W aplikacji Cisco Unified Communications Manager można włączyć środowisko pracy o zwiększonych zabezpieczeniach. Dzięki tym zabezpieczeniom sieć telefoniczna może działać zgodnie z zestawem ścisłych zasad zarządzania ryzykiem, używając formantów zarządzania ryzykiem chroniących Ciebie i Twoich użytkowników.

Środowisko pracy o zwiększonych zabezpieczeniach obejmuje następujące funkcje:

  • Uwierzytelnianie kontaktów społecznościowych.

  • TCP jako domyślny protokół zdalnego zapisywania wyników inspekcji w dzienniku.

  • Tryb FIPS.

  • Poprawiona usługa poświadczeń.

  • Obsługa funkcji skrótów SHA-2 dla podpisów cyfrowych.

  • Obsługa klucza RSA o długościach 512 i 4096 bitów.

W wersji Cisco Unified Communications Manager 14.0 oraz w wersji 2.1 i nowszych telefony obsługują uwierzytelnianie SIP OAuth.

Protokół OAuth jest obsługiwany przez protokół Proxy Trivial File Transfer Protocol (TFTP) z Cisco Unified Communications Manager wersji 14.0(1)SU1 lub nowszej. Usługa Proxy TFTP i OAuth for Proxy TFTP nie jest obsługiwana przez aplikację Mobile Remote Access (MRA).

Aby uzyskać dodatkowe informacje o zabezpieczeniach, zobacz:

W telefonie można przechowywać ograniczoną liczbę plików ITL (Identity Trust List). Należy ograniczyć liczbę plików ITL, które system Cisco Unified Communications Manager może przesłać na telefon, ponieważ nie może ona przekraczać 64 tys.

Obsługiwane funkcje zabezpieczeń

Funkcje zabezpieczeń chronią przed zagrożeniami, w tym zagrożeniami dotyczącymi tożsamości telefonu i danych. Te funkcje zakładają i utrzymują uwierzytelnione strumienie komunikacyjne pomiędzy telefonem a serwerem Cisco Unified Communications Manager oraz gwarantują, że telefon korzysta tylko z cyfrowo podpisanych plików.

Program Cisco Unified Communications Manager w wersji 8.5(1) lub nowszej ma domyślnie włączone wszystkie ustawienia zabezpieczeń, co zapewnia działanie następujących funkcji zabezpieczeń telefonów IP Cisco bez konieczności uruchamiania klienta CTL:

  • Podpisywanie plików konfiguracyjnych telefonu

  • Szyfrowanie pliku konfiguracyjnego telefonu

  • HTTPS z Tomcat i inne usługi sieci Web

Bezpieczne przekazywanie sygnału i funkcje multimedialne wciąż wymagają uruchomienia klienta CTL i użycia sprzętowych eTokenów.

Zaimplementowanie zabezpieczeń w systemie Cisco Unified Communications Manager uniemożliwi wykradanie tożsamości z telefonu i serwera Cisco Unified Communications Manager, zapobiegnie manipulowaniu danymi oraz uniemożliwi manipulowanie sygnałami połączeń i strumieniami mediów.

Aby zredukować te zagrożenia, w sieci telefonii IP firmy Cisco są ustanawiane i utrzymywane bezpieczne (szyfrowane) strumienie komunikacyjne między telefonem a serwerem, pliki są cyfrowo podpisywane przed wysłaniem do telefonu a strumienie mediów i sygnały połączeń między telefonami IP Cisco są szyfrowane.

Po wykonaniu wymaganych zadań związanych z Funkcją pełnomocnictw certyfikatu na telefonach zostanie zainstalowany Certyfikat znaczenia lokalnego (LSC, Locally Significant Certificate). W aplikacji Cisco Unified Communications Manager — administracja można skonfigurować certyfikat LSC, zgodnie z opisem w podręczniku Security Guide for Cisco Unified Communications Manager (Podręcznik zabezpieczeń programu Cisco Unified Communications Manager). Instalację LSC można również zainicjować z menu Ustawienia zabezpieczeń w telefonie. Za pośrednictwem tego menu można również zaktualizować lub usunąć certyfikat LSC.

Certyfikat LSC nie może być używany jako certyfikat użytkownika dla protokołu EAP-TLS uwierzytelniania sieci WLAN.

Telefony wykorzystują profil bezpieczeństwa telefonu, który określa, czy urządzenie jest niezabezpieczone, czy zabezpieczone. Więcej informacji na temat stosowania profilu zabezpieczenia w telefonie można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Jeśli w aplikacji Cisco Unified Communications Manager — administracja zostaną skonfigurowane ustawienia związane z bezpieczeństwem, plik konfiguracyjny telefonu będzie zawierać poufne informacje. W celu zapewnienia prywatności pliku konfiguracyjnego należy włączyć dla niego opcję szyfrowania danych. Szczegółowe informacje na ten temat można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Telefon jest zgodny ze standardem FIPS (Federal Information Processing Standard). Do poprawnego funkcjonowania tryb FIPS wymaga klucza o długości co najmniej 2048 bitów. Jeśli certyfikat nie ma przynajmniej 2048 bitów, telefon nie zostanie zarejestrowany w programie Cisco Unified Communications Manager i zostanie wyświetlony komunikat Nie można zarejestrować telefonu. Na telefonie wyświetlany jest komunikat Rozmiar klucza certyfikatu nie jest zgodny ze standardem FIPS.

Jeśli telefon nie ma certyfikatu LSC, przed włączeniem trybu FIPS niezbędne jest uaktualnienie rozmiaru klucza LSC do co najmniej 2048 bitów.

Poniższa tabela zawiera przegląd funkcji zabezpieczeń obsługiwanych przez te telefony. Więcej informacji na ten temat można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Aby wyświetlić tryb zabezpieczeń, naciśnij Ustawienia Twardy Ustawienia I przejdź do opcji Sieć i usługa > Ustawienia zabezpieczeń.

Tabela 1. Przegląd funkcji zabezpieczeń

Funkcja

Opis

Uwierzytelnianie obrazów

Podpisane pliki binarne uniemożliwiają manipulowanie obrazem oprogramowania sprzętowego przed wczytaniem go do telefonu.

Zmanipulowanie obrazu spowoduje niepowodzenie procesu uwierzytelniania i odrzucenie przez telefon nowego obrazu.

Instalacja certyfikatu w siedzibie klienta

Uwierzytelnianie urządzenia wymaga, aby każdy telefon IP Cisco miał niepowtarzalny certyfikat. Telefony zawierają certyfikat instalowany fabrycznie (manufacturing installed certificate, MIC), ale w celu zapewnienia dodatkowego bezpieczeństwa można wybrać w aplikacji Cisco Unified Communications Manager — administracja instalowanie certyfikatu za pomocą funkcji pełnomocnictw certyfikatu (Certificate Authority Proxy Function, CAPF). Można również zainstalować certyfikat ważny lokalnie (Locally Significant Certificate, LSC), korzystając z menu Security Configuration (Konfiguracja zabezpieczeń) w telefonie.

Uwierzytelnianie urządzenia

Zachodzi między serwerem Cisco Unified Communications Manager a telefonem, gdy każda ze stron akceptuje certyfikat drugiej strony. Zależy od tego, czy telefon może nawiązać bezpieczne połączenie z serwerem Cisco Unified Communications Manager. W razie potrzeby między obiema stronami tworzona jest zabezpieczona ścieżka sygnalizacyjna z użyciem protokołu TLS. Program Cisco Unified Communications Manager rejestruje telefony tylko wtedy, gdy może je uwierzytelnić.

Uwierzytelnianie plików

Służy do weryfikowania podpisanych cyfrowo plików, które pobiera telefon. Telefon sprawdza podpis, aby wykluczyć zmanipulowanie pliku po jego utworzeniu. Pliki, które nie przejdą uwierzytelniania, nie są zapisywane w pamięci flash telefonu. Telefon odrzuca takie pliki bez dalszego przetwarzania.

