Du kan gjøre det mulig for Cisco Unified Communications Manager å operere i et forbedret sikkerhetsmiljø. Med disse forbedringene fungerer telefonnettverket ditt under et sett med strenge sikkerhets- og risikostyringskontroller for å beskytte deg og brukerne dine.

Det forbedrede sikkerhetsmiljøet inkluderer følgende funksjoner:

  • Godkjenning av kontaktsøk.

  • TCP som standardprotokoll for logging av ekstern revisjon.

  • FIPS-modus.

  • Forbedret legitimasjonspolicy.

  • Støtte til SHA-2-familien av hash-koder for digitale signaturer.

  • Støtte for en RSA nøkkelstørrelse på 512 biter og 4096 biter.

Med Cisco Unified Communications Manager versjon 14.0 og fastvareversjon for Cisco Video Phone 2.1 og nyere støtter telefonene SIP OAuth-godkjenning.

OAuth støttes for Proxy Trivial File Transfer Protocol (TFTP) med Cisco Unified Communications Manager versjon 14.0(1)SU1 eller nyere. Proxy TFTP og OAuth for Proxy TFTP støttes ikke på Mobile Remote Access (MRA).

For mer informasjon om sikkerhet, se følgende:

Telefonen kan bare lagre et begrenset antall ITL-filer (Identity Trust List). ITL-filer kan ikke overstige 64K på telefonen, så begrens antall filer som Cisco Unified Communications Manager sender til telefonen.

Støttede sikkerhetsfunksjoner

Sikkerhetsfunksjoner beskytter mot trusler, inkludert trusler mot telefonens identitet og data. Disse funksjonene etablerer og opprettholder godkjente kommunikasjonsstrømmer mellom telefonen og Cisco Unified Communications Manager-serveren, og sørger for at telefonen bare bruker digitalt signerte filer.

Cisco Unified Communications Manager versjon 8.5(1) og nyere inkluderer Sikkerhet som standard, som gir følgende sikkerhetsfunksjoner for Cisco IP-telefoner uten å kjøre CTL-klienten:

  • Signering av telefonkonfigurasjonsfiler

  • Kryptering av telefonkonfigurasjonsfil

  • HTTPS med Tomcat og andre webtjenester

Sikre signaliserings- og mediefunksjoner krever fortsatt at du kjører CTL-klienten og bruker maskinvare eTokens.

Implementering av sikkerhet i Cisco Unified Communications Manager-systemet hindrer identitetstyveri av telefonen og Cisco Unified Communications Manager-serveren, hindrer manipulering av data og hindrer manipulering av samtalesignalisering og mediestrøm.

For å motvirke disse truslene etablerer og opprettholder Cisco IP-telefoninettverket sikre (krypterte) kommunikasjonsstrømmer mellom en telefon og serveren, signerer filer digitalt før de overføres til en telefon og krypterer mediestrømmer og samtalesignalisering mellom Cisco IP-telefoner.

Et lokalt viktig sertifikat (LSC) installeres på telefoner etter at du utfører de nødvendige oppgavene som er knyttet til CAPF (Certificate Authority Proxy Function). Du kan bruke Cisco Unified Communications Manager Administration til å konfigurere et LSC-sertifikat, som beskrevet i sikkerhetsveiledningen for Cisco Unified Communications Manager. Du kan også starte installasjonen av et LSC-sertifikat fra menyen Sikkerhetsinnstillinger på telefonen. Denne menyen lar deg også oppdatere eller fjerne et LSC-sertifikat.

Et LSC kan ikke brukes som brukersertifikat for EAP-TLS med WLAN-godkjenning.

Telefonene bruker telefonens sikkerhetsprofil, som definerer om enheten er usikret eller sikker. Hvis du vil ha informasjon om hvordan du bruker sikkerhetsprofilen på telefonen, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.

Hvis du konfigurerer sikkerhetsrelaterte innstillinger i Cisco Unified Communications Manager Administration, inneholder telefonkonfigurasjonsfilen sensitiv informasjon. For å sikre personvernet til en konfigurasjonsfil må du konfigurere den for kryptering. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.

Telefonen er i samsvar med FIPS (Federal Information Processing Standard). FIPS-modus krever en nøkkelstørrelse på 2048 biter eller større for å fungere riktig. Hvis sertifikatet er mindre enn 2048 biter, registreres ikke telefonen i Cisco Unified Communications Manager, og telefonen kunne ikke registreres. Sertifikatnøkkelstørrelsen er ikke kompatibel med FIPS vises på telefonen.

Hvis telefonen har en LSC, må du oppdatere LSC-nøkkelstørrelsen til 2048 biter eller større før du aktiverer FIPS.

Tabellen nedenfor gir en oversikt over sikkerhetsfunksjonene som telefonene støtter. Du finner mer informasjon i dokumentasjonen for din versjon av Cisco Unified Communications Manager.

Hvis du vil vise sikkerhetsmodusen, trykker du på Innstillinger den harde nøkkelen Innstillinger og går til Nettverk og tjeneste > Sikkerhetsinnstillinger.

Tabell 1. Oversikt over sikkerhetsfunksjoner

Funksjon

Beskrivelse

Bildegodkjenning

Signerte binære filer hindrer manipulering av fastvareavbildningen før den lastes inn på en telefon.

Manipulering av bildet fører til at en telefon mislykkes godkjenningsprosessen og avviser det nye bildet.

Installasjon av sertifikat på kundestedet

Hver Cisco IP-telefon krever et unikt sertifikat for enhetsgodkjenning. Telefoner har et produsentinstallert sertifikat (MIC), men for ekstra sikkerhet kan du angi sertifikatinstallasjon i Cisco Unified Communications Manager Administration ved hjelp av CAPF (Certificate Authority Proxy Function). Alternativt kan du installere et viktig lokalt sertifikat (LSC) fra menyen Sikkerhetskonfigurasjon på telefonen.

Enhetsgodkjenning

Forekommer mellom Cisco Unified Communications Manager-serveren og telefonen når hver enhet godtar sertifikatet til den andre enheten. Fastslår om en sikker tilkobling mellom telefonen og en Cisco Unified Communications Manager skal opprettes, og om nødvendig oppretter en sikker signalbane mellom enhetene ved hjelp av TLS-protokollen. Cisco Unified Communications Manager registrerer ikke telefoner med mindre den kan godkjenne dem.

