dei menu secondari per i file di configurazione firmati, CTL e ITL.

Nel menu secondario File CTL vengono visualizzati i contenuti del file CTL. Nel menu secondario File ITL vengono visualizzati i contenuti del file ITL.

Nel menu Trust List vengono visualizzate anche le seguenti informazioni:

  • Firma CTL: l'hash SHA1 del file CTL
  • Server Unified CM/TFTP: il nome del server Cisco Unified Communications Manager e TFTP utilizzato dal telefono. Visualizza un'icona di certificato se sul server è presente un certificato installato.
  • Server CAPF: il nome del server CAPF utilizzato dal telefono. Visualizza un'icona di certificato se sul server è presente un certificato installato.
  • Router SRST: l'indirizzo IP del router SRST attendibile che può essere utilizzato dal telefono. Visualizza un'icona di certificato se sul server è presente un certificato installato.

Sicurezza delle telefonate

Se su un telefono sono state implementate delle funzioni di protezione, è possibile identificare le chiamate protette tramite le icone visualizzate sullo schermo del telefono. È inoltre possibile determinare se il telefono connesso è sicuro e protetto se all'inizio della chiamata viene riprodotta una tonalità di sicurezza.

In una chiamata protetta, tutti i flussi multimediali e di segnalazione delle chiamate sono crittografati. Le chiamate protette offrono un livello elevato di sicurezza e aggiungono integrità e privacy alla chiamata. Quando una chiamata in corso è crittografata, puoi vedere l'icona di sicurezza L'icona del lucchetto per una chiamata sicura Sulla linea. Per un telefono sicuro, puoi anche visualizzare l'icona autenticata O l'icona crittografata Accanto al server connesso nel menu del telefono (Impostazioni > Informazioni su questo dispositivo).

Se la chiamata viene indirizzata tramite fasi di chiamata non IP, ad esempio PSTN, la chiamata potrebbe non essere protetta anche se è crittografata all'interno della rete IP e dispone di un'icona a forma di lucchetto associata.

All'inizio di una chiamata protetta, viene riprodotta una tonalità di sicurezza per indicare che anche l'audio ricevuto e trasmesso sull'altro telefono connesso è protetto. Se la chiamata viene connessa a un telefono non protetto, la tonalità di sicurezza non viene riprodotta.

Le chiamate protette sono supportate soltanto per le connessioni tra due telefoni. Alcune funzioni, come le chiamate in conferenza e le linee condivise, non sono disponibili se sono configurate le chiamate protette.

Quando un telefono è configurato come sicuro (crittografato e attendibile) in Cisco Unified Communications Manager, può ricevere un protetto stato. Se lo si desidera, è possibile configurare la riproduzione di un tono indicativo all'inizio di una chiamata sul telefono protetto:

  • Dispositivo protetto: per modificare lo stato di un telefono sicuro su protetto, selezionare la casella di selezione Dispositivo protetto nella finestra Configurazione telefono in Cisco Unified Communications Manager Administration (Dispositivo > Telefono).

  • Riproduci tono indicativo protetto: per abilitare la riproduzione di un tono indicativo protetto o non protetto sul telefono protetto, impostare l'impostazione Riproduci tono indicativo protetto su Vero. Per impostazione predefinita, l'impostazione Riproduci tono indicativo protetto è impostata su Falso. Impostare questa opzione in Cisco Unified Communications Manager Administration (Sistema > Parametri servizio). Selezionare il server, quindi il servizio di Unified Communications Manager. Nella finestra Configurazione parametri servizio, selezionare l'opzione nell'area Funzione - Tonalità di sicurezza. L'impostazione predefinita è Falso.

Identificazione delle chiamate in conferenza protette

È possibile avviare una chiamata in conferenza protetta e monitorare il livello di protezione dei partecipanti. Le chiamate in conferenza protette vengono effettuate mediante la procedura seguente:

  1. Un utente avvia la conferenza da un telefono protetto.

  2. Cisco Unified Communications Manager assegna un ponte conferenza protetto alla chiamata.

  3. Durante l'aggiunta dei partecipanti, Cisco Unified Communications Manager verifica la modalità di protezione di ciascun telefono e mantiene il livello di protezione per la conferenza.

  4. Il livello di protezione della chiamata in conferenza viene visualizzato sul telefono. Una conferenza sicura visualizza l'icona sicura L'icona del lucchetto per una chiamata sicura.

