U kunt Cisco Unified Communications Manager inschakelen om te werken in een verbeterde beveiligingsomgeving. Met deze verbeteringen werkt uw telefoonnetwerk met een reeks strikte beveiligings- en risicobeheerinstellingen om u en uw gebruikers te beschermen.

De verbeterde beveiligingsomgeving bevat de volgende functies:

  • Verificatie contactpersoon zoeken.

  • TCP als standaardprotocol voor externe controlelogboekregistratie.

  • FIPS-modus.

  • Een verbeterd beleid voor aanmeldgegevens.

  • Ondersteuning voor de SHA-2-hashgroep voor digitale handtekeningen.

  • Ondersteuning voor een RSA-sleutelgrootte van 512 bits en 4096 bits.

Met Cisco Unified Communications Manager versie 14.0 en Cisco Video Phone firmwareversie 2.1 en hoger ondersteunen de telefoons SIP OAuth-verificatie.

OAuth wordt ondersteund voor proxy Trivial File Transfer Protocol (TFTP) met Cisco Unified Communications Manager versie 14.0(1)SU1 of hoger. Proxy TFTP en OAuth voor proxy TFTP wordt niet ondersteund op Mobile Remote Access (MRA).

Zie het volgende voor meer informatie over beveiliging:

Uw telefoon kan slechts een beperkt aantal ITL-bestanden (Identity Trust List) opslaan. ITL-bestanden mogen niet hoger zijn dan 64K op de telefoon, dus beperk het aantal bestanden dat de Cisco Unified Communications Manager naar de telefoon verzendt.

Ondersteunde beveiligingsfuncties

Beveiligingsfuncties beschermen tegen bedreigingen, waaronder bedreigingen van de identiteit van de telefoon en gegevens. Met deze functies worden geverifieerde communicatiestromen tussen de telefoon en de Cisco Unified Communications Manager-server tot stand gebracht en onderhouden en zorgen dat de telefoon alleen digitaal ondertekende bestanden gebruikt.

Cisco Unified Communications Manager Release 8.5(1) en hoger bevat standaard beveiliging met de volgende beveiligingsfuncties voor Cisco IP-telefoons waarop de CTL-client niet wordt uitgevoerd:

  • Ondertekening van de telefoonconfiguratiebestanden

  • Codering telefoonconfiguratiebestand

  • HTTPS met Tomcat en andere webservices

Beveiligde signalerings- en mediafuncties vereisen nog steeds dat u de CTL-client uitvoert en hardware-eTokens gebruikt.

Door beveiliging te implementeren in het Cisco Unified Communications Manager-systeem voorkomt u identiteitsdiefstal van de telefoon en de Cisco Unified Communications Manager-server, en ongewenste bewerking van gegevens, gespreksignalen en mediastromen.

Om deze bedreigingen te voorkomen, brengt het Cisco IP-telefonienetwerk beveiligde (gecodeerde) communicatiestromen tot stand tussen een telefoon en de server, worden bestanden digitaal ondertekend voordat ze worden overgedragen naar een telefoon en worden mediastromen en gesprekssignalering tussen Cisco IP-telefoons gecodeerd.

Er wordt een LSC-certificaat (Locally Significant Certificate) op telefoons geïnstalleerd nadat u de vereiste taken hebt uitgevoerd die samenhangen met de CAPF (Certificate Authority Proxy Function). U kunt Cisco Unified Communications Manager Administration gebruiken om een LSC te configureren, zoals beschreven in de beveiligingshandleiding van Cisco Unified Communications Manager. U kunt ook de installatie van een LSC starten via het menu Beveiligingsinstellingen op de telefoon. Met dit menu kunt u ook een LSC bijwerken of verwijderen.

Een LSC kan niet worden gebruikt als het gebruikerscertificaat voor EAP-TLS met WLAN-verificatie.

De telefoons gebruiken het beveiligingsprofiel van de telefoon, dat bepaalt of het apparaat niet-veilig of veilig is. Voor informatie over het toepassen van het beveiligingsprofiel op de telefoon raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

Als u de beveiligingsinstellingen in Cisco Unified Communications Manager Administration configureert, bevat het telefoonconfiguratiebestand gevoelige informatie. Om de privacy van een configuratiebestand te garanderen, moet u dit configureren voor codering. Voor gedetailleerde informatie raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

De telefoon voldoet aan de Federal Information Processing Standard (FIPS). Om correct te kunnen werken, vereist de FIPS-modus een sleutelgrootte van 2048 bits of meer. Als het certificaat kleiner is dan 2048 bits, wordt de telefoon niet geregistreerd met Cisco Unified Communications Manager en Telefoon wordt niet geregistreerd. Certificaatsleutelgrootte is niet compatibel met FIPS op de telefoon.

Als de telefoon een LSC heeft, moet u de LSC-sleutelgrootte bijwerken naar 2048 bits of meer voordat u FIPS inschakelt.

In de volgende tabel ziet u een overzicht van de beveiligingsfuncties die door de telefoons worden ondersteund. Voor meer informatie raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

Als u de beveiligingsmodus wilt weergeven, drukt u op Instellingen de harde toets Instellingen en navigeert u naar Netwerk en service > Beveiligingsinstellingen.

Tabel 1. Overzicht van beveiligingsfuncties

Functie

Beschrijving

Verificatie afbeelding

Ondertekende binaire bestanden voorkomen dat de firmware-afbeelding wordt gewijzigd voordat de afbeelding op een telefoon wordt geladen.

Als de afbeelding wordt gewijzigd, kan het verificatieproces op een telefoon mislukken en de nieuwe afbeelding worden geweigerd.

Installatie sitecertificaat klant

Elke Cisco IP-telefoon vereist een uniek certificaat voor apparaatverificatie. Telefoons bevatten een in de fabriek geïnstalleerd certificaat (MIC), maar voor extra beveiliging kunt u de installatie van het certificaat opgeven in Cisco Unified Communications Manager Administration met Certificate Authority Proxy Function (CAPF). U kunt ook een Locally Significant Certificate (LSC) installeren via het menu Beveiligingsconfiguratie op de telefoon.

Apparaatverificatie

Vindt plaats tussen de Cisco Unified Communications Manager-server en de telefoon wanneer elke entiteit het certificaat van de andere entiteit accepteert. Bepaalt of een veilige verbinding tussen de telefoon en een Cisco Unified Communications Manager nodig is en maakt indien nodig een veilig signaleringspad tussen de entiteiten met behulp van het TLS-protocol. Cisco Unified Communications Manager registreert geen telefoons tenzij deze kunnen worden geverifieerd.