Filgodkjenning

Validerer digitalt signerte filer som telefonen laster ned. Telefonen validerer signaturen for å sikre at filen ikke ble manipulert etter at filen ble opprettet. Filer som ikke godkjennes, skrives ikke til Flash-minnet på telefonen. Telefonen avviser slike filer uten videre behandling.

Filkryptering

Kryptering hindrer at sensitiv informasjon blir avslørt mens filen overføres til telefonen. I tillegg validerer telefonen signaturen for å sikre at filen ikke ble manipulert etter at filen ble opprettet. Filer som ikke godkjennes, skrives ikke til Flash-minnet på telefonen. Telefonen avviser slike filer uten videre behandling.

Signaliseringsgodkjenning

Bruker TLS-protokollen til å validere at signaliseringspakker ikke har blitt manipulert under overføringen.

Produsentinstallert sertifikat

Hver Cisco IP-telefon inneholder et unikt produsentinstallert sertifikat (MIC) som brukes til enhetsgodkjenning. MIC-sertifikatet gir et permanent unikt bevis på telefonens identitet og gjør det mulig for Cisco Unified Communications Manager å godkjenne telefonen.

Kryptering av medier

Bruker SRTP til å sikre at mediestrømmene mellom støttede enheter er sikre, og at bare den tiltenkte enheten mottar og leser dataene. Inkluderer oppretting av et mediehovednøkkelpar for enhetene, levering av nøklene til enhetene og sikring av levering av nøklene mens nøklene er under transport.

CAPF (Certificate Authority Proxy Function)

Implementerer deler av sertifikatgenereringsprosedyren som er for behandlingsintensiv for telefonen, og samhandler med telefonen for nøkkelgenerering og sertifikatinstallasjon. CAPF-en kan konfigureres til å be om sertifikater fra kundespesifiserte sertifiseringsinstanser på vegne av telefonen, eller den kan konfigureres til å generere sertifikater lokalt.

Både EC-nøkkeltypene (Elliptical Curve) og RSA støttes. Hvis du vil bruke EC-nøkkelen, må du kontrollere at parameteren «Endpoint Advanced Encryption Algorithms Support» (fra System > Bedriftsparameter) er aktivert.

Hvis du vil ha mer informasjon om CAPF og relaterte konfigurasjoner, kan du se følgende dokumenter:

Sikkerhetsprofil

Definerer om telefonen er usikret, godkjent, kryptert eller beskyttet. Andre oppføringer i denne tabellen beskriver sikkerhetsfunksjoner.

Krypterte konfigurasjonsfiler

Lar deg sikre personvernet til telefonkonfigurasjonsfilene.

Valgfri deaktivering av webserver for en telefon

Av sikkerhetsgrunner kan du forhindre tilgang til telefonens nettsider (som viser forskjellige driftsstatistikk for telefonen) og selvhjelpsportalen.

Forsterkning av telefonen

Ytterligere sikkerhetsalternativer som du kontrollerer fra Cisco Unified Communications Manager Administration:

  • deaktivering av PC-porten
  • deaktivering av Gratuitous ARP (GARP)
  • deaktivering av tilgang til tale-VLAN for PC
  • deaktivering av tilgang til Innstillinger-menyen eller tildeling av begrenset tilgang
  • Deaktivere tilgang til nettsider for en telefon
  • deaktivering av Bluetooth-tilbehørsport
  • Begrense TLS-chifre

802.1X-godkjenning

Cisco IP-telefon kan bruke 802.1X-godkjenning til å be om og få tilgang til nettverket. Se 802.1X-godkjenning for mer informasjon.

Sikker SIP-failover for SRST

Når du har konfigurert en SRST-referanse (Survivable Remote Site Telephony) for sikkerhet og deretter tilbakestilt de avhengige enhetene i Cisco Unified Communications Manager Administration, legger TFTP-serveren til SRST-sertifikatet i filen cnf.xml og sender filen til telefonen. En sikker telefon bruker deretter en TLS-tilkobling til å samhandle med den SRST-aktiverte ruteren.

Signaliseringskobling

Sikrer at alle SIP-signaliseringsmeldinger som sendes mellom enheten og Cisco Unified Communications Manager-serveren, er kryptert.

Alarm for oppdatering av klareringsliste

Når klareringslisten oppdateres på telefonen, mottar Cisco Unified Communications Manager en alarm for å indikere om oppdateringen var vellykket eller mislykket. Se tabellen nedenfor for mer informasjon.

AES 256-kryptering

Når telefonene er koblet til Cisco Unified Communications Manager versjon 10.5(2) og nyere, støtter de AES 256-kryptering for TLS og SIP for signalisering og mediekryptering. Dette gjør det mulig for telefoner å starte og støtte TLS 1.2-tilkoblinger ved hjelp av AES-256-baserte chifre som samsvarer med SHA-2-standardene (Secure Hash Algorithm) og er i samsvar med FIPS (Federal Information Processing Standards). Chifrene inkluderer:

  • For TLS-tilkoblinger:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • For sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Se dokumentasjonen for Cisco Unified Communications Manager for mer informasjon.

ECDSA-sertifikater (Elliptic Curve Digital Signature Algorithm)

Som en del av CC-sertifiseringen (Common Criteria) har Cisco Unified Communications Manager lagt til ECDSA-sertifikater i versjon 11.0. Dette påvirker alle Voice Operating System (VOS)-produkter som kjører CUCM 11.5 og nyere versjoner.

Tomcat-sertifikat for flere servere (SAN) med Cisco UCM

Telefonen støtter Cisco UCM med flere servere (SAN) Tomcat-sertifikater konfigurert. Den riktige TFTP-serveradressen finnes i telefonens ITL-fil for registrering.

For mer informasjon om funksjonen, se følgende:

Tabellen nedenfor inneholder alarmmeldingene for oppdatering av klareringsliste og betydning. Se dokumentasjonen for Cisco Unified Communications Manager for mer informasjon.