Le chiamate protette sono supportate per le connessioni tra due telefoni. Alcune funzioni, come ad esempio Chiamata in conferenza, Linee condivise e Mobilità interni telefonici, non sono disponibili sui telefoni protetti se sono configurate le chiamate protette.

Nella tabella seguente vengono fornite delle informazioni sulle modifiche dei livelli di protezione delle conferenze in base al livello di protezione del telefono da cui è stata avviata la chiamata in conferenza, ai livelli di protezione dei partecipanti e alla disponibilità dei ponti conferenza protetti.

Tabella 5. Limitazioni di sicurezza per le chiamate in conferenza

Livello di protezione del telefono dell'utente che ha avviato la conferenza

Funzione utilizzata

Livello di protezione dei partecipanti

Risultati dell'azione

Non protetto

Conferenza

Protetto

Ponte conferenza non protetto

Conferenza non protetta

Protetto

Conferenza

Almeno un membro non è protetto.

Ponte conferenza protetto

Conferenza non protetta

Protetto

Conferenza

Protetto

Ponte conferenza protetto

Conferenza con livello di protezione crittografato

Non protetto

Conferenza automatica

Il livello minimo di protezione è crittografato.

L'utente che ha avviato la conferenza riceve il messaggio Non rispetta il livello di protezione, chiamata rifiutata.

Protetto

Conferenza automatica

Il livello minimo di protezione non è protetto.

Ponte conferenza protetto

Nella conferenza vengono accettate tutte le chiamate.

Identificazione delle telefonate sicure

È possibile effettuare una chiamata protetta se il telefono in uso e il telefono dell'altra parte sono configurati per le chiamate protette. L'altro telefono può trovarsi sulla stessa rete IP Cisco o su una rete al di fuori della rete IP. È possibile effettuare delle chiamate protette soltanto tra due telefoni. In seguito all'impostazione del ponte conferenza, per le chiamate in conferenza dovrebbero essere supportate le chiamate protette.

Le chiamate protette vengono effettuate mediante la procedura seguente:

  1. Un utente avvia la chiamata da un telefono protetto (modalità di protezione attivata).

  2. Il telefono visualizza l'icona di sicurezza L'icona del lucchetto per una chiamata sicura Sullo schermo del telefono. Questa icona indica che il telefono è configurato per le chiamate protette, anche se ciò non garantisce che anche l'altro telefono connesso sia protetto.

  3. Se la chiamata viene connessa a un altro telefono protetto, viene riprodotta una tonalità di sicurezza per indicare che la conversazione è crittografata e protetta su entrambi i lati. Se la chiamata viene connessa a un telefono non protetto, non viene riprodotta nessuna tonalità di sicurezza.

Le chiamate protette sono supportate per le connessioni tra due telefoni. Alcune funzioni, come ad esempio Chiamata in conferenza, Linee condivise e Mobilità interni telefonici, non sono disponibili sui telefoni protetti se sono configurate le chiamate protette.

Solo i telefoni protetti possono riprodurre i toni indicativi protetti o non protetti. I telefoni non protetti non possono riprodurre alcun tono. Se lo stato complessivo della chiamata cambia mentre la chiamata è in corso, cambia anche il tono indicativo e il telefono protetto riproduce il tono appropriato.

Un telefono protetto riproduce o meno un tono nei casi seguenti:

  • Se l'opzione Riproduci tono indicativo protetto è abilitata:

    • Quando viene stabilita una connessione end-to-end protetta e lo stato della chiamata è protetto, sul telefono viene riprodotto il tono che indica che si tratta di una chiamata protetta (tre segnali acustici prolungati, interrotti da pause).

    • Quando viene stabilita una connessione end-to-end non protetta e lo stato della chiamata è non protetto, sul telefono viene riprodotto il tono che indica che si tratta di una chiamata non protetta (sei brevi segnali acustici, interrotti da pause brevi).

Se l'opzione Riproduci tono indicativo protetto è disabilitata, non viene riprodotto alcun tono.

Fornire la crittografia per la chiatta

Quando vengono effettuate delle conferenze, Cisco Unified Communications Manager verifica lo stato di protezione del telefono e modifica l'indicazione di protezione della conferenza o blocca il completamento della chiamata per mantenere integrità e protezione nel sistema.