Szyfrowanie plików

Szyfrowanie zapobiega ujawnianiu poufnych informacji w trakcie przesyłania pliku do telefonu. Ponadto telefon sprawdza podpis, aby wykluczyć zmanipulowanie pliku po jego utworzeniu. Pliki, które nie przejdą uwierzytelniania, nie są zapisywane w pamięci flash telefonu. Telefon odrzuca takie pliki bez dalszego przetwarzania.

Uwierzytelnianie sygnalizowania

Protokół TLS jest wykorzystywany do weryfikacji, czy nie zmanipulowano przesyłanych pakietów sygnalizacyjnych.

Certyfikat instalowany fabrycznie

Każdy telefon IP Cisco IP zawiera niepowtarzalny certyfikat instalowany fabrycznie, który służy do uwierzytelniania urządzenia. Certyfikat MIC to trwały, unikatowy dowód tożsamości telefonu, umożliwiający jego uwierzytelnianie w programie Cisco Unified Communications Manager.

Szyfrowanie mediów

Funkcja ta korzysta z protokołu SRTP do weryfikowania bezpieczeństwa strumieni mediów między obsługiwanymi urządzeniami oraz do zagwarantowania, że dane może odebrać i odczytać tylko urządzenie, dla którego zostały przeznaczone. Proces ten obejmuje utworzenie dla urządzeń pary głównych kluczy mediów oraz bezpieczne dostarczenie kluczy do urządzeń.

Funkcja pełnomocnictw certyfikatu (ang. Certificate Authority Proxy Function, CAPF)

Realizuje elementy procedury generowania certyfikatu, które są zbyt obciążające dla telefonu, oraz komunikuje się z nim podczas generowania kluczy i instalowania certyfikatów. Funkcję CAPF można skonfigurować w taki sposób, aby w imieniu telefonu pobierała certyfikaty z urzędów certyfikacji wskazanych przez klienta lub generowała certyfikaty lokalnie.

Obsługiwane są zarówno typy kluczy EC (krzywa eliptyczna), jak i RSA. Aby użyć klucza EC, upewnij się, że parametr "Endpoint Advanced Encryption Algorithms Support" (z parametru System >Enterprise) jest włączony.

Więcej informacji o CAPF i pokrewnych konfiguracjach można znaleźć w następujących dokumentach:

Profil zabezpieczenia

Określa, czy telefon jest niezabezpieczony, uwierzytelniony, szyfrowany, czy chroniony. Pozostałe wpisy w tej tabeli opisują funkcje zabezpieczeń.

Szyfrowane pliki konfiguracyjne

Funkcja umożliwiająca zapewnienie poufności plików konfiguracyjnych telefonu.

Opcjonalne wyłączanie serwera WWW w telefonie

Ze względów bezpieczeństwa można zablokować dostęp do stron WWW telefonu (na których są wyświetlane różne statystyki pracy telefonu) i Portalu samoobsługowego.

Zwiększanie bezpieczeństwa telefonu

Dodatkowe opcje zabezpieczeń konfigurowane za pomocą aplikacji Cisco Unified Communications Manager — administracja:

  • Wyłączenie portu komputera
  • Wyłączenie protokołu Gratuitous ARP (GARP)
  • Wyłączenie dostępu do sieci Voice VLAN poprzez port komputera
  • Wyłączenie dostępu do menu ustawień lub zapewnienie ograniczonego dostępu
  • Wyłączenie dostępu do stron WWW telefonu
  • Wyłączenie portu akcesoriów Bluetooth
  • Ograniczanie szyfrów TLS

Uwierzytelnianie 802.1X

Telefon IP Cisco może korzystać z uwierzytelniania 802.1X przy żądaniu i uzyskiwaniu dostępu do sieci. Aby uzyskać więcej informacji, patrz Uwierzytelnianie 802.1X.

Bezpieczne przełączanie awaryjne w protokole SIP dla trybu SRST

Po skonfigurowaniu referencji trybu SRST (Survivable Remote Site Telephony) na potrzeby zabezpieczeń, a następnie wyzerowaniu zależnych od niej urządzeń w aplikacji Cisco Unified Communications Manager — administracja serwer TFTP dodaje certyfikat trybu SRST do pliku cnf.xml i wysyła go do telefonu. Zabezpieczony telefon używa później połączenia TLS do komunikacji z routerem zgodnym z trybem SRST.

Szyfrowanie sygnalizowania

Zapewnia, że wszystkie komunikaty sygnalizacyjne SIP wysyłane między urządzeniem a serwerem programu Cisco Unified Communications Manager są szyfrowane.

Alarm o aktualizacji listy zaufanych

Po aktualizacji listy zaufanych w telefonie program Cisco Unified Communications Manager odbiera alarm informujący o powodzeniu lub niepowodzeniu aktualizacji. Poniższa tabela zawiera dodatkowe informacje.

Szyfrowanie AES 256

Po nawiązaniu połączenia z programem Cisco Unified Communications Manager w wersji 10.5(2) lub nowszej telefony obsługują szyfrowanie AES 256 w przypadku szyfrowania sygnalizacji i mediów w ramach protokołów TLS i SIP. Umożliwia to telefonom inicjowanie i obsługę połączeń TLS 1.2 z użyciem szyfrów opartych na AES 256, które są zgodne ze standardami SHA-2 (ang. Secure Hash Algorithm, bezpieczny algorytm wyznaczania wartości skrótu) i FIPS (Federal Information Processing Standards, federalne standardy przetwarzania informacji). Dostępne są następujące szyfry:

  • W przypadku połączeń TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • W przypadku połączeń sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Więcej wiadomości na ten temat można znaleźć w dokumentacji programu Cisco Unified Communications Manager.

Certyfikaty ECDSA (Elliptic Curve Digital Signature Algorithm)

W ramach certyfikacji Common Criteria (CC) do systemu Cisco Unified Communications Manager dodano certyfikaty ECDSA w wersji 11.0. Dotyczy to wszystkich produktów systemu Voice Operating System (VOS) w wersji CUCM 11.5 i nowszych wersjach.

Wieloserwerowy certyfikat (SAN) Tomcat z Cisco UCM

Telefon obsługuje Cisco UCM ze skonfigurowanymi certyfikatami wieloserwerowymi (SAN) Tomcat. Prawidłowy adres serwera TFTP można znaleźć w pliku ITL telefonu w celu rejestracji telefonu.

Aby uzyskać więcej informacji na temat tej funkcji, zobacz:

Poniższa tabela zawiera komunikaty alarmowe o aktualizacji listy zaufanych i wyjaśnienie ich znaczenia. Więcej wiadomości na ten temat można znaleźć w dokumentacji programu Cisco Unified Communications Manager.

Tabela 2. Komunikaty alarmowe o aktualizacji listy zaufanych
Kod i komunikat Opis

1 — TL_SUCCESS

Odebrano nowy plik CTL i/lub ITL

2 — CTL_INITIAL_SUCCESS

Odebrano nowy plik CTL, nie istnieje lista zaufanych

3 — ITL_INITIAL_SUCCESS

Odebrano nowy plik ITL, nie istnieje lista zaufanych

4 — TL_INITIAL_SUCCESS

Odebrano nowe pliki CTL i ITL, nie istnieje lista zaufanych

5 — TL_FAILED_OLD_CTL

Aktualizacja do nowego pliku CTL nie powiodła się, ale istnieje poprzednia lista zaufanych

6 — TL_FAILED_NO_TL

Aktualizacja do nowej listy zaufanych nie powiodła się i nie istnieje stara lista zaufanych

7 — TL_FAILED

Błąd ogólny

8 — TL_FAILED_OLD_ITL

Aktualizacja do nowego pliku ITL nie powiodła się, ale istnieje poprzednia lista zaufanych

9 — TL_FAILED_OLD_TL

Aktualizacja do nowej listy zaufanych nie powiodła się, ale istnieje poprzednia lista zaufanych

Menu Konfiguracja zabezpieczeń zawiera informacje o różnych ustawieniach zabezpieczeń. Menu umożliwia również dostęp do menu Lista zaufanych certyfikatów i wskazuje, czy w telefonie jest zainstalowany plik CTL lub ITL.