Tabell 2. Alarmmeldinger for oppdatering av klareringsliste
Kode og melding Beskrivelse

1 - T_SUKSESS

Mottatt ny CTL og/eller ITL

2 - CTL_FØRSTE_SUKSESS

Mottatt ny CTL, ingen eksisterende TL

3 - ITL_FØRSTE_SUKSESS

Mottatt ny ITL, ingen eksisterende TL

4 - TL_FØRSTE_SUKSESS

Mottatt ny CTL og ITL, ingen eksisterende TL

5 - TL_MISLYKTES_GAMMEL_CTL

Oppdatering til ny CTL mislyktes, men har tidligere TL

6 - T_MISLYKTES_N_T

Oppdatering til ny TL mislyktes, og har ingen gammel TL

7 - TL_MISLYKTES

Generisk feil

8 - TL_MISLYKTES_GAMMEL_ITL

Oppdatering til ny ITL mislyktes, men har tidligere TL

9 - T_MISLYKTES_GAMMEL_T

Oppdatering til ny TL mislyktes, men har tidligere TL

Menyen Sikkerhetsoppsett gir informasjon om ulike sikkerhetsinnstillinger. Menyen gir også tilgang til menyen Klareringsliste og angir om CTL- eller ITL-filen er installert på telefonen.

Tabellen nedenfor beskriver alternativene i menyen Sikkerhetsoppsett.

Tabell 3. Meny for sikkerhetsoppsett

Opsjon

Beskrivelse

For å endre

Sikkerhetsmodus

Viser sikkerhetsmodusen som er angitt for telefonen.

Fra Cisco Unified Communications Manager Administration velger du Enhet > Telefon. Innstillingen vises i delen Protokollspesifikk informasjon i vinduet Telefonkonfigurasjon.

lsc

Angir om et viktig lokalt sertifikat som brukes for sikkerhetsfunksjoner, er installert på telefonen (installert) eller ikke er installert på telefonen (ikke installert).

Hvis du vil ha informasjon om hvordan du administrerer LSC-sertifikatet for telefonen, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.

Konfigurere et viktig lokalt sertifikat (LSC)

Denne oppgaven gjelder for å konfigurere et LSC med godkjenningsstrengmetoden.

Før du begynner

Kontroller at sikkerhetskonfigurasjonene for Cisco Unified Communications Manager og CAPF-funksjonen (Certificate Authority Proxy Function) er fullført:

  • CTL- eller ITL-filen har et CAPF-sertifikat.

  • Kontroller at CAPF-sertifikatet er installert i Cisco Unified Communications Operating System Administration.

  • CAPF-funksjonen kjører og er konfigurert.

Hvis du vil ha mer informasjon om disse innstillingene, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.

1

Hent CAPF-godkjenningskoden som ble angitt da CAPF ble konfigurert.

2

Trykk på Innstillinger den harde nøkkelen Innstillinger på telefonen.

3

Hvis du blir bedt om det, skriver du inn passordet for å få tilgang til Innstillinger -menyen. Du kan få passordet fra administratoren din.

4

Gå til Nettverk og tjeneste > Sikkerhetsinnstillinger > LSC.

Du kan kontrollere tilgangen til menyen Innstillinger ved hjelp av feltet Innstillingstilgang i Cisco Unified Communications Manager Administration.

5

Skriv inn godkjenningsstrengen og velg Send inn.

Telefonen begynner å installere, oppdatere eller fjerne LSC-sertifikatet, avhengig av hvordan CAPF er konfigurert. Når prosedyren er fullført, vises Installert eller Ikke installert på telefonen.

Installasjons-, oppdaterings- eller fjerningsprosessen for LSC kan ta lang tid å fullføre.

Når installasjonsprosedyren for telefonen er vellykket, vises meldingen Installert . Hvis telefonen viser Ikke installert, kan det hende at autorisasjonsstrengen er feil, eller at telefonoppgraderingen ikke er aktivert. Hvis CAPF-operasjonen sletter LSC-sertifikatet, viser telefonen Ikke installert for å indikere at operasjonen var vellykket. CAPF-serveren logger feilmeldingene. Se dokumentasjonen for CAPF-serveren for å finne loggene og forstå betydningen av feilmeldingene.

Aktiver FIPS-modus

1

I Cisco Unified Communications Manager Administration velger du Enhet > Telefon og finner telefonen.

2

Gå til området Produktspesifikk konfigurasjon .

3

Sett feltet FIPS-modus til Aktivert.

4

Velg Lagre.

5

Velg Bruk konfigurasjon.

6

Start telefonen på nytt.

Slå av høyttaleren, hodetelefonen og håndsettet på en telefon

Du har muligheten til å slå av høyttaleren, hodetelefonene og håndsettet permanent på en telefon for brukeren.

1

I Cisco Unified Communications Manager Administration velger du Enhet > Telefon og finner telefonen.

2

Gå til området Produktspesifikk konfigurasjon .

3

Merk av i én eller flere av følgende avmerkingsbokser for å slå av telefonens funksjoner:

  • Deaktiver høyttaleren
  • Deaktiver høyttaler og headset
  • Deaktiver håndsett

Som standard er disse avmerkingsboksene ikke merket av.

4

Velg Lagre.

5

Velg Bruk konfigurasjon.

802.1X-godkjenning

Cisco IP-telefon støtter 802.1X-godkjenning.

Cisco IP-telefoner og Cisco Catalyst-svitsjer bruker tradisjonelt Cisco Discovery Protocol (CDP) til å identifisere hverandre og bestemme parametere som VLAN-tildeling og innebygde strømkrav. CDP identifiserer ikke lokalt tilknyttede arbeidsstasjoner. Cisco IP-telefon har en EAPOL-gjennomgangsmekanisme. Denne mekanismen gjør det mulig for en arbeidsstasjon som er koblet til Cisco IP-telefon, å sende EAPOL-meldinger til 802.1X-godkjenneren ved LAN-svitsjen. Pass-through-mekanismen sikrer at IP-telefonen ikke fungerer som LAN-svitsjen for å godkjenne et dataendepunkt før den går inn på nettverket.

Cisco IP-telefon har også en proxy-EAPOL-logoff-mekanisme. Hvis den lokalt tilkoblede PC-en kobles fra IP-telefonen, vil ikke LAN-svitsjen se den fysiske koblingen mislykkes, fordi koblingen mellom LAN-svitsjen og IP-telefonen opprettholdes. For å unngå å kompromittere nettverksintegriteten sender IP-telefonen en EAPOL-Logoff-melding til svitsjen på vegne av nedstrøms-PC-en, som utløser LAN-svitsjen til å fjerne godkjenningsoppføringen for nedstrøms-PC-en.

