U kunt Cisco Unified Communications Manager inschakelen om te werken in een verbeterde beveiligingsomgeving. Met deze verbeteringen kan uw telefoonnetwerk werken met een set strikte beveiligings- en risicobeheerinstellingen om u en uw gebruikers te beschermen.

De verbeterde beveiligingsomgeving bevat de volgende functies:

  • Verificatie voor contactpersonen zoeken.

  • TCP als standaardprotocol voor externe logboekregistratie controlespoor.

  • FIPS-modus.

  • Een verbeterd referentiebeleid.

  • Ondersteuning voor de SHA-2-hashreeks voor digitale handtekeningen.

  • Ondersteuning voor een RSA-sleutelomvang van 512 bits en 4096 bits.

Met Cisco Unified Communications Manager versie 14.0 en Cisco Video Phone Firmware versie 2.1 en hoger ondersteunen de telefoons SIP OAuth-verificatie.

OAuth wordt ondersteund voor Proxy Trivial File Transfer Protocol (TFTP) met Cisco Unified Communications Manager Release 14.0(1)SU1 of hoger. Proxy TFTP en OAuth voor proxy TFTP wordt niet ondersteund op Mobile Remote Access (MRA).

Raadpleeg voor meer informatie over beveiliging, het volgende:

Uw telefoon kan slechts een beperkt aantal ITL-bestanden (Identity Trust List) opslaan. ITL-bestanden mogen de 64K niet overschrijden, dus beperk het aantal bestanden dat de Cisco Unified Communications Manager naar de telefoon kan doorsturen.

Ondersteunde beveiligingsfuncties

Beveiligingsfuncties beschermen tegen bedreigingen, waaronder bedreigingen van de identiteit van de telefoon en gegevens. Deze functies vormen en onderhouden geverifieerde communicatiestromen tussen de telefoon en de Cisco Unified Communications Manager-server en zorgen dat de telefoon alleen digitaal ondertekende bestanden gebruikt.

Cisco Unified Communications Manager Release 8.5(1) en hoger omvat standaardbeveiliging met de volgende functies voor Cisco IP-telefoons waarop geen CTL-client wordt uitgevoerd:

  • Ondertekenen van telefoonconfiguratiebestanden

  • Codering telefoonconfiguratiebestand

  • HTTPS met Tomcat en andere webservices

Veilige signalering en mediafuncties vereisen nog steeds dat u de CTL-client uitvoert en hardware-eTokens gebruikt.

Door beveiliging te implementeren in het Cisco Unified Communications Manager-systeem voorkomt u identiteitsdiefstal van de telefoon en de Cisco Unified Communications Manager-server, en ongewenste bewerking van gegevens, gespreksignalen en mediastreams.

Als bescherming tegen deze bedreigingen brengt het Cisco IP-telefonienetwerk beveiligde (gecodeerde) communicatiestromen tot stand tussen een telefoon en de server, worden bestanden digitaal ondertekend voordat ze worden overgebracht naar een telefoon en worden mediastromen en gespreksignalen tussen Cisco IP-telefoons gecodeerd.

Er wordt een LSC-certificaat (Locally Significant Certificate) op de telefoons geïnstalleerd nadat u de vereiste taken hebt uitgevoerd die samenhangen met de Certificate Authority Proxy Function (CAPF). U kunt Cisco Unified Communications Manager Administration gebruiken voor het configureren van een LSC, zoals wordt beschreven in de Cisco Unified Communications Manager beveiligingshandleiding. U kunt ook de installatie van een LSC starten vanuit het menu Beveiligingsinstellingen op de telefoon. Met dit menu kunt u een LSC bijwerken en verwijderen.

Een LSC kan niet worden gebruikt als gebruikerscertificaat voor EAP-TLS met WLAN-verificatie.

De telefoons gebruiken het beveiligingsprofiel van de telefoon, dat aangeeft of het apparaat niet-veilig of veilig is. Voor meer informatie over het toepassen van het beveiligingsprofiel op de telefoon, raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

Als u de beveiligingsinstellingen in Cisco Unified Communications Manager Administration configureert, bevat het telefoon-configuratiebestand vertrouwelijke informatie. Om te zorgen voor de privacy van een configuratiebestand moet u dit configureren voor codering. Voor gedetailleerde informatie raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

De telefoon voldoet aan de FIPS (Federal Information Processing Standard). Om correct te kunnen werken vereist de FIPS-modus een steutelomvang van 2048 bits of meer. Als het certificaat minder is dan 2048 bits, wordt de telefoon niet geregistreerd met Cisco Unified Communications Manager en ziet u Telefoon wordt niet geregistreerd. Certificaatsleutelgrootte is niet compatibel met FIPS op de telefoon.

Als de telefoon een LSC heeft, moet u de LSC-sleutelgrootte bijwerken tot 2048 bits of meer voordat u FIPS inschakelt.

In de volgende tabel ziet u een overzicht van de beveiligingsfuncties die door de telefoons worden ondersteund. Voor meer informatie raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

Als u de beveiligingsmodus wilt weergeven, drukt u op Instellingen De hardtoets Instellingen En navigeer naar Netwerk en service > Beveiligingsinstellingen.

Tabel 1. Overzicht van beveiligingsfuncties

Functie

Beschrijving

Verificatie afbeelding

Ondertekende binaire bestanden verhinderen dat de firmware wordt gewijzigd voordat deze op een telefoon wordt geladen.

Als de afbeelding wordt gewijzigd, kan het verificatieproces op de telefoon mislukken en de nieuwe afbeelding worden geweigerd.

Installatie certificaat op klantlocatie

Elke Cisco IP-telefoon vereist een uniek certificaat voor apparaatverificatie. Telefoons bevatten een in de fabriek geïnstalleerd certificaat (MIC), maar voor extra beveiliging kunt u in Cisco Unified Communications Manager Administration opgeven dat een certificaat wordt geïnstalleerd met Certificate Authority Proxy Function (CAPF). U kunt ook een Locally Significant Certificate (LSC) installeren via het menu Beveiligingsconfiguratie op de telefoon.

Apparaatverificatie

Vindt plaats tussen de Cisco Unified Communications Manager-server en de telefoon wanneer elke entiteit het certificaat van de andere entiteit accepteert. Bepaalt of een veilige verbinding tussen de telefoon en Cisco Unified Communications Manager nodig is en maakt zo nodig een veilig signaleringspad tussen de entiteiten met TLS-protocol. In Cisco Unified Communications Manager worden telefoons pas geregistreerd, als ze kunnen worden geverifieerd.

Bestandsverificatie

Valideert digitaal ondertekende bestanden die de telefoon downloadt. De telefoon valideert de handtekening zodat het bestand na het maken niet wordt gewijzigd. Bestanden waarvan de verificatie mislukt, worden niet weggeschreven naar het flashgeheugen op de telefoon. De telefoon weigert zulke bestanden zonder verdere verwerking.