Gli utenti non possono aggiungersi a una chiamata crittografata se il telefono in uso per l'inclusione non è configurato per la crittografia. Se in questo caso il processo di inclusione non riesce, sul telefono in cui è stato avviato tale processo viene riprodotto un tono di riordino (occupato rapido).

Se il telefono dell'utente che ha avviato la conferenza è configurato per la crittografia, l'utente che ha avviato il processo di inclusione può unirsi a una chiamata non protetta dal telefono crittografato. In seguito all'inclusione, Cisco Unified Communications Manager classifica la chiamata come non protetta.

Se il telefono dell'utente che ha avviato la conferenza è configurato per la crittografia, l'utente che ha avviato il processo di inclusione può unirsi a una chiamata crittografata e sul telefono viene indicato che la chiamata è crittografata.

Protezione WLAN

Questa sezione è applicabile solo ai modelli di telefono con funzionalità Wi-Fi.

Protezione WLAN

Dal momento che tutti i dispositivi WLAN all'interno della copertura possono ricevere tutto il traffico WLAN, la protezione delle comunicazioni vocali sulle reti WLAN assume un'importanza critica. Per garantire che gli intrusi non manipolino né intercettino il traffico vocale, l'architettura Cisco SAFE Security supporta il telefono. Per ulteriori informazioni sulla protezione sulle reti, consultare http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La soluzione di telefonia Cisco Wireless IP fornisce la sicurezza della rete wireless che impedisce accessi non autorizzati e comunicazioni compromesse utilizzando i seguenti metodi di autenticazione supportati dal telefono:

  • Autenticazione aperta: tutti i dispositivi wireless possono richiedere l'autenticazione in un sistema aperto. L'AP che riceve la richiesta può concedere l'autenticazione a tutti i richiedenti o soltanto ai richiedenti presenti sull'elenco degli utenti. La comunicazione tra il dispositivo wireless e il punto di accesso (AP) potrebbe non essere crittografata.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: questa architettura di sicurezza client-server crittografa EAP transazioni all'interno di un tunnel Transport Level Security (TLS) tra il punto di accesso e il server RADIUS, ad esempio Identity Services Engine (ISE).

    Il tunnel TLS utilizza le credenziali di accesso protetto (PAC, Protected Access Credential) per l'autenticazione tra il client (telefono) e il server RADIUS. Il server invia un ID di autorità (AID) al client (telefono) che a sua volta seleziona le credenziali PAC appropriate. Il client (telefono) restituisce una chiave PAC-Opaque al server RADIUS. Il server decrittografa la chiave PAC con la chiave primaria. In entrambi gli endpoint è adesso presente la chiave PAC ed è stato creato un tunnel TLS. EAP-FAST supporta il provisioning PAC automatico, ma occorre abilitarlo sul server RADIUS.

    In ISE, per impostazione predefinita, la PAC scade tra una settimana. Se sul telefono è presente una chiave PAC scaduta, l'autenticazione con il server RADIUS impiega più tempo perché il telefono deve ottenere una nuova chiave PAC. Per evitare ritardi nel provisioning della PAC, impostare il periodo di scadenza della PAC su 90 giorni o più sul server ISE o RADIUS.

  • Autenticazione EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): per EAP-TLS è necessario disporre di un certificato client per l'autenticazione e l'accesso alla rete. Per EAP-TLS wireless, il certificato client può essere MIC, LSC o certificato installato dall'utente.

  • Protected Extensible Authentication Protocol (PEAP): schema proprietario di Cisco di autenticazione reciproca basata su password tra il client (telefono) e il server RADIUS. Il telefono può utilizzare PEAP per l'autenticazione con la rete wireless. Sono supportati entrambi i metodi di autenticazione PEAP-MSCHAPV2 e PEAP-GTC.

  • Chiave precondivisa (PSK): il telefono supporta ASCII formato. È necessario utilizzare questo formato quando si imposta una chiave precondivisa WPA/WPA2/SAE:

    ASCII: stringa di caratteri ASCII con una lunghezza compresa tra 8 e 63 caratteri (0-9, lettere minuscole e maiuscole e caratteri speciali)

    Esempio: GREG123567@9ZX&W

Gli schemi di autenticazione riportati di seguito utilizzano il server RADIUS per la gestione delle chiavi di autenticazione:

  • WPA/WPA2/WPA3: utilizza le informazioni del server RADIUS per generare chiavi univoche per l'autenticazione. Dal momento che tali chiavi vengono generate sul server RADIUS centralizzato, il metodo WPA2/WPA3 fornisce più protezione rispetto alle chiavi WPA già condivise memorizzate sull'AP e sul telefono.