Bestandsverificatie

Valideert digitaal ondertekende bestanden die de telefoon downloadt. De telefoon valideert de handtekening om ervoor te zorgen dat het bestand na het maken niet wordt gewijzigd. Bestanden waarvoor de verificatie mislukt, worden niet geschreven naar het Flash-geheugen op de telefoon. De telefoon weigert dergelijke bestanden zonder verdere verwerking.

Bestandscodering

Codering voorkomt dat gevoelige informatie wordt weergegeven terwijl het bestand op weg naar de telefoon is. Bovendien valideert de telefoon de handtekening om ervoor te zorgen dat het bestand na het maken niet wordt gewijzigd. Bestanden waarvoor de verificatie mislukt, worden niet geschreven naar het Flash-geheugen op de telefoon. De telefoon weigert dergelijke bestanden zonder verdere verwerking.

Verificatie signalering

Gebruikt het TLS-protocol om te valideren dat de signaleringspakketten niet zijn gewijzigd tijdens de verzending.

Fabrikant geïnstalleerd certificaat

Elke Cisco IP-telefoon bevat een uniek tijdens de fabricage geïnstalleerd certificaat (Manufacturing Installed Certificate, MIC) voor apparaatverificatie. MIC biedt een permanent uniek identiteitsbewijs voor de telefoon en stelt Cisco Unified Communications Manager in staat de telefoon te verifiëren.

Media-codering

Gebruikt SRTP om ervoor te zorgen dat mediastromen tussen ondersteunde apparaten veilig zijn en dat alleen het bedoelde apparaat de gegevens ontvangt en leest. Dit omvat het maken van een mediahoofdsleutelpaar voor de apparaten, het leveren van de sleutels aan de apparaten en het beveiligen van de sleutels tijdens het transport.

CAPF (Certificate Authority Proxy Function)

Implementeert delen van de certificaatgeneratieprocedure die te veel verwerkingsintensief zijn voor de telefoon en communiceert met de telefoon voor het genereren van sleutels en het installeren van het certificaat. De CAPF kan worden geconfigureerd voor het aanvragen van certificaten voor de telefoon bij door de klant opgegeven certificeringsinstanties of voor het lokaal genereren van certificaten.

Zowel de sleuteltypen EC (Elliptical Curve) als RSA worden ondersteund. Als u de EC-sleutel wilt gebruiken, moet u ervoor zorgen dat de parameter 'Ondersteuning van geavanceerde coderingsalgoritmen voor eindpunten' (vanuit Systeem > Bedrijfsparameter) is ingeschakeld.

Zie de volgende documenten voor meer informatie over CAPF en gerelateerde configuraties:

Beveiligingsprofiel

Bepaalt of de telefoon onveilig, geverifieerd, gecodeerd of beveiligd is. Andere vermeldingen in deze tabel beschrijven beveiligingsfuncties.

Gecodeerde configuratiebestanden

Hiermee kunt u de privacy van telefoonconfiguratiebestanden garanderen.

Optionele webserver uitschakelen voor een telefoon

Om veiligheidsredenen kunt u toegang tot de webpagina's voor een telefoon (die verschillende operationele statistieken voor de telefoon weergeven) en de Self Care-portal verhinderen.

Telefoon versterken

Aanvullende beveiligingsopties die u beheert via Cisco Unified Communications Manager Administration:

  • Pc-poort uitschakelen
  • Gratuitous ARP (GARP) uitschakelen
  • PC Voice VLAN-toegang uitschakelen
  • Toegang tot het menu Instellingen uitschakelen of beperkte toegang bieden
  • Toegang tot webpagina's voor een telefoon uitschakelen
  • Bluetooth-accessoirepoort uitschakelen
  • TLS-cijfers beperken

802.1X-verificatie

Cisco IP-telefoon kan 802.1X-verificatie gebruiken om te verzoeken om toegang tot het netwerk. Zie 802.1X-verificatie voor meer informatie.

SIP-failover voor SRST beveiligen

Nadat u een SRST-referentie (Survivable Remote Site Telephony) voor beveiliging hebt geconfigureerd en de afhankelijke apparaten in Cisco Unified Communications Manager Administration hebt gereset, voegt de TFTP-server het SRST-certificaat toe aan het cnf.xml-bestand en stuurt het bestand naar de telefoon. Een veilige telefoon gebruikt vervolgens een TLS-verbinding voor interactie met de SRST-router.

Codering signalering

Zorgt ervoor dat alle SIP-signaleringsberichten die worden verzonden tussen het apparaat en de Cisco Unified Communications Manager-server, worden gecodeerd.

Alarm bijwerken vertrouwde lijst

Wanneer de vertrouwde lijst op de telefoon wordt bijgewerkt, ontvangt de Cisco Unified Communications Manager een alarm om aan te geven of de update is gelukt of mislukt. Zie de volgende tabel voor meer informatie.

AES 256-codering

Wanneer de telefoons verbonden zijn met Cisco Unified Communications Manager Release 10.5(2) en hoger, ondersteunen de telefoons AES 256-codering voor TLS en SIP voor signalering en mediacodering. Zo kunnen telefoons TLS 1.2-verbindingen initiëren en ondersteunen met op AES-256 gebaseerde cijfers die voldoen aan de SHA-2-standaarden (Secure Hash Algorithm) en compatibel zijn met Federal Information Processing Standards (FIPS). De cijfers omvatten:

  • Voor TLS-verbindingen:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Voor sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Zie de documentatie bij Cisco Unified Communications Manager voor meer informatie.

Elliptic Curve Digital Signature Algorithm (ECDSA)-certificaten

Als onderdeel van het CC-certificaat (Common Criteria), zijn er in Cisco Unified Communications Manager ECDSA-certificaten toegevoegd in versie 11.0. Dit geldt voor alle VOS-producten (Spraakbesturingssysteem) waarop CUCM 11.5 en latere versies wordt uitgevoerd.

Tomcat-certificaat met meerdere servers (SAN) met Cisco UCM

De telefoon ondersteunt Cisco UCM met geconfigureerde Multi-server (SAN) Tomcat-certificaten. Het juiste TFTP-serveradres vindt u in het ITL-bestand van de telefoon voor de telefoonregistratie.

Zie het volgende voor meer informatie over de functie:

De volgende tabel bevat de waarschuwingsberichten voor het bijwerken van de vertrouwde lijst en de betekenis. Zie de documentatie bij Cisco Unified Communications Manager voor meer informatie.