Bestandscodering

Codering voorkomt dat vertrouwelijke informatie wordt weergegeven, terwijl het bestand op weg naar de telefoon is. Bovendien valideert de telefoon de handtekening zodat het bestand na het maken niet wordt gewijzigd. Bestanden waarvan de verificatie mislukt, worden niet weggeschreven naar het flashgeheugen op de telefoon. De telefoon weigert zulke bestanden zonder verdere verwerking.

Verificatie signalering

Gebruikt het TLS-protocol om te valideren dat de signaleringspakketten niet zijn gewijzigd tijdens de verzending.

Manufacturing Installed Certificate

Elke Cisco IP-telefoon vereist een uniek tijdens de fabricage geïnstalleerd certificaat (Manufacturing Installed Certificate, MIC) voor apparaatverificatie. MIC levert een permanent uniek identiteitsbewijs voor de telefoon waarmee Cisco Unified Communications Manager de telefoon kan verifiëren.

Mediacodering

Gebruikt SRTP om te zorgen dat de mediastromen tussen ondersteunde apparaat veilig zijn dat alleen het bedoelde apparaat de gegevens ontvangt en leest. Dit omvat het maken van een mediahoofdsleutelpaar voor de apparaten, het leveren van de sleutels aan de apparaten en het beveiligen van de sleutels tijdens het transport.

CAPF (Certificate Authority Proxy Function)

Implementeert delen van de certificaatgeneratieprocedure met een te intensieve verwerking voor de telefoon en communiceert met de telefoon voor het genereren van sleutels en het installeren van het certificaat. De CAPF kan worden geconfigureerd voor het aanvragen van certificaten voor de telefoon bij door de klant opgegeven certificeringsinstanties of voor het lokaal genereren van certificaten.

Zowel EC (elliptische curven) als RSA sleuteltypen worden ondersteund. Als u de EC wilt gebruiken, moet de parameter 'Endpoint Advanced Encryption Algorithms Support' (van Systeem > Enterprise parameter) zijn ingeschakeld.

Raadpleeg de volgende documenten voor meer informatie over CAPF en verwante configuraties:

Beveiligingsprofiel

Bepaalt of de telefoon onveilig, geverifieerd, gecodeerd of beveiligd is. Andere vermeldingen in deze tabel beschrijven beveiligingsfuncties.

Gecodeerde configuratiebestanden

Garandeert de privacy van de telefoonconfiguratiebestanden.

Optionele webserver uitschakelen voor een telefoon

Omwille van de beveiliging kunt u toegang tot de webpagina's voor een telefoon (met verschillende operationele statistische gegevens voor de telefoon) en de Self Care Portal verhinderen.

Telefoon versterken

Aanvullende beveiligingsopties die u beheert via Cisco Unified Communications Manager Administration:

  • PC-poort uitschakelen
  • Gratuitous ARP (GARP) uitschakelen
  • PC Voice VLAN-toegang uitschakelen
  • Toegang tot het menu Instellingen uitschakelen of beperkte toegang verlenen
  • Toegang tot webpagina's voor een telefoon uitschakelen
  • Bluetooth-accessoirepoort uitschakelen
  • TLS-cijfers beperken

802.1X-verificatie

De Cisco IP-telefoon kan 802.1X-verificatie gebruiken om te verzoeken om toegang tot het netwerk. Zie 802.1X-verificatie voor meer informatie.

SIP-Failover voor SRST beveiligen

Nadat u een SRST-referentie (Survivable Remote Site Telephony) voor beveiliging hebt geconfigureerd en de afhankelijke apparaten in Cisco Unified Communications Manager Administration hebt gereset, voegt de TFTP-server het SRST-certificaat toe aan het cnf.xml-bestand en stuurt het bestand naar de telefoon. Een veilige telefoon gebruikt vervolgens een TLS-verbinding voor interactie met de SRST-router.

Codering signalering

Zorgt ervoor dat alle SIP-signaleringsberichten die worden verzonden tussen het apparaat en de Cisco Unified Communications Manager-server worden gecodeerd.

Waarschuwing bijwerken vertrouwde lijst

Wanneer de vertrouwde lijst op de telefoon wordt gewijzigd, ontvangt de Cisco Unified Communications Manager een waarschuwing om aan te geven of het bijwerken al dan niet is gelukt. Raadpleeg de volgende tabel voor meer informatie.

AES 256-codering

Bij verbinding met Cisco Unified Communications Manager Release 10.5(2) en hoger ondersteunen de telefoons AES 256-codering voor TLS en SIP voor signalering en mediacodering. Zo kunnen telefoons TLS 1.2-verbinding initiëren en ondersteunen met op AES-256 gebaseerde cijfers conform SHA-2-standaarden (Secure Hash Algorithm) en compatibel met Federal Information Processing Standards (FIPS). De cijfers omvatten:

  • Voor TLS-verbindingen:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Voor sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Voor meer informatie raadpleegt u de documentatie bij Cisco Unified Communications Manager.

Elliptic Curve Digital Signature Algorithm (ECDSA)-certificaten

Als onderdeel van het CC-certificaat (Common Criteria), zijn er in Cisco Unified Communications Manager-versie 11.0 ECDSA-certificaten toegevoegd. Dit geldt voor alle VOS-producten (spraakbesturingssysteem) waarop versie CUCM 11.5 en hoger wordt uitgevoerd.

Tomcat-certificaat voor multi-server (SAN) met Cisco UCM

De telefoon ondersteunt Cisco UCM met Tomcat-certificaten (multi-server) geconfigureerd. Het juiste TFTP serveradres vindt u in het ITL-bestand van de telefoonregistratie.

Raadpleeg de volgende onderwerpen voor meer informatie over de functie:

De volgende tabel bevat de waarschuwingsberichten voor het bijwerken van de vertrouwde lijst en de betekenis daarvan. Voor meer informatie raadpleegt u de documentatie bij Cisco Unified Communications Manager.

Tabel 2. Waarschuwingsberichten bijwerken vertrouwde lijst
Code en bericht Beschrijving

1 - TL_SUCCESS

Nieuwe CTL en/of ITL ontvangen

2 - CTL_INITIAL_SUCCESS

Nieuwe CTL ontvangen, geen bestaande TL

3 - ITL_INITIAL_SUCCESS

Nieuwe ITL ontvangen, geen bestaande TL

4 - TL_INITIAL_SUCCESS

Nieuwe CTL en ITL ontvangen, geen bestaande TL

5 - TL_FAILED_OLD_CTL

Bijwerken nieuwe CTL mislukt, maar vorige TL bestaat

6 - TL_FAILED_NO_TL

Bijwerken nieuwe TL mislukt en oude TL bestaat niet

7 - TL_FAILED

Algemene fout

8 - TL_FAILED_OLD_ITL

Bijwerken nieuwe ITL mislukt, maar vorige TL bestaat

9 - TL_FAILED_OLD_TL

Bijwerken nieuwe TL mislukt, maar vorige TL bestaat

Het menu Beveiligingsinstellingen biedt informatie over de verschillende instellingen. Het menu biedt ook toegang tot het menu Vertrouwde lijst en geeft aan of het CTL- of ITL-bestand is geïnstalleerd op de telefoon.