  • Roaming veloce protetto: utilizza le informazioni sul server RADIUS e sul server di dominio wireless (WDS) per la gestione e l'autenticazione delle chiavi. WDS crea una cache di credenziali di sicurezza per i dispositivi client abilitati FT per una riautenticazione rapida e sicura. Cisco Desk Phone 9861 e 9871 e Cisco Video Phone 8875 supportano 802.11r (FT). Sono supportati sia over the air che over the DS per consentire un roaming rapido e sicuro. Tuttavia, Cisco consiglia di utilizzare il metodo 802.11 r (FT).

Con WPA/WPA2/WPA3, le chiavi di crittografia non vengono inserite sul telefono, ma vengono automaticamente derivate tra l'AP e il telefono. Tuttavia, è necessario immettere su ciascun telefono il nome utente e la password EAP utilizzati per l'autenticazione.

Per garantire che il traffico vocale sia sicuro, il telefono supporta TKIP e AES per la crittografia. Quando questi meccanismi vengono utilizzati per la crittografia, sia i pacchetti SIP di segnalazione che i pacchetti voce Real-Time Transport Protocol (RTP) vengono crittografati tra l'AP e il telefono.

TKIP

WPA utilizza la crittografia TKIP che presenta diversi miglioramenti rispetto WEP. La crittografia TKIP fornisce cifratura di chiave per ogni pacchetto e vettori di inizializzazione (IV) più lunghi che aumentano la protezione della crittografia. Inoltre, il controllo dell'integrità dei messaggi (MIC, Message Integrity Check) garantisce che i pacchetti crittografati non vengano alterati. La crittografia TKIP rimuove la prevedibilità delle chiavi WEP di cui si servono gli utenti non autorizzati per decifrare tali chiavi.

AES

Metodo di crittografia utilizzato per l'autenticazione WPA2/WPA3. Questo National Standard di crittografia utilizza un algoritmo simmetrico con la stessa chiave per la crittografia e la decrittografia. Il metodo AES utilizza la crittografia CBC (Cipher Blocking Chain) a 128 bit, che supporta le dimensioni di chiave di minimo 128 bit, 192 bit e 256 bit. Il telefono supporta una dimensione della chiave di 256 bit.

Cisco Desk Phone 9861 e 9871 e Cisco Video Phone 8875 non supportano Cisco Key Integrity Protocol (CKIP) con CMIC.

Gli schemi di autenticazione e crittografia vengono impostati all'interno della LAN wireless. Le VLAN vengono configurate nella rete e sull'AP e specificano diverse combinazioni di autenticazione e crittografia. Un SSID effettua l'associazione con una VLAN e lo schema di autenticazione e crittografia specifico. Affinché i dispositivi client wireless vengano autenticati correttamente, è necessario configurare gli stessi SSID con i relativi schemi di autenticazione e crittografia sugli AP e sul telefono.

Alcuni schemi di autenticazione richiedono tipi specifici di crittografia.

  • Quando si utilizza WPA chiave precondivisa, WPA2 precondivisa o SAE, la chiave già condivisa deve essere impostata staticamente sul telefono. Queste chiavi devono corrispondere a quelle presenti sull'AP.

  • Il telefono supporta la negoziazione automatica EAP per FAST o PEAP, ma non per TLS. Per EAP-TLS modalità, è necessario specificarla.

Gli schemi di autenticazione e crittografia nella tabella seguente mostrano le opzioni di configurazione di rete per il telefono che corrisponde alla configurazione del punto di accesso.

Tabella 6. Schemi di autenticazione e crittografia
Tipo FSRAutenticazioneGestione delle chiaviCrittografiaFrame di gestione protetto (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNo
802.11r (FT)WPA3

SAE

FT-SAE

AES
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AES

Configurazione del profilo LAN wireless

È possibile gestire il profilo di rete wireless configurando le credenziali, la banda di frequenza, il metodo di autenticazione e così via.

