Le funzioni di sicurezza proteggono dalle minacce, comprese quelle all'identità del telefono e ai dati. Queste funzioni stabiliscono e mantengono flussi di comunicazione autenticati tra il telefono e il server Cisco Unified Communications Manager e garantiscono che il telefono utilizzi solo file con firma digitale.

Cisco Unified Communications Manager Release 8.5(1) e versioni successive include Protezione per impostazione predefinita, che fornisce le seguenti funzioni di protezione ai telefoni IP Cisco senza eseguire il client CTL:

• Firma dei file di configurazione del telefono

• Crittografia del file di configurazione del telefono

• HTTPS con Tomcat e altri servizi Web

Tramite l'implementazione della protezione nel sistema Cisco Unified Communications Manager è possibile impedire il furto di identità del telefono e del server Cisco Unified Communications Manager, l'alterazione dei dati e della segnalazione delle chiamate e del flusso multimediale.

Per ridurre queste minacce, la rete di telefonia IP Cisco stabilisce e mantiene flussi di comunicazione protetti (crittografati) tra il telefono e il server, firma digitalmente i file prima che vengano trasferiti sul telefono e crittografa i flussi multimediali e la segnalazione delle chiamate tra i telefoni IP Cisco.

Dopo aver eseguito le attività necessarie associate a CAPF (Certificate Authority Proxy Function), sui telefoni viene installato un LSC (Locally Significant Certificate). È possibile utilizzare Cisco Unified Communications Manager Administration per configurare un LSC, come descritto nella Guida alla protezione di Cisco Unified Communications Manager. In alternativa, è possibile avviare l'installazione di un LSC dal menu Impostazioni protezione del telefono. Questo menu consente inoltre di aggiornare o rimuovere un LSC.

Non è possibile utilizzare un LSC come certificato utente per EAP-TLS con autenticazione WLAN.

I telefoni utilizzano il profilo di protezione del telefono che definisce se il dispositivo non è protetto o protetto. Per informazioni sull'applicazione del profilo di protezione al telefono, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.

Se si configurano le impostazioni relative alla protezione in Cisco Unified Communications Manager Administration, il file di configurazione del telefono contiene informazioni riservate. Per garantire la privacy di un file di configurazione, è necessario configurarlo per la crittografia. Per informazioni dettagliate, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.

Il telefono è conforme agli Standard FIPS (Federal Information Processing Standard). Per funzionare correttamente, la modalità FIPS richiede una dimensione di chiave di 2048 bit o superiore. Se la dimensione del certificato è inferiore a 2048 bit, il telefono non viene registrato con Cisco Unified Communications Manager e sul telefono viene visualizzato il messaggio Impossibile registrare il telefono. La dimensione della chiave del certificato non è conforme a FIPS è visualizzata sul telefono.

Se il telefono dispone di un LSC, prima di abilitare FIPS è necessario impostare la dimensione della chiave LSC su 2048 bit o su una dimensione superiore.

Nella tabella seguente viene fornita una panoramica delle funzioni di protezione supportate dai telefoni. Per ulteriori informazioni, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.

Per visualizzare la modalità di sicurezza, premere Impostazioni e passare a Rete e servizio > Impostazioni di sicurezza.

La tabella seguente contiene i messaggi di avviso di aggiornamento della Trust List e il relativo significato. Per ulteriori informazioni, consultare la documentazione di Cisco Unified Communications Manager.

Nel menu Impostazione protezione vengono fornite informazioni sulle diverse impostazioni di protezione. Il menu fornisce inoltre accesso al menu Trust List e indica se il file CTL o ITL è installato sul telefono.

Nella tabella seguente vengono descritte le opzioni del menu Impostazione protezione.

I telefoni IP Cisco supportano l'autenticazione 802.1X.

