Cisco Unified Communications Manager를 활성화하고 나중에 강화된 보안 환경에서 작동할 수 있습니다. 이러한 개선 기능을 이용하여 전화기 네트워크는 일련의 엄격한 보안 및 위험 관리 제어를 통해 여러분과 사용자를 보호합니다.

향상된 보안 환경에는 다음과 같은 기능이 포함됩니다.

  • 연락처 검색 인증.

  • 원격 감사 로깅을 위한 기본 프로토콜로서의 TCP입니다.

  • FIPS 모드.

  • 향상된 자격 증명 정책입니다.

  • 디지털 서명을 위한 해시의 SHA-2 제품군을 지원합니다.

  • 512비트 및 4096비트의 RSA 키 크기를 지원합니다.

Cisco Unified Communications Manager 릴리스 14.0 및 Cisco Video Phone 펌웨어 릴리스 2.1 이후에서는 전화기에서 SIP OAuth 인증을 지원합니다.

OAuth는 Cisco Unified Communications Manager 릴리스 14.0(1)SU1 이상이 설치된 프록시 TFTP(Trivial File Transfer Protocol)에 대해 지원됩니다. MRA(Mobile Remote Access)에서는 프록시 TFTP 및 프록시 TFTP용 OAuth가 지원되지 않습니다.

보안에 대한 자세한 내용은 다음 내용을 참조하십시오.

이 전화기는 제한된 수의 신뢰 목록(ITL) 파일만 저장할 수 있습니다. ITL 파일은 전화상으로 64K를 초과할 수 없으므로 Cisco Unified Communications Manager가 전화기로 전송하는 파일 수를 제한하십시오.

지원 보안 기능

보안 기능은 전화기의 ID나 데이터에 대한 위협을 비롯한 위협으로부터 전화기를 보호합니다. 이 기능은 전화기와 Cisco Unified Communications Manager 서버 사이에서 인증된 통신 스트림을 설정하고 유지하여, 전화기가 디지털 서명된 파일만 사용하게 합니다.

Cisco Unified Communications Manager 릴리스 8.5(1) 이상에는 기본값 보안이 포함되는데, 이는 CTL 클라이언트를 실행하지 않고도 Cisco IP 전화기에 다음과 같은 보안 기능을 제공합니다.

  • 전화기 구성 파일 서명

  • 전화기 구성 파일 암호화

  • Tomcat 및 기타 웹 서비스를 사용하는 HTTPS

보안 시그널링 및 미디어 기능은 여전히 CTL 클라이언트 실행 및 하드웨어 eTokens 사용을 요구합니다.

Cisco Unified Communications Manager 시스템에 보안을 구현하면 전화기 및 Cisco Unified Communications Manager 서버의 ID 도난을 방지하고, 데이터 변조를 방지하고, 통화 시그널링 및 미디어 스트림 변조를 방지합니다.

이러한 위협을 완화하기 위해 Cisco IP 텔레포니 네트워크는 전화기와 서버 간에 보안(암호화된) 통신 스트림을 설정하고 유지 보수하고, 파일이 전화기로 전송되기 전에 파일에 디지털로 서명하고, Cisco IP 전화기 간에 미디어 스트림 및 통화 시그널링을 암호화합니다.

LSC(Locally Significant Certificate)는 CAPF(Certificate Authority Proxy Function)와 관련된 필수 작업을 수행한 후 전화기에 설치됩니다. Cisco Unified Communications Manager Administration을 사용하여 Cisco Unified Communications Manager 보안 설명서에 설명된 대로, LSC를 구성할 수 있습니다. 또는 전화기의 보안 설정 메뉴에서 LSC 설치를 시작할 수 있습니다. 이 메뉴에서는 LSC를 업데이트하거나 삭제할 수도 있습니다.

LSC는 WLAN 인증을 사용하는 EAP-TLS의 사용자 인증서로 사용할 수 없습니다.

전화기는 장치가 비보안인지 보안인지를 정의하는 전화기 보안 프로파일을 사용합니다. 전화기에 보안 프로파일을 적용하는 작업에 관한 자세한 내용은 특정 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

Cisco Unified Communications Manager Administration에서 보안 관련 설정을 구성할 경우 전화기 구성 파일은 중요한 정보를 포함합니다. 구성 파일의 프라이버시를 보장하려면 암호화에 대한 설정을 구성해야 합니다. 자세한 내용은 해당 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

전화기는 FIPS(Federal Information Processing Standard)를 준수합니다. 올바르게 작동하려면 FIPS 모드는 2048비트 이상의 키 크기가 필요합니다. 인증서가 2048비트 미만인 경우 전화기가 Cisco Unified Communications Manager에 등록되지 않고 전화기 등록에 실패합니다. 인증서의 키 크기가 FIPS와 호환되지 않습니다. 가 전화기에 표시됩니다.

전화기에 LSC가 있는 경우 FIPS를 활성화하기 전에 LSC 키 크기를 2048비트 이상으로 업데이트해야 합니다.

다음 표에는 전화기에서 지원하는 보안 기능에 대한 개요가 나와 있습니다. 자세한 내용은 해당 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

보안 모드를 보려면 [설정] 설정 하드 키 을 클릭하고 네트워크 및 서비스 > 보안 설정으로 이동합니다.

표 1. 보안 기능 개요

기능

설명

이미지 인증

서명된 이진 파일이 이미지를 전화기에 로드하기 전에 펌웨어 이미지를 변경할 수 없게 합니다.

이미지를 함부로 변경하면 인증 프로세스에 실패하여 새 이미지를 거부합니다.

고객 사이트 인증서 설치

각 Cisco IP 전화기에는 장치 인증을 위한 고유 인증서가 필요합니다. 전화기에는 MIC(Manufacturing Installed Certificate)가 포함되어 있지만, 추가 보안을 위해 CAPF(Certificate Authority Proxy Function)를 사용하여 Cisco Unified Communications Manager Administration에 인증서 설치를 지정할 수 있습니다. 또는 전화기의 보안 구성 메뉴에서 LSC(Locally Significant Certificate)를 설치할 수도 있습니다.

장치 인증

각 개체가 다른 개체의 인증서를 수락할 때는 Cisco Unified Communications Manager 서버와 전화기 사이에서 이루어집니다. 전화기와 Cisco Unified Communications Manager 간에 보안 연결을 시행할 것인지를 결정하고 필요할 경우, TLS 프로토콜을 사용해 개체 간에 안전한 시그널링 경로를 구축합니다. Cisco Unified Communications Manager는 전화기를 인증할 수 없으면 전화기를 등록하지 않습니다.

파일 인증

전화기에서 다운로드한 디지털 서명 파일을 확인합니다. 전화기는 파일이 작성된 후에 부당한 파일 변경이 일어나지 않았다는 것을 확인하기 위해 서명을 확인합니다. 인증에 실패한 파일은 전화기의 플래시 메모리에 기록되지 않습니다. 전화기는 그러한 파일의 경우 추가 처리 없이 거부합니다.