W poniższej tabeli opisano opcje dostępne w menu Konfiguracja zabezpieczeń.

Tabela 3. Menu konfiguracji zabezpieczeń

Opcja

Opis

Aby zmienić

Tryb zabezpieczeń

Podaje ustawiony w telefonie tryb zabezpieczeń.

W aplikacji Cisco Unified Communications Manager — administracja wybierz kolejno opcje Urządzenie > Telefon. To ustawienie znajduje się w sekcji Informacje specyficzne dla protokołu w oknie Konfiguracja telefonu.

LSC

Wskazuje, czy w telefonie jest zainstalowany certyfikat ważny lokalnie używany na potrzeby funkcji zabezpieczeń (Zainstalowano), czy nie jest zainstalowany w telefonie (Nie zainstalowano).

Więcej informacji na temat zarządzania certyfikatem LSC w telefonie można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Konfigurowanie certyfikatu obowiązującego lokalnie (LSC)

To zadanie dotyczy konfigurowania certyfikatu LSC przy użyciu metody ciągu uwierzytelniania.

Zanim rozpoczniesz

Należy się upewnić, że zostały już wprowadzone odpowiednie konfiguracje programu Cisco Unified Communications Manager i funkcji pełnomocnictw certyfikatu (ang. Certificate Authority Proxy Function, CAPF):

  • Plik CTL lub ITL zawiera certyfikat CAPF.

  • W aplikacji Cisco Unified Communications Operating System Administration należy sprawdzić, czy jest zainstalowany certyfikat CAPF.

  • Funkcja CAPF działa i jest skonfigurowana.

Więcej informacji o tych ustawieniach można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

1

Sprawdź kod uwierzytelnienia CAPF ustawiony przy konfigurowaniu funkcji CAPF.

2

Naciśnij na telefonie przycisk Ustawienia the Settings hard key.

3

Jeśli zostanie wyświetlony monit, wprowadź hasło, aby uzyskać dostęp do menu Ustawienia . Hasło można uzyskać od administratora.

4

Przejdź do opcji Sieć i usługa > Ustawienia zabezpieczeń >LSC .

Dostęp do menu Ustawienia można kontrolować w polu Settings Access (Dostęp do ustawień) w oknie Konfiguracja telefonu w aplikacji Cisco Unified Communications Manager — administracja.

5

Wprowadź ciąg uwierzytelniania i wybierz pozycję Prześlij.

Telefon rozpocznie instalowanie, aktualizowanie lub usuwanie certyfikatu ważnego lokalnie, w zależności od konfiguracji funkcji CAPF. Po zakończeniu procedury telefon wyświetla komunikat Installed (Zainstalowano) lub Not Installed (Nie zainstalowano).

Proces instalowania, aktualizowania lub usuwania certyfikatu ważnego lokalnie może długo potrwać.

Po pomyślnym zakończeniu instalowania w telefonie pojawia się komunikat Installed. Jeśli w telefonie zostanie wyświetlony komunikat Nie zainstalowano, ciąg uwierzytelnienia był nieprawidłowy lub w telefonie nie włączono funkcji uaktualniania. Jeśli w wyniku działania funkcji CAPF nastąpi usunięcie certyfikatu ważnego lokalnie, telefon wyświetli komunikat Not Installed, aby zasygnalizować powodzenie operacji. Serwer CAPF zapisuje w dzienniku komunikaty o błędach. Lokalizację dzienników i znaczenie komunikatów o błędach podano w dokumentacji serwera CAPF.

Włączanie trybu FIPS

1

W aplikacji Cisco Unified Communications Manager — administracja wybierz kolejno opcje Urządzenie > Telefon i zlokalizuj telefon.

2

Przejdź do obszaru Konfiguracja specyficzna dla produktu.

3

W polu Tryb FIPS wybierz opcję Włączone.

4

Kliknij przycisk Zapisz.

5

Kliknij przycisk Apply Config (Zastosuj konfigurację).

6

Uruchom ponownie telefon.

Wyłączanie zestawu głośnomówiącego, zestawu nagłownego i słuchawki w telefonie

Dostępne są opcje trwałego wyłączenia zestawu głośnomówiącego, zestawu nagłownego i słuchawki w telefonie.

1

W aplikacji Cisco Unified Communications Manager — administracja wybierz kolejno opcje Urządzenie > Telefon i zlokalizuj telefon.

2

Przejdź do obszaru Konfiguracja specyficzna dla produktu.

3

Zaznacz co najmniej jedno z poniższych pól wyboru, aby wyłączyć funkcje telefonu:

  • Wyłącz telefon głośnomówiący
  • Wyłącz telefon głośnomówiący i zestaw słuchawkowy
  • Wyłącz słuchawkę telefonu

Domyślnie te pola wyboru nie są zaznaczone.

4

Kliknij przycisk Zapisz.

5

Kliknij przycisk Apply Config (Zastosuj konfigurację).

Uwierzytelnianie 802.1X

Telefony IP Cisco obsługują uwierzytelnianie 802.1X.

Telefony IP Cisco i przełączniki Cisco Catalyst używają tradycyjnie protokołu CDP (Cisco Discovery Protocol) do identyfikowania siebie nawzajem i ustalania parametrów, np. przydziału sieci VLAN i wymagań dotyczących zasilania poprzez kabel sieciowy. Protokół CDP nie rozpoznaje podłączonych lokalnie stacji roboczych. Telefony IP Cisco udostępniają mechanizm przelotowy protokołu EAPOL. Umożliwia on stacji roboczej podłączonej do telefonu IP Cisco przekazywanie komunikatów protokołu EAPOL stronie uwierzytelniającej 802.1X w przełączniku sieci LAN. Dzięki mechanizmowi przelotowemu telefon IP nie musi pełnić funkcji przełącznika sieci LAN, aby uwierzytelnić punkt końcowy danych przed uzyskaniem dostępu do sieci.

Telefony IP Cisco udostępniają również mechanizm zastępczego wylogowywania w ramach protokołu EAPOL. W sytuacji, gdy podłączony lokalnie komputer przerwie połączenie z telefonem IP, przełącznik sieci LAN nie zauważy awarii łącza fizycznego, ponieważ łącze między przełącznikiem sieci LAN a telefonem IP zostanie zachowane. Aby zapobiec naruszeniu bezpieczeństwa sieci, telefon IP wysyła do przełącznika komunikat wylogowania w ramach protokołu EAPOL w imieniu komputera, co powoduje wyczyszczenie wpisu uwierzytelnienia komputera w przełączniku.

Obsługa uwierzytelniania 802.1X wymaga kilku składników:

  • Telefon IP Cisco: telefon inicjuje żądanie dostępu do sieci. Telefony IP Cisco zawierają stronę uwierzytelnianą 802.1X. Dzięki niej administratorzy sieci mogą kontrolować łączność telefonów IP z portami przełącznika sieci LAN. Bieżąca wersja strony uwierzytelnianej 802.1X w telefonach korzysta z opcji EAP-FAST i EAP-TLS do uwierzytelniania sieci.

  • Serwer uwierzytelniania: zarówno serwer uwierzytelniania, jak i przełącznik muszą być skonfigurowane przy użyciu wspólnego hasła, które uwierzytelnia telefon.

  • Przełącznik: Przełącznik musi obsługiwać 802.1X i pełni funkcję strony uwierzytelniającej, przekazuje komunikaty między telefonem a serwerem uwierzytelniania. Po zakończeniu wymiany komunikatów przełącznik przyznaje telefonowi dostęp do sieci lub odrzuca jego żądanie.