I telefoni IP Cisco e gli switch Cisco Catalyst utilizzano tradizionalmente il protocollo CDP (Cisco Discovery Protocol) per identificarsi reciprocamente e determinare parametri come l'allocazione VLAN e i requisiti di alimentazione in linea. Il protocollo CDP non identifica le postazioni di lavoro collegate in locale. I telefoni IP Cisco forniscono un meccanismo pass-through EAPOL. Questo meccanismo consente a una postazione di lavoro collegata al telefono IP Cisco di trasmettere i messaggi EAPOL all'autenticatore 802.1X sullo switch LAN. Il meccanismo pass-through garantisce che il telefono IP non agisca come switch LAN per autenticare un endpoint dati prima di accedere alla rete.

I telefoni IP Cisco forniscono anche un meccanismo di disconnessione EAPOL proxy. Se il PC collegato in locale si disconnette dal telefono IP, lo switch LAN non prevede un errore fisico poiché il collegamento tra lo switch LAN e il telefono IP viene mantenuto. Per evitare di compromettere l'integrità della rete, il telefono IP invia un messaggio di disconnessione EAPOL allo switch per conto del PC downstream, che attiva lo switch LAN per cancellare la voce di autenticazione per il PC downstream.

Il supporto dell'autenticazione 802.1X richiede diversi componenti:

• Telefono IP Cisco: Il telefono avvia la richiesta di accesso alla rete. I telefoni IP Cisco contengono un richiedente 802.1X. Questo richiedente consente agli amministratori di rete di controllare la connettività dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella versione corrente del richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST ed EAP-TLS.

• Server di autenticazione: Il server di autenticazione e lo switch devono essere entrambi configurati con un segreto condiviso per autenticare il telefono.

• Interruttore: Lo switch deve supportare 802.1X per poter agire come autenticatore e trasmettere i messaggi tra il telefono e il server di autenticazione. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.

Per configurare l'autenticazione 802.1X, è necessario eseguire le seguenti operazioni.

• Configurare gli altri componenti prima di abilitare l'autenticazione 802.1X sul telefono.

• Configura porta PC: Lo standard 802.1X non prende in considerazione le VLAN e pertanto consiglia di autenticare un solo dispositivo su una porta dello switch specifica. Tuttavia, alcuni switch supportano l'autenticazione multidominio. La configurazione dello switch determina se è possibile connettere un PC alla porta PC del telefono.

  • Enabled (Abilitato): Se si utilizza uno switch in grado di supportare l'autenticazione multidominio, è possibile abilitare la porta PC e connettervi un PC. In questo caso, i telefoni IP Cisco supportano la disconnessione EAPOL del proxy per monitorare gli scambi di autenticazione tra lo switch e il PC collegato.

    Per ulteriori informazioni sul supporto di IEEE 802.1X sugli switch Cisco Catalyst, consultare le guide di configurazione dello switch Cisco Catalyst all'indirizzo:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Disabled (Disabilitato): Se lo switch non supporta più dispositivi conformi allo standard 802.1X sulla stessa porta, è necessario disabilitare la porta PC quando l'autenticazione 802.1X è abilitata. Se non si disabilita questa porta e si tenta di collegarvi un PC, lo switch nega l'accesso alla rete sia al telefono che al PC.

• Configura VLAN vocale: Poiché lo standard 802.1X non tiene conto delle VLAN, è necessario configurare questa impostazione in base al supporto dello switch.
  • Enabled (Abilitato): Se stai utilizzando uno switch in grado di supportare l'autenticazione multidominio, puoi continuare a utilizzare la VLAN vocale.
  • Disabled (Disabilitato): Se lo switch non supporta l'autenticazione multidominio, disabilitare la VLAN vocale e valutare di assegnare la porta alla VLAN nativa.
• (Solo per Cisco Desk Phone serie 9800)

  Il telefono fisso Cisco serie 9800 presenta un prefisso diverso nel PID da quello degli altri telefoni Cisco. Per consentire al telefono di passare l'autenticazione 802.1X, impostare il parametro Radius·User-Name per includere il telefono fisso Cisco serie 9800.

  Ad esempio, il PID del telefono 9841 è DP-9841; è possibile impostare Radius·User-Name su Start with DP o Contains DP. È possibile impostarlo in entrambe le sezioni seguenti:

  • Criteri > Condizioni > Condizioni libreria

  • Criteri > Set di criteri > Criteri di autorizzazione > Regola autorizzazione 1

Se per un telefono è stata implementata la protezione, è possibile identificare le chiamate protette tramite le icone sullo schermo del telefono. È inoltre possibile determinare se il telefono connesso è sicuro e protetto se all'inizio della chiamata viene riprodotta una tonalità di sicurezza.

