Funkcje zabezpieczeń chronią przed zagrożeniami, w tym zagrożeniami dotyczącymi tożsamości telefonu i danych. Te funkcje ustanawiają i utrzymują uwierzytelnione strumienie komunikacyjne między telefonem a serwerem Cisco Unified Communications Manager oraz gwarantują, że telefon korzysta tylko z cyfrowo podpisanych plików.

Program Cisco Unified Communications Manager w wersji 8.5(1) lub nowszej domyślnie zawiera ustawienie Security, co zapewnia działanie następujących funkcji zabezpieczeń telefonów IP Cisco bez konieczności uruchamiania klienta CTL:

• Podpisywanie plików konfiguracyjnych telefonu

• Szyfrowanie pliku konfiguracyjnego telefonu

• HTTPS z Tomcat i inne usługi sieci Web

Zaimplementowanie zabezpieczeń w systemie Cisco Unified Communications Manager uniemożliwi wykradanie tożsamości z telefonu i serwera Cisco Unified Communications Manager, zapobiegnie manipulowaniu danymi oraz uniemożliwi manipulowanie sygnałami połączeń i strumieniami mediów.

Aby złagodzić te zagrożenia, w sieci telefonii IP firmy Cisco są ustanawiane i utrzymywane bezpieczne (szyfrowane) strumienie komunikacyjne między telefonem a serwerem, pliki są cyfrowo podpisywane przed wysłaniem do telefonu a strumienie mediów i sygnały połączeń między telefonami IP Cisco są szyfrowane.

Po wykonaniu niezbędnych zadań związanych z Funkcją pełnomocnictw certyfikatu na telefonach zostanie zainstalowany Certyfikat znaczenia lokalnego (LSC, Locally Significant Certificate). W aplikacji Cisco Unified Communications Manager — administracja można skonfigurować certyfikat LSC, zgodnie z opisem w podręczniku Security Guide for Cisco Unified Communications Manager (Podręcznik zabezpieczeń programu Cisco Unified Communications Manager). Można również zainicjować instalację certyfikatu LSC z menu ustawień zabezpieczeń w telefonie. W tym menu można również zaktualizować lub usunąć certyfikat LSC.

Certyfikat LSC nie może być używany jako certyfikat użytkownika dla protokołu EAP-TLS z uwierzytelnianiem sieci WLAN.

Telefony wykorzystują profil bezpieczeństwa telefonu, który określa, czy urządzenie jest niezabezpieczone, czy zabezpieczone. Więcej informacji na temat stosowania profilu zabezpieczeń w telefonie można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Jeśli w aplikacji Cisco Unified Communications Manager — administracja zostaną skonfigurowane ustawienia związane z bezpieczeństwem, plik konfiguracyjny telefonu będzie zawierać poufne informacje. W celu zapewnienia prywatności pliku konfiguracyjnego należy skonfigurować go do szyfrowania. Szczegółowe informacje na ten temat można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Telefon jest zgodny ze standardem FIPS. Do poprawnego funkcjonowania tryb FIPS wymaga klucza o długości co najmniej 2048 bitów. Jeśli certyfikat ma mniej niż 2048 bitów, telefon nie zostanie zarejestrowany w programie Cisco Unified Communications Manager i pojawi się komunikat Nie udało się zarejestrować telefonu. Na telefonie wyświetlany jest komunikat Rozmiar klucza certyfikatu jest niezgodny ze standardem FIPS .

Jeśli telefon ma certyfikat LSC, przed włączeniem trybu FIPS należy go zaktualizować do co najmniej 2048 bitów.

Poniższa tabela zawiera przegląd funkcji zabezpieczeń obsługiwanych przez te telefony. Więcej informacji na ten temat można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Aby wyświetlić tryb zabezpieczeń, naciśnij przycisk Ustawienia i przejdź do pozycji Sieć i usługi > Ustawienia zabezpieczeń.

Poniższa tabela zawiera komunikaty alarmowe o aktualizacji listy zaufanych oraz ich znaczenie. Więcej informacji na ten temat można znaleźć w dokumentacji programu Cisco Unified Communications Manager.

Menu Konfiguracja zabezpieczeń zawiera informacje o różnych ustawieniach zabezpieczeń. Menu umożliwia również dostęp do menu Lista zaufanych certyfikatów i wskazuje, czy w telefonie jest zainstalowany plik CTL lub ITL.