Aby skonfigurować uwierzytelnianie 802.1X:

  • Skonfiguruj pozostałe składniki, zanim włączysz w telefonie uwierzytelnianie 802.1X.

  • Skonfiguruj port komputera: w standardzie 802.1X nie uwzględniono sieci VLAN, więc zaleca się uwierzytelnianie tylko jednego urządzenia na każdym porcie przełącznika. Niektóre przełączniki obsługują jednak uwierzytelnianie w wielu domenach. Konfiguracja przełącznika określa, czy do portu komputera w telefonie można podłączyć komputer.

    • Włączone: jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz włączyć port komputera i podłączyć do niego komputer. W takim przypadku telefony IP Cisco obsługują zastępcze wylogowywanie w ramach protokołu EAPOL, aby monitorować wymianę komunikatów dotyczących uwierzytelniania między przełącznikiem a podłączonym komputerem.

      Więcej informacji o zgodności przełączników Cisco Catalyst ze standardem IEEE 802.1X można znaleźć w ich podręcznikach konfiguracji pod adresem:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Wyłączone: jeśli przełącznik nie obsługuje na tym samym porcie wielu urządzeń zgodnych ze standardem 802.1X, po włączeniu uwierzytelniania 802.1X wyłącz port komputera. W przeciwnym razie przy próbie podłączenia do niego komputera przełącznik odmówi dostępu do sieci zarówno telefonowi, jak i komputerowi.

  • Skonfiguruj opcję VLAN głosowy: w standardzie 802.1X nie uwzględniono sieci VLAN, więc skonfiguruj tę opcję zgodnie z zakresem obsługi uwierzytelniania przez przełącznik.
    • Włączone: jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz kontynuować korzystanie z sieci VLAN komunikacji głosowej.
    • Wyłączone: jeśli przełącznik nie obsługuje uwierzytelniania w wielu domenach, wyłącz opcję VLAN głosowy i rozważ przypisanie portu macierzystej sieci VLAN.
  • (Tylko dla telefonów biurkowych Cisco z serii 9800)

    Telefon biurkowy Cisco z serii 9800 ma inny prefiks w identyfikatorze PID niż inne telefony Cisco. Aby umożliwić telefonowi przekazywanie uwierzytelniania 802.1X, ustaw opcję Promień· Parametr User-Name (Nazwa użytkownika ), aby uwzględnić telefon biurkowy Cisco z serii 9800.

    Na przykład identyfikator PID telefonu 9841 to DP-9841; można ustawić promień· Nazwa użytkownika, która zaczyna się od DP lub zawiera DP. Można go ustawić w obu następujących sekcjach:

    • Zasady > Warunki > Warunki biblioteczne

    • Zasady > Zestawy zasad> Zasady autoryzacji > Reguła autoryzacji 1

Włącz uwierzytelnianie 802.1x

Możesz włączyć uwierzytelnianie 802.1X w telefonie, wykonując poniższe kroki:

1

Naciśnij przycisk Ustawieniathe Settings hard key.

2

Jeśli zostanie wyświetlony monit, wprowadź hasło, aby uzyskać dostęp do menu Ustawienia . Hasło można uzyskać od administratora.

3

Przejdź do opcji Sieć i usługa > Ustawienia zabezpieczeń> Uwierzytelnianie 802.1X.

4

Włącz uwierzytelnianie IEEE 802.1X.

5

Wybierz opcję Zastosuj.

Wyświetlanie informacji o ustawieniach zabezpieczeń w telefonie

Informacje o ustawieniach zabezpieczeń można wyświetlić w menu telefonu. Dostępność informacji zależy od ustawień sieciowych w organizacji.

1

Naciśnij przycisk Ustawieniathe Settings key.

2

Przejdź do opcji Sieć i usługa > Ustawienia zabezpieczeń.

3

W ustawieniach zabezpieczeń wyświetl następujące informacje.

Tabela 4. Parametry ustawień zabezpieczeń

Parametry

Opis

Tryb zabezpieczeń

Podaje ustawiony w telefonie tryb zabezpieczeń.

LSC

Wskazuje, czy w telefonie jest zainstalowany ważny lokalnie certyfikat używany na potrzeby zabezpieczeń (Tak lub Nie).

Lista zaufanych certyfikatów

Menu Lista zaufanych certyfikatów zawiera podmenu dla plików CTL, ITL i podpisanych plików konfiguracyjnych.

W podmenu Plik CTL jest wyświetlana zawartość pliku CTL. W podmenu Plik ITL jest wyświetlana zawartość pliku ITL.

W menu Lista zaufanych certyfikatów są również wyświetlane następujące informacje:

  • Sygnatura CTL: skrót SHA1 pliku CTL
  • Serwer Unified CM/TFTP: nazwa serwera programu Cisco Unified Communications Manager i serwera TFTP używanych przez telefon. Pokazuje ikonę certyfikatu, jeśli dla tego serwera jest zainstalowany certyfikat.
  • Serwer CAPF: nazwa serwera CAPF używanego przez telefon. Pokazuje ikonę certyfikatu, jeśli dla tego serwera jest zainstalowany certyfikat.
  • Router SRST: adres IP zaufanego routera SRST, z którego może korzystać telefon. Pokazuje ikonę certyfikatu, jeśli dla tego serwera jest zainstalowany certyfikat.

Zabezpieczenia połączeń telefonicznych

Gdy w telefonie zastosowane są zabezpieczenia, zabezpieczone połączenia telefoniczne można rozpoznać po ikonach na jego ekranie. Jeśli ponadto na początku połączenia odtwarzany jest sygnał dźwiękowy zabezpieczeń, wskazuje to, że połączony telefon jest zabezpieczony i chroniony.

W ramach połączenia zabezpieczonego wszystkie sygnały połączenia i strumienie mediów są szyfrowane. Połączenie zabezpieczone zapewnia wysoki poziom bezpieczeństwa, gwarantując brak zafałszowań i poufność rozmowy. Gdy trwające połączenie jest szyfrowane, widoczna jest ikona zabezpieczenia Ikona kłódki bezpiecznego połączenia Na linii. W przypadku bezpiecznego telefonu można również wyświetlić ikonę uwierzytelnienia Lub ikonę zaszyfrowanego Obok podłączonego serwera w menu telefonu (Ustawienia > Informacje o tym urządzeniu).

Jeśli połączenie jest trasowane za pośrednictwem dróg połączeń leżących poza siecią IP, np. poprzez publiczną komutowaną sieć telefoniczną, może ono być niezabezpieczone mimo że jest szyfrowane w obrębie sieci IP i oznaczone ikoną z kłódką.

Na początku połączenia zabezpieczonego odtwarzany jest sygnał dźwiękowy zabezpieczeń, wskazujący, że telefon po drugiej stronie również odbiera i wysyła zabezpieczone dane dźwiękowe. Jeśli użytkownik połączy się z niezabezpieczonym telefonem, nie usłyszy sygnału dźwiękowego zabezpieczeń.

Połączenia zabezpieczone są obsługiwane tylko między dwoma telefonami. Po skonfigurowaniu połączeń zabezpieczonych niektóre funkcje, np. połączenia konferencyjne i linie wspólne, są niedostępne.

Jeśli telefon jest skonfigurowany jako bezpieczny (zaszyfrowany i zaufany) w Cisco Unified Communications Manager, można mu nadać chroniony stan. Następnie w razie potrzeby można skonfigurować chroniony telefon w taki sposób, aby na początku połączenia odtwarzał sygnał dźwiękowy zabezpieczeń:

  • Protected Device (Chronione urządzenie): aby zmienić stan zabezpieczonego telefonu na chroniony, zaznacz pole wyboru Protected Device w oknie Konfiguracja telefonu w aplikacji Cisco Unified Communications Manager — administracja (Urządzenie > Telefon).

