보안 기능은 전화기 아이덴티티 및 데이터에 대한 위협을 포함하여 위협으로부터 보호합니다. 이러한 기능은 전화기와 Cisco Unified Communications Manager 서버 간에 인증된 통신 스트림을 설정하고 유지관리하며, 전화기가 디지털 서명된 파일만 사용하는지 확인합니다.

Cisco Unified Communications Manager 릴리스 8.5(1) 이상에는 기본적으로 보안이 포함되며, 이는 CTL 클라이언트를 실행하지 않고 Cisco IP 전화기에 다음 보안 기능을 제공합니다.

• 전화 구성 파일 서명

• 전화기 구성 파일 암호화

• Tomcat 및 기타 웹 서비스를 사용하는 HTTPS

Cisco Unified Communications Manager 시스템에서 보안을 구현하면 전화기와 Cisco Unified Communications Manager 서버의 ID 도난을 방지하고, 데이터 변조를 방지하며, 통화 신호 처리 및 미디어 스트림 변조를 방지합니다.

이러한 위협을 완화하기 위해 Cisco IP 텔레포니 네트워크는 전화기와 서버 간에 보안(암호화된) 통신 스트림을 설정하고 유지 관리하고, 파일을 전화기로 전송하기 전에 디지털 서명하고, Cisco IP 전화기 간의 미디어 스트림 및 통화 신호 처리를 암호화합니다.

CAPF(Certificate Authority Proxy Function)와 관련된 필요한 작업을 수행한 후 LSC(Locally Significant Certificate)가 전화기에 설치됩니다. Cisco Unified Communications Manager 보안 설명서에 설명된 대로 Cisco Unified Communications Manager 관리를 사용하여 LSC를 구성할 수 있습니다. 또는 전화기의 보안 설정 메뉴에서 LSC 설치를 시작할 수도 있습니다. 이 메뉴를 사용하면 LSC를 업데이트하거나 제거할 수도 있습니다.

LSC는 WLAN 인증을 사용하는 EAP-TLS에 대한 사용자 인증서로 사용할 수 없습니다.

전화기는 디바이스가 비보안 또는 안전한지 여부를 정의하는 전화기 보안 프로파일을 사용합니다. 전화기에 보안 프로파일을 적용하는 방법에 대한 자세한 내용은 해당 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

Cisco Unified Communications Manager Administration에서 보안 관련 설정을 구성하는 경우 전화기 구성 파일에 민감한 정보가 포함되어 있습니다. 구성 파일의 프라이버시를 보장하려면 암호화를 위해 구성해야 합니다. 자세한 내용은 해당 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

전화기는 FIPS(Federal Information Processing Standard)를 준수합니다. 올바르게 작동하려면 FIPS 모드에는 2048비트 이상의 키 크기가 필요합니다. 인증서가 2048비트 미만인 경우, 전화기가 Cisco Unified Communications Manager에 등록되지 않고 전화기 등록에 실패했습니다. 인증서 키 크기가 FIPS를 준수하지 않음 이 전화기에 표시됩니다.

전화기에 LSC가 있는 경우 FIPS를 활성화하기 전에 LSC 키 크기를 2048비트 이상으로 업데이트해야 합니다.

다음 표에서는 전화기가 지원하는 보안 기능에 대한 개요를 제공합니다. 자세한 내용은 해당 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

보안 모드를 확인하려면 설정 을 누르고 네트워크 및 서비스 > 보안 설정을 탐색합니다.

다음 표에는 신뢰 목록 업데이트 알람 메시지 및 의미가 포함되어 있습니다. 자세한 내용은 Cisco Unified Communications Manager 설명서를 참조하십시오.

[보안 설정] 메뉴는 다양한 보안 설정에 대한 정보를 제공합니다. 또한 이 메뉴는 신뢰 목록 메뉴에 대한 액세스를 제공하고 CTL 또는 ITL 파일이 전화기에 설치되었는지 여부를 나타냅니다.

다음 표에서는 보안 설정 메뉴의 옵션에 대해 설명합니다.

Cisco IP 전화기는 802.1X 인증을 지원합니다.