In de volgende tabel worden de opties in het menu Beveiligingsinstellingen beschreven.

Tabel 3. Menu Beveiligingsinstellingen

Optie

Beschrijving

Wijzigen

Beveiligingsmodus

Geeft de beveiligde modus weer die voor de telefoon is ingesteld.

Kies Cisco Unified Communications Manager Administration Apparaat > Telefoon. De instelling wordt weergegeven in het gedeelte Protocolspecifieke informatie van het venster Telefoonconfiguratie.

LSC

Geeft aan of een lokaal belangrijk certificaat dat wordt gebruikt voor beveiligingsfuncties, op de telefoon is geïnstalleerd (geïnstalleerd) of niet op de telefoon is geïnstalleerd (Niet geïnstalleerd).

Voor meer informatie over het beheren van de LSC voor uw telefoon, raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

Een lokaal significant certificaat (LSC) instellen

Deze taak is van toepassing op het instellen van een LSC met de methode verificatiereeks.

Voordat u begint

Zorg dat de juiste configuraties voor Cisco Unified Communications Manager en de CAPF-beveiliging (Certificate Authority Proxy Function) zijn voltooid

  • Het CTL- of ITL-bestand heeft een CAPF-certificaat.

  • Controleer in Besturingssysteem van Cisco Unified Communications Administration of het CAPF-certificaat is geïnstalleerd.

  • CAPF wordt uitgevoerd en is geconfigureerd.

Voor meer informatie over deze instellingen raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

1

Haal de CAPF-verificatiecode op die werd ingesteld toen CAPF werd geconfigureerd.

2

Druk op de telefoon op Instellingen the Settings hard key.

3

Voer het wachtwoord in als daarom wordt gevraagd om het menu Instellingen te openen. U kunt het wachtwoord opvragen bij uw beheerder.

4

Navigeer naar Netwerk en service > Beveiligingsinstellingen > LSC.

U kunt de toegang bepalen tot het menu Instellingen met behulp van het veld Toegang tot instellingen in Cisco Unified Communications Manager Administration.

5

Voer de verificatiereeks in en selecteer Verzenden.

De telefoon begint met het installeren, bijwerken of verwijderen van de LSC, afhankelijk van hoe CAPF is geconfigureerd. Wanneer de procedure is voltooid, verschijnt Geïnstalleerd of Niet geïnstalleerd op de telefoon.

Het proces voor het installeren, bijwerken of verwijderen van LSC kan geruime tijd in beslag nemen.

Wanneer de installatieprocedure voor de telefoon is voltooid, verschijnt het bericht Geïnstalleerd. Als de telefoon Niet geïnstalleerd aangeeft, is mogelijk de autorisatietekenreeks onjuist of is de telefoonupgrade niet ingeschakeld. Als bij de CAPF-bewerking de LSC wordt verwijderd, geeft de telefoon mogelijk Niet geïnstalleerd aan om aan te geven of de bewerking is geslaagd. De CAPF-server logt de foutmeldingen. Raadpleeg de CAPF-serverdocumentatie om de logbestanden te vinden en de betekenis van de foutmeldingen te achterhalen.

FIPS-modus inschakelen

1

Selecteer in Cisco Unified Communications Manager Apparaat > Telefoon en zoek de telefoon.

2

Navigeer naar het gedeelte Productspecifieke configuratie.

3

Stel het veld FIPS-modus in op Ingeschakeld.

4

Selecteer Opslaan.

5

Selecteer Config toepassen.

6

Start de telefoon opnieuw.

De luidspreker, de headset en de hoorn uitschakelen op een telefoon

U kunt de luidspreker, de headset en de hoorn op een telefoon permanent uitschakelen voor uw gebruiker.

1

Selecteer in Cisco Unified Communications Manager Apparaat > Telefoon en zoek de telefoon.

2

Navigeer naar het gedeelte Productspecifieke configuratie.

3

Schakel een of meer van de volgende selectievakjes in om de mogelijkheden van de telefoon uit te schakelen:

  • Luidspreker uitschakelen
  • Luidspreker en headset uitschakelen
  • Handset uitschakelen

Standaard zijn deze selectievakjes niet ingeschakeld.

4

Selecteer Opslaan.

5

Selecteer Config toepassen.

802.1X-verificatie

Cisco IP-telefoon ondersteunt 802.1X-verificatie.

Cisco IP-telefoons en Cisco Catalyst-switches gebruiken traditioneel Cisco Discovery Protocol (CDP) om elkaar te herkennen en om parameters te bepalen zoals VLAN-toewijzing en inline voedingsvereisten. CDP herkent geen lokaal aangesloten werkstations. Cisco IP-telefoons beschikken over een EAPOL-doorgeefmechanisme. Hiermee kan een werkstation dat is verbonden met de Cisco IP-telefoon EAPOL-berichten doorgeven voor 802.1X-verificatie op de LAN-switch. Het doorgeefmechanisme zorgt dat de IP-telefoon niet fungeert als LAN-switch voor het verifiëren van een gegevenseindpunt voor toegang tot het netwerk.

Cisco IP-telefoons beschikken ook over een proxy EAPOL-uitlogmechanisme. Als de lokaal verbonden pc de verbinding met een IP-telefoon verbreekt, ziet de LAN-switch niet dat de fysieke koppeling niet meer werkt, omdat de koppeling tussen de LAN-switch en de IP-telefoon in stand blijft. Om te voorkomen dat de netwerkintegriteit in gevaar komt, stuurt de IP-telefoon een EAPOL-afmeldbericht naar de switch uit naam van de downstream-pc, waardoor de LAN-switch wordt getriggerd om de verificatievermelding voor de downstream-pc te wissen.

Voor ondersteuning van de 802.1X-verificatie zijn diverse onderdelen vereist:

  • Cisco IP-telefoon: de telefoon initieert het verzoek voor toegang tot het netwerk. Cisco IP-telefoon bevat een 802.1X-supplicant. Met deze supplicant kunnen netwerkbeheerders de verbinding regelen van IP-telefoons met de LAN-switchpoorten. De huidige versie van de 802.1X-supplicant voor de telefoon gebruikt de opties EAP-FAST en EAP-TLS voor netwerkverificatie.

  • Verificatieserver: de verificatieserver en de switch moeten beide zijn geconfigureerd met een gedeeld geheim dat de telefoon verifieert.

  • Switch: de switch moet 802.1X ondersteunen, zodat deze als de verificator kan werken en de berichten tussen de telefoon en de verificatieserver kan doorgeven. Nadat de uitwisseling is afgerond, kan de switch toegang tot het netwerk toestaan of weigeren.

U moet de volgende acties uitvoeren om 802.1X te configureren.

  • Configureer de overige componenten voordat u 802.1X-verificatie op de telefoon inschakelt.