W poniższej tabeli opisano opcje dostępne w menu Konfiguracja zabezpieczeń.

Telefony IP Cisco obsługują uwierzytelnianie 802.1X.

Telefony IP Cisco i przełączniki Cisco Catalyst używają tradycyjnie protokołu CDP (Cisco Discovery Protocol) do identyfikowania się i ustalania parametrów, takich jak alokacja sieci VLAN i wymagania dotyczące zasilania poprzez kabel sieciowy. Protokół CDP nie identyfikuje podłączonych lokalnie stacji roboczych. Telefony IP Cisco udostępniają mechanizm przelotowy protokołu EAPOL. Umożliwia on stacji roboczej podłączonej do telefonu IP Cisco przekazywanie komunikatów protokołu EAPOL do urządzenia uwierzytelniającego 802.1X w przełączniku sieci LAN. Dzięki mechanizmowi przelotowemu telefon IP nie pełni funkcji przełącznika sieci LAN, aby uwierzytelnić punkt końcowy danych przed uzyskaniem dostępu do sieci.

Telefony IP Cisco udostępniają również mechanizm zastępczego wylogowywania w ramach protokołu EAPOL. Jeśli podłączony lokalnie komputer rozłączy się z telefonem IP, przełącznik sieci LAN nie zauważy awarii łącza fizycznego, ponieważ łącze między przełącznikiem sieci LAN a telefonem IP zostanie zachowane. Aby zapobiec naruszeniu bezpieczeństwa sieci, telefon IP wysyła do przełącznika komunikat wylogowania w ramach protokołu EAPOL w imieniu komputera, co powoduje wyczyszczenie wpisu uwierzytelnienia komputera w przełączniku.

Obsługa uwierzytelniania 802.1X wymaga kilku składników:

• Telefon IP Cisco: Telefon inicjuje żądanie dostępu do sieci. Telefony IP Cisco zawierają stronę uwierzytelnianą 802.1X. Dzięki tej supplicant administratorzy sieci mogą kontrolować łączność telefonów IP z portami przełącznika sieci LAN. Bieżąca wersja strony uwierzytelnianej 802.1X w telefonach korzysta z opcji EAP-FAST i EAP-TLS do uwierzytelniania sieci.

• Serwer uwierzytelniania: Serwer uwierzytelniania i przełącznik muszą mieć skonfigurowany klucz współdzielony, który służy do uwierzytelniania telefonu.

• Przełącz: Przełącznik musi obsługiwać protokół 802.1X, aby mieć możliwość pełnienia funkcji strony uwierzytelniającej i przekazywania komunikatów między telefonem a serwerem uwierzytelniania. Po zakończeniu wymiany komunikatów przełącznik przyznaje telefonowi dostęp do sieci lub odmawia mu dostępu.

Aby skonfigurować uwierzytelnianie 802.1X, należy wykonać następujące czynności.

• Skonfiguruj pozostałe składniki, zanim włączysz w telefonie uwierzytelnianie 802.1X.

• Skonfiguruj port komputera: W standardzie 802.1X nie uwzględniono sieci VLAN, więc zaleca się uwierzytelnianie tylko jednego urządzenia na każdym porcie przełącznika. Niektóre przełączniki obsługują jednak uwierzytelnianie w wielu domenach. Konfiguracja przełącznika określa, czy do portu komputera w telefonie można podłączyć komputer.

  • Włączone: Jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz włączyć port komputera i podłączyć do niego komputer. W takim przypadku telefony IP Cisco obsługują zastępcze wylogowanie w ramach protokołu EAPOL, aby monitorować wymianę komunikatów dotyczących uwierzytelniania między przełącznikiem a podłączonym komputerem.

    Więcej informacji o zgodności przełączników Cisco Catalyst ze standardem IEEE 802.1X można znaleźć w ich podręcznikach konfiguracji pod adresem:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Wyłączone: Jeśli przełącznik nie obsługuje na tym samym porcie wielu urządzeń zgodnych ze standardem 802.1X, po włączeniu uwierzytelniania 802.1X wyłącz port komputera. Jeśli nie wyłączysz tego portu, a następnie spróbujesz podłączyć do niego komputer, przełącznik odmawia dostępu do sieci zarówno do telefonu, jak i do komputera.