파일 암호화

암호화는 파일이 전화기로 전송되는 과정에서 중요 정보가 노출되지 않게 합니다. 뿐만 아니라, 전화기는 파일이 작성된 후에 부당한 파일 변경이 일어나지 않았다는 것을 확인하기 위해 서명을 확인합니다. 인증에 실패한 파일은 전화기의 플래시 메모리에 기록되지 않습니다. 전화기는 그러한 파일의 경우 추가 처리 없이 거부합니다.

시그널링 인증

TLS 프로토콜을 사용해 전송되는 동안 시그널링 패킷에 변조되지 않았는지를 확인합니다.

MIC(Manufacturing Installed Certificate)

각 Cisco IP 전화기에는 장치 인증에 사용할 고유한 MIC(Manufacturing Installed Certificate)가 포함되어 있습니다. MIC는 전화기의 ID를 증명하는 고유한 영구 증명서를 제공하고, Cisco Unified Communications Manager는 이를 사용해 전화기를 인증합니다.

미디어 암호화

SRTP를 사용하면 지원 장치들 간의 미디어 스트림이 안전하다는 것을 증명하고, 의도한 장치에서만 데이터를 주고 받도록 할 수 있습니다. 여기에는 장치를 위해 미디어 기본 키 한 쌍을 생성하고, 장치에 이 키를 전달하며, 키가 전송되는 동안 키의 전달을 안전하게 보호하는 일도 포함됩니다.

CAPF(Certificate Authority Proxy Function)

지나치게 프로세싱 집약적인 인증서 생성 절차의 일부를 수행하고, 키 생성 및 인증서 설치를 위해 전화기와 상호 작용합니다. CAPF는 전화기를 대신해 고객이 지정한 인증 기관에 인증서를 요청하도록 구성할 수도 있고, 로컬에서 인증서를 생성하도록 구성할 수도 있습니다.

EC(Elliptical Curve) 및 RSA 키 유형이 모두 지원됩니다. EC 키를 사용하려면 "Endpoint Advanced Encryption Algorithms Support"(System > Enterprise 매개 변수 에서)를 사용하도록 설정해야 합니다.

CAPF 및 관련 구성에 대한 자세한 내용은 다음 문서를 참조하십시오.

보안 프로파일

전화기의 비보안, 인증, 암호화 또는 보호 여부를 정의합니다. 이 표의 기타 항목에서 보안 기능을 설명합니다.

암호화된 구성 파일

전화기 구성 파일의 프라이버시를 보장할 수 있습니다.

전화기에 대한 선택적 웹 서버 비활성화

보안 목적을 위해 전화기에 대한 웹 페이지(전화기에 대한 다양한 작업 통계를 표시함) 및 셀프 케어 포털에 대한 액세스를 방지할 수 있습니다.

전화기 강화

Cisco Unified Communications Manager Administration에서 제어하는 추가 보안 옵션:

  • PC 포트 비활성화
  • GARP(Gratuitous ARP) 비활성화
  • PC 음성 VLAN 액세스 비활성화
  • 설정 메뉴에 대한 액세스 비활성화 또는 제한된 액세스 제공
  • 전화기 웹 페이지 액세스 비활성화
  • 블루투스 액세서리 포트 비활성화
  • TLS 암호화 제한

802.1X 인증

Cisco IP 전화기는 네트워크에 액세스 권한을 요청하고 확보하는 데 802.1X 인증을 사용할 수 있습니다. 자세한 내용은 802.1X 인증을 참조하십시오.

SRST용 보안 SIP 페일오버

보안을 위해 SRST(Survivable Remote Site Telephony) 참조를 구성하고 Cisco Unified Communications Manager Administration에서 종속 장치를 재설정하고 나면, TFTP 서버에서 전화기의 cnf.xml 파일에 SRST 인증서를 추가하고 전화기에 해당 파일을 전송합니다. 그럼 보안이 이루어진 전화기는 SRST 활성화 라우터와 상호 작용하는 데 TLS 연결을 사용합니다.

시그널링 암호화

장치와 Cisco Unified Communications Manager 서버 간에 전송된 모든 SIP 시그널링 메시지가 암호화되도록 합니다.

신뢰 목록 업데이트 알람

전화기에 신뢰 목록 업데이트가 있으면 Cisco Unified Communications Manager는 업데이트의 성공 또는 실패를 나타내는 알람을 수신합니다. 자세한 내용은 다음 표를 참조하십시오.

AES 256 암호화

Cisco Unified Communications Manager 릴리스 10.5(2) 또는 그 이후 버전에 연결하면, 전화기는 시그널링 및 미디어 암호화를 위해 TLS 및 SIP를 위한 AES 256 암호화 지원을 지원합니다. 이렇게 하면 전화기에서 SHA-2(Secure Hash Algorithm) 표준을 따르고 FIPS(Federal Information Processing Standards)를 준수하는 AES-256 기반 암호를 사용해 TLS 1.2 연결을 시작하고 지원할 수 있습니다. 암호에는 다음이 포함됩니다.

  • TLS 연결용:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • sRTP용:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

자세한 내용은 Cisco Unified Communications Manager 문서를 참조하십시오.

ECDSA(Elliptic Curve Digital Signature Algorithm) 인증서

Cisco Unified Communications Manager는 CC(공통 평가 기준) 인증의 일부로 버전 11.0에 ECDSA 인증서를 추가했습니다. 이는 CUCM 11.5 이상 버전을 실행하는 모든 VOS(Voice Operating System) 제품에 영향을 줍니다.

Cisco UCM이 포함된 SAN(다중 서버) Tomcat 인증서

전화기는 SAN(다중 서버) Tomcat 인증서가 구성된 Cisco UCM 지원합니다. 올바른 TFTP 서버 주소는 전화기 등록을 위한 전화기 ITL 파일에서 찾을 수 있습니다.

이 기능에 대한 자세한 내용은 다음을 참조하십시오.

다음 표는 신뢰 목록 업데이트 알람 메시지와 의미를 포함합니다. 자세한 내용은 Cisco Unified Communications Manager 문서를 참조하십시오.

표 2. 신뢰 목록 업데이트 알람 메시지
코드와 메시지 설명

1 - TL_SUCCESS

새 CTL 및/또는 ITL을 수신했음

2 - CTL_INITIAL_SUCCESS

새 CTL을 수신했음, 기존 TL 없음

3 - ITL_INITIAL_SUCCESS

새 ITL을 수신했음, 기존 TL 없음

4 - TL_INITIAL_SUCCESS

새 CTL 및 ITL을 수신했음, 기존 TL 없음

5 - TL_FAILED_OLD_CTL

새 CTL 업데이트 실패, 이전 TL이 있음

6 - TL_FAILED_NO_TL

새 TL 업데이트 실패, 이전 TL 없음

7 - TL_FAILED

일반 실패

8 - TL_FAILED_OLD_ITL

새 ITL 업데이트 실패, 이전 TL이 있음

9 - TL_FAILED_OLD_TL

새 TL 업데이트 실패, 이전 TL이 있음

보안 설정 메뉴는 다양한 보안 설정에 대한 정보를 제공합니다. 또한 메뉴는 신뢰 목록 메뉴에 대한 액세스를 제공하고 CTL 또는 ITL 파일이 전화기에 설치되었는지 여부를 나타냅니다.