Prima di configurare il profilo WLAN, tenere presenti le seguenti note:

  • Nome utente e password

    • Se sulla rete vengono utilizzati i metodi EAP-FAST e PEAP per l'autenticazione dell'utente, è necessario configurare il nome utente e la password se richiesti sul servizio RADIUS (Remote Authentication Dial-In User Service) e sul telefono.

    • Le credenziali immesse nel profilo LAN wireless devono essere identiche a quelle configurate sul server RADIUS.

    • Se all'interno della rete vengono utilizzati dei domini, è necessario immettere il nome utente insieme al nome del dominio nel formato dominio/nome utente.

  • Le seguenti azioni potrebbero cancellare la password Wi-Fi esistente:

    • Immissione di un ID utente o di una password non validi
    • Installazione di un certificato principale CA non valido o scaduto se il tipo EAP è impostato su PEAP-MSCHAPV2 o PEAP-GTC
    • Disabilitazione del tipo EAP in uso sul server RADIUS di impostare il nuovo tipo di EAP sul telefono
  • Per modificare il tipo di EAP, assicurarsi di abilitare prima il nuovo tipo di EAP sul server RADIUS, quindi impostarlo sul telefono. Una volta che tutti i telefoni sono stati modificati impostando il nuovo tipo EAP, se si desidera, è possibile disabilitare il tipo EAP precedente.
1

In Cisco Unified Communications Manager Administration, selezionare Device > Impostazioni dispositivo > Profilo LAN wireless.

2

Selezionare il profilo di rete che si desidera configurare.

3

Impostare i parametri.

4

Fare clic su Salva.

Installazione manuale di un certificato del server di autenticazione

Se SCEP (Simple Certificate Enrollment Protocol) non è disponibile, è possibile installare manualmente un certificato del server di autenticazione sul telefono.

Per EAP-TLS è necessario installare il certificato principale dell'Autorità di certificazione che ha emesso il certificato del server RADIUS.

Operazioni preliminari

Prima di installare un certificato su un telefono, è necessario disporre di un certificato del server di autenticazione salvato sul computer. Il certificato deve essere codificato in PEM (in base 64) o DER.

1

Dalla pagina Web di amministrazione del telefono, selezionare Certificati.

2

Individuare il campo CA server di autenticazione e fare clic su Installa.

3

Selezionare il certificato sul PC.

4

Fare clic su Carica.

5

Al termine del caricamento, riavviare il telefono.

Se si reinstalla più di un certificato, verrà utilizzato solo l'ultimo certificato.

Installazione manuale di un certificato utente

Se SCEP (Simple Certificate Enrollment Protocol) non è disponibile, è possibile installare manualmente un certificato utente sul telefono.

È possibile utilizzare il certificato MIC (Manufacturing Installed Certificate) preinstallato come certificato utente per EAP-TLS.

Dopo aver installato il certificato utente, aggiungerlo all'elenco scopi consentiti del server RADIUS.

Operazioni preliminari

Prima di installare un certificato utente per un telefono, è necessario disporre di quanto segue:

  • Un certificato utente salvato sul computer. Il certificato deve essere in formato PKCS #12.

  • La password per l'estrazione del certificato.

    Questa password può contenere fino a 16 caratteri.

1

Dalla pagina Web di amministrazione del telefono, selezionare Certificati.

2

Individuare il campo Installato dall'utente e fare clic su Installa.

3

Selezionare il certificato sul PC.

4

Nel campo Password di estrazione, immettere la password di estrazione del certificato.

5

Fare clic su Carica.

6

Al termine del caricamento, riavviare il telefono.

Rimozione manuale di un certificato di sicurezza

Se il protocollo SCEP (Simple Certificate Enrollment Protocol) non è disponibile, è possibile rimuovere manualmente un certificato utente dal telefono.

1

Dalla pagina Web di amministrazione del telefono, selezionare Certificati.

2

Individuare il certificato nella pagina Certificati.

3

Fare clic su Elimina.

4

Una volta completata la procedura di eliminazione, riavviare il telefono.

Configurazione di parametri SCEP

Il Simple Certificate Enrollment Protocol (SCEP) rappresenta lo standard per la fornitura e il rinnovo automatici di certificati. Il server SCEP può gestire automaticamente i certificati utente e server.