• Konfigurowanie głosowej sieci VLAN: Ponieważ w standardzie 802.1X nie uwzględniono sieci VLAN, skonfiguruj to ustawienie zgodnie z obsługą przełącznika.
  • Włączone: Jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz kontynuować korzystanie z sieci VLAN komunikacji głosowej.
  • Wyłączone: Jeśli przełącznik nie obsługuje uwierzytelniania w wielu domenach, wyłącz opcję VLAN głosowy i rozważ przypisanie portu macierzystej sieci VLAN.
• (tylko dla telefonów Cisco Desk Phone z serii 9800)

  Telefon biurkowy Cisco z serii 9800 ma w identyfikatorze inny prefiks niż w pozostałych telefonach Cisco. Aby włączyć w telefonie uwierzytelnianie 802.1X, ustaw parametr Radius·Nazwa użytkownika tak, aby dołączał do niego telefon biurkowy Cisco z serii 9800.

  Na przykład identyfikator PID telefonu 9841 to DP-9841; można ustawić wartość Radius·Nazwa użytkownika na Rozpocznij od DP lub Zawiera DP. Można go skonfigurować w obu następujących sekcjach:

  • Zasady > Warunki > Warunki biblioteki

  • Zasady > Zestawy zasad > Zasady autoryzacji > Reguła autoryzacji 1

Gdy w telefonie zastosowane są zabezpieczenia, zabezpieczone połączenia telefoniczne można rozpoznać po ikonach na jego ekranie. Jeśli na początku połączenia odtwarzany jest sygnał dźwiękowy zabezpieczeń, to czy połączony telefon jest zabezpieczony i chroniony.

W ramach połączenia zabezpieczonego wszystkie sygnały połączenia i strumienie mediów są szyfrowane. Połączenie zabezpieczone zapewnia wysoki poziom bezpieczeństwa, gwarantując integralność i prywatność połączenia. Gdy trwające połączenie jest szyfrowane, na linii jest widoczna ikona zabezpieczeń . W przypadku bezpiecznego telefonu można również wyświetlić ikonę uwierzytelnionej lub szyfrowanej obok połączonego serwera w menu telefonu (Ustawienia > O tym urządzeniu).

Na początku połączenia zabezpieczonego odtwarzany jest sygnał dźwiękowy zabezpieczeń, wskazujący, że telefon po drugiej stronie również odbiera i wysyła zabezpieczone dane audio. Jeśli połączenie zostanie nawiązane z niezabezpieczonym telefonem, sygnał dźwiękowy zabezpieczeń nie będzie odtwarzany.

Po skonfigurowaniu telefonu w programie Cisco Unified Communications Manager jako zabezpieczonego (szyfrowanego i zaufanego) można mu nadać status Protected . Następnie w razie potrzeby zabezpieczony telefon można skonfigurować odtwarzanie sygnału dźwiękowego na początku połączenia:

• Chronione urządzenie: Aby zmienić stan zabezpieczonego telefonu na chroniony, zaznacz pole wyboru Protected Device w oknie Konfiguracja telefonu w aplikacji Cisco Unified Communications Manager — administracja (Urządzenie > Telefon).

• Odtwórz dźwięk wskazania zabezpieczeń: Aby zabezpieczony telefon odtwarzał dźwięk wskazania zabezpieczeń lub niezabezpieczonych, wybierz dla opcji Play Secure Indication Tone ustawienie Prawda. Domyślnie dla opcji Play Secure Indication Tone wybrane jest ustawienie Fałsz. Można to ustawić w aplikacji Cisco Unified Communications Manager — administracja (System > Parametry usługi). Wybierz serwer, a następnie wybierz usługę Unified Communications Manager. W oknie Service Parameter Configuration (Konfiguracja parametrów usługi) wybierz odpowiednią opcję w obszarze Funkcja — Secure Tone (Sygnał dźwiękowy zabezpieczeń). Wartość domyślna to Fałsz.