다음 표는 [보안 설정] 메뉴의 옵션에 대해 설명합니다.

표 3. 보안 설정 메뉴

옵션

설명

옵션을 변경하려면

보안 모드

전화기에 설정된 보안 모드가 표시됩니다.

Cisco Unified Communications Manager Administration에서 장치 > 전화기를 선택합니다. 설정은 [전화기 구성] 창의 프로토콜별 정보 부분에 나타납니다.

LSC

보안 기능을 위해 사용되는 LSC(Locally Significant Certificate)가 전화기에 설치되었는지(설치됨) 또는 설치되지 않았는지(설치되지 않음)를 나타냅니다.

전화기에 대한 LSC를 관리하는 작업에 관한 자세한 내용은 특정 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

LSC(Locally Significant Certificate) 설정

이 작업은 인증 문자열 방법으로 LSC를 설정하는 작업에 적용됩니다.

시작하기 전에

해당 Cisco Unified Communications Manager와 CAPF(Certificate Authority Proxy Function) 보안 구성이 완벽한지 확인합니다.

  • CTL이나 ITL 파일에는 CAPF 인증서가 있습니다.

  • Cisco Unified Communications 운영 체제 관리에서 CAPF 인증서 설치를 확인합니다.

  • CAPF가 실행 중이며 구성되어 있습니다.

이러한 설정에 관한 자세한 내용은 해당 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

1

CAPF가 구성될 때 설정된 CAPF 인증 코드를 확보합니다.

2

전화기에서 설정을 누릅니다. the Settings hard key.

3

메시지가 표시되면 암호를 입력하여 설정 메뉴에 액세스합니다 . 관리자로부터 암호를 받을 수 있습니다.

4

네트워크 및 서비스>보안 설정 >LSC 으로 이동합니다.

Cisco Unified Communications Manager Administration 설정 액세스 필드를 통해 설정 메뉴에 대한 액세스를 제어할 수 있습니다.

5

인증 문자열을 입력하고 제출 을 선택합니다.

CAPF 구성에 따라 전화기가 LSC를 설치, 업데이트 또는 삭제하기 시작합니다. 과정이 완료되면 전화기에 [설치됨] 또는 [설치되지 않음]이 표시됩니다.

LSC 설치, 업데이트 또는 삭제 프로세스는 시간이 많이 걸릴 수 있습니다.

전화기 설치 과정이 성공적으로 완료되면 설치됨 메시지가 표시됩니다. 전화기에 설치되지 않음이라고 표시되면, 인증 문자열이 잘못되었거나 전화기를 업그레이드할 수 없는 상황일 수 있습니다. CAPF가 작동해 LSC를 삭제하면 전화기에 설치되지 않음이라고 표시되어 작업이 완료되었음을 알려줍니다. CAPF 서버는 오류 메시지를 기록합니다. 로그를 검색하고 오류 메시지의 의미를 확인하려면 CAPF 서버 문서를 참조하십시오.

FIPS 모드 활성화

1

Cisco 통합 커뮤니케이션 매니저 관리에서 장치 > 전화기를 선택하고 전화기를 찾습니다.

2

제품별 구성 영역으로 이동합니다.

3

FIPS 모드 필드를 활성화로 설정합니다.

4

저장을 선택합니다.

5

구성 적용을 선택합니다.

6

전화기를 다시 시작합니다.

전화기에서 스피커폰, 헤드셋 및 핸드셋 해제

사용자를 위해 전화기의 스피커폰, 헤드셋 및 핸드셋을 영구적으로 끌 수 있는 옵션이 있습니다.

1

Cisco 통합 커뮤니케이션 매니저 관리에서 장치 > 전화기를 선택하고 전화기를 찾습니다.

2

제품별 구성 영역으로 이동합니다.

3

전화기의 기능을 끄려면 다음 확인란 중 하나 이상을 선택합니다.

  • 스피커폰 비활성화
  • 스피커폰 및 헤드셋 비활성화
  • 핸드셋 비활성화

기본적으로 이러한 확인란의 선택은 취소되어 있습니다.

4

저장을 선택합니다.

5

구성 적용을 선택합니다.

802.1X 인증

Cisco IP 전화기는 802.1X 인증을 지원합니다.

Cisco IP 전화기와 Cisco Catalyst 스위치는 일반적으로 CDP(Cisco Discovery Protocol)를 사용해 서로를 식별하고 VLAN 할당 및 인라인 전력 요구 사항 같은 매개 변수를 결정합니다. CDP는 로컬로 연결된 워크스테이션은 식별하지 않습니다. Cisco IP 전화기는 EAPOL 패스스루 메커니즘을 제공합니다. 이 메커니즘을 통해 Cisco IP 전화기에 연결된 워크스테이션은 LAN 스위치의 802.1X 인증자에게 EAPOL 메시지를 전달합니다. 패스스루 메커니즘은 네트워크에 접속하기 전 데이터 엔드포인트를 인증하기 위해 IP 전화기가 LAN 스위치로 작동하지 않도록 합니다.

Cisco IP 전화기는 프록시 EAPOL 로그오프 메커니즘도 제공합니다. 로컬로 연결된 PC에서 IP 전화기와의 연결을 끊어도, LAN 스위치와 IP 전화기 사이의 링크는 유지되기 때문에 LAN 스위치는 물리적인 링크 문제를 발견하지 못합니다. 네트워크 무결성이 손상되지 않도록 IP 전화기는 다운스트림 PC를 대신해 스위치에 EAPOL 로그오프 메시지를 전송합니다. 그러면 LAN 스위치에서 다운스트림 PC에 대한 인증 항목을 지웁니다.

802.1X 인증을 지원하려면 다음과 같은 몇 가지 구성 요소가 필요합니다.

  • Cisco IP 전화기: 전화기에서 네트워크 액세스 요청을 시작합니다. Cisco IP 전화기에는 802.1X 인증 요청자가 있습니다. 이 인증 요청자를 통해 네트워크 관리자는 IP 전화기의 LAN 스위치 포트 연결을 제어합니다. 현재 전화기 802.1X 인증 요청자 릴리스는 네트워크 인증에 EAP-FAST 및 EAP-TLS 옵션을 사용합니다.

  • 인증 서버: 인증 서버와 스위치 모두 전화기를 인증하는 공유 비밀로 구성되어야 합니다.

  • 스위치: 스위치는 802.1X를 지원해야 하므로, 스위치는 인증 요청자로 작동하여 전화기와 인증 서버 사이에 메시지를 전달할 수 있습니다. 교환이 끝나면 스위치는 네트워크에 대한 전화기 액세스를 허용 또는 거부합니다.

802.1X를 구성하려면 다음과 같은 작업을 수행해야 합니다.

  • 전화기에서 802.1X 인증을 활성화하기 전에, 먼저 다른 구성 요소를 구성합니다.

  • PC 포트 구성: 802.1X 표준은 VLAN을 고려하지 않기 때문에 특정 스위치 포트에서 단일 장치만 인증하도록 권장합니다. 그러나 일부 스위치는 멀티도메인 인증을 지원합니다. PC를 전화기의 PC 포트에 연결할 수 있는지 여부는 스위치 구성에서 결정합니다.