Støtte for 802.1X-godkjenning krever flere komponenter:

  • Cisco IP-telefon: Telefonen starter forespørselen om å få tilgang til nettverket. Cisco IP-telefon inneholder en 802.1X-anmoder. Denne forespørselen gjør det mulig for nettverksadministratorer å kontrollere tilkoblingen av IP-telefoner til LAN-svitsjeportene. Den gjeldende versjonen av telefonens 802.1X-anmoder bruker alternativene EAP-FAST og EAP-TLS for nettverksgodkjenning.

  • Autentiseringsserver: Godkjenningsserveren og bryteren må begge konfigureres med en delt hemmelighet som godkjenner telefonen.

  • Svitsj: Svitsjen må støtte 802.1X, slik at den kan fungere som godkjenner og sende meldingene mellom telefonen og godkjenningsserveren. Etter at utvekslingen er fullført, gir eller nekter svitsjen telefonen tilgang til nettverket.

Du må utføre følgende handlinger for å konfigurere 802.1X.

  • Konfigurer de andre komponentene før du aktiverer 802.1X-godkjenning på telefonen.

  • Konfigurer PC-port: 802.1X-standarden tar ikke hensyn til VLAN-er, og anbefaler derfor at bare én enhet skal godkjennes til en bestemt svitsjeport. Noen svitsjer støtter imidlertid godkjenning på flere domener. Svitsjkonfigurasjonen avgjør om du kan koble en PC til telefonens PC-port.

    • Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du aktivere PC-porten og koble en PC til den. I dette tilfellet støtter Cisco IP-telefoner proxy EAPOL-logoff for å overvåke godkjenningsutvekslingene mellom svitsjen og den tilknyttede PC-en.

      Hvis du vil ha mer informasjon om støtte for IEEE 802.1X på Cisco Catalyst-svitsjene, kan du se konfigurasjonsveiledningene for Cisco Catalyst-svitsjene på:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Deaktivert: Hvis svitsjen ikke støtter flere 802.1X-kompatible enheter på samme port, må du deaktivere PC-porten når 802.1X-godkjenning er aktivert. Hvis du ikke deaktiverer denne porten og deretter prøver å koble en PC til den, nekter svitsjen nettverkstilgang til både telefonen og PC-en.

  • Konfigurer tale-VLAN: Siden 802.1X-standarden ikke tar hensyn til VLAN-er, bør du konfigurere denne innstillingen basert på svitsjstøtten.
    • Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du fortsette den for å bruke tale-VLAN.
    • Deaktivert: Hvis svitsjen ikke støtter godkjenning på flere domener, deaktiverer du Tale-VLAN og vurderer å tilordne porten til det opprinnelige VLAN.
  • (Kun for Cisco Desk Phone 9800-serien)

    Cisco Desk Phone 9800-serien har et annet prefiks i PID enn for de andre Cisco-telefonene. For å gjøre det mulig for telefonen å bestå 802.1X-godkjenning, angir du parameteren Radius·User-Name slik at den inkluderer Cisco Desk Phone 9800-serien.

    PID for telefon 9841 er for eksempel DP-9841. Du kan angi Radius·Brukernavn til Start med DP eller Inneholder DP. Du kan angi det i begge av følgende deler:

    • Retningslinjer > Vilkår > Biblioteksvilkår

    • Retningslinjer > Retningslinjer for retningslinjer > Godkjenningspolicy > Godkjenningsregel 1

Aktiver 802.1X-godkjenning

Du kan aktivere 802.1X-godkjenning for telefonen ved å følge disse trinnene:

1

Trykk på Innstillingerden harde nøkkelen Innstillinger.

2

Hvis du blir bedt om det, skriver du inn passordet for å få tilgang til Innstillinger -menyen. Du kan få passordet fra administratoren din.

3

Gå til Nettverk og tjeneste > Sikkerhetsinnstillinger > 802.1X-godkjenning.

4

Slå på IEEE 802.1X-godkjenning.

5

Velg Bruk.

Vis informasjon om sikkerhetsinnstillinger på telefonen

Du kan se informasjon om sikkerhetsinnstillingene på telefonmenyen. Tilgjengeligheten av informasjonen avhenger av nettverksinnstillingene i organisasjonen.

1

Trykk på Innstillingerinnstillingsnøkkelen.

2

Gå til Nettverk og tjeneste > Sikkerhetsinnstillinger.

3

Se følgende informasjon i Sikkerhetsinnstillinger.

Tabell 4. Parametre for sikkerhetsinnstillinger

Parametre

Beskrivelse

Sikkerhetsmodus

Viser sikkerhetsmodusen som er angitt for telefonen.

lsc

Angir om et viktig lokalt sertifikat som brukes for sikkerhetsfunksjoner er installert på telefonen (Ja) eller ikke er installert på telefonen (Nei).

Klareringsliste

Klareringslisten inneholder undermenyer for CTL-, ITL- og signerte konfigurasjonsfiler.

Undermenyen CTL-fil viser innholdet i CTL-filen. Undermenyen ITL-fil viser innholdet i ITL-filen.

Menyen Klareringsliste viser også følgende informasjon:

  • CTL-signatur: SHA1-hashen til CTL-filen
  • Unified CM/TFTP-server: navnet på Cisco Unified Communications Manager og TFTP-serveren som telefonen bruker. Viser et sertifikatikon hvis det er installert et sertifikat for denne serveren.
  • CAPF-server: navnet på CAPF-serveren som telefonen bruker. Viser et sertifikatikon hvis det er installert et sertifikat for denne serveren.
  • SRST-ruter: IP-adressen til den klarerte SRST-ruteren som telefonen kan bruke. Viser et sertifikatikon hvis det er installert et sertifikat for denne serveren.

Telefonsamtalesikkerhet

Når sikkerhet er implementert for en telefon, kan du identifisere sikre telefonsamtaler ved hjelp av ikoner på telefonskjermen. Du kan også finne ut om den tilkoblede telefonen er sikker og beskyttet hvis en sikkerhetstone spilles av i begynnelsen av samtalen.

I en sikker samtale krypteres alle anropssignaler og mediestrømmer. En sikker samtale gir et høyt sikkerhetsnivå, og gir samtalen integritet og personvern. Når en pågående samtale krypteres, kan du se sikkerhetsikonet låseikonet for en sikker samtale på linjen. For en sikker telefon kan du også vise det godkjente ikonet eller det krypterte ikonet ved siden av den tilkoblede serveren i telefonmenyen (Innstillinger > Om denne enheten).