Tabel 2. Waarschuwingsberichten bijwerken vertrouwde lijst
Code en bericht Beschrijving

1 - TL_SUCCES

Nieuwe CTL en/of ITL ontvangen

2 - CTL_INITIEEL_SUCCES

Nieuwe CTL ontvangen, geen bestaande TL

3 - _EERSTE_SUCCES

Nieuwe ITL ontvangen, geen bestaande TL

4 - TL_INITIEEL_SUCCES

Nieuwe CTL en ITL ontvangen, geen bestaande TL

5 - TL_MISLUKTE_OUDE_CTL

Bijwerken nieuwe CTL mislukt, maar vorige TL bestaat

6 - TL_MISLUKT_GEEN_TL

Bijwerken nieuwe TL mislukt en oude TL bestaat niet

7 - TL_MISLUKT

Algemene fout

8 - TL_MISLUKT_OUD_ITL

Bijwerken nieuwe ITL mislukt, maar vorige TL bestaat

9 - TL_MISLUKT_OUD_TL

Bijwerken nieuwe TL mislukt, maar vorige TL bestaat

Het menu Beveiligingsinstellingen bevat informatie over de verschillende beveiligingsinstellingen. Het menu biedt ook toegang tot het menu Vertrouwde lijst en geeft aan of het CTL- of ITL-bestand op de telefoon is geïnstalleerd.

In de volgende tabel worden de opties in het menu Beveiligingsinstellingen beschreven.

Tabel 3. Menu Beveiligingsinstellingen

Optie

Beschrijving

Om te wijzigen

Beveiligingsmodus

Geeft de beveiligingsmodus weer die voor de telefoon is ingesteld.

Kies in Cisco Unified Communications Manager Administration Apparaat > Telefoon. De instelling wordt weergegeven in het gedeelte Protocolspecifieke informatie van het venster Telefoonconfiguratie.

lsc

Geeft aan of een lokaal significant certificaat dat wordt gebruikt voor beveiligingsfuncties, al dan niet op de telefoon is geïnstalleerd (geïnstalleerd).

Voor meer informatie over het beheren van de LSC voor uw telefoon, raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

Een lokaal significant certificaat (LSC) instellen

Deze taak is van toepassing op het instellen van een LSC met de methode verificatiereeks.

Voordat u begint

Zorg dat de juiste configuraties voor Cisco Unified Communications Manager en de CAPF-beveiliging (Certificate Authority Proxy Function) zijn voltooid:

  • Het CTL- of ITL-bestand heeft een CAPF-certificaat.

  • Controleer in Cisco Unified Communications Operating System Administration of het CAPF-certificaat is geïnstalleerd.

  • CAPF wordt uitgevoerd en is geconfigureerd.

Voor meer informatie over deze instellingen raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

1

Haal de CAPF-verificatiecode op die is ingesteld toen de CAPF werd geconfigureerd.

2

Druk op de telefoon op Instellingen de harde toets Instellingen.

3

Voer het wachtwoord in om het menu Instellingen te openen als hierom wordt gevraagd. U kunt het wachtwoord opvragen bij uw beheerder.

4

Ga naar Netwerk en service > Beveiligingsinstellingen > LSC.

U kunt de toegang beheren tot het menu Instellingen met behulp van het veld Toegang tot instellingen in Cisco Unified Communications Manager Administration.

5

Voer de verificatiereeks in en selecteer Verzenden.

De telefoon begint met het installeren, bijwerken of verwijderen van de LSC, afhankelijk van hoe de CAPF is geconfigureerd. Wanneer de procedure is voltooid, wordt Geïnstalleerd of Niet geïnstalleerd weergegeven op de telefoon.

Het proces voor het installeren, bijwerken of verwijderen van LSC kan lang in beslag nemen.

Wanneer de installatieprocedure voor de telefoon is voltooid, wordt het bericht Geïnstalleerd weergegeven. Als op de telefoon Niet geïnstalleerd wordt weergegeven, is de autorisatietekenreeks mogelijk onjuist of is de telefoonupgrade mogelijk niet ingeschakeld. Als de CAPF-bewerking de LSC verwijdert, geeft de telefoon Niet geïnstalleerd weer om aan te geven dat de bewerking is geslaagd. De CAPF-server registreert de foutberichten. Raadpleeg de documentatie van de CAPF-server om de logboeken te vinden en de betekenis van de foutberichten te begrijpen.

FIPS-modus inschakelen

1

Selecteer in Cisco Unified Communications Manager Administration Apparaat > Telefoon en zoek de telefoon.

2

Navigeer naar het gedeelte Productspecifieke configuratie .

3

Stel het veld FIPS-modus in op Ingeschakeld.

4

Selecteer Opslaan.

5

Selecteer Configuratie toepassen.

6

Start de telefoon opnieuw op.

Luidspreker, hoofdtelefoon en handset uitschakelen op een telefoon

U hebt de opties om de luidspreker, hoofdtelefoon en handset permanent uit te schakelen op een telefoon voor uw gebruiker.

1

Selecteer in Cisco Unified Communications Manager Administration Apparaat > Telefoon en zoek de telefoon.

2

Navigeer naar het gedeelte Productspecifieke configuratie .

3

Schakel een of meer van de volgende selectievakjes in om de mogelijkheden van de telefoon uit te schakelen:

  • Luidspreker uitschakelen
  • Luidspreker en headset uitschakelen
  • Handset uitschakelen

Deze selectievakjes zijn standaard uitgeschakeld.

4

Selecteer Opslaan.

5

Selecteer Configuratie toepassen.

802.1X-verificatie

Cisco IP-telefoons ondersteunen 802.1X-verificatie.

Cisco IP-telefoons en Cisco Catalyst-switches gebruiken traditioneel Cisco Discovery Protocol (CDP) om elkaar te identificeren en parameters te bepalen zoals VLAN-toewijzing en inline voedingsvereisten. CDP identificeert geen lokaal aangesloten werkstations. Cisco IP-telefoons bieden een EAPOL-doorgeefmechanisme. Met dit mechanisme kan een werkstation dat is gekoppeld aan de Cisco IP-telefoon EAPOL-berichten doorgeven aan de 802.1X-authenticator op de LAN-switch. Het doorgeefmechanisme zorgt ervoor dat de IP-telefoon niet fungeert als de LAN-switch voor het verifiëren van een gegevenseindpunt voor toegang tot het netwerk.

Cisco IP-telefoons bieden ook een proxy EAPOL-uitlogmechanisme. Als de lokaal aangesloten pc de verbinding met de IP-telefoon verbreekt, ziet de LAN-switch niet dat de fysieke koppeling mislukt, omdat de koppeling tussen de LAN-switch en de IP-telefoon in stand blijft. Om te voorkomen dat de netwerkintegriteit in gevaar komt, verzendt de IP-telefoon een EAPOL-afmeldbericht naar de switch uit naam van de downstream-pc, waardoor de LAN-switch wordt geactiveerd om de verificatievermelding voor de downstream-pc te wissen.