    • 활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용 중이면, PC 포트를 활성화하고 여기에 PC를 연결할 수 있습니다. 이 경우 Cisco IP 전화기는 스위치와 연결된 PC 간의 인증 교환을 모니터링하기 위해 프록시 EAPOL 로그오프를 지원합니다.

      Cisco Catalyst 스위치의 IEEE 802.1X 지원에 관한 자세한 내용은 Cisco Catalyst 스위치 구성 설명서를 참조하십시오.

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 비활성화됨: 스위치가 같은 포트에서 여러 개의 802.1X 준수 장치를 지원하지 않는다면, 802.1X 인증이 활성화될 때 PC 포트를 비활성화해야 합니다. 이 포트를 비활성화지 않은 상태에서 나중에 PC와 연결하려고 하면, 스위치에서 전화기와 PC 모두에 대한 네트워크 액세스를 거부합니다.

  • 음성 VLAN 구성: 802.1X 표준으로 VLAN이 설명되지 않으므로 스위치 지원을 기준으로 이 설정을 구성해야 합니다.
    • 활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용 중이면, 계속 음성 VLAN을 사용할 수 있습니다.
    • 비활성화됨: 스위치에서 멀티도메인 인증을 지원하지 않으면, 음성 VLAN을 비활성화하고 기본 VLAN에 대한 포트 할당을 고려하십시오.
  • (Cisco Desk Phone 9800 시리즈만 해당)

    Cisco Desk Phone 9800 시리즈의 PID에는 다른 Cisco 전화기의 접두사와 다른 접두사가 있습니다. 전화기가 802.1X 인증을 통과할 수 있도록 하려면 Radius· Cisco Desk Phone 9800 시리즈를 포함하는 User-Name 매개 변수입니다.

    예를 들어, 전화기 9841의 PID는 DP-9841입니다. 당신은 설정할 수 있습니다 반경· DP로 시작하는 User-Name 이거나 DP 를 포함합니다. 다음 두 섹션에서 설정할 수 있습니다.

    • 정책 >조건 > 라이브러리 조건

    • 정책 > 정책 집합 > 권한 부여 정책 > 권한 부여 규칙 1

802.1X 인증 활성화

다음 단계를 수행하여 전화기에 대한 802.1 X 인증을 활성화할 수 있습니다.

1

설정을 누릅니다.the Settings hard key.

2

메시지가 표시되면 암호를 입력하여 설정 메뉴에 액세스합니다 . 관리자로부터 암호를 받을 수 있습니다.

3

네트워크 및 서비스 >보안 설정 > 802.1X 인증 으로이동합니다.

4

IEEE 802.1X 인증을 켭니다.

5

적용을 선택합니다.

전화기의 보안 설정에 대한 정보 보기

전화기 메뉴에서 보안 설정에 대한 정보를 볼 수 있습니다. 정보의 가용성은 조직의 네트워크 설정에 따라 다릅니다.

1

설정을 누릅니다.the Settings key.

2

네트워크 및 서비스 > 보안 설정으로 이동합니다.

3

보안 설정에서 다음 정보를 확인합니다.

표 4. 보안 설정 매개 변수

매개 변수

설명

보안 모드

전화기에 설정된 보안 모드가 표시됩니다.

LSC

전화기에 보안 기능을 위해 사용되는 LSC(Locally Significant Certificate)가 설치되어 있는지(예) 또는 설치되어 있지 않은지(아니요)를 표시합니다.

신뢰 목록

신뢰 목록은 CTL, ITL 및 서명된 구성 파일에 대한 하위 메뉴를 제공합니다.

CTL 파일 하위 메뉴는 CTL 파일의 내용을 표시합니다. ITL 파일 하위 메뉴는 ITL 파일의 내용을 표시합니다.

또한 신뢰 목록 메뉴는 다음 정보를 표시합니다.

  • CTL 서명: CTL 파일의 SHA1 해시
  • 통합 CM/TFTP 서버: 전화기가 사용하는 Cisco Unified Communications Manager 및 TFTP 서버의 이름입니다. 이 서버에 대한 인증서가 설치된 경우 인증서 아이콘을 표시합니다.
  • CAPF 서버: 전화기가 사용하는 CAPF 서버의 이름입니다. 이 서버에 대한 인증서가 설치된 경우 인증서 아이콘을 표시합니다.
  • SRST 라우터: 전화기가 사용할 수 있는 신뢰된 SRST 라우터의 IP 주소입니다. 이 서버에 대한 인증서가 설치된 경우 인증서 아이콘을 표시합니다.

전화기 통화 보안

전화기에 보안이 실행되면, 전화기 화면의 아이콘을 통해 보안 전화를 식별할 수 있습니다. 통화를 시작할 때 보안 신호음이 재생되면 연결된 전화기가 안전하고 보호되고 있는지 여부를 판단할 수 있습니다.

보안 통화에서는 모든 통화 신호 처리와 미디어 스트림이 암호화됩니다. 보안 통화는 높은 수준의 보안을 제공하여, 통화에 무결성과 프라이버시를 제공합니다. 진행 중인 통화가 암호화되어 있는 경우 보안 아이콘 보안 통화의 잠금 아이콘 줄에. 보안이 이루어진 전화기의 경우 인증 아이콘도 볼 수 있습니다. 또는 [암호화됨] 아이콘 전화기 메뉴(설정 > 이 장치 정보)에서 연결된 서버 옆에 있습니다.

통화가 비 IP 통화 레그(예: PSTN)를 통해 라우팅되면, IP 네트워크 내에서 암호화되고 이와 연결된 잠금 아이콘이 있더라도 통화의 보안이 이루어지지 않을 수 있습니다.

보안 통화에서는 연결된 다른 전화 역시 보안된 오디오를 송수신한다는 사실을 알리기 위해 통화를 시작할 때 보안 신호음이 재생됩니다. 보안이 이루어지지 않는 전화기에 통화가 연결되면 보안 신호음이 울리지 않습니다.

보안 통화는 두 전화기 사이의 연결에만 지원됩니다. 보안 통화가 구성되면 전화회의 통화, 공유 회선 등의 일부 기능이 제공되지 않습니다.

전화기가 Cisco Unified Communications Manager에서 보안(암호화되고 신뢰할 수 있음)으로 구성된 경우 보호 상태. 그런 다음, 원하는 경우 통화 시작 시 표시음을 재생하도록 보호된 전화기를 구성할 수 있습니다.

  • 보호되는 장치: 보안 전화기의 상태를 보호됨으로 변경하려면, Cisco Unified Communications Manager Administration의 전화기 구성 창에서 보호되는 장치 확인란을 선택합니다(장치 > 전화기).

  • 보안 표시음 재생: 보호되는 전화에서 보안 또는 비보안 표시음을 재생하도록 하려면, [보안 표시음 재생] 설정을 [예]로 설정합니다. 기본적으로 [보안 표시음 재생]은 [아니요]로 설정됩니다. 이 옵션은 Cisco Unified Communications Manager Administration에서 설정합니다(시스템 > 서비스 매개 변수). 서버를 선택하고, Unified Communications Manager 서비스를 선택합니다. [서비스 매개 변수 구성] 창에서 [기능 - 보안 신호음] 영역을 선택합니다. 기본값은 [아니요]입니다.