Hvis anropet rutes gjennom anropsstrekninger som ikke er IP, for eksempel PSTN, kan anropet være usikret selv om den er kryptert i IP-nettverket og har et tilknyttet låseikon.

I en sikker samtale spilles det av en sikkerhetstone i begynnelsen av en samtale for å indikere at den andre tilkoblede telefonen også mottar og overfører sikker lyd. Hvis samtalen kobles til en usikret telefon, spilles ikke sikkerhetstonen av.

Sikre anrop støttes bare for tilkoblinger mellom to telefoner. Noen funksjoner, for eksempel konferanseanrop og delte linjer, er ikke tilgjengelige når en sikker samtale er konfigurert.

Når en telefon er konfigurert som sikker (kryptert og klarert) i Cisco Unified Communications Manager, kan den få en beskyttet status. Deretter, om ønskelig, kan den beskyttede telefonen konfigureres til å spille av en tone ved begynnelsen av en samtale:

  • Beskyttet enhet: Hvis du vil endre statusen for en sikker telefon til beskyttet, merker du av for Beskyttet enhet i vinduet Telefonkonfigurasjon i Cisco Unified Communications Manager Administration (Enhet > Telefon).

  • Spill av tone for sikker indikasjon: Hvis du vil gjøre det mulig for den beskyttede telefonen å spille av en tone for sikker eller usikker samtale, setter du innstillingen Spill av tone for sikker samtale til Sann. Som standard er Spill av tone for sikker indikasjon satt til Usann. Du angir dette alternativet i Cisco Unified Communications Manager Administration (System > Tjenesteparametere). Velg serveren og deretter tjenesten Unified Communications Manager. I vinduet Konfigurasjon av tjenesteparameter velger du alternativet i området Funksjon - Sikker tone. Standard er Usann.

Identifikasjon av sikker konferansesamtale

Du kan starte en sikker konferansesamtale og overvåke sikkerhetsnivået til deltakerne. En sikker konferansesamtale opprettes ved hjelp av denne prosessen:

  1. En bruker starter konferansen fra en sikker telefon.

  2. Cisco Unified Communications Manager tilordner en sikker konferansebro til samtalen.

  3. Etter hvert som deltakere legges til, kontrollerer Cisco Unified Communications Manager sikkerhetsmodusen for hver telefon og opprettholder sikkerhetsnivået for konferansen.

  4. Telefonen viser sikkerhetsnivået for konferansesamtalen. En sikker konferanse viser sikkerhetsikonet låseikonet for en sikker samtale.

Sikre anrop støttes mellom to telefoner. For beskyttede telefoner er noen funksjoner, for eksempel telefonkonferanse, delte linjer og mobilt internnummer, ikke tilgjengelige når en sikker samtale er konfigurert.

Tabellen nedenfor inneholder informasjon om endringer i sikkerhetsnivåene for konferansen avhengig av sikkerhetsnivået for initiativtakertelefonen, sikkerhetsnivåene for deltakerne og tilgjengeligheten av sikre konferansebroer.

Tabell 5. Sikkerhetsbegrensninger med konferansesamtaler

Sikkerhetsnivå for initiativtakertelefon

Funksjon brukt

Sikkerhetsnivå for deltakere

Resultater av handling

Usikret

Konferanse

Sikker

Usikret konferansebro

Usikret konferanse

Sikker

Konferanse

Minst ett medlem er usikkert.

Sikker konferansebro

Usikret konferanse

Sikker

Konferanse

Sikker

Sikker konferansebro

Sikker konferanse på kryptert nivå

Usikret

Møt meg

Minste sikkerhetsnivå er kryptert.

Initiativtakeren mottar meldingen Oppfyller ikke sikkerhetsnivå, anrop avvist.

Sikker

Møt meg

Minste sikkerhetsnivå er usikret.

Sikker konferansebro

Konferansen godtar alle anrop.

Identifikasjon av sikker telefonsamtale

En sikker samtale opprettes når telefonen, og telefonen i den andre enden, er konfigurert for sikker samtale. Den andre telefonen kan være i samme Cisco IP-nettverk eller på et nettverk utenfor IP-nettverket. Sikre anrop kan bare foretas mellom to telefoner. Konferansesamtaler bør støtte sikker samtale etter at en sikker konferansebro er konfigurert.

En sikker samtale opprettes ved hjelp av denne prosessen:

  1. En bruker starter samtalen fra en sikret telefon (sikret sikkerhetsmodus).

  2. Telefonen viser sikkerhetsikonet låseikonet for en sikker samtale på telefonskjermen. Dette ikonet angir at telefonen er konfigurert for sikre samtaler, men det betyr ikke at den andre tilkoblede telefonen også er sikret.

  3. Brukeren hører en sikkerhetstone hvis samtalen kobles til en annen sikker telefon, som angir at begge ender av samtalen er kryptert og sikret. Hvis anropet kobles til en usikret telefon, hører ikke brukeren sikkerhetstonen.

Sikre anrop støttes mellom to telefoner. For beskyttede telefoner er noen funksjoner, for eksempel telefonkonferanse, delte linjer og mobilt internnummer, ikke tilgjengelige når en sikker samtale er konfigurert.

Bare beskyttede telefoner spiller av disse tonene for sikre eller usikre anrop. Ubeskyttede telefoner spiller aldri av toner. Hvis den generelle samtalestatusen endres under samtalen, endres tonen, og den beskyttede telefonen spiller av den aktuelle tonen.

En beskyttet telefon spiller av en tone eller ikke under disse omstendighetene:

  • Når alternativet Spill av tone for sikker indikasjon er aktivert:

    • Når det opprettes sikre ende-til-ende-medier og samtalestatusen er sikker, spiller telefonen av tonen for sikker samtale (tre lange pip med pauser).

    • Når usikre ende-til-ende-medier etableres og samtalestatusen er usikre, spiller telefonen av tonen for usikre anrop (seks korte pip med korte pauser).

Hvis alternativet Spill av tone for sikker indikasjon er deaktivert, spilles ingen tone av.

Angi kryptering for å bryte inn

Cisco Unified Communications Manager kontrollerer telefonens sikkerhetsstatus når konferanser opprettes, og endrer sikkerhetsindikasjonen for konferansen eller blokkerer fullføringen av samtalen for å opprettholde integriteten og sikkerheten i systemet.

En bruker kan ikke bryte inn i en kryptert samtale hvis telefonen som brukes til å bryte inn, ikke er konfigurert for kryptering. Når innbryting i dette tilfellet mislykkes, spilles det en ny rekkefølge (rask opptattsignal) på telefonen som innbryting ble startet.