Voor ondersteuning voor 802.1X-verificatie zijn verschillende componenten vereist:

  • Cisco IP-telefoon: De telefoon initieert het verzoek voor toegang tot het netwerk. Cisco IP-telefoons bevatten een 802.1X-supplicant. Met deze supplicant kunnen netwerkbeheerders de verbinding regelen van IP-telefoons met de LAN-switchpoorten. De huidige versie van de 802.1X-supplicant voor de telefoon gebruikt de opties EAP-FAST en EAP-TLS voor netwerkverificatie.

  • Verificatieserver: De verificatieserver en de switch moeten beide worden geconfigureerd met een gedeeld geheim waarmee de telefoon wordt geverifieerd.

  • Schakelen: De switch moet 802.1X ondersteunen, zodat deze kan optreden als authenticator en de berichten tussen de telefoon en de verificatieserver kan doorgeven. Nadat de uitwisseling is voltooid, verleent of weigert de switch toegang tot het netwerk van de telefoon.

U moet de volgende acties uitvoeren om 802.1X te configureren.

  • Configureer de andere componenten voordat u 802.1X-verificatie op de telefoon inschakelt.

  • Pc-poort configureren: De 802.1X-standaard houdt geen rekening met VLAN's en beveelt aan om slechts één apparaat te verifiëren voor een specifieke switchpoort. Sommige switches ondersteunen echter verificatie voor meerdere domeinen. De switchconfiguratie bepaalt of u een pc kunt aansluiten op de pc-poort van de telefoon.

    • Ingeschakeld: Als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u de pc-poort inschakelen en een pc aansluiten. In dat geval ondersteunen Cisco IP-telefoons de proxy-EAPOL-uitlogfunctie om de verificatie-uitwisseling tussen de switch en de aangesloten pc te controleren.

      Voor meer informatie over IEEE 802.1X-ondersteuning op de Cisco Catalyst-switches raadpleegt u de handleidingen voor Cisco Catalyst-switchconfiguratie op:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Uitgeschakeld: Als de switch niet meerdere 802.1X-compatibele apparaten ondersteunt op dezelfde poort, moet u de pc-poort uitschakelen wanneer 802.1X-verificatie wordt ingeschakeld. Als u deze poort niet uitschakelt en er vervolgens een pc op aansluit, weigert de switch netwerktoegang voor zowel de telefoon als de pc.

  • Spraak-VLAN configureren: Omdat de 802.1X-standaard geen rekening houdt met VLAN's, moet u deze instelling configureren op basis van de switchondersteuning.
    • Ingeschakeld: Als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u deze blijven gebruiken om het spraak-VLAN te gebruiken.
    • Uitgeschakeld: Als de switch geen multidomeinverificatie ondersteunt, schakelt u het spraak-VLAN uit en probeert u de poort toe te wijzen aan het systeemeigen VLAN.
  • (Alleen voor Cisco Desk Phone 9800-serie)

    De Cisco bureautelefoon 9800-serie heeft een ander voorvoegsel in de PID dan dat voor de andere Cisco-telefoons. Als u wilt inschakelen dat uw telefoon 802.1X-verificatie doorgeeft, stelt u de parameter Radius·User-Name in om uw Cisco Desk Phone 9800-serie op te nemen.

    De PID van telefoon 9841 is bijvoorbeeld DP-9841. U kunt Radius·Gebruikersnaam instellen op Starten met DP of op Bevat DP. U kunt deze in beide volgende gedeelten instellen:

    • Beleid > Voorwaarden > Bibliotheekvoorwaarden

    • Beleid > Beleidssets > Autorisatiebeleid > Autorisatieregel 1

802.1X-verificatie inschakelen

U kunt 802.1X-verificatie voor uw telefoon inschakelen door de volgende stappen te volgen:

1

Druk op Instellingende harde toets Instellingen.

2

Voer het wachtwoord in om het menu Instellingen te openen als hierom wordt gevraagd. U kunt het wachtwoord opvragen bij uw beheerder.

3

Ga naar Netwerk en service > Beveiligingsinstellingen > 802.1X-verificatie.

4

Schakel IEEE 802.1X-verificatie in.

5

Selecteer Toepassen.

Informatie weergeven over beveiligingsinstellingen op de telefoon

U kunt informatie over de beveiligingsinstellingen weergeven in het telefoonmenu. De beschikbaarheid van de informatie is afhankelijk van de netwerkinstellingen in uw organisatie.

1

Druk op Instellingende instellingensleutel.

2

Ga naar Netwerk en service > Beveiligingsinstellingen.

3

Bekijk de volgende informatie in Beveiligingsinstellingen.

Tabel 4. Parameters voor beveiligingsinstellingen

Parameters

Beschrijving

Beveiligingsmodus

Geeft de beveiligingsmodus weer die voor de telefoon is ingesteld.

lsc

Geeft aan of een lokaal significant certificaat dat wordt gebruikt voor beveiligingsfuncties, al dan niet op de telefoon is geïnstalleerd (Ja).

Vertrouwde lijst

De vertrouwde lijst biedt submenu's voor de CTL-, ITL- en ondertekende configuratiebestanden.

Het submenu CTL-bestand geeft de inhoud van het CTL-bestand weer. Het submenu ITL-bestand geeft de inhoud van het ITL-bestand weer.

Het menu Vertrouwde lijst geeft ook de volgende informatie weer:

  • CTL-handtekening: de SHA1-hash van het CTL-bestand
  • Unified CM/TFTP-server: de naam van de Cisco Unified Communications Manager en de TFTP-server die door de telefoon wordt gebruikt. Geeft een certificaatpictogram weer als een certificaat voor deze server is geïnstalleerd.
  • CAPF-server: de naam van de CAPF-server die de telefoon gebruikt. Geeft een certificaatpictogram weer als een certificaat voor deze server is geïnstalleerd.
  • SRST-router: het IP-adres van de vertrouwde SRST-router die de telefoon kan gebruiken. Geeft een certificaatpictogram weer als een certificaat voor deze server is geïnstalleerd.

Beveiliging telefoongesprek

Wanneer beveiliging is geïmplementeerd voor een telefoon, kunt u veilige telefoongesprekken herkennen aan de pictogrammen op het telefoonscherm. U kunt ook bepalen of de verbonden telefoon veilig en beveiligd is als een beveiligingstoon wordt afgespeeld aan het begin van het gesprek.

In een beveiligd gesprek worden alle gesprekssignalering en mediastromen gecodeerd. Een beveiligd gesprek biedt een hoog beveiligingsniveau, met integriteit en privacy voor het gesprek. Wanneer een actief gesprek wordt gecodeerd, ziet u het veilige pictogram het hangslotpictogram voor een beveiligd gesprek op de lijn. Voor een beveiligde telefoon kunt u ook het geverifieerde pictogram of het gecodeerde pictogram weergeven naast de verbonden server in het telefoonmenu (Instellingen > Over dit apparaat).