  • Configureer pc-poort: de 802.1X-standaard houdt geen rekening met VLAN's en beveelt daarom aan om slechts één apparaat te verifiëren voor een specifieke switchpoort. Sommige switches ondersteunen echter verificatie voor meerdere domeinen. De switchconfiguratie bepaalt of u een pc kunt aansluiten op de pc-poort van de telefoon.

    • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u de pc-poort inschakelen en er een pc op aansluiten. In dat geval ondersteunt de Cisco IP-telefoon de proxy-EAPOL-uitlogfunctie om de verificatie-uitwisseling tussen de switch en de aangesloten pc te controleren.

      Meer informatie over IEEE 802.1X-ondersteuning op Cisco Catalyst-switches vindt u in de handleidingen voor Cisco Catalyst-switchconfiguratie op:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Uitgeschakeld: als de switch niet meerdere met 802.1X compatibele apparaten ondersteunt op dezelfde poort, moet u de pc-poort uitschakelen als 802.1X-verificatie wordt ingeschakeld. Als u deze poort niet uitschakelt en er vervolgens een pc op probeert aan te sluiten, weigert de switch netwerktoegang voor de telefoon en de pc.

  • Spraak-VLAN configureren: omdat de 802.1X-standaard geen rekening houdt met VLAN's, moet u deze instelling configureren op basis van de switchondersteuning.
    • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u het spraak-VLAN blijven gebruiken.
    • Uitgeschakeld: als de switch geen ondersteuning biedt voor multidomeinverificatie, schakelt u het spraak-VLAN uit en probeert u de poort toe te wijzen aan het native VLAN.
  • (alleen voor Cisco-bureautelefoon 9800-serie)

    De Cisco Bureautelefoon 9800-serie heeft een ander prefix in het PID dan de andere Cisco-telefoons. Om ervoor te zorgen dat uw telefoon 802.1X-verificatie doorgeeft, stelt u de Radius· De gebruikersnaamparameter die de Cisco Bureautelefoon 9800 Series moet bevatten.

    De PID van telefoon 9841 is DP-9841; kunt u Radius· Gebruikersnaam om te beginnen met DP of Bevat DP. U kunt deze in beide volgende gedeelten instellen:

    • Beleid > Voorwaarden > Libraire Voorwaarden

    • Beleids > Beleidssets > Authorization Policy > Authorization Rule 1

802.1X-verificatie inschakelen

U kunt 802.1X-verificatie voor uw telefoon inschakelen door de volgende stappen uit te voeren:

1

Druk op Instellingen.the Settings hard key.

2

Voer het wachtwoord in als daarom wordt gevraagd om het menu Instellingen te openen. U kunt het wachtwoord opvragen bij uw beheerder.

3

Navigeer naar Netwerk en service > Beveiligingsinstellingen > 802.1X-verificatie.

4

Schakel IEEE 802.1X-verificatie in.

5

Selecteer Toepassen.

Informatie over beveiligingsinstellingen op de telefoon weergeven

U kunt de informatie over de beveiligingsinstellingen in het telefoonmenu weergeven. Welke informatie beschikbaar is, hangt af van de netwerkinstellingen in uw organisatie.

1

Druk op Instellingen.the Settings key.

2

Navigeer naar Netwerk en service > Beveiligingsinstellingen.

3

Geef de volgende informatie weer in de Beveiligingsinstellingen.

Tabel 4. Parameters voor beveiligingsinstellingen

Parameters

Beschrijving

Beveiligingsmodus

Geeft de beveiligde modus weer die voor de telefoon is ingesteld.

LSC

Geeft aan of een lokaal significant certificaat dat wordt gebruikt voor beveiligingsfuncties, al dan niet op de telefoon is geïnstalleerd (Ja/Nee).

Vertrouwde lijst

De vertrouwde lijst biedt submenu's voor de CTL-, ITL- en ondertekende configuratiebestanden.

Het submenu CTL-bestand geeft de inhoud van het CTL-bestand weer. Het submenu ITL-bestand geeft de inhoud van het ITL-bestand weer.

Het menu Vertrouwde lijst geeft ook de volgende informatie:

  • CTL-handtekening: de SHA1-hash van het CTL-bestand
  • Unified CM/TFTP-Server: de naam van de Cisco Unified Communications Manager en de TFTP-Server die gebruikmaakt van de telefoon. Een certificaatpictogram wordt weergegeven als een certificaat voor deze server is geïnstalleerd.
  • CAPF-server: de naam van de CAPF-server die gebruikmaakt van de telefoon. Een certificaatpictogram wordt weergegeven als een certificaat voor deze server is geïnstalleerd.
  • SRST-router: het IP-adres van de vertrouwde SRST-router die de telefoon kan gebruiken. Een certificaatpictogram wordt weergegeven als een certificaat voor deze server is geïnstalleerd.

Beveiliging telefoongesprek

Wanneer beveiliging is geïmplementeerd voor een telefoon, kunt u veilige telefoongesprekken herkennen aan de pictogrammen op het telefoonscherm. U kunt ook bepalen of de verbonden telefoon veilig is en beschermd als een beveiligingstoon weerklinkt aan het begin van het gesprek.

In een beveiligd gesprek worden alle gespreksignalen en mediastreams gecodeerd. Een beveiligd gesprek biedt een hoog beveiligingsniveau, met integriteit en privacy voor het gesprek. Wanneer een actief gesprek is versleuteld, wordt het pictogram Beveiligd weergegeven Het hangslotpictogram voor een beveiligd gesprek Op de lijn. Voor een beveiligde telefoon kunt u ook het pictogram Geverifieerd weergeven Of het gecodeerde pictogram Naast de verbonden server in het telefoonmenu (Instellingen > Info met dit apparaat).

Als het gesprek wordt gerouteerd via niet-IP-gesprekspaden, zoals bijvoorbeeld PSTN, kan het gesprek onveilig worden ook al is het gecodeerd binnen het IP-netwerk en is er een vergrendelingspictogram aan gekoppeld.

In een beveiligd gesprek weerklinkt een beveiligingstoon aan het begin van het gesprek om aan te geven dat de andere verbonden telefoon veilige audio ontvangt en verzendt. Als uw gesprek tot stand komt met een onbeveiligde telefoon, hoort de gebruiker geen beveiligingstoon.

Beveiligd bellen wordt alleen ondersteund voor verbindingen tussen twee telefoons. Bepaalde functies zoals conferentiegesprekken en gedeelde lijnen, zijn niet beschikbaar wanneer beveiligd bellen is geconfigureerd.

Wanneer een telefoon is geconfigureerd als veilig (versleuteld en vertrouwd) in Cisco Unified Communications Manager, kan deze een Beschermd status. Nadat een telefoon is beschermd, kan deze worden geconfigureerd om een indicatietoon af te spelen aan het begin van een gesprek:

  • Beschermde telefoon: als u de status van een veilige telefoon wilt wijzigen in beschermd, schakelt u het selectievakje Beschermde telefoon in het telefoonconfiguratievenster in Cisco Unified Communications Manager Administration in (Apparaat > Telefoon).