Hvis initiativtakertelefonen er konfigurert for kryptering, kan initiativtakeren til innbryting bryte inn i en usikret samtale fra den krypterte telefonen. Etter at innbrytingen har funnet sted, klassifiserer Cisco Unified Communications Manager samtalen som usikret.

Hvis initiativtakertelefonen er konfigurert for kryptering, kan initiativtakeren til innbryting bryte inn i en kryptert samtale, og telefonen angir at samtalen er kryptert.

WLAN-sikkerhet

Fordi alle WLAN-enheter som er innenfor rekkevidde, kan motta all annen WLAN-trafikk, er det viktig å sikre talekommunikasjon i WLAN-er. For å sikre at inntrengere ikke manipulerer eller fanger opp taletrafikk, støtter Ciscos SAFE Security-arkitektur telefonen. Hvis du vil ha mer informasjon om sikkerhet i nettverk, kan du se http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Ciscos løsning for trådløs IP-telefoni gir sikkerhet for trådløse nettverk som hindrer uautoriserte pålogginger og kompromittert kommunikasjon ved hjelp av følgende godkjenningsmetoder som telefonen støtter:

  • Åpne autentisering: Alle trådløse enheter kan be om godkjenning i et åpent system. Tilgangspunktet som mottar forespørselen, kan gi godkjenning til en hvilken som helst ansøger eller bare til anmodere som finnes på en liste over brukere. Kommunikasjon mellom den trådløse enheten og tilgangspunktet (AP) kan være ukryptert.

  • Extensible Authentication Protocol-Flexible Authentication via sikker tunnelering (EAP-FAST): Denne sikkerhetsarkitekturen for klient-server krypterer EAP-transaksjoner innenfor en TLS-tunnel (Transport Level Security) mellom tilgangspunktet og RADIUS-serveren, for eksempel Identity Services Engine (ISE).

    TLS-tunnelen bruker PAC-legitimasjon (Protected Access Credentials) for godkjenning mellom klienten (telefonen) og RADIUS-serveren. Serveren sender en Authority-ID (AID) til klienten (telefonen), som i sin tur velger riktig PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC-koden med primærnøkkelen. Begge endepunktene inneholder nå PAC-nøkkelen, og det opprettes en TLS-tunnel. EAP-FAST støtter automatisk klargjøring av PAC, men du må aktivere den på RADIUS-serveren.

    I ISE utløper PAC som standard om én uke. Hvis telefonen har en utløpt PAC, tar godkjenning med RADIUS-serveren lengre tid mens telefonen får en ny PAC. For å unngå forsinkelser i klargjøringen av PAC, sett utløpsperioden for PAC til 90 dager eller lenger på ISE- eller RADIUS-serveren.

  • Godkjenning av Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS krever et klientsertifikat for godkjenning og nettverkstilgang. For trådløs EAP-TLS kan klientsertifikatet være MIC-, LSC- eller brukerinstallert sertifikat.

  • Protected Extensible Authentication Protocol (PEAP): Ciscos egenutviklede passordbasert ordning for gjensidig godkjenning mellom klienten (telefonen) og en RADIUS-server. Telefonen kan bruke PEAP til godkjenning med det trådløse nettverket. Både godkjenningsmetodene PEAP-MSCHAPV2 og PEAP-GTC støttes.

  • Forhåndsdelt nøkkel (PSK): Telefonen støtter ASCII-format. Du må bruke dette formatet når du konfigurerer en forhåndsdelt WPA/WPA2/SAE-nøkkel:

    ASCII: en ASCII-tegnstreng med lengde mellom 8 og 63 tegn (0–9, små og store bokstaver A–Z og spesialtegn)

    Eksempel: GREG123567@9ZX&W

Følgende godkjenningsordninger bruker RADIUS-serveren til å administrere godkjenningsnøkler:

  • wpa/wpa2/wpa3: Bruker RADIUS-serverinformasjon til å generere unike nøkler for godkjenning. Fordi disse nøklene genereres på den sentraliserte RADIUS-serveren, gir WPA2/WPA3 mer sikkerhet enn forhåndsdelte WPA-nøkler som lagres på tilgangspunktet og telefonen.

  • Rask og sikker roaming: Bruker informasjon fra RADIUS-serveren og en trådløs domene-server (WDS) til å administrere og godkjenne nøkler. WDS oppretter en buffer med sikkerhetslegitimasjon for FT-aktiverte klientenheter for rask og sikker reautentisering. Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 støtter 802.11r (FT). Både over luften og over DS støttes for å muliggjøre rask og sikker roaming. Men vi anbefaler på det sterkeste å bruke 802.11r (FT) over luft-metoden.

Med WPA/WPA2/WPA3 angis ikke krypteringsnøkler på telefonen, men hentes automatisk mellom tilgangspunktet og telefonen. Men EAP-brukernavnet og -passordet som brukes til godkjenning, må angis på hver telefon.

For å sikre at taletrafikken er sikker støtter telefonen TKIP og AES for kryptering. Når disse mekanismene brukes til kryptering, krypteres både SIP-signalpakkene og talepakkene RTP (Real-Time Transport Protocol) mellom tilgangspunktet og telefonen.

tkip

WPA bruker TKIP-kryptering som har flere forbedringer i forhold til WEP. TKIP leverer nøkkelkryptering per pakke og lengre initialiseringsvektorer (IV-er) som styrker kryptering. I tillegg sikrer en meldingsintegritetskontroll (MIC) at krypterte pakker ikke endres. TKIP fjerner forutsigbarheten til WEP som hjelper inntrengere med å dechiffrere WEP-nøkkelen.

åes

En krypteringsmetode som brukes for WPA2-/WPA3-godkjenning. Denne nasjonale krypteringsstandarden bruker en symmetrisk algoritme som har samme nøkkel for kryptering og dekryptering. AES bruker 128-biters Cipher Blocking Chain (CBC) kryptering, som støtter nøkkelstørrelser på 128-biter, 192-biter og 256-biter, som et minimum. Telefonen støtter en nøkkelstørrelse på 256 biter.

Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 støtter ikke Cisco Key Integrity Protocol (CKIP) med CMIC.