Cisco IP 전화기와 Cisco Catalyst 스위치는 전통적으로 CDP(Cisco Discovery Protocol)를 사용하여 서로를 식별하고 VLAN 할당 및 인라인 전원 요구 사항과 같은 매개 변수를 결정합니다. CDP는 로컬로 연결된 워크스테이션을 식별하지 않습니다. Cisco IP 전화기는 EAPOL 통과 메커니즘을 제공합니다. 이 메커니즘을 사용하면 Cisco IP 전화기에 연결된 워크스테이션이 LAN 스위치의 802.1X 인증자에게 EAPOL 메시지를 전달할 수 있습니다. 통과 메커니즘은 네트워크에 액세스하기 전에 데이터 엔드포인트를 인증하기 위해 IP 전화기가 LAN 스위치로 작동하지 않도록 합니다.

Cisco IP 전화기는 프록시 EAPOL 로그오프 메커니즘도 제공합니다. 로컬로 연결된 PC가 IP 전화기에서 연결을 끊으면 LAN 스위치와 IP 전화기 간의 링크가 유지되므로 LAN 스위치에 물리적 링크가 표시되지 않습니다. 네트워크 무결성이 손상되지 않게 하기 위해 IP 전화기는 다운스트림 PC를 대신하여 스위치에 EAPOL 로그오프 메시지를 전송하며, 이는 LAN 스위치를 트리거하여 다운스트림 PC에 대한 인증 항목을 지웁니다.

802.1X 인증을 지원하려면 다음과 같은 다양한 구성 요소가 필요합니다.

• Cisco IP 전화기: 전화기가 네트워크에 액세스하기 위한 요청을 시작합니다. Cisco IP 전화기에는 802.1X 요청자가 포함되어 있습니다. 이 간청을 사용하면 네트워크 관리자가 LAN 스위치 포트에 대한 IP 전화기의 연결을 제어할 수 있습니다. 전화기 802.1X 인증 요청자의 현재 릴리스는 네트워크 인증에 EAP-FAST 및 EAP-TLS 옵션을 사용합니다.

• 인증 서버: 인증 서버와 스위치는 전화기를 인증하는 공유 비밀로 구성되어야 합니다.

• 전환: 스위치는 인증자 역할을 하고 전화기와 인증 서버 간에 메시지를 전달할 수 있도록 802.1X를 지원해야 합니다. 교환이 완료되면 스위치는 네트워크에 대한 전화기 액세스를 부여하거나 거부합니다.

802.1X를 구성하려면 다음 작업을 수행해야 합니다.

• 전화기에서 802.1X 인증을 활성화하기 전에 다른 구성 요소를 구성합니다.

• PC 포트 구성: 802.1X 표준은 VLAN을 고려하지 않기 때문에 특정 스위치 포트에 대해 한 개의 장치만 인증하는 것이 좋습니다. 그러나 일부 스위치는 다중 도메인 인증을 지원합니다. 스위치 구성은 PC를 전화기의 PC 포트에 연결할 수 있는지 여부를 결정합니다.

  • 활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용하고 있는 경우, PC 포트를 활성화하고 PC를 연결할 수 있습니다. 이 경우 Cisco IP 전화기는 스위치와 연결된 PC 간의 인증 교환을 모니터링하기 위해 프록시 EAPOL-로고를 지원합니다.

    Cisco Catalyst 스위치의 IEEE 802.1X 지원에 대한 자세한 내용은 다음 위치에서 Cisco Catalyst 스위치 구성 안내서를 참조하십시오.

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • 비활성화됨: 스위치가 동일한 포트에서 여러 개의 802.1X 준수 장치를 지원하지 않는 경우, 802.1X 인증이 활성화되면 PC 포트를 비활성화해야 합니다. 이 포트를 비활성화하지 않은 다음 PC를 연결하려고 하면 스위치는 전화기와 PC 모두에 대한 네트워크 액세스를 거부합니다.

• 음성 VLAN 구성: 802.1X 표준은 VLAN을 고려하지 않기 때문에 스위치 지원에 따라 이 설정을 구성해야 합니다.
  • 활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용하고 있는 경우, 계속 음성 VLAN을 사용할 수 있습니다.
  • 비활성화됨: 스위치에서 멀티도메인 인증을 지원하지 않는 경우, 음성 VLAN을 비활성화하고 포트를 네이티브 VLAN에 할당할 것을 고려하십시오.
• (Cisco Desk Phone 9800 시리즈 전용)

  Cisco Desk Phone 9800 시리즈에는 다른 Cisco 전화기의 PID와 다른 접두사가 있습니다. 전화기에서 802.1X 인증을 통과하도록 활성화하려면 Radius·User-Name 파라미터를 설정하여 Cisco Desk Phone 9800 시리즈를 포함합니다.