  • Beveiligde indicatietoon afspelen: als u wilt dat de beschermde telefoon een veilige of onveilige indicatietoon afspeelt, stelt u de instelling Beveiligde indicatietoon afspelen in op Waar. Standaard is Beveiligde indicatietoon afspelen ingesteld op Onwaar. Stel deze optie in Cisco Unified Communications Manager Administration in (Systeem > Serviceparameters). Selecteer de server en vervolgens de Cisco Unified Communications Manager-service. Selecteer in het venster Serviceparameterconfiguratie de optie in het gedeelte Functie - Veilige toon. De standaardinstelling is onwaar.

Identificatie veilig conferentiegesprek

U kunt een veilig conferentiegesprek starten en het beveiligingsniveau van de deelnemers controleren. Een veilig conferentiegesprek wordt met dit proces tot stand gebracht:

  1. Een gebruiker start het conferentiegesprek vanaf een veilige telefoon.

  2. Cisco Unified Communications Manager wijst een veilige conferentiebrug toe aan het gesprek.

  3. Als deelnemers worden toegevoegd, controleert Cisco Unified Communications Manager de beveiligde modus van elke telefoon en wordt het beveiligingsniveau voor de conferentie gehandhaafd.

  4. Op het telefoonscherm wordt het beveiligingsniveau van het conferentiegesprek weergegeven. Het pictogram Beveiligd wordt weergegeven voor een beveiligde vergadering Het hangslotpictogram voor een beveiligd gesprek.

Beveiligd bellen wordt ondersteund tussen twee telefoons. Voor beveiligde telefoons zijn bepaalde functies zoals conferentiegesprekken, gedeelde lijnen en Extension Mobility, niet beschikbaar wanneer beveiligd bellen is geconfigureerd.

De volgende tabel bevat informatie over wijzigingen in conferentiebeveiligingsniveaus afhankelijk van het beveiligingsniveau van de telefoon van de initiator, de beveiligingsniveaus van de deelnemers en de beschikbaarheid van veilige conferentiebruggen.

Tabel 5. Beveiligingsrestricties met conferentiegesprekken

Initiator beveiligingsniveau telefoon

Gebruikte functie

Beveiligingsniveau van deelnemers

Resultaten van actie

Onveilig

Conferentie

Beveiligd

Onveilige conferentiebrug

Onveilige conferentie

Beveiligd

Conferentie

Er is ten minste één lid niet veilig.

Veilige conferentiebrug

Onveilige conferentie

Beveiligd

Conferentie

Beveiligd

Veilige conferentiebrug

Veilig gecodeerd niveau conferentie

Onveilig

Meet Me

Minimum beveiligingsniveau is gecodeerd.

Initiator ontvangt bericht Does not meet Security Level, call rejected (beveiligingsniveau onvoldoende en gesprek geweigerd).

Beveiligd

Meet Me

Minimum beveiligingsniveau is onveilig.

Veilige conferentiebrug

Conferentie accepteert alle gesprekken.

Identificatie veilig telefoongesprek

Een veilig gesprek wordt tot stand gebracht als uw telefoon en de telefoon aan de andere kant zijn geconfigureerd voor veilig bellen. De andere telefoon kan zich in hetzelfde Cisco IP-netwerk bevinden of in een netwerk buiten het IP-netwerk. Beveiligde oproepen kunnen alleen plaatsvinden tussen twee telefoons. Conferentiegesprekken ondersteunen veilige gesprekken nadat een veilige conferentiebrug is ingesteld.

Een veilig gesprek wordt als volgt tot stand gebracht:

  1. Een gebruiker start het gesprek vanaf een veilige telefoon (beveiligde modus).

  2. Het pictogram Beveiligd wordt weergegeven op de telefoon Het hangslotpictogram voor een beveiligd gesprek Te selecteren op het telefoonscherm. Dit pictogram geeft aan dat de telefoon is geconfigureerd voor veilige gesprekken, maar niet dat de andere verbonden telefoon ook beveiligd is.

  3. De gebruiker hoort een beveiligingstoon als het gesprek wordt verbonden met de andere beveiligde telefoon, wat aangeeft dat het gesprek aan beide einden wordt gecodeerd en beveiligd. Als het gesprek tot stand komt met een onbeveiligde telefoon, hoort de gebruiker geen beveiligingstoon.

Beveiligd bellen wordt ondersteund tussen twee telefoons. Voor beveiligde telefoons zijn bepaalde functies zoals conferentiegesprekken, gedeelde lijnen en Extension Mobility, niet beschikbaar wanneer beveiligd bellen is geconfigureerd.

Deze indicatietonen voor beveiligd of niet beveiligd bellen worden alleen afgespeeld op beveiligde telefoons. Onbeveiligde telefoons spelen nooit tonen af. Als de algemene gespreksstatus wijzigt tijdens een gesprek, verandert de indicatietoon en speelt de beveiligde telefoon de bijbehorende toon af.

Een beveiligde telefoon speelt al dan niet een toon af onder de volgende omstandigheden:

  • Wanneer de optie Beveiligde indicatietoon afspelen is ingeschakeld:

    • Als end-to-end beveiligde media wordt opgezet en de gespreksstatus beveiligd is, speelt de telefoon de beveiligde indicatietoon af (drie lange piepjes met pauzes).

    • Als end-to-end niet-beveiligde media wordt opgezet en de gespreksstatus niet-beveiligd is, speelt de telefoon de niet-beveiligde indicatietoon af (zes korte piepjes met korte pauzes).

Als de optie Beveiligde indicatietoon afspelen is uitgeschakeld, wordt er geen toon afgespeeld.

Codering voor inbreren inbrek

Cisco Unified Communications Manager controleert de telefoonbeveiligingstatus wanneer conferenties tot stand worden gebracht. De beveiligingsaanduiding voor de conferentie wordt gewijzigd of de voltooiing van het gesprek wordt geblokkeerd om de integriteit en beveiliging in het systeem te handhaven.

Een gebruiker kan niet inbreken in een gecodeerd gesprek als de telefoon die wordt gebruikt voor inbreken, niet is geconfigureerd voor codering. Wanneer het inbreken mislukt, wordt een herkiestoon (snelle bezettoon) afgespeeld op de telefoon waarop het inbreken is gestart.

Als de telefoon van de initiator is geconfigureerd voor versleuteling, kan de initiator inbreken in een onbeveiligd gesprek via de gecodeerde telefoon. Na het inbreken wordt het gesprek in Cisco Unified Communications Manager als niet-beveiligd geclassificeerd.

Als de telefoon van de initiator is geconfigureerd voor versleuteling, kan de initiator inbreken in een gecodeerd gesprek en op de telefoon wordt aangegeven dat het gesprek is gecodeerd.

WLAN-beveiliging

Dit gedeelte is alleen van toepassing op telefoonmodellen met Wi-Fi mogelijkheden.