Godkjennings- og krypteringsordninger konfigureres i det trådløse lokalnettverket. VLAN-er konfigureres i nettverket og på tilgangspunktene og spesifiserer forskjellige kombinasjoner av autentisering og kryptering. En SSID knytter seg til et VLAN og den bestemte godkjennings- og krypteringsordningen. For at trådløse klientenheter skal kunne godkjennes, må du konfigurere de samme SSID-ene med deres godkjennings- og krypteringsordninger på tilgangspunktene og på telefonen.

Noen godkjenningsordninger krever spesifikke typer kryptering.

  • Når du bruker forhåndsdelt WPA-nøkkel, forhåndsdelt WPA2-nøkkel eller SAE, må den forhåndsdelte nøkkelen angis statisk på telefonen. Disse nøklene må samsvare med nøklene på tilgangspunktet.

  • Telefonen støtter automatisk EAP-forhandling for FAST eller PEAP, men ikke for TLS. For EAP-TLS-modus må du angi det.

Godkjennings- og krypteringsordningene i tabellen nedenfor viser alternativene for nettverkskonfigurasjon for telefonen som tilsvarer AP-konfigurasjonen.

Tabell 6. Godkjennings- og krypteringsordninger
FSR-typeAutentiseringNøkkeladministrasjonKrypteringBeskyttet styringsramme (PMF)
802.11r (FT)psk

wpa-psk

wpa-psk-sha256

ft-psk

åesNei
802.11r (FT)WPA3

sae

ft-sae

åesJa
802.11r (FT)eap-tls

wpa-eap

ft-eap

åesNei
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

åesJa
802.11r (FT)eap-rask

wpa-eap

ft-eap

åesNei
802.11r (FT)eap-rask (wpa3)

wpa-eap-sha256

ft-eap

åesJa
802.11r (FT)eap-peap

wpa-eap

ft-eap

åesNei
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap

åesJa

Konfigurere trådløs LAN-profil

Du kan administrere den trådløse nettverksprofilen ved å konfigurere legitimasjon, frekvensbånd, godkjenningsmetode og så videre.

Husk følgende merknader før du konfigurerer WLAN-profilen:

  • Brukernavn og passord

    • Når nettverket bruker EAP-FAST og PEAP til brukergodkjenning, må du om nødvendig konfigurere både brukernavn og passord på Remote Authentication Dial-In User Service (RADIUS) og på telefonen.

    • Legitimasjonen du skriver inn i den trådløse LAN-profilen må være identisk med legitimasjonen du har konfigurert på RADIUS-serveren.

    • Hvis du bruker domener i nettverket, må du angi brukernavnet med domenenavnet, i formatet: domene\brukernavn.

  • Følgende handlinger kan føre til at det eksisterende Wi-Fi-passordet slettes:

    • Angi ugyldig bruker-ID eller passord
    • Installerer en ugyldig eller utløpt rot-CA når EAP-typen er satt til PEAP-MSCHAPV2 eller PEAP-GTC
    • deaktivering av EAP-typen i bruk på RADIUS-serveren før du bytter til den nye EAP-typen
  • Hvis du vil endre EAP-typen, må du først aktivere den nye EAP-typen på RADIUS-serveren, og deretter bytte telefonen til EAP-typen. Når alle telefonene har blitt endret til den nye EAP-typen, kan du deaktivere den forrige EAP-typen hvis du vil.
1

I Cisco Unified Communications Manager Administration velger du Enhet > Enhetsinnstillinger > Trådløs LAN-profil.

2

Velg nettverksprofilen du vil konfigurere.

3

Konfigurer parametrene.

4

Klikk på Lagre.

Konfigurere SCEP-parametrene

SCEP (Simple Certificate Enrollment Protocol) er standarden for automatisk klargjøring og fornyelse av sertifikater. SCEP-serveren kan automatisk vedlikeholde bruker- og serversertifikatene dine.

Du må konfigurere følgende SCEP-parametere på telefonnettsiden

  • RA IP-adresse

  • SHA-1 eller SHA-256 fingeravtrykk av rot-CA-sertifikatet for SCEP-serveren

Cisco IOS Registration Authority (RA) fungerer som proxy for SCEP-serveren. SCEP-klienten på telefonen bruker parameterne som lastes ned fra Cisco Unified Communication Manager. Når du har konfigurert parametrene, sender telefonen en SCEP getcs -forespørsel til RA, og rot-CA-sertifikatet valideres ved hjelp av det definerte fingeravtrykket.

Før du begynner

På SCEP-serveren konfigurerer du SCEP Registration Agent (RA) til å:

  • fungere som et tillitspunkt for PKI
  • Fungere som en PKI RA
  • Utfør enhetsgodkjenning ved hjelp av en RADIUS-server

Se dokumentasjonen for SCEP-serveren for mer informasjon.

1

Fra Cisco Unified Communications Manager Administration velger du Enhet > Telefon.

2

Finn telefonen.

3

Bla til området Produktspesifikt konfigurasjonsoppsett .

4

Merk av for WLAN SCEP Server for å aktivere SCEP-parameteren.

5

Merk av i avkrysningsboksen WLAN Root CA Fingerprint (SHA256 eller SHA1) for å aktivere SCEP QED-parameteren.

Konfigurer støttede versjoner av TLS

Du kan konfigurere minimumsversjonen av TLS som kreves for henholdsvis klient og server.

Som standard er minimum TLS-versjon for server og klient både 1.2. Denne innstillingen påvirker følgende funksjoner:

  • HTTPS-netttilgangstilkobling
  • Innføring for lokal telefon
  • Onboarding for Mobile and Remote Access (MRA)
  • HTTPS-tjenester, for eksempel katalogtjenester
  • Datagram Transport Layer Security (DTLS)
  • Porttilgangsenhet (PAE)
  • EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Hvis du vil ha mer informasjon om TLS 1.3-kompatibilitet for Cisco IP-telefoner, kan du se TLS 1.3-kompatibilitetsmatrise for Cisco Collaboration Products.

1

Logg på Cisco Unified Communications Manager Administration som administrator.

2

Naviger til ett av følgende vinduer:

  • System > Konfigurasjon av bedriftstelefon
  • Enhet > Enhetsinnstillinger > Felles telefonprofil
  • Enhet > Telefon > Telefonkonfigurasjon
3

Konfigurer feltet Min versjon av TLS-klienten :

«TLS 1.3»-alternativet er tilgjengelig på Cisco Unified CM 15SU2 eller nyere.
  • TLS 1.1: TLS-klienten støtter versjonene av TLS fra 1.1 til 1.3.