  예를 들어, 전화기 9841의 PID는 DP-9841입니다. Radius·User-Name 을 DP로 시작 또는 DP 포함으로 설정할 수 있습니다. 다음 섹션 모두에서 설정할 수 있습니다.

  • 정책 > 조건 > 라이브러리 조건

  • 정책 > 정책 설정 > 인증 정책 > 인증 규칙 1

전화기에 대한 보안이 구현되면 전화기 화면의 아이콘으로 보안 전화 통화를 식별할 수 있습니다. 또한 통화 시작 시 보안 신호음이 재생되는 경우 연결된 전화기가 안전하고 보호되는지 여부를 결정할 수 있습니다.

보안 통화에서 모든 통화 시그널링 및 미디어 스트림은 암호화됩니다. 보안 통화는 높은 수준의 보안을 제공하여 통화에 무결성과 프라이버시를 제공합니다. 진행 중인 통화가 암호화되면 회선에서 보안 아이콘을 확인할 수 있습니다. 보안 전화기의 경우, 전화 메뉴( 설정 > 이 장치 정보 )에서 연결된 서버 옆에 있는 인증된 아이콘 또는 암호화된 아이콘을 볼 수도 있습니다.

보안 통화에서 다른 연결된 전화기도 보안 오디오를 수신하고 전송하고 있음을 나타내는 통화 시작 시 보안 신호음이 재생됩니다. 통화가 비보안 전화기에 연결되면 보안 신호음이 재생되지 않습니다.

전화기가 Cisco Unified Communications Manager에서 보안(암호화되고 신뢰할 수 있음)으로 구성되면 보호됨 상태를 지정할 수 있습니다. 그런 다음 원하는 경우 통화 시작 시 표시음을 재생하도록 보호된 전화기를 구성할 수 있습니다.

• 보호된 장치: 보안 전화기의 상태를 보호됨으로 변경하려면 Cisco Unified Communications Manager 관리(장치 > 전화기)의 [전화기 구성] 창에서 [보호된 장치] 확인란을 선택합니다.

• 보안 표시음 재생: 보호된 전화기에서 보안 또는 비보안 표시음을 재생하도록 하려면 [보안 표시음 재생] 설정을 [참]으로 설정합니다. 기본적으로 [보안 표시음 재생]은 [거짓]으로 설정됩니다. Cisco Unified Communications Manager 관리(시스템 > 서비스 파라미터)에서 이 옵션을 설정합니다. 서버를 선택한 다음 Unified Communications Manager 서비스를 선택합니다. [서비스 파라미터 구성] 창에서 [기능 - 보안 신호음] 영역에서 옵션을 선택합니다. 기본값은 False입니다.

범위 내에 있는 모든 WLAN 장치는 다른 모든 WLAN 트래픽을 수신할 수 있으므로, WLAN에서 음성 통신을 보호하는 것이 중요합니다. 침입자가 음성 트래픽을 조작하거나 가로채지 않도록 Cisco SAFE Security 아키텍처는 전화기를 지원합니다. 네트워크의 보안에 대한 자세한 정보는 다음을 참조하십시오. http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco 무선 IP 텔레포니 솔루션은 전화기가 지원하는 다음 인증 방법을 사용하여 인증되지 않은 로그인 및 통신을 방지하는 무선 네트워크 보안을 제공합니다.

• 인증 열기: 모든 무선 장치는 개방형 시스템에서 인증을 요청할 수 있습니다. 요청을 수신하는 AP는 모든 요청자에게 또는 사용자 목록에 있는 요청자에게만 인증을 부여할 수 있습니다. 무선 장치와 액세스 포인트(AP) 간의 통신은 암호화되지 않을 수 있습니다.

• EAP-FAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) 인증: 이 클라이언트-서버 보안 아키텍처는 AP와 RADIUS 서버 간의 전송 수준 보안(TLS) 터널 내에서 EAP 트랜잭션을 암호화합니다(예: Identity Services Engine).

  TLS 터널은 클라이언트(전화기)와 RADIUS 서버 간의 인증을 위해 PAC(Protected Access Credentials)를 사용합니다. 서버는 AID(인증 ID)를 클라이언트(전화기)로 전송하고, 차례로 적절한 PAC를 선택합니다. 클라이언트(전화기)는 PAC-Opaque를 RADIUS 서버로 반환합니다. 서버는 기본 키로 PAC를 해독합니다. 이제 두 엔드포인트 모두 PAC 키를 포함하며 TLS 터널이 생성됩니다. EAP-FAST는 자동 PAC 프로비저닝을 지원하지만 RADIUS 서버에서 활성화해야 합니다.