Wszystkie urządzenia sieci WLAN znajdujące się w zasięgu mogą odbierać wszystkie dane przesyłane w sieci, dlatego zapewnienie bezpieczeństwa komunikacji głosowej ma krytyczne znaczenie dla sieci WLAN. Aby uniemożliwić intruzom modyfikowanie i przechwytywanie danych głosowych, telefon obsługuje architektura Cisco SAFE Security. Aby uzyskać więcej informacji o zabezpieczeniach w sieciach, zobacz http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rozwiązania telefonii bezprzewodowej stosowane w telefonach IP Cisco zabezpieczają sieć, uniemożliwiając nieupoważnione logowanie i naruszenie bezpieczeństwa komunikacji, dzięki użyciu następujących metod uwierzytelniania obsługiwanych przez telefon:

• Otwórz uwierzytelnianie: Każde urządzenie bezprzewodowe może zażądać uwierzytelnienia w systemie otwartym. Punkt dostępu, który odbiera żądanie, może udzielić uwierzytelniania dowolnemu żądającemu lub tylko tym żądającym, którzy znajdują się na liście użytkowników. Komunikacja między urządzeniem bezprzewodowym a punktem dostępowym (AP) może być nieszyfrowana.

• Uwierzytelnianie Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Ta architektura zabezpieczeń klient-serwer szyfruje transakcje protokołu EAP w tunelu TLS (Transport Level Security) między punktem dostępu a serwerem RADIUS, takim jak mechanizm usług tożsamości (ISE).

  Tunel TLS do uwierzytelniania między klientem (telefonem) a serwerem RADIUS używa protokołu PACs (Protected Access Credentials). Serwer wysyła do klienta (telefonu) identyfikator uwierzytelnienia (AID), który z kolei wybiera odpowiedni klucz PAC. Klient (telefon) zwraca komunikat PAC-Opaque do serwera RADIUS. Serwer odszyfrowuje klucz PAC za pomocą klucza głównego. Oba punkty końcowe zawierają teraz klucz PAC, co powoduje utworzenie tunelu TLS. Protokół EAP-FAST obsługuje automatyczne inicjowanie obsługi kluczy PAC, ale tę funkcję należy włączyć na serwerze RADIUS.

  W przypadku ISE klucz PAC wygasa w ciągu tygodnia. Jeśli klucz PAC w telefonie jest nieważny, uwierzytelnianie z serwerem RADIUS trwa dłużej, gdy telefon pobiera nowy klucz PAC. Aby uniknąć opóźnień związanych z dostarczaniem klucza PAC, na serwerze ISE lub RADIUS ustaw okres ważności klucza PAC na 90 dni lub dłużej.

• Uwierzytelnianie przy użyciu protokołu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Protokół EAP-TLS wymaga certyfikatu klienta do uwierzytelniania i dostępu do sieci. W przypadku bezprzewodowego protokołu EAP-TLS certyfikatem klienta może być certyfikat MIC, LSC lub certyfikat zainstalowany przez użytkownika.

• Protected Extensible Authentication Protocol (PEAP): Opracowany przez firmę Cisco schemat wzajemnego uwierzytelniania opartego na haśle między klientem (telefonem) a serwerem RADIUS. Telefon może używać protokołu PEAP do uwierzytelniania w sieci bezprzewodowej. Obsługiwane są metody uwierzytelniania PEAP-MSCHAPV2 i PEAP-GTC.

• Klucz wstępny (PSK): Telefon obsługuje format ASCII. Podczas konfigurowania klucza wstępnego WPA/WPA2/SAE należy użyć tego formatu:

  ASCII: ciąg znaków ASCII o długości od 8 do 63 znaków (0–9, małe i wielkie litery A–Z oraz znaki specjalne)

  Przykład: Greg123567@9ZX&W

Następujące systemy uwierzytelniania korzystają z serwera RADIUS do zarządzania kluczami uwierzytelniania:

• wpa/wpa2/wpa3: Używa informacji serwera RADIUS do generowania unikatowych kluczy uwierzytelniania. Ponieważ klucze te są generowane na centralnym serwerze RADIUS, protokół WPA2/WPA3 zapewnia większe bezpieczeństwo w porównaniu z metodą WPA używającą wstępnych kluczy przechowywanych w punkcie dostępowym w telefonie.