Als het gesprek wordt gerouteerd via niet-IP-gesprekspaden, bijvoorbeeld PSTN, kan het gesprek onveilig zijn, ook al is het gecodeerd binnen het IP-netwerk en is er een vergrendelingspictogram aan gekoppeld.

In een beveiligd gesprek wordt aan het begin van het gesprek een beveiligingstoon afgespeeld om aan te geven dat de andere verbonden telefoon beveiligde audio ontvangt en verzendt. Als uw gesprek tot stand komt met een onbeveiligde telefoon, wordt de beveiligingstoon niet afgespeeld.

Beveiligd bellen wordt alleen ondersteund voor verbindingen tussen twee telefoons. Sommige functies, zoals conferentiegesprekken en gedeelde lijnen, zijn niet beschikbaar wanneer beveiligd bellen is geconfigureerd.

Wanneer een telefoon is geconfigureerd als beveiligd (gecodeerd en vertrouwd) in Cisco Unified Communications Manager, kan deze een beschermde status krijgen. Daarna kan de beveiligde telefoon indien gewenst worden geconfigureerd om een indicatietoon af te spelen aan het begin van een gesprek:

  • Beveiligd apparaat: Als u de status van een beveiligde telefoon wilt wijzigen in beveiligd, schakelt u het selectievakje Beveiligd apparaat in in het telefoonconfiguratievenster in Cisco Unified Communications Manager Administration (Apparaat > Telefoon).

  • Beveiligde indicatietoon afspelen: Als u wilt inschakelen dat de beveiligde telefoon een veilige of onveilige indicatietoon afspeelt, stelt u de instelling Beveiligde indicatietoon afspelen in op Waar. Standaard is Beveiligde indicatietoon afspelen ingesteld op Onwaar. U stelt deze optie in Cisco Unified Communications Manager Administration (Systeem > Serviceparameters). Selecteer de server en vervolgens de Unified Communications Manager-service. Selecteer in het venster Serviceparameterconfiguratie de optie in het gedeelte Functie - Beveiligde toon. De standaardinstelling is onwaar.

Identificatie veilig conferentiegesprek

U kunt een veilig conferentiegesprek starten en het beveiligingsniveau van de deelnemers controleren. Een beveiligd conferentiegesprek wordt met dit proces tot stand gebracht:

  1. Een gebruiker start de conferentie vanaf een veilige telefoon.

  2. Cisco Unified Communications Manager wijst een veilige conferentiebrug toe aan het gesprek.

  3. Als deelnemers worden toegevoegd, controleert Cisco Unified Communications Manager de beveiligingsmodus van elke telefoon en wordt het beveiligingsniveau voor de conferentie gehandhaafd.

  4. Op de telefoon wordt het beveiligingsniveau van het conferentiegesprek weergegeven. Een veilige conferentie geeft het veilige pictogram het hangslotpictogram voor een beveiligd gesprek weer.

Beveiligd bellen wordt ondersteund tussen twee telefoons. Voor beveiligde telefoons zijn bepaalde functies, zoals conferentiegesprekken, gedeelde lijnen en Extension Mobility, niet beschikbaar wanneer beveiligd bellen is geconfigureerd.

De volgende tabel bevat informatie over wijzigingen in conferentiebeveiligingsniveaus afhankelijk van het beveiligingsniveau van de telefoon van de initiator, de beveiligingsniveaus van de deelnemers en de beschikbaarheid van veilige conferentiebruggen.

Tabel 5. Beveiligingsbeperkingen met conferentiegesprekken

Initiator beveiligingsniveau telefoon

Gebruikte functie

Beveiligingsniveau van deelnemers

Resultaten van actie

Onveilig

Conferentie

Beveiligd

Onveilige conferentiebrug

Onveilige conferentie

Beveiligd

Conferentie

Er is ten minste één lid onveilig.

Veilige conferentiebrug

Onveilige conferentie

Beveiligd

Conferentie

Beveiligd

Veilige conferentiebrug

Veilig gecodeerd niveau conferentie

Onveilig

Ontmoet mij

Minimum beveiligingsniveau is gecodeerd.

Initiator ontvangt het bericht Voldoet niet aan beveiligingsniveau, gesprek geweigerd.

Beveiligd

Ontmoet mij

Minimum beveiligingsniveau is onveilig.

Veilige conferentiebrug

Conferentie accepteert alle gesprekken.

Identificatie veilig telefoongesprek

Een beveiligd gesprek wordt tot stand gebracht wanneer uw telefoon en de telefoon aan de andere kant zijn geconfigureerd voor beveiligd bellen. De andere telefoon kan zich in hetzelfde Cisco IP-netwerk bevinden of in een netwerk buiten het IP-netwerk. Beveiligde gesprekken kunnen alleen tussen twee telefoons worden gevoerd. Conferentiegesprekken ondersteunen veilige gesprekken nadat een veilige conferentiebrug is ingesteld.

Een beveiligd gesprek wordt met dit proces tot stand gebracht:

  1. Een gebruiker start het gesprek vanaf een beveiligde telefoon (beveiligde modus).

  2. Op het telefoonscherm wordt het veilige pictogram het hangslotpictogram voor een beveiligd gesprek weergegeven. Dit pictogram geeft aan dat de telefoon is geconfigureerd voor beveiligde gesprekken, maar niet dat de andere verbonden telefoon ook beveiligd is.

  3. De gebruiker hoort een beveiligingstoon als het gesprek wordt verbonden met een andere beveiligde telefoon, wat aangeeft dat het gesprek aan beide einden wordt gecodeerd en beveiligd. Als het gesprek tot stand komt met een onbeveiligde telefoon, hoort de gebruiker de beveiligingstoon niet.

Beveiligd bellen wordt ondersteund tussen twee telefoons. Voor beveiligde telefoons zijn bepaalde functies, zoals conferentiegesprekken, gedeelde lijnen en Extension Mobility, niet beschikbaar wanneer beveiligd bellen is geconfigureerd.

Deze indicatietonen voor beveiligd of niet beveiligd bellen worden alleen afgespeeld op beveiligde telefoons. Niet-beveiligde telefoons spelen nooit tonen af. Als de algemene gespreksstatus wijzigt tijdens het gesprek, verandert de indicatietoon en speelt de beveiligde telefoon de juiste toon af.

Een beveiligde telefoon speelt al dan niet een toon af onder de volgende omstandigheden:

  • Wanneer de optie Beveiligde indicatietoon afspelen is ingeschakeld:

    • Als end-to-end beveiligde media wordt opgezet en de gespreksstatus beveiligd is, speelt de telefoon de beveiligde indicatietoon af (drie lange piepjes met pauzes).