  • Play Secure Indication Tone (Emituj dźwięk wskazania zabezpieczeń): aby włączyć w chronionym telefonie odtwarzanie dźwięku wskazania zabezpieczonego lub niezabezpieczonego połączenia, wybierz dla opcji Play Secure Indication Tone ustawienie Prawda. Domyślnie dla opcji Play Secure Indication Tone wybrane jest ustawienie Fałsz. Można to zmienić w aplikacji Cisco Unified Communications Manager — administracja (System > Parametry usługi). Wybierz serwer, a następnie wybierz usługę Unified Communications Manager. W oknie Service Parameter Configuration (Konfiguracja parametrów usługi) wybierz odpowiednią opcję w obszarze Funkcja — Secure Tone (Sygnał dźwiękowy zabezpieczeń). Wartość domyślna to Fałsz.

Identyfikacja zabezpieczonych połączeń konferencyjnych

Można zainicjować zabezpieczone połączenie konferencyjne i monitorować poziom bezpieczeństwa jego uczestników. Procedura nawiązywania zabezpieczonego połączenia konferencyjnego:

  1. Użytkownik inicjuje konferencję za pomocą zabezpieczonego telefonu.

  2. Program Cisco Unified Communications Manager przypisuje połączeniu zabezpieczony mostek konferencyjny.

  3. W miarę dodawania uczestników program Cisco Unified Communications Manager weryfikuje tryb zabezpieczeń każdego telefonu, utrzymując poziom bezpieczeństwa konferencji.

  4. Telefon wyświetla poziom bezpieczeństwa połączenia konferencyjnego. Bezpieczna konferencja wyświetla ikonę bezpieczeństwa Ikona kłódki bezpiecznego połączenia.

Połączenia zabezpieczone są obsługiwane tylko między dwoma telefonami. W przypadku chronionych telefonów niektóre funkcje, np. połączenia konferencyjne, linie wspólne i funkcja Extension Mobility, są niedostępne po skonfigurowaniu połączeń zabezpieczonych.

W poniższej tabeli podano informacje o zmianach poziomu bezpieczeństwa konferencji w zależności od poziomu bezpieczeństwa telefonu jej inicjatora, poziomów bezpieczeństwa uczestników i dostępności zabezpieczonych mostków konferencyjnych.

Tabela 5. Ograniczenia zabezpieczeń w przypadku połączeń konferencyjnych

Poziom bezpieczeństwa telefonu inicjatora

Używana funkcja

Poziom bezpieczeństwa uczestników

Efekty działania

Niezabezpieczony

Połączenie konferencyjne

Secure

Niezabezpieczony mostek konferencyjny

Niezabezpieczona konferencja

Secure

Połączenie konferencyjne

Co najmniej jeden członek konferencji jest niezabezpieczony.

Zabezpieczony mostek konferencyjny

Niezabezpieczona konferencja

Secure

Połączenie konferencyjne

Secure

Zabezpieczony mostek konferencyjny

Konferencja zabezpieczona i szyfrowana

Niezabezpieczony

Meet Me

Minimalny poziom bezpieczeństwa to szyfrowany.

Inicjator odbiera komunikat Nie spełnia poziomu bezpieczeństwa, połączenie odrzucone.

Secure

Meet Me

Minimalny poziom bezpieczeństwa to niezabezpieczony.

Zabezpieczony mostek konferencyjny

Konferencja jest otwarta na wszystkie połączenia.

Identyfikacja zabezpieczonych połączeń telefonicznych

Połączenie zabezpieczone można nawiązać, gdy zarówno Twój telefon, jak i telefon rozmówcy jest skonfigurowany pod kątem obsługi takich połączeń. Telefon rozmówcy może należeć do tej samej sieci Cisco IP lub do innej sieci. Połączenia zabezpieczone można nawiązywać tylko między dwoma telefonami. Bezpieczne połączenia konferencyjne można nawiązywać po skonfigurowaniu zabezpieczonego mostka konferencyjnego.

Procedura nawiązywania połączenia zabezpieczonego:

  1. Użytkownik inicjuje połączenie za pomocą zabezpieczonego telefonu (działającego w trybie bezpiecznym).

  2. Na telefonie zostanie wyświetlona ikona zabezpieczeń Ikona kłódki bezpiecznego połączenia Na ekranie telefonu. Wskazuje ona, że telefon jest skonfigurowany pod kątem obsługi połączeń zabezpieczonych, ale nie oznacza, że telefon rozmówcy również działa w trybie bezpiecznym.

  3. Jeśli użytkownik połączy się z innym zabezpieczonym telefonem, usłyszy sygnał dźwiękowy zabezpieczeń, który wskazuje, że rozmowa jest po obu stronach szyfrowana i zabezpieczona. Jeśli użytkownik połączy się z niezabezpieczonym telefonem, nie usłyszy sygnału dźwiękowego zabezpieczeń.

Połączenia zabezpieczone są obsługiwane tylko między dwoma telefonami. W przypadku chronionych telefonów niektóre funkcje, np. połączenia konferencyjne, linie wspólne i funkcja Extension Mobility, są niedostępne po skonfigurowaniu połączeń zabezpieczonych.

Sygnał dźwiękowy zabezpieczeń emitują tylko zabezpieczone telefony. Niezabezpieczone telefony nigdy nie emitują tego sygnału. Jeśli w trakcie połączenia zmieni się jego ogólny stan, dźwięk wskazania ulegnie zmianie i zabezpieczony telefon wyemituje odpowiedni sygnał.

W poniższych okolicznościach zabezpieczony telefon emituje sygnał dźwiękowy lub nie:

  • Gdy włączona jest opcja Play Secure Indication Tone (Emituj dźwięk wskazania zabezpieczeń):

    • Kiedy nawiązano kompleksowe połączenie zabezpieczone, a stan połączenia również wskazuje, że jest ono zabezpieczone, telefon emituje dźwięk wskazania zabezpieczeń (trzy długie sygnały dźwiękowe z przerwami).

    • Kiedy nawiązano kompleksowe połączenie niezabezpieczone, a stan połączenia również wskazuje, że jest ono niezabezpieczone, telefon emituje dźwięk wskazania braku zabezpieczeń (sześć krótkich sygnałów dźwiękowych z krótkimi przerwami).

Gdy opcja Play Secure Indication Tone (Emituj dźwięk wskazania zabezpieczeń) jest wyłączona, nie są emitowane żadne sygnały dźwiękowe.

Zapewnianie szyfrowania dla wtrącania

Program Cisco Unified Communications Manager sprawdza stan zabezpieczeń telefonu podczas tworzenia konferencji, po czym zmienia wskazania zabezpieczeń konferencji lub blokuje ukończenie połączenia w celu zachowania integralności i bezpieczeństwa systemu.

Użytkownik nie można dokonać wtrącenia w przypadku zaszyfrowanego połączenia, jeśli telefon, który służy do wtrącenia, nie jest skonfigurowany do pracy z szyfrowaniem. Jeśli w takim przypadku wtrącenie nie powiedzie się, na telefonie inicjującym wtrącenie zostanie odtworzony sygnał zmiany ustawień (szybki sygnał zajętości).

Jeśli telefon inicjatora jest skonfigurowany do pracy z szyfrowaniem, inicjator wtrącenia może wtrącić się do niezabezpieczonego połączenia z szyfrowanego telefonu. Po wtrąceniu program Cisco Unified Communications Manager klasyfikuje takie połączenie jako niezabezpieczone.

Jeśli telefon inicjatora jest skonfigurowany do pracy z szyfrowaniem, inicjator wtrącenia może wtrącić się w zaszyfrowane połączenie, a telefon wskaże, że połączenie jest szyfrowane.

Zabezpieczenia WLAN

Ta sekcja dotyczy tylko modeli telefonów z Wi-Fi funkcjami.