  ISE에서는 기본적으로 PAC가 1주일 내에 만료됩니다. 전화기에 만료된 PAC가 있는 경우 전화기에 새 PAC를 가져오는 동안 RADIUS 서버와의 인증이 더 오래 걸립니다. PAC 프로비저닝 지연을 방지하려면 ISE 또는 RADIUS 서버에서 PAC 만료 기간을 90일 이상으로 설정합니다.

• 확장 가능한 인증 프로토콜-전송 계층 보안(EAP-TLS) 인증: EAP-TLS에는 인증 및 네트워크 액세스를 위한 클라이언트 인증서가 필요합니다. 무선 EAP-TLS의 경우 클라이언트 인증서는 MIC, LSC 또는 사용자가 설치한 인증서일 수 있습니다.

• PEAP(Protected Extensible Authentication Protocol): 클라이언트(전화기)와 RADIUS 서버 간의 Cisco 독점 비밀번호 기반 상호 인증 체계. 전화기는 무선 네트워크를 인증하기 위해 PEAP를 사용할 수 있습니다. PEAP-MSCHAPV2 및 PEAP-GTC 인증 방법이 모두 지원됩니다.

• 사전 공유 키(PSK): 전화기는 ASCII 형식을 지원합니다. WPA/WPA2/SAE 사전 공유 키를 설정할 때 이 형식을 사용해야 합니다.

  ASCII: 8~63자 길이의 ASCII 문자 문자열(0-9, 소문자 및 대문자 A-Z 및 특수 문자)

  예: GREG123567@9ZX&W

다음 인증 체계는 RADIUS 서버를 사용하여 인증 키를 관리합니다.

• wpa/wpa2/wpa3: RADIUS 서버 정보를 사용하여 인증을 위한 고유한 키를 생성합니다. 이러한 키는 중앙 집중식 RADIUS 서버에서 생성되므로 WPA2/WPA3는 AP 및 전화기에 저장된 WPA 사전 공유 키보다 더 많은 보안을 제공합니다.

• 빠른 보안 로밍: RADIUS 서버 및 무선 도메인 서버(WDS) 정보를 사용하여 키를 관리하고 인증합니다. WDS는 빠르고 안전한 재인증을 위해 FT 사용 클라이언트 장치에 대한 보안 자격 증명 캐시를 만듭니다. Cisco Desk Phone 9861 및 9871 및 Cisco Video Phone 8875는 802.11r(FT)을 지원합니다. 공기와 DS를 통해 모두 빠른 보안 로밍을 허용하도록 지원됩니다. 그러나 802.11r(FT) over air 방법을 사용하는 것이 좋습니다.

WPA/WPA2/WPA3를 사용하면 암호화 키가 전화기에 입력되지 않지만 AP와 전화기 간에 자동으로 파생됩니다. 그러나 인증에 사용되는 EAP 사용자 이름과 암호는 각 전화기에 입력해야 합니다.

음성 트래픽이 안전한지 확인하기 위해 전화기는 암호화를 위해 TKIP 및 AES를 지원합니다. 이러한 메커니즘이 암호화에 사용되는 경우 신호 처리 SIP 패킷과 음성 RTP(실시간 전송 프로토콜) 패킷이 모두 AP와 전화기 간에 암호화됩니다.

틀: TKIP

WPA는 WEP에 비해 여러 가지 향상점이 있는 TKIP 암호화를 사용합니다. TKIP는 암호화를 강화하는 패킷 당 키 암호화 및 더 긴 초기화 벡터(IV)를 제공합니다. 또한 MIC(메시지 무결성 확인)는 암호화된 패킷이 수정되지 않도록 합니다. TKIP는 침입자가 WEP 키를 해독하는 데 도움이 되는 WEP의 예측 가능성을 제거합니다.

AE는

WPA2/WPA3 인증에 사용되는 암호화 방법입니다. 이 국가 암호화 표준은 암호화 및 암호 해독에 대해 동일한 키를 갖는 대칭 알고리즘을 사용합니다. AES는 128비트, 192비트 및 256비트의 키 크기를 최소값으로 지원하는 CBC(Cipher Blocking Chain) 암호화를 사용합니다. 전화기는 256비트의 키 크기를 지원합니다.