보안 컨퍼런스 식별

보안 전화회의를 시작하여 참가자의 보안 수준을 모니터링할 수 있습니다. 보안 전화회의는 다음과 같은 프로세스를 사용해 이루어집니다.

  1. 사용자가 보안이 이루어진 전화기에서 전화회의를 시작합니다.

  2. Cisco Unified Communications Manager가 통화에 보안 컨퍼런스 브리지를 할당합니다.

  3. 참가자가 추가되면, Cisco Unified Communications Manager는 각 전화기의 보안 모드를 확인하고 전화회의를 위한 보안 수준을 유지합니다.

  4. 전화기에 전화회의의 보안 수준이 표시됩니다. 보안 전화회의에는 보안 아이콘이 표시됩니다 보안 통화의 잠금 아이콘.

보안 통화는 두 전화기 사이에서 지원됩니다. 보호되는 전화기에서는 보안 통화가 구성될 경우 전화회의 통화, 공유 회선 및 내선 이동 같은 일부 기능을 사용할 수 없습니다.

다음 표에는 개시자 전화기 보안 수준, 참가자 보안 수준, 보안 컨퍼런스 브리지 사용 가능성에 따라 바뀌는 전화회의 보안 수준에 관한 정보가 나와 있습니다.

표 5. 전화회의를 통한 보안 제한

개시자 전화기 보안 수준

사용되는 기능

참가자 보안 수준

동작 결과

비보안

전화회의

보안

비보안 컨퍼런스 브리지

비보안 전화회의

보안

전화회의

최소 1명의 구성원이 비보안 상태입니다.

보안 컨퍼런스 브리지

비보안 전화회의

보안

전화회의

보안

보안 컨퍼런스 브리지

보안 암호화 수준 전화회의

비보안

회의개설

최소 보안 수준이 암호화되어 있습니다.

개시자는 보안 수준을 충족하지 않아 통화가 거부되었습니다라는 메시지를 받습니다.

보안

회의개설

최소 보안 수준이 비보안 상태입니다.

보안 컨퍼런스 브리지

전화회의에서 모든 통화를 수용합니다.

보안 전화기 통화 식별

전화기와 상대편 전화기가 보안 통화로 구성되어 있으면 보안 통화가 이루어집니다. 상대 전화기는 같은 Cisco IP 네트워크에 속해 있을 수도 있고, IP 네트워크 밖의 네트워크에 속해 있을 수도 있습니다. 보안 통화는 두 전화기 사이에서만 이루어집니다. 보안 컨퍼런스 브리지가 설정되면 전화회의 통화는 보안 통화를 지원해야 합니다.

보안 통화는 다음과 같은 프로세스를 사용해 이루어집니다.

  1. 사용자가 보안이 이루어진 전화기(보안 모드)에서 전화를 겁니다.

  2. 전화기에 보안 아이콘이 표시됩니다 보안 통화의 잠금 아이콘 전화기 화면에서. 이 아이콘은 전화기가 보안 통화로 구성되어 있음을 보여줍니다. 그러나 연결된 다른 전화기도 보안된다는 뜻은 아닙니다.

  3. 보안이 이루어진 다른 전화기에 통화가 연결되면 보안 신호음이 들립니다. 이는 대화의 양측이 모두 암호화되어 있고, 보안이 이루어진다는 뜻입니다. 보안이 이루어지지 않는 전화기에 통화가 연결되면, 보안 신호음이 울리지 않습니다.

보안 통화는 두 전화기 사이에서 지원됩니다. 보호되는 전화기에서는 보안 통화가 구성될 경우 전화회의 통화, 공유 회선 및 내선 이동 같은 일부 기능을 사용할 수 없습니다.

오직 보호된 전화기에서만 보안 또는 비보안 표시음이 재생됩니다. 보호되지 않는 전화기에서는 신호음이 울리지 않습니다. 통화 중에 전체 통화 상태가 변경되면, 표시음이 변경되고 보호된 전화기에서 해당 표시음을 재생합니다.

보호된 전화기는 다음 상황에서 표시음을 재생하거나 재생하지 않습니다.

  • [보안 표시음 재생] 옵션이 활성화된 경우:

    • 엔드 투 엔드 보안 미디어가 설정되어 있고 통화 상태가 안전하면 전화기가 보안 신호음을 재생합니다(길게 경고음 3번, 중간에 일시 중지).

    • 엔드 투 엔드 비보안 미디어가 설정되고 통화 상태가 비보안일 때 전화기는 비보안 표시음을 재생합니다(짧게 경고음 여섯 번, 중간에 짧게 일시 중지).

[보안 표시음 재생] 옵션이 비활성화되면 표시음이 재생되지 않습니다.

참여를 위한 암호화 제공

Cisco Unified Communications Manager는 전화회의가 설정되면 전화기 보안 상태를 확인하고 전화회의에 대한 보안 표시를 변경하거나 통화 완료를 차단하여 시스템의 무결성 및 보안을 유지합니다.

참여에 사용되는 전화기가 암호화에 대해 구성되지 않은 경우, 사용자는 암호화된 통화에 참여할 수 없습니다. 이 경우 참여가 실패하면 사용자가 참여를 개시한 전화기에서 다시 걸기(빠른 통화 중) 신호음이 재생됩니다.

개시자 전화기가 암호화에 대해 구성된 경우, 참여 개시자는 암호화된 전화기에서 발신된 비보안 통화에 참여할 수 있습니다. 참여가 발생하면 Cisco Unified Communications Manager는 통화를 비보안으로 분류합니다.

개시자 전화기가 암호화에 대해 구성된 경우, 참여 개시자는 암호화된 통화에 참여할 수 있으며 전화기에 통화가 암호화되었음이 표시됩니다.

WLAN 보안

이 섹션은 Wi-Fi 기능이 있는 전화기 모델에만 적용됩니다.

WLAN 보안

범위 내에 있는 모든 WLAN 장치는 기타 모든 WLAN 트래픽을 수신할 수 있으므로, 음성 통신 보안이 WLAN에서 중요합니다. 침입자가 음성 트래픽을 조작하거나 가로채지 않도록 하기 위해 Cisco SAFE 보안 아키텍처가 전화를 지원합니다. 네트워크의 보안에 대한 자세한 내용은 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html을 참조하십시오.

Cisco Wireless IP 텔레포니 솔루션은 전화기가 지원하는 다음 인증 방법을 사용하여 인증되지 않은 로그인 및 통신 저하를 방지하는 무선 네트워크 보안을 제공합니다.

  • 개방형 인증: 무선 장치가 개방형 시스템에서 인증을 요청할 수 있습니다. 요청을 수신하는 AP는 요청자에게 또는 사용자 목록에 있는 요청자에게만 인증을 허가할 수 있습니다. 무선 장치와 액세스 포인트(AP) 간의 통신이 암호화되지 않을 수 있습니다.

  • EAP-FAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) 인증: 이 클라이언트-서버 보안 아키텍처는 AP와 ISE(Identity Services Engine)와 같은 RADIUS 서버 간의 TLS(Transport Level Security) 터널 내에서 EAP 트랜잭션을 암호화합니다.