Zabezpieczenia WLAN

Wszystkie urządzenia sieci WLAN znajdujące się w zasięgu mogą odbierać wszystkie dane przesyłane w sieci, dlatego zapewnienie bezpieczeństwa komunikacji głosowej ma krytyczne znaczenie dla sieci WLAN. Aby intruzi nie manipulowali ani nie przechwytywali ruchu głosowego, telefon jest oparty na architekturze Cisco SAFE Security. Więcej informacji o zabezpieczeniach w sieci można znaleźć na stronie http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rozwiązanie telefonii bezprzewodowej Cisco IP zapewnia zabezpieczenia sieci bezprzewodowej, które zapobiegają nieautoryzowanemu logowaniu i zagrożonej komunikacji przy użyciu następujących metod uwierzytelniania obsługiwanych przez telefon:

  • Otwarte uwierzytelnianie: dowolne urządzenie może zażądać uwierzytelnienia w systemie otwartym. Punkt dostępu, który odbiera żądanie, może udzielić uwierzytelniania dowolnemu żądającemu lub tylko tym żądającym, którzy znajdują się na liście użytkowników. Komunikacja między urządzeniem bezprzewodowym a punktem dostępowym (AP) może być nieszyfrowana.

  • Uwierzytelnianie elastyczne w protokole uwierzytelniania rozszerzonego za pośrednictwem bezpiecznego tunelowania (EAP-FAST): Ta architektura zabezpieczeń klient-serwer szyfruje EAP transakcje w tunelu Transport Level Security (TLS) między punktem dostępu a serwerem RADIUS, takim jak aparat usług tożsamości (ISE).

    Tunel TLS do uwierzytelniania między klientem (telefonem) a serwerem RADIUS używa protokołu PACs (Protected Access Credentials). Serwer wysyła do klienta (telefonu) identyfikator uwierzytelnienia (AID), który z kolei wybiera odpowiedni klucz PAC. Klient (telefon) zwraca wiadomość PAC-Opaque do serwera RADIUS. Serwer odszyfrowuje klucz PAC za pomocą klucza głównego. Oba punkty końcowe mają teraz klucz PAC, co umożliwia utworzenie tunelu TLS. Protokół EAP-FAST obsługuje automatyczne dostarczanie kluczy PAC, ale tę funkcję należy włączyć na serwerze RADIUS.

    W ISE domyślnie PAC wygasa za tydzień. Jeśli klucz PAC w telefonie jest nieważny, uwierzytelnianie z serwerem RADIUS trwa dłużej, gdy telefon pobiera nowy klucz PAC. Aby uniknąć opóźnień związanych z dostarczaniem klucza PAC, na serwerze ISE lub RADIUS ustaw okres ważności klucza PAC na 90 dni lub dłużej.

  • Uwierzytelnianie przy użyciu protokołu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): protokół EAP-TLS wymaga certyfikatu klienta do uwierzytelniania i dostępu do sieci. W przypadku EAP-TLS bezprzewodowych certyfikatem klienta może być certyfikat MIC, LSC lub certyfikat instalowany przez użytkownika.

  • Protokół PEAP (Protected Extensible Authentication Protocol): opracowany przez firmę Cisco protokół uwierzytelniania wzajemnego w oparciu o hasło między klientem (telefonem) a serwerem RADIUS. Telefon może używać PEAP do uwierzytelniania w sieci bezprzewodowej. Obsługiwane są metody uwierzytelniania PEAP-MSCHAPV2 i PEAP-GTC.

  • Klucz wstępny (PSK): telefon obsługuje format ASCII. Podczas konfigurowania klucza wstępnego WPA/WPA2/SAE należy użyć następującego formatu:

    ASCII: ciąg znaków ASCII o długości od 8 do 63 znaków (0–9, małe i duże litery A–Z oraz znaki specjalne)

    Przykład: GREG123567@9ZX&W

Następujące systemy uwierzytelnianie korzystają z serwera RADIUS do zarządzania kluczami uwierzytelniania:

  • WPA/WPA2/WPA3: Używa informacji o serwerze RADIUS do generowania unikatowych kluczy uwierzytelniania. Ponieważ klucze te są generowane na centralnym serwerze RADIUS, protokół WPA2/WPA3 zapewnia większe bezpieczeństwo w porównaniu z metodą WPA używającą wstępnych kluczy przechowywanych w punkcie dostępu w telefonie.

  • Szybki i bezpieczny roaming: używa informacji serwera RADIUS i serwera domeny bezprzewodowej do zarządzania kluczami i ich uwierzytelniania. Usługi wdrażania systemu Windows tworzą pamięć podręczną poświadczeń zabezpieczeń dla urządzeń klienckich z obsługą FT w celu szybkiego i bezpiecznego ponownego uwierzytelnienia. Telefony biurkowe Cisco 9861 i 9871 oraz Cisco Video Phone 8875 obsługują standard 802.11r (FT). Zarówno bezprzewodowo, jak i przez DS są obsługiwane, aby umożliwić szybki, bezpieczny roaming. Zalecamy jednak korzystanie z połączenia bezprzewodowego 802.11r (FT).

W przypadku WPA/WPA2/WPA3 klucze szyfrowania nie są wprowadzane w telefonie, ale są automatycznie pobierane między punktem dostępu a telefonem. Jednak nazwę użytkownika i hasło EAP, które są używane do uwierzytelniania, należy wprowadzić w każdym telefonie.

Aby zapewnić bezpieczeństwo ruchu głosowego, telefon obsługuje protokół TKIP i AES szyfrowania. Gdy te mechanizmy są używane do szyfrowania, zarówno sygnalizacyjne pakiety SIP, jak i głosowe pakiety protokołu transmisji w czasie rzeczywistym (RTP) są szyfrowane między punktem dostępu a telefonem.

TKIP

WPA korzysta z szyfrowania TKIP, które ma kilka ulepszeń w stosunku do WEP. Protokół TKIP udostępnia funkcję szyfrowania poszczególnych pakietów przy użyciu klucza oraz dłuższe wektory inicjowania (IV), co poprawia jakość szyfrowania. Ponadto sprawdzanie integralności wiadomości (MIC) zapewnia, że zaszyfrowane pakiety nie zostały zmienione. Protokół TKIP rozwiązuje problem z przewidywalnością protokołu WEP, która umożliwiała intruzom odszyfrowanie klucza WEP.

AES

Metoda szyfrowania używana do uwierzytelniania WPA2/WPA3. Ten krajowy standard szyfrowania korzysta z algorytmu symetrycznego, używającego tego samego klucza do szyfrowania i odszyfrowywania. Protokół AES używa szyfrowania CBC (Cipher Blocking Chain) dla bloków o rozmiarze 128 bitów, stosując klucze o minimalnej długości 128, 192 i 256 bitów. Telefon obsługuje klucz o rozmiarze 256 bitów.

Telefony Cisco Desk Phone 9861 i 9871 oraz Cisco Video Phone 8875 nie obsługują protokołu Cisco Key Integrity Protocol (CKIP) z CMIC.

Systemy uwierzytelniania i szyfrowania są konfigurowane w bezprzewodowej sieci LAN. W sieci bezprzewodowej i w punktach dostępu są konfigurowane sieci VLAN, dla których są wybierane różne kombinacje metod uwierzytelniania i szyfrowania. Identyfikator SSID skojarzony z siecią VLAN i określonym schematem uwierzytelniania i szyfrowania. Aby bezprzewodowe urządzenia klienckie mogły się pomyślnie uwierzytelnić, należy skonfigurować te same identyfikatory SSID wraz z ich schematami uwierzytelniania i szyfrowania w punktach dostępu i w telefonie.

Niektóre systemy uwierzytelniania wymagają określonych typów szyfrowania.

  • W przypadku korzystania WPA klucza wstępnego, klucza wstępnego WPA2 (SAE) klucz wstępny musi być statycznie ustawiony w telefonie. Te klucze muszą odpowiadać kluczom znajdującym się w punkcie dostępu.