    • Als end-to-end niet-beveiligde media wordt opgezet en de gespreksstatus niet-beveiligd is, speelt de telefoon de niet-beveiligde indicatietoon af (zes korte piepjes met korte pauzes).

Als de optie Beveiligde indicatietoon afspelen is uitgeschakeld, wordt er geen toon afgespeeld.

Codering voor inbreken leveren

Cisco Unified Communications Manager controleert de telefoonbeveiligingsstatus wanneer conferenties tot stand worden gebracht. Daarnaast wijzigt u de beveiligingsindicatie voor de conferentie of blokkeert u de voltooiing van het gesprek om de integriteit en beveiliging in het systeem te handhaven.

Een gebruiker kan niet inbreken in een gecodeerd gesprek als de telefoon die wordt gebruikt voor inbreken, niet is geconfigureerd voor codering. Wanneer het inbreken mislukt, wordt een herkiestoon (snelle bezettoon) afgespeeld op de telefoon waarop het inbreken is gestart.

Als de telefoon van de initiator is geconfigureerd voor codering, kan de initiator inbreken in een onbeveiligd gesprek vanaf de gecodeerde telefoon. Na het inbreken classificeert Cisco Unified Communications Manager het gesprek als niet-beveiligd.

Als de telefoon van de initiator is geconfigureerd voor codering, kan de initiator inbreken in een gecodeerd gesprek en op de telefoon wordt aangegeven dat het gesprek is gecodeerd.

WLAN-beveiliging

Omdat alle WLAN-apparaten die binnen het bereik zijn al het andere WLAN-verkeer kunnen ontvangen, is beveiligde spraakcommunicatie van cruciaal belang in WLAN's. Om ervoor te zorgen dat indringers het spraakverkeer niet manipuleren of onderscheppen, ondersteunt de Cisco SAFE Security-architectuur de telefoon. Zie voor meer informatie over beveiliging in netwerken http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

De Cisco draadloze IP-telefonieoplossing biedt draadloze netwerkbeveiliging die ongeautoriseerde aanmeldingen en verstoorde communicatie voorkomt door de volgende verificatiemethoden te gebruiken die door de telefoon worden ondersteund:

  • Open verificatie: Elk draadloos apparaat kan verificatie aanvragen in een open systeem. Het toegangspunt dat het verzoek ontvangt, verleent verificatie aan een aanvrager of alleen aan aanvragers in een lijst met gebruikers. De communicatie tussen het draadloze apparaat en het toegangspunt (AP) kan niet-gecodeerd zijn.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Deze client-server beveiligingsarchitectuur codeert EAP-transacties binnen een TLS-tunnel (Transport Level Security) tussen het AP en de RADIUS-server, zoals Identity Services Engine (ISE).

    De TLS-tunnel gebruikt PAC (Protected Access Credentials) voor verificatie tussen de client (telefoon) en de RADIUS-server. De server verzendt een Authority ID (AID) naar de client (telefoon), die op zijn beurt de juiste PAC selecteert. De client (telefoon) retourneert een PAC-Opaque naar de RADIUS-server. De server decodeert de PAC met de primaire sleutel. Beide eindpunten bevatten nu de PAC-sleutel en er wordt een TLS-tunnel gemaakt. EAP-FAST ondersteunt automatische PAC-inrichting, maar u moet dit inschakelen op de RADIUS-server.

    In ISE verloopt de PAC standaard over één week. Als de telefoon een verlopen PAC heeft, duurt verificatie met de RADIUS-server langer terwijl de telefoon een nieuwe PAC krijgt. Als u vertragingen in de PAC-levering wilt voorkomen, stelt u de PAC-vervalperiode in op 90 dagen of langer op de ISE- of RADIUS-server.

  • EAP-TLS-verificatie (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vereist een clientcertificaat voor verificatie en netwerktoegang. Voor draadloze EAP-TLS kan het clientcertificaat een MIC-, LSC- of door de gebruiker geïnstalleerd certificaat zijn.

  • Protected Extensible Authentication Protocol (PEAP): Cisco's eigen op wachtwoorden gebaseerde wederzijdse verificatieschema tussen de client (telefoon) en een RADIUS-server. De telefoon kan PEAP gebruiken voor verificatie met het draadloze netwerk. Zowel de PEAP-MSCHAPV2- als PEAP-GTC-verificatiemethoden worden ondersteund.

  • Vooraf gedeelde sleutel (PSK): De telefoon ondersteunt de ASCII-indeling. U moet deze indeling gebruiken wanneer u een vooraf gedeelde WPA/WPA2/SAE-sleutel instelt:

    ASCII: een reeks ASCII-tekens met een lengte van 8 tot 63 tekens (0-9, kleine letters en hoofdletters A-Z en speciale tekens)

    Bijvoorbeeld: GREG123567@9ZX&W

De volgende verificatieschema's gebruiken de RADIUS-server om verificatiesleutels te beheren:

  • wpa/wpa2/wpa3: Gebruikt RADIUS-serverinformatie om unieke sleutels voor verificatie te genereren. Omdat deze sleutels op de centrale RADIUS-server zijn gegenereerd, biedt WPA2/WPA3 meer beveiliging dan vooraf gedeelde WPA-sleutels die zijn opgeslagen op het toegangspunt en de telefoon.

  • Snelle beveiligde roaming: Gebruikt de RADIUS-server en de gegevens van een draadloze domeinserver (WDS) voor het beheren en verifiëren van sleutels. De WDS maakt een cache met beveiligingsgegevens voor clientapparaten met FT-ondersteuning voor snelle en veilige verificatie. Cisco bureautelefoon 9861 en 9871 en Cisco videotelefoon 8875 ondersteunen 802.11r (FT). Zowel over the air als over de DS worden ondersteund voor snelle beveiligde roaming. Maar we raden u sterk aan de 802.11r (FT)-methode te gebruiken.

Met WPA/WPA2/WPA3 worden coderingssleutels niet ingevoerd op de telefoon, maar automatisch afgeleid tussen het toegangspunt en de telefoon. Maar de EAP-gebruikersnaam en het wachtwoord die worden gebruikt voor de verificatie, moeten op elke telefoon worden ingevoerd.