WLAN-beveiliging

Omdat alle WLAN-apparaten die binnen het bereik zijn al het andere WLAN-verkeer kunnen ontvangen, is veilige gesproken communicatie van cruciaal belang in WLAN's. Om te voorkomen dat indringers het spraakverkeer niet manipuleren of onderscheppen, ondersteunt de Cisco SAFE Security-architectuur de telefoon. Zie voor meer informatie over beveiliging in netwerken http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

De Cisco Wireless IP telephony oplossing biedt een draadloze netwerkbeveiliging die ongeautoriseerde aanmeldingen en gevaar voorkomt door de volgende verificatiemethoden te gebruiken die door de telefoon worden ondersteund:

  • Open verificatie: een draadloos apparaat kan verificatie aanvragen in een open systeem. Het toegangspunt dat het verzoek ontvangt, verleent verificatie voor een aanvrager of alleen voor aanvragers in een lijst met gebruikers. De communicatie tussen het draadloze apparaat en het Toegangspunt (AP) kan niet zijn versleuteld.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): deze beveiligingsarchitectuur voor client-server codeert EAP transacties binnen een TLS)-tunnel (Transport Level Security) tussen het AP en de RADIUS-server, zoals ISE (Identity Services Engine).

    De TLS-tunnel gebruikt PAC (Protected Access Credentials) voor de verificatie tussen de client (telefoon) en de RADIUS-server. De server verstuurt een Authority ID (AID) naar de client (telefoon), die vervolgens de juiste PAC selecteert. De client (telefoon) retourneert een PAC-Opaque naar de RADIUS-server. De server decodeert de PAC met de hoofdsleutel. Beide eindpunten bevatten nu de PAC-sleutel en een TLS-tunnel wordt gemaakt. EAP-FAST ondersteunt automatische PAC-levering, maar u moet dit inschakelen op de RADIUS-server.

    In ISE verloopt de PAC standaard binnen één week. Als de telefoon een verlopen PAC heeft, duurt verificatie met de RADIUS-server langer terwijl de telefoon een nieuwe PAC krijgt. Om vertragingen in de PAC-levering te voorkomen stelt u de PAC-vervalperiode in op 90 dagen of meer op de ISE-of RADIUS-server.

  • EAP-TLS-verificatie (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vereist een clientcertificaat voor verificatie en netwerktoegang. Voor draadloze EAP-TLS kan het clientcertificaat MIC, LSC of een door de gebruiker geïnstalleerd certificaat zijn.

  • Protected Extensible Authentication Protocol (PEAP): Cisco's eigen op wachtwoorden gebaseerde wederzijdse verificatieschema tussen de client (telefoon) en een RADIUS-server. De telefoon kan PEAP gebruiken voor verificatie met het draadloze netwerk. Zowel de PEAP-MSCHAPV2 als PEAP-GTC verificatiemethoden worden ondersteund.

  • Pre-Shared Key (PSK):de telefoon ondersteunt ASCII indeling. U moet deze indeling gebruiken bij het instellen van een WPA/WPA2/SAE Pre-shared key:

    ASCII: een ASCII-tekenreeks met een lengte van 8 tot 63 (0-9, kleine letters en hoofdletters a-Z en speciale tekens)

    Voorbeeld: GREG123567@9ZX&W

De volgende verificatieschema's gebruiken de RADIUS-server om verificatiesleutels te beheren:

  • WPA/WPA2/WPA3: gebruikt informatie over de RADIUS-server om unieke sleutels voor verificatie te genereren. Omdat deze sleutels zijn gegenereerd op de centrale RADIUS-server, biedt WPA2/WPA3 betere beveiliging dan de vooraf gedeelde WPA-sleutels die op de telefoon en het toegangspunt zijn opgeslagen.

  • Snelle beveiligde roaming: gebruikt de RADIUS-server en de gegevens van een draadloze domeinserver (WDS) voor het beheren en verifiëren van sleutels. De WDS maakt een cache met beveiligingsreferenties voor CLIENTapparaten met FT-ondersteuning voor snelle en veilige reauthenticatie. Cisco Desk Phone 9861 en 9871 en Cisco Video Phone 8875 ondersteunen 802.11r (FT). Zowel via de lucht als via de DS worden ondersteund om snel, veilige roaming mogelijk te maken. Maar we raden aan om de 802.11r (FT)-methode te gebruiken.

Bij WPA/WPA2/WPA3 worden geen coderingssleutels ingevoerd op de telefoon, maar worden deze automatisch afgeleid tussen het AP en de telefoon. Maar de EAP-gebruikersnaam en het wachtwoord die worden gebruikt voor de verificatie, moeten worden ingevoerd op elke telefoon.

Om de veiligheid van het spraakverkeer te garanderen, ondersteunt de telefoon TKIP en AES voor codering. Wanneer deze mechanismen worden gebruikt voor codering, worden zowel de signalerende SIP-pakketten als de spraak real-time transportprotocolpakketten (RTP) versleuteld tussen het AP en de telefoon.

TKIP

WPA maakt gebruik van TKIP-codering die op verschillende manieren verbeteringen heeft ten opzichte van WEP. TKIP biedt sleutelcodering per pakket en langere initialisatievectoren (IV's) die de codering versterken. Bovendien zorgt een Message Integrity Check (MIC) ervoor dat gecodeerde pakketten niet worden gewijzigd. TKIP voorkomt de voorspelbaarheid van WEP waarmee indringers de WEP-sleutel decoderen.

AES

Een versleutelingsmethode die wordt gebruikt voor WPA2/WPA3-verificatie. Deze nationale standaard voor codering gebruikt een symmetrisch algoritme dat dezelfde sleutel voor codering en decodering heeft. AES werkt met CBC-codering (Cipher Blocking Chain) van 128-bits groot, die minimaal de sleutelgrootten 128 bits, 192 bits en 256 bits ondersteunt. De telefoon ondersteunt een toetsgrootte van 256 bits.

Cisco Desk Phone 9861 en 9871 en Cisco Video Phone 8875 ondersteunen Cisco Key Integrity Protocol (CKIP) niet met CMIC.

Verificatie en coderingschema's worden ingesteld binnen het draadloze LAN-netwerk. VLAN's zijn geconfigureerd in het netwerk en op de toegangspunten en geven verschillende verificatie- en coderingscombinaties. Een SSID wordt gekoppeld aan een VLAN en het specifieke verificatie- en coderingsschema. Voor verificatie van draadloze clientapparaten moet u dezelfde SSID's configureren met hun verificatie- en coderingsprogramma's op de AP's en op de telefoon.

Sommige verificatieschema's vereisen specifieke coderingstypen.

  • Wanneer u WPA vooraf gedeelde sleutel, WPA2-sleutel of SAE gebruikt, moet de vooraf gedeelde sleutel statisch op de telefoon worden ingesteld. Deze sleutels moeten overeenkomen met de sleutels op het toegangspunt.

  • De telefoon ondersteunt automatische EAP onderhandelen voor FAST of PEAP, maar niet voor TLS. Voor EAP-TLS modus moet u deze opgeven.