È necessario configurare i seguenti parametri SCEP nella pagina Web telefono:

  • Indirizzo IP Agente registrazione

  • Firma digitale SHA-1 o SHA-256 oppure certificato CA principale per il server SCEP

L'autorità di registrazione Cisco IOS viene utilizzata come proxy per il server SCEP. Il client SCEP sul telefono utilizza i parametri scaricati da Cisco Unified Communications Manager. Dopo aver configurato i parametri, il telefono invia una richiesta SCEP getcs all'Autorità di registrazione e il certificato CA principale viene convalidato utilizzando l'impronta digitale predefinita.

Operazioni preliminari

Sul server SCEP, configurare l'agente di registrazione (RA) di SCEP in modo per:

  • Fungere da trust point per l'infrastruttura a chiave pubblica (PKI)
  • Fungere da agente di registrazione (RA) per l'infrastruttura a chiave pubblica (PKI)
  • Eseguire l'autenticazione del dispositivo utilizzando un server RADIUS

Per ulteriori informazioni, consulta la documentazione del server SCEP.

1

In Cisco Unified Communications Manager Administration, selezionare Dispositivo > Telefono.

2

Individuare il telefono.

3

Scorrere fino all'area Layout configurazione specifica del prodotto.

4

Selezionare la casella di controllo Server SCEP WLAN per attivare il parametro SCEP.

5

Selezionare la casella di controllo Impronta digitale CA radice WLAN (SHA256 o SHA1) per attivare il parametro SCEP QED.

Configurare le versioni supportate di TLS

È possibile impostare la versione minima di TLS richiesta rispettivamente per client e server.

Per impostazione predefinita, la versione minima TLS di server e client è 1.2. L'impostazione ha un impatto sulle seguenti funzioni:

  • Connessione di accesso Web HTTPS
  • Onboarding per telefono locale
  • Onboarding per dispositivi mobili e Remote Access (MRA)
  • Servizi HTTPS, ad esempio i servizi directory
  • Sicurezza DTLS (Transport Layer Security) del datagramma
  • Entità di accesso alle porte (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Per ulteriori informazioni sulla compatibilità TLS 1.3 per Cisco IP Phones, vedere TLS Matrice di compatibilità 1.3 per i prodotti di collaborazione Cisco.

1

Accedere a Cisco Unified Communications Manager Administration come amministratore.

2

Passare a una delle seguenti finestre:

  • Sistema > Configurazione telefono aziendale
  • Dispositivo > Impostazioni dispositivo > Profilo telefono comune
  • Configurazione dispositivo > telefono > telefono
3

Impostare il TLS campo Versione minima client:

L'opzione "TLS 1.3" è disponibile su Cisco Unified CM 15SU2 o versioni successive.
  • TLS 1.1: Il client TLS supporta le versioni di TLS dalla 1.1 alla 1.3.

    Se la versione TLS nel server è inferiore alla 1.1, ad esempio 1.0, non è possibile stabilire la connessione.

  • TLS 1.2 (predefinito): Il client TLS supporta TLS 1.2 e 1.3.

    Se la versione TLS nel server è inferiore alla 1.2, ad esempio 1.1 o 1.0, non è possibile stabilire la connessione.

  • TLS 1.3: Il client TLS supporta solo TLS 1.3.

    Se la versione TLS nel server è inferiore alla 1.3, ad esempio 1.2, 1.1 o 1.0, non è possibile stabilire la connessione.

4

Impostare il TLS campo Versione minima server:

  • TLS 1.1: Il server TLS supporta le versioni di TLS dalla 1.1 alla 1.3.

    Se la versione TLS nel client è inferiore alla 1.1, ad esempio 1.0, non è possibile stabilire la connessione.

  • TLS 1.2 (predefinito): il server TLS supporta TLS 1.2 e 1.3.

    Se la versione TLS nel client è inferiore alla 1.2, ad esempio 1.1 o 1.0, non è possibile stabilire la connessione.

  • TLS 1.3: Il server TLS supporta solo TLS 1.3.

    Se la versione TLS nel client è inferiore alla 1.3, ad esempio 1.2, 1.1 o 1.0, non è possibile stabilire la connessione.

Dalla versione 3.2 di PhoneOS, l'impostazione del campo "Disabilita TLS 1.0 e TLS 1.1 per l'accesso Web" non influisce sui telefoni.
5

Fare clic su Salva.

6

Fare clic su Applica configurazione.

7

Riavviare i telefoni.