Om ervoor te zorgen dat spraakverkeer veilig is, ondersteunt de telefoon TKIP en AES voor codering. Als deze mechanismen voor codering worden gebruikt, worden zowel de SIP-signaleringspakketten als Real-Time Transport Protocol (RTP) spraakpakketten gecodeerd tussen het toegangspunt en de telefoon.

tkip

WPA maakt gebruik van TKIP-codering die verschillende verbeteringen heeft ten opzichte van WEP. TKIP biedt sleutelcodering per pakket en langere initialisatievectoren (IV's) die de codering versterken. Bovendien zorgt een MIC (Message Integrity Check) ervoor dat gecodeerde pakketten niet worden gewijzigd. TKIP verwijdert de voorspelbaarheid van WEP die indringers helpt de WEP-sleutel te ontcijferen.

aes

Een coderingsmethode die wordt gebruikt voor WPA2/WPA3-verificatie. Deze nationale standaard voor codering gebruikt een symmetrisch algoritme dat dezelfde sleutel voor codering en decodering heeft. AES gebruikt CBC-codering (Cipher Blocking Chain) van 128 bits groot, die minimaal de sleutelgrootten 128 bits, 192 bits en 256 bits ondersteunt. De telefoon ondersteunt een sleutelgrootte van 256 bits.

Cisco bureautelefoon 9861 en 9871 en Cisco Video Phone 8875 ondersteunen Cisco Key Integrity Protocol (CKIP) met CMIC niet.

Verificatie- en coderingschema's worden ingesteld binnen het draadloze LAN. VLAN's zijn geconfigureerd in het netwerk en op de toegangspunten en geven verschillende verificatie- en coderingscombinaties op. Een SSID wordt gekoppeld aan een VLAN en het specifieke verificatie- en coderingsschema. Voor een geslaagde verificatie van draadloze clientapparaten moet u dezelfde SSID's configureren met de verificatie- en coderingschema's op de toegangspunten en op de telefoon.

Sommige verificatieschema's vereisen specifieke coderingstypen.

  • Wanneer u vooraf gedeelde WPA-sleutel, vooraf gedeelde WPA2-sleutel of SAE gebruikt, moet de vooraf gedeelde sleutel statisch zijn ingesteld op de telefoon. Deze sleutels moeten overeenkomen met de sleutels op het toegangspunt.

  • De telefoon ondersteunt automatische EAP-onderhandeling voor FAST of PEAP, maar niet voor TLS. Voor de EAP-TLS-modus moet u deze opgeven.

De verificatie- en coderingschema's in de volgende tabel geven de netwerkconfiguratieopties weer voor de telefoon die overeenkomt met de toegangspuntconfiguratie.

Tabel 6. Verificatie- en coderingschema's
FSR-typeVerificatieSleutelbeheerCoderingBeschermd beheerframe (PMF)
802.11r (FT)PSK

wpa-psk

wpa-psk-sha256

ft-psk

aesNee
802.11r (FT)WPA3

ernstige

ft-sae

aesJa
802.11r (FT)EAP-TLS

WPA-EAP

ft-eap

aesNee
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

aesJa
802.11r (FT)EAP-FAST

WPA-EAP

ft-eap

aesNee
802.11r (FT)eap-fast (wpa3)

wpa-eap-sha256

ft-eap

aesJa
802.11r (FT)EAP-PEAP

WPA-EAP

ft-eap

aesNee
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap

aesJa

Draadloos LAN-profiel configureren

U kunt uw draadloze netwerkprofiel beheren door de referenties, de frequentieband, de verificatiemethode, enzovoort te configureren.

Houd rekening met de volgende opmerkingen voordat u het WLAN-profiel configureert:

  • Gebruikersnaam en wachtwoord

    • Wanneer uw netwerk EAP-FAST en PEAP voor gebruikersverificatie gebruikt, moet u zowel de gebruikersnaam als het wachtwoord configureren als de RADIUS (Remote Authentication Dial-In User Service) en de telefoon.

    • De referenties die u invoert in het draadloze LAN-profiel moeten identiek zijn aan de referenties die u hebt geconfigureerd op de RADIUS-server.

    • Als u domeinen binnen uw netwerk gebruikt, moet u de gebruikersnaam en de domeinnaam invoeren in de volgende indeling: domein\gebruikersnaam.

  • De volgende acties kunnen ertoe leiden dat het bestaande Wi-Fi-wachtwoord wordt gewist:

    • Een ongeldige gebruikers-id of een ongeldig wachtwoord invoeren
    • Een ongeldige of verlopen basis-CA installeren wanneer het EAP-type is ingesteld op PEAP-MSCHAPV2 of PEAP-GTC
    • Het in gebruik zijnde EAP-type uitschakelen op de RADIUS-server voordat de telefoon naar het nieuwe EAP-type wordt overgeschakeld
  • Als u het EAP-type wilt wijzigen, moet u eerst het nieuwe EAP-type op de RADIUS-server inschakelen en vervolgens de telefoon overschakelen op het EAP-type. Wanneer alle telefoons zijn gewijzigd in het nieuwe EAP-type, kunt u het vorige EAP-type uitschakelen.
1

Selecteer in Cisco Unified Communications Manager Administration Apparaat > Apparaatinstellingen > Draadloos LAN-profiel.

2

Kies het netwerkprofiel dat u wilt configureren.

3

Stel de parameters in.

4

Klik op Opslaan.

De SCEP-parameters configureren

Simple Certificate Enrollment Protocol (SCEP) is de standaard voor het automatisch inrichten en vernieuwen van certificaten. De SCEP-server kan automatisch uw gebruikers- en servercertificaten onderhouden.

U moet de volgende SCEP-parameters configureren op de webpagina van de telefoon

  • RA IP-adres

  • SHA-1 of SHA-256 vingerafdruk van het CA-basiscertificaat voor de SCEP-server

De Cisco IOS Registration Authority (RA) dient als proxy voor de SCEP-server. De SCEP-client op de telefoon gebruikt de parameters die worden gedownload van Cisco Unified Communication Manager. Nadat u de parameters hebt geconfigureerd, verzendt de telefoon een SCEP-getcs -aanvraag naar de RA en wordt het CA-basiscertificaat gevalideerd met de gedefinieerde vingerafdruk.

Voordat u begint

Configureer op de SCEP-server de SCEP Registration Agent (RA) voor:

  • Optreden als een PKI-vertrouwenspunt
  • Fungeren als een PKI RA
  • Apparaatverificatie uitvoeren met een RADIUS-server

Raadpleeg de documentatie van uw SCEP-server voor meer informatie.

1

Selecteer in Cisco Unified Communications Manager Administration Apparaat > Telefoon.

2

Zoek de telefoon.

3

Blader naar het gedeelte Productspecifieke configuratielay-out .

4

Schakel het selectievakje WLAN SCEP-server in om de SCEP-parameter te activeren.

5

Schakel het selectievakje WLAN Root CA Fingerprint (SHA256 of SHA1) in om de SCEP QED-parameter te activeren.

De ondersteunde versies van TLS instellen

U kunt de minimale versie van TLS instellen die vereist is voor client en server.