In una chiamata protetta, tutti i flussi multimediali e di segnalazione delle chiamate sono crittografati. Una chiamata sicura offre un elevato livello di sicurezza e garantisce integrità e privacy alla chiamata. Se una chiamata in corso è crittografata, è possibile visualizzare l'icona di protezione sulla linea. Per un telefono protetto, è anche possibile visualizzare l'icona autenticata o l'icona crittografata accanto al server connesso nel menu del telefono (Impostazioni > Informazioni sul dispositivo).

All'inizio di una chiamata protetta, viene riprodotta una tonalità di sicurezza per indicare che anche l'altro telefono connesso riceve e trasmette audio protetto. Se la chiamata si connette a un telefono non protetto, la tonalità di sicurezza non viene riprodotta.

Quando un telefono è configurato come protetto (crittografato e attendibile) in Cisco Unified Communications Manager, è possibile assegnargli uno stato protetto . Se lo si desidera, è possibile configurare la riproduzione di un tono indicativo all'inizio di una chiamata sul telefono protetto:

• Dispositivo protetto: Per modificare lo stato di un telefono sicuro su protetto, selezionare la casella di controllo Dispositivo protetto nella finestra Configurazione telefono in Cisco Unified Communications Manager Administration (Dispositivo > Telefono).

• Riproduci tono indicativo protetto: Per abilitare la riproduzione di un tono indicativo protetto o non protetto sul telefono protetto, impostare l'impostazione Riproduci tono indicativo protetto su Vero. Per impostazione predefinita, l'opzione Riproduci tono indicativo protetto è impostata su Falso. È possibile impostare questa opzione in Cisco Unified Communications Manager Administration (Sistema > Parametri servizio). Selezionare il server, quindi il servizio Unified Communications Manager. Nella finestra Configurazione parametri servizio, selezionare l'opzione nell'area Funzione - Tono di sicurezza. L'impostazione predefinita è False.

Dal momento che tutti i dispositivi WLAN all'interno della copertura possono ricevere tutto il traffico WLAN, la protezione delle comunicazioni vocali sulle reti WLAN assume un'importanza critica. Per garantire che utenti non autorizzati non manipolino o intercettino il traffico vocale, l'architettura per la sicurezza SAFE di Cisco supporta il telefono. Per ulteriori informazioni sulla sicurezza nelle reti, vedere http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La soluzione di telefonia IP Cisco Wireless offre protezione sulla rete wireless in grado di impedire accessi non autorizzati e comunicazioni compromesse tramite i seguenti metodi di autenticazione supportati dal telefono:

• Apri autenticazione: Qualsiasi dispositivo wireless può richiedere l'autenticazione in un sistema aperto. L'AP che riceve la richiesta può concedere l'autenticazione a qualsiasi richiedente o solo ai richiedenti presenti in un elenco di utenti. La comunicazione tra il dispositivo wireless e il punto di accesso (AP) potrebbe non essere crittografata.

• Autenticazione EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling): Questa architettura di sicurezza client-server crittografa le transazioni EAP all'interno di un tunnel TLS (Transport Level Security) tra l'AP e il server RADIUS, ad esempio il motore dei servizi di identità (ISE).

  Il tunnel TLS utilizza le credenziali di accesso protetto (PAC, Protected Access Credentials) per l'autenticazione tra il client (telefono) e il server RADIUS. Il server invia un ID autorità (AID) al client (telefono), che a sua volta seleziona la PAC appropriata. Il client (telefono) restituisce un codice PAC-Opaque al server RADIUS. Il server decrittografa la chiave PAC con la chiave principale. Entrambi gli endpoint ora contengono la chiave PAC ed è stato creato un tunnel TLS. EAP-FAST supporta il provisioning PAC automatico, ma è necessario abilitarlo sul server RADIUS.