AS-SIP (Assured Services SIP)

AS-SIP (Assured Services SIP) è un insieme di funzioni e protocolli che garantiscono un flusso di chiamate estremamente sicuro per i telefoni IP Cisco e i telefoni di terze parti. Le seguenti funzioni sono nell'insieme note come AS-SIP:

  • MLPP (Multilevel Precedence and Preemption, Precedenza e prelazione multilivello)
  • DSCP (Differentiated Services Code Point)
  • TLS (Transport Layer Security) e SRTP ( Secure Real-time Transport Protocol)
  • IPv6 (protocollo Internet versione 6)

AS-SIP viene spesso utilizzato con MLPP per definire la priorità delle chiamate durante un'emergenza. Con MLPP è possibile assegnare un livello di priorità alle chiamate in uscita, dal livello 1 (più bassa) a 5 (più alta). Quando si riceve una chiamata, sul telefono viene visualizzata un'icona del livello di precedenza che indica la priorità della chiamata.

Per configurare AS-SIP, completare le seguenti operazioni in Cisco Unified Communications Manager:

  • Configurare un utente digest: configurare l'utente finale per utilizzare l'autenticazione del digest per le richieste SIP.
  • Configurare la porta protetta del telefono SIP: Cisco Unified Communications Manager utilizza questa porta per ascoltare i telefoni per le registrazioni di linea SIP su TLS.
  • Riavviare i servizi: dopo aver configurato la porta protetta, riavviare i servizi Cisco Unified Communications Manager e Cisco CTL Provider. Configurare il profilo SIP per AS-SIP: configurare un profilo SIP con impostazioni SIP per gli endpoint AS-SIP e per i trunk SIP. I parametri specifici del telefono non vengono scaricati su un telefono AS-SIP di terze parti. Vengono utilizzati solo da Cisco Unified Manager. I telefoni di terze parti devono configurare localmente le stesse impostazioni.
  • Configurare il profilo di protezione del telefono per AS-SIP: è possibile utilizzare il profilo di protezione del telefono per assegnare le impostazioni di protezione quali TLS, SRTP e autenticazione del digest.
  • Configurare l'endpoint AS-SIP: configurare un telefono IP Cisco o un endpoint di terze parti con il supporto AS-SIP.
  • Associa dispositivo all'utente finale: associa l'endpoint a un utente.
  • Configurazione il profilo di protezione del trunk SIP per AS-SIP: è possibile utilizzare il profilo di protezione del trunk SIP per assegnare a un trunk SIP le funzioni di protezione quali TLS o autenticazione del digest.
  • Configurare il trunk SIP per AS-SIP: configurare un trunk SIP con il supporto AS-SIP.
  • Configurare le funzioni AS-SIP: configurare ulteriori funzioni AS-SIP come MLPP, TLS, V.150 e IPv6.

Per informazioni dettagliate sulla configurazione di AS-SIP, vedere il capitolo "Configurazione degli endpoint AS-SIP" in Guida alla configurazione delle funzionalità per Cisco Unified Communications Manager.

Precedenza e prelazione multilivello

MLPP consente di definire la priorità delle chiamate durante le emergenze o altre situazioni critiche. Alle chiamate in uscita viene assegnata una priorità che va da 1 a 5. Le chiamate in arrivo visualizzano un'icona e la priorità di chiamata. Gli utenti autenticati possono dare la precedenza alle chiamate su determinate stazioni o tramite trunk TDM.

Questa funzionalità assicura valutazione elevato personale di comunicazione per le organizzazioni a critiche e del personale.

MLPP viene spesso utilizzato con AS-SIP (Assured Services SIP). Per informazioni dettagliate sulla configurazione di MLPP, vedere il capitolo Configurare la precedenza e l'interruzione multilivello nella Guida alla configurazione delle funzionalità per Cisco Unified Communications Manager.

Configurare FAC e CMC

Quando i codici di autorizzazione forzata (FAC) o i codici di materia client (CMC) o entrambi sono configurati sul telefono, gli utenti devono immettere le password richieste per comporre un numero.

Per ulteriori informazioni su come impostare FAC e CMC in Cisco Unified Communications Manager, vedere il capitolo "Codici di materia client e codici di autorizzazione forzata" nella Guida alla configurazione delle funzionalità per Cisco Unified Communications Manager, Release 12.5 (1) o versione successiva.