  • Telefon obsługuje automatyczną negocjację EAP dla FAST lub PEAP, ale nie dla TLS. W przypadku trybu EAP-TLS należy go określić.

Schematy uwierzytelniania i szyfrowania w poniższej tabeli przedstawiają opcje konfiguracji sieci telefonu odpowiadającego konfiguracji punktu dostępu.

Tabela 6. Systemy uwierzytelniania i szyfrowania
Typ FSRUwierzytelnianieZarządzanie kluczamiSzyfrowanieChroniona ramka zarządzania (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNie
802.11r (FT)WPA3

SAE

FT-SAE

AESTak
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESTak
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESTak
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESTak

Konfigurowanie profilu bezprzewodowej sieci LAN

Możesz zarządzać profilem sieci bezprzewodowej, konfigurując poświadczenia, pasmo częstotliwości, metodę uwierzytelniania itd.

Zanim skonfigurujesz profil WLAN, pamiętaj o poniższych wskazówkach:

  • Nazwa użytkownika i hasło

    • Jeśli do uwierzytelniania użytkownika sieć wykorzystuje protokoły EAP-FAST i PEAP, w razie potrzeby należy skonfigurować zarówno nazwę użytkownika, jak i hasło w usłudze RADIUS (Remote Authentication Dial-In User Service) i w telefonie.

    • Dane uwierzytelniające wprowadzone w profilu bezprzewodowej sieci LAN muszą być identyczne z danymi uwierzytelniającymi skonfigurowanymi na serwerze RADIUS.

    • Jeśli w sieci są używane domeny, należy wprowadzić nazwę użytkownika oraz nazwę domeny w formacie: domena\nazwa użytkownika.

  • W wyniku następujących czynności aktualne hasło Wi-Fi może zostać wyczyszczone:

    • Wprowadzenie niepoprawnego identyfikatora użytkownika lub hasła
    • Zainstalowanie nieprawidłowego lub wygasłego hasła głównego urzędu certyfikacji, jeśli typ protokołu EAP jest ustawiony na PEAP MSCHAPV2 lub PEAP-GTC
    • Wyłączenie używanego typu EAP na serwerze RADIUS przed przełączeniem telefonu na nowy typ EAP
  • Aby zmienić typ EAP, najpierw włącz nowy typ EAP na serwerze RADIUS, a następnie przełącz telefon na ten typ EAP. Po zmianie typu EAP na nowy we wszystkich telefonach można wyłączyć poprzedni typu EAP, jeśli zajdzie taka potrzeba.
1

W aplikacji Cisco Unified Communications Manager — administracja wybierz kolejno opcje Urządzenie > Ustawienia urządzenia > Profil bezprzewodowy LAN.

2

Wybierz profil sieci, który chcesz skonfigurować.

3

Ustaw parametry.

4

Kliknij przycisk Zapisz.

Ręcznie zainstaluj certyfikat serwera uwierzytelniającego

W razie niedostępności protokołu Simple Certificate Enrollment Protocol (SCEP) można ręcznie zainstalować certyfikat serwera uwierzytelniania w telefonie.

W przypadku protokołu EAP-TLS musi być zainstalowany certyfikat głównego urzędu certyfikacji, który wydał certyfikat serwera RADIUS.

Zanim rozpoczniesz

Zanim będzie można zainstalować certyfikat w telefonie, trzeba zapisać na komputerze certyfikat serwera uwierzytelniania. Certyfikat musi być zakodowany w pliku PEM (Base-64) lub DER.

1

Na stronie WWW administrowania telefonem wybierz opcję Certyfikaty.

2

Znajdź pole Urząd certyfikacji serwera uwierzytelniania i kliknij polecenie Instaluj.

3

Przejdź do certyfikatu na swoim komputerze.

4

Kliknij przycisk Prześlij.

5

Po zakończeniu przekazywania ponownie uruchom telefon.

Jeśli ponownie zainstalujesz więcej niż jeden certyfikat, zostanie użyty tylko ten ostatnio zainstalowany.

Ręczne instalowanie certyfikatu użytkownika

W razie niedostępności protokołu Simple Certificate Enrollment Protocol (SCEP) można ręcznie zainstalować certyfikat użytkownika w telefonie.

Wstępnie zainstalowany Certyfikat instalowany fabrycznie (MIC, Manufacturing Installed Certififcate) może służyć jako certyfikat użytkownika dla protokołu EAP-TLS.

Po zainstalowaniu certyfikatu użytkownika należy dodać go do listy zaufanych certyfikatów serwera RADIUS.

Zanim rozpoczniesz

Zanim będzie można zainstalować certyfikat użytkownika dla telefonu, należy przygotować:

  • Certyfikat użytkownika zapisany na komputerze. Certyfikat musi być w formacie PKCS #12.

  • Hasło do wyodrębnienia certyfikatu.

    To hasło może mieć długość do 16 znaków.

1

Na stronie WWW administrowania telefonem wybierz opcję Certyfikaty.

2

Znajdź pole Zainstalowane przez użytkownika i kliknij opcję Instaluj.

3

Przejdź do certyfikatu na swoim komputerze.

4

W polu Hasło wyodrębniania wprowadź hasła wyodrębniania certyfikatu.

5

Kliknij przycisk Prześlij.

6

Po zakończeniu przekazywania ponownie uruchom telefon.

Ręczne usuwanie certyfikatu zabezpieczeń

Jeśli protokół SCEP (Simple Certificate Enrollment Protocol) jest niedostępny, można ręcznie usunąć certyfikat zabezpieczeń z telefonu.

1

Na stronie WWW administrowania telefonem wybierz opcję Certyfikaty.

2

Znajdź certyfikat na stronie Certyfikaty.

3

Kliknij pozycję Usuń.

4

Uruchom ponownie telefon po zakończeniu procesu usuwania.

Konfigurowanie parametrów SCEP

Protokół SCEP (Simple Certificate Enrollment Protocol) jest standardowym rozwiązaniem służącym do automatycznego dostarczania i odnawiania certyfikatów. Serwer SCEP może automatycznie utrzymywać certyfikaty użytkownika i serwera.

Na stronie WWW telefonu należy skonfigurować następujące parametry SCEP

  • Adres IP urzędu rejestrowania RA

  • Odciski linii papilarnych certyfikatu głównego urzędu certyfikacji serwera protokołu SCEP w formacie SHA-1 lub SHA-256

Urząd rejestrowania Cisco IOS RA (Registration Authority) pełni rolę serwera proxy dla serwera protokołu SCEP. Klient SCEP w telefonie używa parametrów, które są pobierane z programu Cisco Unified Communication Manager. Po skonfigurowaniu parametrów z telefonu jest wysyłane żądanie SCEP getcs do urzędu rejestrowania RA, a certyfikat głównego urzędu certyfikacji jest sprawdzany przy użyciu zdefiniowanego odcisku.

Zanim rozpoczniesz

Na serwerze SCEP skonfiguruj agenta rejestracji SCEP (RA), aby wykonywał następujące funkcje:

  • Pełnienie roli punktu zaufania infrastruktury klucza publicznego
  • Pełnienie roli agenta rejestracji infrastruktury kluczy publicznych
  • Uwierzytelnianie urządzeń za pomocą serwera RADIUS

Więcej informacji zawiera dokumentacja serwera SCEP.

1

W aplikacji Cisco Unified Communications Manager — administracja wybierz kolejno opcje Urządzenie > Telefon.

2

Odszukaj telefon.

3

Przewiń do obszaru Układ konfiguracji specyficznej dla produktu.

4

Zaznacz pole wyboru Serwer protokołu SCEP WLAN, aby uaktywnić parametr SCEP.

5

Zaznacz pole wyboru Odcisk głównego urzędu certyfikacji WLAN (SHA256 lub SHA1), aby uaktywnić parametr SCEP QED.