  In ISE, per impostazione predefinita, la PAC scade tra una settimana. Se sul telefono è presente una chiave PAC scaduta, l'autenticazione con il server RADIUS richiede più tempo mentre il telefono riceve una nuova chiave PAC. Per evitare ritardi nel provisioning della chiave PAC, impostare il periodo di scadenza della chiave PAC su almeno 90 giorni sul server ISE o RADIUS.

• Autenticazione EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS richiede un certificato client per l'autenticazione e l'accesso alla rete. Per EAP-TLS wireless, il certificato client può essere MIC, LSC o certificato installato dall'utente.

• Protected Extensible Authentication Protocol (PEAP): Schema proprietario di Cisco di autenticazione reciproca basata su password tra il client (telefono) e un server RADIUS. Il telefono può utilizzare il protocollo PEAP per l'autenticazione con la rete wireless. Sono supportati entrambi i metodi di autenticazione PEAP-MSCHAPV2 e PEAP-GTC.

• Chiave già condivisa (PSK): Il telefono supporta il formato ASCII. È necessario utilizzare questo formato durante l'impostazione di una chiave WPA/WPA2/SAE già condivisa:

  ASCII: una stringa di caratteri ASCII di lunghezza da 8 a 63 caratteri (da 0 a 9, lettere minuscole e maiuscole da A A Z e caratteri speciali)

  Esempio: GREG123567@9ZX&W

Gli schemi di autenticazione seguenti utilizzano il server RADIUS per gestire le chiavi di autenticazione:

• wpa/wpa2/wpa3: Utilizza le informazioni sul server RADIUS per generare chiavi univoche per l'autenticazione. Poiché queste chiavi vengono generate sul server RADIUS centralizzato, le chiavi WPA2/WPA3 forniscono più protezione rispetto alle chiavi WPA già condivise memorizzate sull'AP e sul telefono.

• Roaming veloce e protetto: Utilizza le informazioni sul server RADIUS e sul server di dominio wireless (WDS) per la gestione e l'autenticazione delle chiavi. Il server WDS crea una cache delle credenziali di sicurezza per i dispositivi client abilitati FT per una nuova autenticazione rapida e sicura. I telefoni da tavolo Cisco 9861 e 9871 e i telefoni video Cisco 8875 supportano 802.11r (FT). Per consentire il roaming veloce e protetto, sono supportati sia over the air che over the DS. Tuttavia, si consiglia vivamente di utilizzare il metodo 802.11 r (FT) sull'aria.

Con i metodi WPA/WPA2/WPA3, le chiavi di crittografia non vengono immesse sul telefono, ma vengono derivate automaticamente tra l'AP e il telefono. Tuttavia, è necessario immettere su ciascun telefono il nome utente e la password EAP utilizzati per l'autenticazione.

Per garantire la protezione del traffico vocale, il telefono supporta TKIP e AES per la crittografia. Se questi meccanismi vengono utilizzati per la crittografia, i pacchetti SIP di segnalazione e i pacchetti RTP (Real-Time Transport Protocol) vengono crittografati tra l'AP e il telefono.

tkip

Il protocollo WPA utilizza la crittografia TKIP con diversi miglioramenti rispetto al protocollo WEP. Il TKIP fornisce cifratura di chiave per ogni pacchetto e vettori di inizializzazione (IV) più lunghi che rafforzano la crittografia. Inoltre, un controllo dell'integrità dei messaggi (MIC) garantisce che i pacchetti crittografati non vengano alterati. La crittografia TKIP rimuove la prevedibilità della crittografia WEP che consente agli utenti non autorizzati di decifrare la chiave WEP.

aes

Un metodo di crittografia utilizzato per l'autenticazione WPA2/WPA3. Questo standard nazionale per la crittografia utilizza un algoritmo simmetrico che ha la stessa chiave per la crittografia e la decrittografia. AES utilizza la crittografia CBC (Cipher Blocking Chain) a 128 bit, che supporta le dimensioni di chiave di almeno 128 bit, 192 bit e 256 bit. Il telefono supporta una dimensione di chiave di 256 bit.