    TLS 터널은 클라이언트(전화기)와 RADIUS 서버 간 인증을 위해 PAC(Protected Access Credential)를 사용합니다. 서버가 AID(Authority ID)를 클라이언트(전화기)로 보내면, 거기서 해당 PAC를 선택합니다. 클라이언트(전화기)는 PAC-Opaque를 RADIUS 서버로 반환합니다. 서버는 기본 키로 PAC를 해독합니다. 이제 두 엔드포인트에는 PAC 키가 있고 TLS 터널이 생성됩니다. EAP-FAST는 자동 PAC 구축을 지원하지만, RADIUS 서버에서 이것을 활성화해야 합니다.

    ISE에서는 기본적으로 PAC가 1주일 후에 만료됩니다. 전화기에 만료된 PAC가 있는 경우, 전화기가 새 PAC를 가져오는 동안 RADIUS 서버에서 인증 시간이 더 오래 걸립니다. PAC 구축 지연을 피하기 위해 PAC 만료 기간을 ISE 또는 RADIUS 서버에서 90일 이상으로 설정하십시오.

  • 확장 가능 인증 프로토콜 - 전송 계층 보안 EAP-TLS) 인증: EAP-TLS에는 인증 및 네트워크 액세스를 위한 클라이언트 인증서가 필요합니다. 무선 EAP-TLS 경우 클라이언트 인증서는 MIC, LSC 또는 사용자 설치 인증서일 수 있습니다.

  • PEAP(Protected Extensible Authentication Protocol): 클라이언트(전화기)와 RADIUS 간 Cisco의 독점적 암호 기반 상호 인증 체계입니다. 전화기는 무선 네트워크에서 인증을 위해 PEAP 사용할 수 있습니다. PEAP-MSCHAPV2 및 PEAP-GTC 인증 방법이 모두 지원됩니다.

  • PSK(사전 공유 키): 전화기는 ASCII 형식을 지원합니다. WPA/WPA2/SAE 사전 공유 키를 설정할 때 다음 형식을 사용해야 합니다.

    ASCII: 8 ~ 63자 길이의 ASCII 문자 문자열(0-9, 소문자 및 대문자 A-Z 및 특수 문자)

    : GREG123567@9ZX&W

다음 인증 체계는 RADIUS 서버를 사용하여 인증 키를 관리합니다.

  • WPA/WPA2/WPA3: RADIUS 서버 정보를 사용하여 인증을 위한 고유 키를 생성합니다. 이러한 키는 중앙 집중식 RADIUS 서버에서 생성되므로, WPA2/WPA3는 AP 및 전화기에 저장된 WPA 사전 공유 키보다 더 강화된 보안을 제공합니다.

  • 고속 보안 로밍: RADIUS 서버와 무선 도메인 서버(WDS) 정보를 사용하여 키를 관리하고 인증합니다. WDS는 빠르고 안전한 재인증을 위해 FT 지원 클라이언트 디바이스에 대한 보안 자격 증명 캐시를 만듭니다. Cisco Desk Phone 9861 및 9871과 Cisco Video Phone 8875는 802.11r(FT)을 지원합니다. 무선 및 DS가 모두 지원되어 빠르고 안전한 로밍이 가능합니다. 그러나 Cisco는 802.11r (FT) over air 방식을 활용할 것을 적극 권장합니다.

WPA/WPA2/WPA3를 사용하면 암호화 키가 전화기에 입력되지 않지만 AP와 전화기 간에 자동으로 파생됩니다. 그러나 인증을 위해 사용되는 EAP 사용자 이름과 암호는 각 전화기에 입력해야 합니다.

음성 트래픽이 보안되도록 하기 위해 전화기는 암호화를 위해 TKIP 및 AES를 지원합니다. 암호화를 위해 이러한 메커니즘이 사용될 때 신호 처리 SIP 패킷과 음성 RTP(Real-Time Transport Protocol) 패킷은 모두 AP와 전화기 사이에서 암호화됩니다.

TKIP

WPA는 WEP에 비해 여러 번 향상된 TKIP 암호화를 사용합니다. TKIP는 암호화를 강화하는 패킷당 키 암호화 또는 더 긴 초기화 벡터(IV)를 제공합니다. 뿐만 아니라, MIC(Message Integrity Check)가 암호화된 패킷을 변경하고 있지 않음을 확인합니다. TKIP는 침입자가 WEP 키를 해독하는 데 도움을 주는 WEP의 예측 가능성을 제거합니다.

AES

WPA2/WPA3 인증을 위해 사용되는 암호화 방법입니다. 이 암호화 국가 표준은 암호화 및 암호 해독에 동일한 키를 가지는 대칭 알고리즘을 사용합니다. AES는 128비트 크기의 CBC(Cipher Blocking Chain) 암호화를 최소값으로 사용하는데, CBC 암호화는 128비트, 192비트 및 256비트의 키 크기를 지원합니다. 전화기는 256비트의 키 크기를 지원합니다.

Cisco Desk Phone 9861 및 9871과 Cisco Video Phone 8875는 CMIC와 함께 CKIP(Cisco Key Integrity Protocol)를 지원하지 않습니다.

인증 및 암호화 체계는 무선 LAN 내에서 설정됩니다. VLAN은 네트워크 및 AP에서 구성되고 다른 인증과 암호화의 조합을 지정합니다. SSID는 VLAN과 특정 인증 및 암호화 체계와 연결됩니다. 무선 클라이언트 장치를 성공적으로 인증하려면 AP 및 전화기의 인증 및 암호화 체계와 동일한 SSID를 구성해야 합니다.

일부 인증 체계에서는 특정 유형의 암호화가 필요합니다.

  • 사전 공유 키, WPA2 사전 공유 키 또는 SAE WPA 사용할 때 사전 공유 키가 정적으로 전화기에 설정되어야 합니다. 이러한 키는 AP에 있는 키와 일치해야 합니다.

  • 전화기는 FAST 또는 PEAP에 대한 자동 EAP 협상을 지원하지만 TLS에 대해서는 지원하지 않습니다. EAP-TLS 모드의 경우 이 옵션을 지정해야 합니다.

다음 표의 인증 및 암호화 체계는 AP 구성에 상응하는 전화기의 네트워크 구성 옵션을 보여줍니다.

표 6. 인증 및 암호화 체계
FSR 유형인증키 관리암호화PMF(Protected Management Frame)
802.11r(피트)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AES아니요
802.11r(피트)WPA3

새(SAE)

FT-SAE (영어)

AES
802.11r(피트)EAP-TLS

WPA EAP

FT-EAP

AES아니요
802.11r(피트)EAP-TLS(WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r(피트)EAP-FAST

WPA EAP

FT-EAP

AES아니요
802.11r(피트)EAP-FAST(WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r(피트)EAP-PEAP

WPA EAP

FT-EAP

AES아니요
802.11r(피트)EAP-PEAP(WPA3)

WPA-EAP-SHA256

FT-EAP

AES

무선 LAN 프로파일 구성

인증서, 주파수 대역, 인증 방법 등을 구성하여 무선 네트워크 프로파일을 관리할 수 있습니다.