De verificatie- en coderingschema's in de volgende tabel tonen de opties voor netwerkconfiguratie voor de telefoon die overeenkomt met de AP-configuratie.

Tabel 6. Verificatie- en coderingschema's
FSR-typeAuthenticatieToetsbeheerCoderingPMF (Protected Management Frame)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNee
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa

Draadloos LAN-profiel configureren

U kunt uw draadloos netwerkprofiel beheren door referenties, frequentieband, verificatiemethode, enzovoort te configureren.

Houd rekening met het volgende voordat u het WLAN-profiel configureert:

  • Gebruikersnaam en wachtwoord

    • Wanneer uw netwerk EAP-FAST en PEAP voor gebruikersverificatie gebruikt, moet u de gebruikersnaam en het wachtwoord configureren als dit verplicht is voor de RADIUS (Remote Authentication Dial-In User Service) en de telefoon.

    • De referenties die u invoert in het draadloze LAN-profiel moeten identiek zijn aan de referenties die u hebt geconfigureerd op de RADIUS-server.

    • Als u domeinen binnen het netwerk gebruikt, moet u de gebruikersnaam en de domeinnaam invoeren in de indeling: domein\gebruikersnaam.

  • De volgende acties kunnen tot gevolg hebben dat het bestaande Wi-Fi-wachtwoord wordt gewist:

    • Een ongeldige gebruikers-id of een ongeldig wachtwoord invoeren
    • Een ongeldige of verlopen Root CA installeren als het EAP-type is ingesteld op PEAP-MSCHAPV2 of PEAP-GTC
    • Het gebruikte EAP-type uitschakelen op de RADIUS-server voordat de telefoon wordt overgeschakeld op het nieuwe EAP-type
  • Als u het EAP-type wilt wijzigen, moet u eerst het nieuwe EAP type op de RADIUS-server inschakelen en vervolgens de telefoon naar het EAP-type overschakelen. Als alle telefoons zijn gewijzigd in het nieuwe EAP-type, kunt u desgewenst het vorige EAP-type uitschakelen.
1

Selecteer in Cisco Unified Communications Manager Administration Apparaat > Apparaatinstellingen > Draadloos LAN-profiel.

2

Kies het netwerkprofiel die u wilt configureren.

3

Stel de parameters in.

4

Klik op Opslaan.

Een verificatieservercertificaat handmatig installeren

U kunt een certificaat voor de verificatieserver handmatig installeren op de telefoon als Simple Certificate Enrollment Protocol (SCEP) niet beschikbaar is.

Voor EAP-TLS moet de het CA-basiscertificaat dat het certificaat RADIUS-server heeft afgegeven, zijn geïnstalleerd.

Voordat u begint

Voordat u een certificaat op een telefoon kunt installeren, moet u een certificaat voor de verificatieserver op uw computer opgeslagen hebben. Het certificaat moet zijn gecodeerd in PEM (Base-64) of DER.

1

Selecteer Certificaten op de webpagina voor telefoonbeheer.

2

Ga naar het veld Verificatieserver CA en klik op Installeren.

3

Blader naar het certificaat op uw computer.

4

Klik op Uploaden.

5

Start de telefoon opnieuw nadat het uploaden voltooid is.

Als u meerdere certificaten opnieuw installeert, wordt alleen het laatst geïnstalleerde certificaat gebruikt.

Een gebruikerscertificaat handmatig installeren

U kunt een gebruikerscertificaat handmatig installeren op de telefoon als SCEP (Simple Certificate Enrollment Protocol) niet beschikbaar is.

Het vooraf geïnstalleerde Manufacturing Installed Certificate (MIC) kan worden gebruikt als het gebruikerscertificaat voor EAP TLS.

Nadat het gebruikerscertificaat is geïnstalleerd, voegt u het toe aan de vertrouwde lijst van de RADIUS-server.

Voordat u begint

Voordat u een gebruikercertificaat voor een telefoon kunt installeren, moet u:

  • Een gebruikerscertificaat op uw computer opslaan. Het certificaat moet de PKCS #12-indeling hebben.

  • Het wachtwoord voor het ophalen van het certificaat.

    Dit wachtwoord kan maximaal 16 tekens lang zijn.

1

Selecteer Certificaten op de webpagina voor telefoonbeheer.

2

Ga naar het veld Gebruiker geïnstalleerd en klik op Installeren.

3

Blader naar het certificaat op uw computer.

4

In het veld Wachtwoord ophalen voert u het certificaatwachtwoord in.

5

Klik op Uploaden.

6

Start de telefoon opnieuw nadat het uploaden voltooid is.

Een beveiligingscertificaat handmatig verwijderen

U kunt een beveiligingscertificaat handmatig verwijderen van de telefoon als Simple Certificate Enrollment Protocol (SCEP) niet beschikbaar is.

1

Selecteer Certificaten op de webpagina voor telefoonbeheer.

2

Zoek het certificaat op de pagina Certificaten.

3

Klik op Verwijderen.

4

Start de telefoon opnieuw nadat de verwijdering is voltooid.

De SCEP-parameters configureren

Simple Certificate Enrollment Protocol (SCEP) is de norm voor het automatisch afgeven en vernieuwen van certificaten. De SCEP-server kan automatisch uw gebruikers- en servercertificaten onderhouden.

U moet de volgende SCEP-parameters configureren op de webpagina van de telefoon

  • RA IP-adres

  • SHA-1 of SHA-256 vingerafdruk van het CA-basiscertificaat voor de SCEP-server

De Cisco IOS Registration Authority (RA) dient als proxy voor de SCEP-server. De SCEP-client op de telefoon gebruikt de parameters die worden gedownload van Cisco Unified Communication Manager. Nadat u de parameters hebt geconfigureerd, verzendt de telefoon een SCEP getcs-verzoek aan de RA en het CA basiscertificaat wordt gevalideerd met de gedefinieerde vingerafdruk.

Voordat u begint

Configureer op de SCEP-server de SCEP Registration Agent (RA) voor:

  • Fungeren als een vertrouwd PKI-punt
  • Fungeren als een PKI RA
  • Apparaatverificatie uitvoeren met een RADIUS-server

Zie de documentatie bij uw SCEP-server voor meer informatie.

1

Selecteer in Cisco Unified Communications Manager Administration Apparaat > Telefoon.

2

Zoek de telefoon.

3

Navigeer naar het gedeelte Productspecifieke configuratie-indeling.

4

Schakel het selectievakje WLAN SCEP-server in om de SCEP-parameter te activeren.

5

Schakel het selectievakje WLAN Root CA Fingerprint (SHA256 of SHA1) in om de SCEP QED-parameter te activeren.

De ondersteunde versies van TLS instellen

U kunt de minimaal vereiste versie van TLS instellen voor respectievelijk client en server.