Standaard is de minimale TLS-versie van server en client beide 1.2. De instelling is van invloed op de volgende functies:

  • HTTPS-webtoegangsverbinding
  • Onboarding voor telefoon op locatie
  • Onboarding voor Mobile and Remote Access (MRA)
  • HTTPS-services, zoals de adreslijstservices
  • Datagram Transport Layer Security (DTLS)
  • Port Access Entity (PAE)
  • EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Zie TLS 1.3-compatibiliteitsmatrix voor Cisco-samenwerkingsproducten voor meer informatie over de TLS 1.3-compatibiliteit voor Cisco IP-telefoons.

1

Meld u aan bij Cisco Unified Communications Manager Administration als beheerder.

2

Navigeer naar een van de volgende vensters:

  • Systeem > Bedrijfstelefoonconfiguratie
  • Apparaat > Apparaatinstellingen > Algemeen telefoonprofiel
  • Apparaat > Telefoon > Telefoonconfiguratie
3

Stel het veld TLS-clientmin-versie in:

De optie 'TLS 1.3' is beschikbaar op Cisco Unified CM 15SU2 of hoger.
  • TLS 1.1: De TLS-client ondersteunt de versies van TLS van 1.1 tot 1.3.

    Als de TLS-versie op de server lager is dan 1.1, bijvoorbeeld 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.2 (standaard): De TLS-client ondersteunt TLS 1.2 en 1.3.

    Als de TLS-versie op de server lager is dan 1.2, bijvoorbeeld 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.3: De TLS-client ondersteunt alleen TLS 1.3.

    Als de TLS-versie op de server lager is dan 1.3, bijvoorbeeld 1.2, 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

4

Stel het veld TLS-servermin-versie in:

  • TLS 1.1: De TLS-server ondersteunt de versies van TLS van 1.1 tot 1.3.

    Als de TLS-versie in de client lager is dan 1.1, bijvoorbeeld 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.2 (standaard): De TLS-server ondersteunt TLS 1.2 en 1.3.

    Als de TLS-versie in de client lager is dan 1.2, bijvoorbeeld 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.3: De TLS-server ondersteunt alleen TLS 1.3.

    Als de TLS-versie in de client lager is dan 1.3, bijvoorbeeld 1.2, 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

Vanaf de PhoneOS 3.2-release heeft de instelling van het veld 'TLS 1.0 en TLS 1.1 uitschakelen voor webtoegang' geen invloed op de telefoons.
5

Klik op Opslaan.

6

Klik op Configuratie toepassen.

7

Start de telefoons opnieuw op.

SIP verzekerde services

Assured Services SIP(AS-SIP) is een verzameling van functies en protocollen die een zeer veilige gespreksstroom bieden voor Cisco IP-telefoons en telefoons van derden. De volgende functies worden gezamenlijk AS-SIP genoemd:

  • Multilevel Precedence and Preemption (MLPP)
  • Differentiated Services Code Point (DSCP)
  • Transport Layer Security (TLS) en Secure Real-time Transport Protocol (SRTP)
  • Internet Protocol versie 6 (IPv6)

AS-SIP wordt vaak gebruikt met Multilevel Precedence and Preemption (MLPP) om gesprekken tijdens een noodgeval voorrang te geven. Met MLPP kunt u een prioriteitsniveau toewijzen aan uw uitgaande gesprekken, van niveau 1 (laag) tot niveau 5 (hoog). Wanneer u een gesprek ontvangt, wordt een pictogram voor het voorrangsniveau weergegeven op de telefoon waarmee de prioriteit van het gesprek wordt aangegeven.

Voer de volgende taken uit in Cisco Unified Communications Manager om AS-SIP te configureren:

  • Configureer een Digest-gebruiker: configureer de eindgebruiker om digestverificatie te gebruiken voor SIP-aanvragen.
  • Configureer de beveiligde poort van de SIP-telefoon: Cisco Unified Communications Manager gebruikt deze poort om te luisteren naar SIP-telefoons voor SIP-lijnregistraties via TLS.
  • Services opnieuw starten: na het configureren van de beveiligde poort, start u de Cisco Unified Communications Manager- en Cisco CTL Provider-services opnieuw op. Configureer het SIP-profiel voor AS-SIP: configureer een SIP-profiel met SIP-instellingen voor de AS-SIP-eindpunten en de SIP-trunks. De telefoonspecifieke parameters worden niet gedownload naar een AS-SIP-telefoon van derden. Ze worden alleen gebruikt door Cisco Unified Manager. Telefoons van derden moeten lokaal dezelfde instellingen configureren.
  • Configureer het telefoonbeveiligingsprofiel voor AS-SIP: U kunt het telefoonbeveiligingsprofiel gebruiken om beveiligingsinstellingen toe te wijzen zoals TLS, SRTP en digestverificatie.
  • Configureer het AS-SIP-eindpunt: configureer een Cisco IP-telefoon of een eindpunt van derden met ondersteuning voor AS-SIP.
  • Apparaat koppelen aan eindgebruiker: koppel het eindpunt aan een gebruiker.
  • Configureer een beveiligingsprofiel SIP-trunk voor AS-SIP: u kunt het beveiligingsprofiel SIP-trunk gebruiken om beveiligingsfuncties zoals TLS of digestverificatie toe te wijzen aan een SIP-trunk.
  • Configureer de SIP-trunk voor AS-SIP: configureer een SIP-trunk met ondersteuning voor AS-SIP.
  • Configureer AS-SIP-functies: configureer aanvullende AS-SIP-functies zoals MLPP, TLS, V.150 en IPv6.

Zie het hoofdstuk 'AS-SIP-eindpunten configureren' in de Handleiding voor functieconfiguratie voor Cisco Unified Communications Manager voor meer informatie over het configureren van AS-SIP.

Prioriteit en preëmptie op meerdere niveaus

Met MLPP (Multilevel Precedence and Preemption) kunt u gesprekken tijdens noodsituaties of andere crisissituaties voorrang geven. U wijst een prioriteit toe aan uw uitgaande gesprekken van 1 tot 5. Bij binnenkomende gesprekken wordt een pictogram en de prioriteit van het gesprek weergegeven. Geverifieerde gebruikers kunnen gesprekken vooraf doorsturen naar bepaalde stations of via volledig geabonneerde TDM-trunks.

Deze mogelijkheid verzekert dat topfunctionarissen kunnen communiceren met essentiële organisaties en personeel.

MLPP wordt vaak gebruikt met AS-SIP (Assured Services SIP). Meer informatie over het configureren van MLPP vindt u in het hoofdstuk Multilevel Precedence and Preemption configureren in de Functieconfiguratiehandleiding voor Cisco Unified Communications Manager.