WLAN 프로파일을 구성하기 전에 다음 참고 사항을 염두에 두십시오.

  • 사용자 이름 및 암호

    • 네트워크가 사용자 인증을 위해 EAP-FAST 및 PEAP를 사용할 때 원격 인증 전화 접속 사용자 서비스(RADIUS)와 전화기에 필요한 경우 사용자 이름과 암호를 모두 구성해야 합니다.

    • 무선 LAN 프로파일에 입력하는 인증서는 RADIUS 서버에 구성된 인증서와 동일해야 합니다.

    • 네트워크 내에서 도메인을 사용하는 경우 도메인 이름\사용자 이름 형식으로 도메인 이름과 함께 사용자 이름을 입력해야 합니다.

  • 다음 작업을 수행하면 기존 Wi-Fi 암호가 지워질 수 있습니다.

    • 잘못된 사용자 ID 또는 암호 입력
    • EAP 유형이 PEAP-MSCHAPV2 또는 PEAP-GTC로 설정되었을 때 잘못되었거나 만료된 루트 CA 설치
    • 전화기를 새 EAP 유형으로 전환하기 전에 RADIUS 서버에서 사용 중인 EAP 유형을 비활성화
  • EAP 유형을 변경하려면 먼저 RADIUS 서버에서 새 EAP 유형을 활성화했는지 확인한 다음 전화기를 EAP 유형으로 전환합니다. 모든 전화기에서 새로운 EAP 유형으로 변경되면 원할 경우 이전 EAP 유형을 비활성화할 수 있습니다.
1

Cisco 통합 커뮤니케이션 매니저 관리에서 장치 > 장치 설정 > 무선 LAN 프로파일을 선택합니다.

2

구성할 네트워크 프로파일을 선택합니다.

3

매개 변수를 설정합니다.

4

저장을 클릭합니다.

인증 서버 인증서 수동 설치

SCEP(Simple Certificate Enrollment Protocol)를 사용할 수 없는 경우 전화기에 수동으로 인증 서버 인증서를 설치할 수 있습니다.

EAP-TLS를 위해 RADIUS 서버 인증서를 발급한 루트 CA 인증서를 설치해야 합니다.

시작하기 전에

전화기에 인증서를 설치하기 전에 PC에 인증 서버 인증서를 저장해야 합니다. 인증서는 PEM (Base-64) 또는 DER로 인코딩해야 합니다.

1

전화기 관리 웹 페이지에서 인증서를 선택합니다.

2

인증 서버 CA 필드를 찾아 설치를 클릭합니다.

3

PC에서 인증서를 찾습니다.

4

업로드를 클릭합니다.

5

업로드가 완료된 후 전화기를 다시 시작합니다.

인증서를 두 개 이상 다시 설치하는 경우 마지막으로 설치된 인증서만 사용됩니다.

사용자 인증서 수동 설치

SCEP(Simple Certificate Enrollment Protocol)를 사용할 수 없는 경우 전화기에 수동으로 사용자 인증서를 설치할 수 있습니다.

미리 설치된 MIC(Manufacturing Installed Certificate)를 EAP-TLS에 대한 사용자 인증서로 사용할 수 있습니다.

사용자 인증서 설치 후 RADIUS 서버 신뢰 목록에 추가합니다.

시작하기 전에

전화기에 대한 사용자 인증서를 설치하기 전에 다음을 확인해야 합니다.

  • PC에 사용자가 인증서를 저장되어 있습니다. 인증서는 PKCS #12 형식이어야 합니다.

  • 인증서를 추출하기 위한 암호입니다.

    이 암호는 최대 16자까지 입력할 수 있습니다.

1

전화기 관리 웹 페이지에서 인증서를 선택합니다.

2

사용자 설치됨 필드를 찾아 설치를 클릭합니다.

3

PC에서 인증서를 찾습니다.

4

추출 암호 필드에 인증서 추출 암호를 입력합니다.

5

업로드를 클릭합니다.

6

업로드가 완료된 후 전화기를 다시 시작합니다.

보안 인증서 수동 제거

Enrollment Protocol SCEP(Simple Certificate)를 사용할 수 없는 경우 전화기에서 보안 인증서를 수동으로 제거할 수 있습니다.

1

전화기 관리 웹 페이지에서 인증서를 선택합니다.

2

인증서 페이지에서 인증서를 찾습니다.

3

삭제를 클릭합니다.

4

삭제 프로세스를 완료한 후 전화기를 다시 시작합니다.

SCEP 매개 변수 구성

SCEP(Simple Certificate Enrollment Protocol)는 자동으로 인증서를 제공하고 갱신하기 위한 표준입니다. SCEP 서버는 사용자 및 서버 인증서를 자동으로 유지 관리할 수 있습니다.

전화기 웹 페이지에서 다음과 같은 SCEP 매개 변수를 구성해야 합니다.

  • RA IP 주소

  • SCEP 서버에 대한 루트 CA 인증서의 SHA-1 또는 SHA-256 지문

Cisco IOS 등록 기관(RA)은 SCEP 서버의 프록시로 사용됩니다. 전화기의 SCEP 클라이언트는 Cisco Unified Communications Manager에서 다운로드되는 매개변수를 사용합니다. 매개변수를 구성한 후 전화기는 SCEP getcs 요청을 RA에 요청을 전송하고 루트 CA 인증서는 정의된 지문을 사용하여 검증됩니다.

시작하기 전에

SCEP 서버에서 SCEP 등록 에이전트(RA)를 다음과 같이 구성합니다.

  • PKI 신뢰 포인트로 사용
  • PKI RA로 사용
  • RADIUS 서버를 사용하여 장치 인증 수행

자세한 내용을 보려면 SCEP 서버 문서를 참조하십시오.

1

Cisco 통합 커뮤니케이션 매니저 관리에서 장치 > 전화기를 선택합니다.

2

전화기를 찾습니다.

3

제품별 구성 레이아웃 영역으로 스크롤합니다.

4

WLAN SCEP 서버 확인란을 선택하여 SCEP 매개변수를 활성화합니다.

5

WLAN Root CA Fingerprint (SHA256 or SHA1) 확인란을 선택하여 SCEP QED 매개 변수를 활성화합니다.

지원되는 TLS 버전 설정

클라이언트와 서버에 각각 필요한 TLS의 최소 버전을 설정할 수 있습니다.

기본적으로 서버와 클라이언트의 최소 TLS 버전은 모두 1.2입니다. 이 설정은 다음 기능에 영향을 미칩니다.

  • HTTPS 웹 액세스 연결
  • 온-프레미스 전화에 대한 온보딩
  • 모바일 및 Remote Access 온보딩(MRA)
  • HTTPS 서비스(예: 디렉터리 서비스)
  • DTLS(데이터그램 전송 계층 보안)
  • PAE(포트 액세스 엔티티)
  • EAP-TLS(확장할 수 있는 인증 프로토콜-전송 계층 보안)

Cisco IP Phones에 대한 TLS 1.3 호환성에 대한 자세한 내용은 TLS Cisco 협업 제품에 대한 1.3 호환성 매트릭스를 참조하십시오 .