인증 및 암호화 체계는 무선 LAN 내에서 설정됩니다. VLAN은 네트워크와 AP에서 구성되고 다른 인증 및 암호화의 조합을 지정합니다. SSID는 VLAN 및 특정 인증 및 암호화 체계와 연결됩니다. 무선 클라이언트 장치가 성공적으로 인증하려면 AP 및 전화기에서 인증 및 암호화 체계를 사용하여 동일한 SSID를 구성해야 합니다.

일부 인증 체계에는 특정 유형의 암호화가 필요합니다.

다음 표의 인증 및 암호화 체계는 AP 구성에 해당하는 전화기에 대한 네트워크 구성 옵션을 보여줍니다.

AS-SIP(Assured Services SIP)는 Cisco IP 전화기 및 타사 전화기에 대해 매우 안전한 통화 흐름을 제공하는 기능 및 프로토콜의 모음입니다. 다음 기능은 총체적으로 AS-SIP로 알려져 있습니다.

• MLPP(Multilevel Precedence and Preemption)
• 차별화된 서비스 코드 포인트(DSCP)
• TLS(전송 계층 보안) 및 SRTP(보안 실시간 전송 프로토콜)
• 인터넷 프로토콜 버전 6(IPv6)

AS-SIP는 긴급 상황에서 통화의 우선 순위를 지정하기 위해 MLPP(Multilevel Precedence and Preemption)와 함께 자주 사용됩니다. MLPP를 사용하여 발신 통화에 우선 순위 수준을 수준 1(낮음)부터 수준 5(높음)까지 할당합니다. 전화를 받으면 통화 우선 순위를 표시하는 우선 순위 아이콘이 전화기에 표시됩니다.

AS-SIP를 구성하려면 Cisco Unified Communications Manager에서 다음 작업을 완료하십시오.

• 다이제스트 사용자 구성 - SIP 요청에 대해 다이제스트 인증을 사용하도록 최종 사용자를 구성합니다.
• SIP 전화기 보안 포트 구성 - Cisco Unified Communications Manager는 이 포트를 사용하여 TLS를 통한 SIP 회선 등록을 위해 SIP 전화기를 수신합니다.
• 서비스 재시작 - 보안 포트를 구성한 후 Cisco Unified Communications Manager 및 Cisco CTL Provider 서비스를 다시 시작합니다. AS-SIP용 SIP 프로파일 구성 - AS-SIP 엔드포인트 및 SIP 트렁크에 대한 SIP 설정을 사용하여 SIP 프로파일을 구성합니다. 전화기별 매개 변수는 타사 AS-SIP 전화기로 다운로드되지 않습니다. Cisco Unified Manager에서만 사용됩니다. 타사 전화기는 로컬에서 동일한 설정을 구성해야 합니다.
• AS-SIP용 전화기 보안 프로파일 구성 - 전화기 보안 프로파일을 사용하여 TLS, SRTP 및 다이제스트 인증과 같은 보안 설정을 할당할 수 있습니다.
• AS-SIP 엔드포인트 구성 - Cisco IP 전화기 또는 타사 엔드포인트 AS-SIP 지원을 구성합니다.
• 장치를 최종 사용자와 연결 - 엔드포인트를 사용자와 연결합니다.
• AS-SIP용 SIP 트렁크 보안 프로필 구성 - SIP 트렁크 보안 프로필을 사용하여 TLS 또는 다이제스트 인증과 같은 보안 기능을 SIP 트렁크에 할당할 수 있습니다.
• AS-SIP에 대한 SIP 트렁크 구성 - AS-SIP 지원을 사용하여 SIP 트렁크를 구성합니다.
• AS-SIP 기능 구성 - MLPP, TLS, V.150 및 IPv6과 같은 추가 AS-SIP 기능을 구성합니다.

AS-SIP 구성에 대한 자세한 정보는 Cisco Unified Communications Manager의 기능 구성 안내서에서 "AS-SIP 엔드포인트 구성" 장을 참조하십시오.

FAC(Forced Authorization Code) 또는 CMC(Client Matter Code)가 모두 전화기에 구성되어 있으면 사용자는 번호를 다이얼하기 위해 필요한 암호를 입력해야 합니다.

Cisco Unified Communications Manager에서 FAC 및 CMC를 설정하는 방법에 대한 자세한 정보는 Cisco Unified Communications Manager, 릴리스 12.5(1) 이상의 기능 구성 안내서에서 "클라이언트 매터 코드 및 강제 인증 코드" 장을 참조하십시오.