De minimale TLS versie van server en client is standaard beide 1.2. De instelling heeft invloed op de volgende functies:

  • HTTPS-webtoegangverbinding
  • Aan boord voor de telefoon op kantoor
  • Aan boord voor mobiel en Remote Access (MRA)
  • HTTPS-services, zoals de Adreslijstservices
  • Datagram Transport Layer Security (DTLS)
  • Poorttoegangsentiteit (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Zie TLS 1.3 Compatibiliteitsmatrix voor Cisco Collaboration-producten voor meer informatie over de TLS 1.3-compatibiliteit voor Cisco IP Phones.

1

Meld u aan bij Cisco Unified Communications Manager Administration als een beheerder.

2

Ga naar een van de volgende vensters:

  • Systeem > Bedrijfstelefoonconfiguratie
  • Apparaat > Vice-instellingen > Telefoonprofielcommon
  • Apparaat > telefoon > configuratie
3

Stel het veld TLS Min.versie client in:

De optie "TLS 1,3" is beschikbaar op Cisco Unified CM 15SU2 of hoger.
  • TLS 1.1: de TLS-client ondersteunt de versies van TLS van 1.1 tot 1.3.

    Als de TLS versie in server lager is dan 1.1, bijvoorbeeld 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.2 (standaard): de TLS-client ondersteunt TLS 1.2 en 1.3.

    Als de TLS versie op de server lager is dan 1.2, bijvoorbeeld 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.3: de TLS-client ondersteunt alleen TLS 1.3.

    Als de TLS versie in server lager is dan 1.3, bijvoorbeeld 1.2, 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

4

Het veld TLS Min.versie server instellen:

  • TLS 1.1: de TLS-server ondersteunt de versies van TLS van 1.1 tot 1.3.

    Als de TLS versie in client lager is dan 1.1, bijvoorbeeld 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.2 (standaard): de TLS-server ondersteunt TLS 1.2 en 1.3.

    Als de TLS versie in client lager is dan 1.2, bijvoorbeeld 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.3: De TLS-server ondersteunt alleen TLS 1.3.

    Als de TLS versie in client lager is dan 1,3, bijvoorbeeld 1.2, 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

Vanaf de release van PhoneOS 3.2 is de instelling van het veld 'TLS 1.0 en TLS 1.1 voor webtoegang uitschakelen' niet van invloed op de telefoons.
5

Klik op Opslaan.

6

Klik op Config toepassen.

7

Start de telefoons opnieuw.

Assured Services SIP

Assured Services SIP(AS-SIP) is een verzameling van functies en protocollen die een zeer veilige gespreksstroom bieden voor Cisco IP-telefoons en telefoons van derden. De volgende functies worden gezamenlijk AS-SIP genoemd:

  • Multilevel Precedence and Preemption (MLPP)
  • Differentiated Services Code Point (DSCP)
  • Transport Layer Security (TLS) en Secure Real-time Transport Protocol (SRTP)
  • Internet Protocol versie 6 (IPv6)

AS-SIP wordt vaak gebruikt met Multilevel Precedence and Preemption (MLPP) om gesprekken tijdens een noodsituatie voorrang te geven. Met MLPP kunt u een prioriteitsniveau toewijzen aan uw uitgaande gesprekken, uit niveau 1 (laag) tot niveau 5 (hoog). Wanneer u een gesprek ontvangt, wordt een pictogram voor het voorrangsniveau weergegeven op de telefoon waarmee de prioriteit wordt aangegeven.

Voer de volgende taken uit in Cisco Unified Communications Manager om AS-SIP te configureren:

  • Configureer een Digest-gebruiker: configureer de eindgebruiker om digestverificatie te gebruiken voor SIP-aanvragen.
  • Configureer de beveiligde poort van de SIP-telefoon: Cisco Unified Communications Manager gebruikt deze poort om te luisteren naar SIP-telefoons voor SIP-lijnregistraties via TLS.
  • Services opnieuw opstarten: na het configureren van de beveiligde poort, start u de Cisco Unified Communications Manager en Cisco CTL Provider-services opnieuw op. Configureer het SIP-profiel voor AS-SIP: configureer een SIP-profiel met SIP-instellingen voor de AS-SIP-eindpunten en de SIP-trunks. De telefoon-specifieke parameters worden niet gedownload naar een AS-SIP-telefoon van een derde partij. Ze worden alleen door Cisco Unified Manager gebruikt. Telefoons van derden moeten lokaal dezelfde instellingen configureren.
  • Configureer het telefoonbeveiligingsprofiel voor AS-SIP: u kunt het telefoonbeveiligingsprofiel gebruiken om beveiligingsinstellingen toe te wijzen zoals TLS, SRTP en digestverificatie.
  • Configureer het AS-SIP-eindpunt: configureer een Cisco IP-telefoon of een eindpunt van derden met ondersteuning voor SIP-AS.
  • Apparaat aan eindgebruiker koppelen — Koppel het eindpunt aan een gebruiker.
  • Configureer een beveiligingsprofiel SIP-trunk voor AS-SIP: u kunt het beveiligingsprofiel SIP-trunk gebruiken om beveiligingsfuncties zoals TLS of digestverificatie toe te wijzen aan een SIP-trunk.
  • Configureer de SIP-trunk voor AS-SIP: configureer een SIP-trunk met ondersteuning voor AS-SIP.
  • Configureer AS-SIP-functies: configureer aanvullende AS-SIP-functies zoals MLPP, TLS, V.150 en IPv6.

Zie voor meer informatie over het configureren van SIP als-SIP het hoofdstuk "Configure AS-SIP-eindpunten" in de Handleiding voor de functieconfiguratie voor Cisco Unified Communications Manager.

Multilevel Precedence and Preemption (MLPP)

Met MLPP (Multilevel Precendence and Preemption) kunt u gesprekken tijdens noodsituaties of andere crisissituaties voorrang geven. U wijst een prioriteit toe aan uitgaande gesprekken die variëren van 1 tot 5. Inkomende gesprekken worden een pictogram en de gespreksprioriteit weergegeven. Geverifieerde gebruikers kunnen voorrang krijgen voor bepaalde stations of via volledig ingerichte TDM-trunks.

Deze mogelijkheid verzekert dat topfunctionarissen kunnen communiceren met essentiële organisaties en personeel.

MLPP wordt vaak gebruikt met AS-SIP (Assured Services SIP). Zie voor meer informatie over het configureren van MLPP het hoofdstuk Multilevel Precedence and Preemption configureren in de Functieconfiguratiehandleiding voor Cisco Unified Communications Manager.

FAC en CMC instellen

Wanneer de codes voor geforceerde autorisatie (FAC) of client matter codes (CMC) of beide op de telefoon zijn geconfigureerd, moeten de gebruikers de vereiste wachtwoorden invoeren om een nummer te kunnen bellen.

Zie het hoofdstuk "Client Matter Codes and Forced Authorization Codes" in de functieconfiguratiehandleiding voor Cisco Unified Communications Manager voor meer informatie over het instellen van FAC en CMC in Cisco Unified Communications Manager., Release 12.5 (1) of hoger.