Konfigurowanie obsługiwanych wersji programu TLS

Można skonfigurować minimalną wersję TLS wymaganą odpowiednio dla klienta i serwera.

Domyślnie minimalna TLS wersja serwera i klienta to 1.2. Ustawienie ma wpływ na następujące funkcje:

  • Połączenie dostępu przez Internet HTTPS
  • Dołączanie do telefonu lokalnego
  • Onboarding for Mobile and Remote Access (MRA)
  • Usługi HTTPS, takie jak usługi katalogowe
  • Datagram Transport Layer Security (DTLS)
  • Jednostka dostępu do portu (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Aby uzyskać więcej informacji na temat zgodności TLS 1.3 dla Cisco IP Phones, zobacz TLS 1.3 Compatibility Matrix for Cisco Collaboration Products.

1

Zaloguj się jako administrator w aplikacji Cisco Unified Communications Manager — administracja.

2

Przejdź do jednego z następujących okien:

  • System > Firmowa konfiguracja telefonów
  • Ustawienia urządzenia > urządzenia > Wspólny profil telefonu
  • Konfiguracja urządzenia > telefonu > telefonu
3

Konfigurowanie pola TLS Minimalna wersja klienta:

Opcja "TLS 1.3" jest dostępna w Cisco Unified CM 15SU2 lub nowszym.
  • TLS 1.1: Klient TLS obsługuje wersje TLS od 1.1 do 1.3.

    Jeśli wersja TLS na serwerze jest niższa niż 1.1, na przykład 1.0, nie można nawiązać połączenia.

  • TLS 1.2 (domyślna): klient TLS obsługuje TLS 1.2 i 1.3.

    Jeśli wersja TLS na serwerze jest niższa niż 1.2, na przykład 1.1 lub 1.0, nie można nawiązać połączenia.

  • TLS 1.3: Klient TLS obsługuje tylko TLS 1.3.

    Jeśli wersja TLS na serwerze jest niższa niż 1.3, na przykład 1.2, 1.1 lub 1.0, połączenie nie może zostać nawiązane.

4

Konfigurowanie pola TLS Minimalna wersja serwera:

  • TLS 1.1: Serwer TLS obsługuje wersje TLS od 1.1 do 1.3.

    Jeśli wersja TLS w kliencie jest niższa niż 1.1, na przykład 1.0, nie można nawiązać połączenia.

  • TLS 1.2 (domyślna): Serwer TLS obsługuje TLS 1.2 i 1.3.

    Jeśli wersja TLS w kliencie jest niższa niż 1.2, na przykład 1.1 lub 1.0, nie można nawiązać połączenia.

  • TLS 1.3: Serwer TLS obsługuje tylko TLS 1.3.

    Jeśli wersja TLS klienta jest niższa niż 1.3, na przykład 1.2, 1.1 lub 1.0, nie można nawiązać połączenia.

Od wersji PhoneOS 3.2 ustawienie pola "Wyłącz TLS 1.0 i TLS 1.1 dla dostępu przez Internet" nie ma wpływu na telefony.
5

Kliknij przycisk Zapisz.

6

Kliknij przycisk Apply Config (Zastosuj konfigurację).

7

Uruchom ponownie telefony.

Assured Services SIP

Protokół AS-SIP (Assured Services SIP) to zbiór funkcji i protokołów, które oferują dobre zabezpieczenia przepływu połączeń dla telefonów IP Cisco o telefonów innych firm. Następujące funkcje są nazywane zbiorczo AS-SIP:

  • Wielopoziomowe pierwszeństwo i zastępowanie (MLPP)
  • DSCP (Differentiated Services Code Point)
  • TLS (Transport Layer Security) i SRTP (Secure Real-time Transport Protocol)
  • Protokół internetowy w wersji 6 (IPv6)

Protokół AS-SIP jest często używany z funkcją wielopoziomowego pierwszeństwa i zastępowania (ang. MLPP, Multilevel Precedence and Preemption) do piorytetyzowania połączeń w sytuacji alarmowej. Usługa MLPP umożliwia przypisywanie poziomu priorytetu do połączeń wychodzących — od poziomu 1 (niski) do poziomu 5 (wysoki). Gdy użytkownik odbiera połączenie, na telefonie wyświetlana jest ikona poziomu pierwszeństwa, która informuje o priorytecie połączenia.

Aby skonfigurować protokół AS-SIP, należy wykonać poniższe czynności w systemie Cisco Unified Communications Manager:

  • Konfigurowanie użytkownika digest — Skonfiguruj użytkownika końcowego korzystającego z uwierzytelniania digest dla żądań SIP.
  • Konfigurowanie bezpiecznego portu telefonu SIP — System Cisco Unified Communications Manager używa tego portu do nasłuchiwania telefonów SIP w celu rejestracji linii SIP za pośrednictwem protokołu TLS.
  • Ponowne uruchomienie usług — Po skonfigurowaniu bezpiecznego portu należy ponownie uruchomić system Cisco Unified Communications Manager i dostawcę usług Cisco CTL. Konfigurowanie profilu SIP dla protokołu AS-SIP — Skonfiguruj profil SIP przy użyciu ustawień SIP dla punktów końcowych AS-SIP i łączy magistralowych SIP. Parametry poszczególnych telefonów nie są pobierane na telefon AS-SIP innej firmy. Są one używane tylko przez program Cisco Unified Manager. Telefony innych firm należy skonfigurować lokalnie przy użyciu takich samych ustawień.
  • Konfigurowanie profilu zabezpieczeń telefonu dla protokołu AS-SIP — Profil zabezpieczeń telefonu umożliwia przypisywanie ustawień zabezpieczeń, takich jak TLS, SRTP i uwierzytelnianie digest.
  • Konfigurowanie punktu końcowego AS-SIP — Skonfiguruj telefon IP Cisco lub punkt końcowy innej firmy z obsługą protokołu AS-SIP.
  • Skojarz urządzenie z użytkownikiem końcowym — skojarz punkt końcowy z użytkownikiem.
  • Konfigurowanie profilu zabezpieczeń łącza magistralowego SIP dla protokołu AS-SIP — Profil zabezpieczeń łącza magistralowego SIP umożliwia przypisywanie funkcji zabezpieczeń, takich jak TLS i uwierzytelnianie digest, do łącza magistralowego SIP.
  • Konfigurowanie łącza magistralowego SIP dla protokołu AS-SIP — Skonfiguruj łącze magistralowe SIP z obsługą protokołu AS-SIP.
  • Konfigurowanie funkcji protokołu AS-SIP — Skonfiguruj dodatkowe funkcje protokołu AS-SIP, takie jak MLPP, TLS, V.150 i IPv6.

Aby uzyskać szczegółowe informacje na temat konfigurowania protokołu AS-SIP, zobacz rozdział "Konfigurowanie punktów końcowych AS-SIP" w Podręczniku konfiguracji funkcji dla Cisco Unified Communications Manager.

Wielopoziomowe pierwszeństwo i zastępowanie

Funkcja wielopoziomowego pierwszeństwa i zastępowania (MLPP) umożliwia priorytetyzowanie połączeń w sytuacjach awaryjnych lub innych sytuacjach kryzysowych. Priorytet przypisuje się połączeniom wychodzącym z zakresu od 1 do 5. Połączenia przychodzące są wyświetlane jako ikona i priorytet połączenia. Uwierzytelnieni użytkownicy mogą zastępować połączenia na docelowych stacjach lub za pośrednictwem magistrali TDM z pełną subskrypcją.

Ta funkcja zapewnia personelowi wyższego szczebla możliwość komunikacji z krytycznymi organizacjami i personelem.

Usługa MLPP jest często używana z protokołem Assured Services SIP (AS-SIP). Szczegółowe informacje na temat konfigurowania MLPP można znaleźć w rozdziale Konfigurowanie wielopoziomowego pierwszeństwa i zastępowania w Przewodniku konfiguracji funkcji dla Cisco Unified Communications Manager.