    Hvis TLS-versjonen på serveren for eksempel er lavere enn 1.1, 1.0, kan ikke tilkoblingen opprettes.

  • TLS 1.2 (standard): TLS-klienten støtter TLS 1.2 og 1.3.

    Hvis TLS-versjonen på serveren er lavere enn 1.2, for eksempel 1.1 eller 1.0, kan ikke tilkoblingen opprettes.

  • TLS 1.3: TLS-klienten støtter kun TLS 1.3.

    Hvis TLS-versjonen på serveren er lavere enn 1.3, for eksempel 1.2, 1.1 eller 1.0, kan ikke tilkoblingen opprettes.

4

Konfigurer feltet Min versjon av TLS-server :

  • TLS 1.1: TLS-serveren støtter versjonene av TLS fra 1.1 til 1.3.

    Hvis TLS-versjonen i klienten er lavere enn 1.1, for eksempel 1.0, kan ikke tilkoblingen opprettes.

  • TLS 1.2 (standard): TLS-serveren støtter TLS 1.2 og 1.3.

    Hvis TLS-versjonen i klienten er lavere enn 1.2, for eksempel 1.1 eller 1.0, kan ikke tilkoblingen opprettes.

  • TLS 1.3: TLS-serveren støtter kun TLS 1.3.

    Hvis TLS-versjonen i klienten er lavere enn 1.3, for eksempel 1.2, 1.1 eller 1.0, kan ikke tilkoblingen opprettes.

Fra PhoneOS 3.2-versjonen påvirker ikke innstillingen av feltet «Deaktiver TLS 1.0 og TLS 1.1 for webtilgang» på telefonene.
5

Klikk på Lagre.

6

Klikk på Bruk konfigurasjon.

7

Start telefonene på nytt.

Forsikrede tjenester SIP

Assured Services SIP (AS-SIP) er en samling funksjoner og protokoller som tilbyr en svært sikker samtaleflyt for Cisco IP-telefoner og tredjepartstelefoner. Følgende funksjoner er samlet kjent som AS-SIP:

  • Multilevel Precedence and Preemption (MLPP)
  • Differensierte tjenestekodepunkt (DSCP)
  • TLS (Transport Layer Security) og SRTP (Secure Real-time Transport Protocol)
  • Internet Protocol versjon 6 (IPv6)

AS-SIP brukes ofte med MLPP (Multilevel Precedence and Preemption) for å prioritere samtaler i nødsituasjoner. Med MLPP tilordner du et prioritetsnivå til utgående samtaler, fra nivå 1 (lav) til nivå 5 (høy). Når du mottar et anrop, vises et ikon for prioritetsnivå på telefonen som viser anropsprioriteten.

Hvis du vil konfigurere AS-SIP, fullfører du følgende oppgaver i Cisco Unified Communications Manager:

  • Konfigurer en digest-bruker – Konfigurer sluttbrukeren til å bruke digest-godkjenning for SIP-forespørsler.
  • Konfigurer sikker port for SIP-telefon – Cisco Unified Communications Manager bruker denne porten til å lytte til SIP-telefoner for SIP-linjeregistreringer over TLS.
  • Start tjenester på nytt – Når du har konfigurert den sikre porten, starter du tjenestene for Cisco Unified Communications Manager og Cisco CTL Provider på nytt. Konfigurer SIP-profil for AS-SIP-Konfigurer en SIP-profil med SIP-innstillinger for AS-SIP-endepunktene og for SIP-trunkene. De telefonspesifikke parameterne lastes ikke ned til en tredjeparts AS-SIP-telefon. De brukes bare av Cisco Unified Manager. Tredjepartstelefoner må konfigurere de samme innstillingene lokalt.
  • Konfigurer telefonsikkerhetsprofil for AS-SIP – Du kan bruke telefonsikkerhetsprofilen til å tilordne sikkerhetsinnstillinger som TLS, SRTP og digest-godkjenning.
  • Konfigurer AS-SIP-endepunkt – konfigurer en Cisco IP-telefon eller et tredjeparts endepunkt med AS-SIP-støtte.
  • Knytt enheten til sluttbruker – Knytt endepunktet til en bruker.
  • Konfigurer sikkerhetsprofil for SIP-trunk for AS-SIP – Du kan bruke sikkerhetsprofilen for SIP-trunk til å tilordne sikkerhetsfunksjoner som TLS eller digest-godkjenning til en SIP-trunk.
  • Konfigurer SIP-trunk for AS-SIP – Konfigurer en SIP-trunk med AS-SIP-støtte.
  • Konfigurer AS-SIP-funksjoner – konfigurer ytterligere AS-SIP-funksjoner som MLPP, TLS, V.150 og IPv6.

Hvis du vil ha detaljert informasjon om hvordan du konfigurerer AS-SIP, kan du se kapittelet «Konfigurere AS-SIP-endepunkter» i Veiledning for funksjonskonfigurasjon for Cisco Unified Communications Manager.

Prioritet og preemption på flere nivåer

Med Multilevel Precedence and Preemption (MLPP) kan du prioritere samtaler i nødsituasjoner eller andre krisesituasjoner. Du tilordner en prioritet til utgående anrop fra 1 til 5. Innkommende anrop viser et ikon og anropsprioriteten. Godkjente brukere kan foreta anrop enten til målstasjoner eller gjennom fullabonnerte TDM-trunker.

Denne kapasiteten sikrer høyt rangerende personell kommunikasjon til kritiske organisasjoner og personell.

MLPP brukes ofte med Assured Services SIP (AS-SIP). Hvis du vil ha detaljert informasjon om hvordan du konfigurerer MLPP, kan du se kapitlet Konfigurere multinivåprioritet og -preemption i Veiledning for funksjonskonfigurasjon for Cisco Unified Communications Manager.

Sett opp FAC og CMC

Når FAC-koder (Forced Authorization Codes) eller CMC-koder (Client Matter Codes), eller begge er konfigurert på telefonen, må brukerne angi de nødvendige passordene for å ringe ut et nummer.

Hvis du vil ha mer informasjon om hvordan du konfigurerer FAC og CMC i Cisco Unified Communications Manager, kan du se kapittelet «Klientsakskoder og tvungen godkjenningskoder» i Veiledning for funksjonskonfigurasjon for Cisco Unified Communications Manager, versjon 12.5(1) eller nyere.