1

Cisco 통합 커뮤니케이션 매니저 관리에 관리자로 로그인합니다.

2

다음 창 중 하나로 이동합니다.

  • 시스템 > 엔터프라이즈 전화기 구성
  • 장치 > 장치 설정 > 일반 전화기 프로파일
  • 장치 >전화기 > 전화기 구성
3

TLS 클라이언트 최소 버전 필드를 설정합니다.

"TLS 1.3" 옵션은 Cisco Unified CM 15SU2 이상에서 사용할 수 있습니다.
  • TLS 1.1: TLS 클라이언트는 1.1에서 1.3까지의 TLS 버전을 지원합니다.

    서버의 TLS 버전이 1.1보다 낮으면(예: 1.0) 연결을 설정할 수 없습니다.

  • TLS 1.2 (기본값): TLS 클라이언트는 TLS 1.2 및 1.3을 지원합니다.

    서버의 TLS 버전이 1.2보다 낮으면(예: 1.1 또는 1.0) 연결을 설정할 수 없습니다.

  • TLS 1.3: TLS 클라이언트는 TLS 1.3만 지원합니다.

    서버의 TLS 버전이 1.3보다 낮으면(예: 1.2, 1.1 또는 1.0) 연결을 설정할 수 없습니다.

4

TLS Server Min Version(서버 최소 버전 ) 필드를 설정합니다.

  • TLS 1.1: TLS 서버는 1.1에서 1.3까지의 TLS 버전을 지원합니다.

    클라이언트의 TLS 버전이 1.1보다 낮으면(예: 1.0) 연결을 설정할 수 없습니다.

  • TLS 1.2 (기본값): TLS 서버는 TLS 1.2 및 1.3을 지원합니다.

    클라이언트의 TLS 버전이 1.2보다 낮으면(예: 1.1 또는 1.0) 연결을 설정할 수 없습니다.

  • TLS 1.3: TLS 서버는 TLS 1.3만 지원합니다.

    클라이언트의 TLS 버전이 1.3보다 낮으면(예: 1.2, 1.1 또는 1.0) 연결을 설정할 수 없습니다.

PhoneOS 3.2 릴리스부터 "웹 액세스에 대해 TLS 1.0 및 TLS 1.1 비활성화" 필드의 설정은 전화기에 적용되지 않습니다.
5

저장을 클릭합니다.

6

구성 적용을 클릭합니다.

7

전화기를 다시 시작합니다.

보증된 서비스 SIP

보증된 서비스 SIP(AS-SIP)은 Cisco IP 전화기 및 타사 전화기에 대해 매우 안전한 통화 흐름을 제공하는 기능 및 프로토콜 모음입니다. 다음과 같은 기능 및 AS-SIP 통칭:

  • MLPP(Multilevel Precedence and Preemption)
  • DSCP(Differentiated Services Code Point)
  • TLS(Transport Layer Security) 및 SRTP(Secure Real-time Transport Protocol)
  • IPv6(인터넷 프로토콜 버전 6)

AS-SIP은 대개 Multilevel Precedence and Preemption(MLPP)과 함께 사용되어 긴급 상황 중 통화 우선 순위를 지정합니다. MLPP를 사용하여 발신 통화에 우선 순위 수준을 수준 1(낮음)부터 수준 5(높음)까지 할당합니다. 전화를 받으면 통화 우선 순위를 보여주는 우선 순위 아이콘이 전화기에 표시됩니다.

AS-SIP을 구성하려면 Cisco Unified Communications Manager에서 다음 작업을 완료하십시오.

  • 다이제스트 사용자 구성 - SIP 요청에 대해 다이제스트 인증을 사용하도록 최종 사용자를 구성합니다.
  • SIP 전화기 보안 포트 구성 - Cisco Unified Communications Manager는 이 포트를 사용하여 TLS를 통한 SIP 회선 등록을 위한 SIP 전화를 수신합니다.
  • 서비스 다시 시작 - 보안 포트를 구성한 후 Cisco Unified Communications Manager 및 Cisco CTL Provider 서비스를 다시 시작합니다. AS-SIP에 대한 SIP 프로파일 구성 - AS-SIP 엔드포인트와 SIP 트렁크를 위한 SIP 설정을 사용하여 SIP 프로파일을 구성합니다. 전화기 특정 매개변수는 타사 AS-SIP 전화기에 다운로드되지 않으며, Cisco 유니파이드 Manager에만 사용됩니다. 타사 전화기에서는 동일한 설정을 로컬로 구성해야 합니다.
  • AS-SIP용 전화기 보안 프로파일 구성 - 전화기 보안 프로파일을 사용하여 TLS, SRTP 및 다이제스트 인증과 같은 보안 설정을 할당할 수 있습니다.
  • AS-SIP 엔드포인트 구성 — Cisco IP 전화기 또는 타사 엔드포인트 및 AS-SIP 지원을 구성 합니다.
  • 최종 사용자와 장치 연결 - 엔드포인트를 사용자와 연결합니다.
  • AS-SIP용 SIP 트렁크 보안 프로파일 구성 - SIP 트렁크 보안 프로파일을 사용하여 TLS 또는 다이제스트 인증과 같은 보안 기능을 SIP 트렁크에 할당할 수 있습니다.
  • AS-SIP용 SIP 트렁크 구성 - AS-SIP 지원을 사용하여 SIP 트렁크를 구성합니다.
  • AS-SIP 기능 구성 - MLPP, TLS, V.150 및 IPv6과 같은 추가 AS-SIP 기능을 구성합니다.

AS-SIP 구성에 대한 자세한 내용은 Feature Configuration Guide for Cisco Unified Communications Manager 의 "AS-SIP 엔드포인트 구성" 장을참조하십시오.

MLPP(Multilevel Precedence and Preemption)

MLPP(Multilevel Precedence and Preemption)를 사용하면 응급 상황이나 기타 위기 상황에서 전화 우선 순위를 지정할 수 있습니다. 발신 통화에 1부터 5까지의 우선 순위를 할당합니다. 수신 통화에는 아이콘과 통화 우선순위가 표시됩니다. 인증된 사용자는 대상 기지국에 대한 통화 또는 완전히 가입된 TDM 트렁크를 통한 통화를 선점할 수 있습니다.

이 기능은 중요한 조직 및 개인에 대한 높은 순위의 개인 통신을 보장합니다.

MLPP는 주로 보증된 서비스 SIP(AS-SIP)과 함께 사용됩니다. MLPP 구성에 대한 자세한 내용은 Cisco Unified Communications Manager 기능 구성 설명서의 MLPP(Multilevel Precedence and Preemption ) 구성 장을 참조하십시오.

FAC 및 CMC 설정

전화기에 FAC(강제 인증 코드)나 CMC(클라이언트 매터 코드) 또는 둘 다가 구성된 경우 사용자는 번호로 전화를 거는 데 필요한 암호를 입력해야 합니다.

Cisco Unified Communications Manager에서 FAC 및 CMC 설정하는 방법에 대한 자세한 내용은 Cisco Unified Communications Manager 기능 구성 설명서의 "클라이언트 매터 코드 및 강제 인증 코드" 장을 참조하십시오, 릴리스 12.5 (1) 이상.