Gli schemi di autenticazione e crittografia vengono impostati all'interno della LAN wireless. Le VLAN vengono configurate nella rete e sugli AP e specificano diverse combinazioni di autenticazione e crittografia. Un SSID esegue l'associazione con una VLAN e lo schema di autenticazione e crittografia specifico. Per un'autenticazione corretta dei dispositivi client wireless, è necessario configurare gli stessi SSID con i relativi schemi di autenticazione e crittografia sugli AP e sul telefono.

Alcuni schemi di autenticazione richiedono tipi specifici di crittografia.

Gli schemi di autenticazione e crittografia riportati nella tabella seguente mostrano le opzioni di configurazione della rete del telefono corrispondenti alla configurazione dell'AP.

AS-SIP (Assured Services SIP) è un insieme di funzioni e protocolli che offrono un flusso di chiamate altamente sicuro per i telefoni IP Cisco e i telefoni di terze parti. Le seguenti funzioni sono collettivamente note come AS-SIP:

• MLPP (Multilevel Precedence and Preemption)
• Punto codice servizi differenziato (DSCP)
• TLS (Transport Layer Security) e SRTP (Secure Real-time Transport Protocol)
• IPv6 (Internet Protocol versione 6)

AS-SIP viene spesso utilizzato con MLPP (Multilevel Precedence and Preemption) per assegnare la priorità alle chiamate durante un'emergenza. Con MLPP è possibile assegnare un livello di priorità alle chiamate in uscita, dal livello 1 (più bassa) a 5 (più alta). Quando si riceve una chiamata, sul telefono viene visualizzata un'icona del livello di precedenza che indica la priorità della chiamata.

Per configurare AS-SIP, completare le seguenti attività su Cisco Unified Communications Manager:

• Configurare un utente digest: configurare l'utente finale per utilizzare l'autenticazione del digest per le richieste SIP.
• Configurare la porta protetta del telefono SIP: Cisco Unified Communications Manager utilizza questa porta per ascoltare i telefoni SIP per le registrazioni di linea SIP su TLS.
• Riavviare i servizi: dopo aver configurato la porta protetta, riavviare i servizi Cisco Unified Communications Manager e Cisco CTL Provider. Configurare il profilo SIP per AS-SIP: configurare un profilo SIP con impostazioni SIP per gli endpoint AS-SIP e per i trunk SIP. I parametri specifici del telefono non vengono scaricati su un telefono AS-SIP di terze parti. Vengono utilizzati solo da Cisco Unified Manager. I telefoni di terze parti devono configurare localmente le stesse impostazioni.
• Configurare il profilo di protezione del telefono per AS-SIP: è possibile utilizzare il profilo di protezione del telefono per assegnare le impostazioni di protezione quali TLS, SRTP e autenticazione del digest.
• Configurare l'endpoint AS-SIP: configurare un telefono IP Cisco o un endpoint di terze parti con il supporto AS-SIP.
• Associare il dispositivo all'utente finale: associare l'endpoint a un utente.
• Configurare il profilo di sicurezza del trunk SIP per AS-SIP: è possibile utilizzare il profilo di sicurezza del trunk SIP per assegnare a un trunk SIP le funzioni di protezione quali TLS o autenticazione del digest.
• Configurare il trunk SIP per AS-SIP: configurare un trunk SIP con il supporto AS-SIP.
• Configurare le funzioni AS-SIP: configurare ulteriori funzioni AS-SIP come MLPP, TLS, V.150 e IPv6.

Per informazioni dettagliate sulla configurazione di AS-SIP, vedere il capitolo "Configurazione di endpoint AS-SIP" nella Guida alla configurazione delle funzioni per Cisco Unified Communications Manager.

Se i codici di autorizzazione forzata (FAC) o i codici distintivi cliente (CMC) o entrambi sono configurati sul telefono, gli utenti devono immettere le password richieste per comporre un numero.

Per ulteriori informazioni su come impostare FAC e CMC in Cisco Unified Communications Manager, vedere il capitolo "Codici distintivi cliente e codici di autorizzazione forzata" nella Guida alla configurazione delle funzioni per Cisco Unified Communications Manager versione 12.5(1) o successive.