• Szybki i bezpieczny roaming: Używa informacji serwera RADIUS i serwera domeny bezprzewodowej do zarządzania kluczami i ich uwierzytelniania. Protokół WDS tworzy pamięć podręczną poświadczeń zabezpieczeń dla urządzeń klienta z obsługą FT w celu szybkiego i bezpiecznego ponownego uwierzytelnienia. Telefony biurkowe Cisco 9861 i 9871 oraz Cisco Video Phone 8875 obsługują protokół 802.11r (FT). Zarówno w powietrzu, jak i w systemie DS są obsługiwane, aby umożliwić szybki i bezpieczny roaming. Zdecydowanie zalecamy jednak użycie połączenia bezprzewodowego 802.11r (FT).

Dzięki użyciu protokołu WPA/WPA2/WPA3 klucze szyfrowania nie są wprowadzane w telefonie, ale są automatycznie ustalane między punktem dostępu a telefonem. Jednak nazwę użytkownika i hasło EAP, które są używane do uwierzytelniania, należy wprowadzić w każdym telefonie.

Aby się upewnić, że połączenia głosowe są bezpieczne, telefon obsługuje szyfrowanie TKIP i AES. Jeśli do szyfrowania są używane te mechanizmy, pakiety sygnalizacyjne SIP i pakiety protokołu RTP (Real-Time Transport) są szyfrowane między punktem dostępowym a telefonem.

tkip

Protokół WPA używa protokołu szyfrowania TKIP, który zawiera kilka ulepszeń w porównaniu z protokołem WEP. Protokół TKIP zapewnia szyfrowanie poszczególnych pakietów przy użyciu klucza oraz dłuższe wektory inicjowania (IV), co poprawia jakość szyfrowania. Ponadto sprawdzanie integralności wiadomości (MIC) zapewnia, że zaszyfrowane pakiety nie zostały zmienione. Protokół TKIP usuwa przewidywalność protokołu WEP, która pomaga intruzom odszyfrować klucz protokołu WEP.

oj

Metoda szyfrowania używana na potrzeby uwierzytelniania WPA2/WPA3. Ten krajowy standard szyfrowania korzysta z algorytmu symetrycznego, używającego tego samego klucza do szyfrowania i odszyfrowywania. Protokół AES używa szyfrowania CBC (Cipher Blocking Chain) dla bloków o rozmiarze 128 bitów, które obsługuje klucze o minimalnej długości 128 bitów, 192 bitów i 256 bitów. Telefon obsługuje klucz o długości 256 bitów.

Systemy uwierzytelniania i szyfrowania są konfigurowane w bezprzewodowej sieci LAN. W sieci i w punktach dostępu są konfigurowane sieci VLAN, dla których są wybierane różne kombinacje uwierzytelniania i szyfrowania. Identyfikator SSID skojarzony z siecią VLAN i określonym schematem uwierzytelniania i szyfrowania. Aby pomyślnie uwierzytelniać bezprzewodowe urządzenia klienta, należy skonfigurować te same identyfikatory SSID dla systemów uwierzytelniania i szyfrowania w punkcie dostępu i telefonie.

Niektóre systemy uwierzytelniania wymagają określonych typów szyfrowania.

W poniższej tabeli przedstawiono opcje konfiguracji sieci dla telefonu, odpowiadające konfiguracji punktu dostępowego.

Protokół AS-SIP (Assured Services SIP) to zbiór funkcji i protokołów, które oferują dobre zabezpieczenia przepływu połączeń dla telefonów IP Cisco i telefonów innych firm. Następujące funkcje są nazywane zbiorczo AS-SIP:

• Wielopoziomowe pierwszeństwo i zastępowanie (MLPP)
• Punkt kodowy usług zróżnicowanych (DSCP)
• TLS (Transport Layer Security) i SRTP (Secure Real-time Transport Protocol)
• Protokół internetowy w wersji 6 (IPv6)

Protokół AS-SIP jest często używany z funkcją wielopoziomowego pierwszeństwa i zastępowania (MLPP) do określania priorytetów połączeń w sytuacji alarmowej. Usługa MLPP umożliwia przypisywanie poziomu priorytetu do połączeń wychodzących — od poziomu 1 (niski) do poziomu 5 (wysoki). Gdy użytkownik odbiera połączenie, na telefonie wyświetlana jest ikona poziomu pierwszeństwa, która pokazuje priorytet połączenia.

Aby skonfigurować protokół AS-SIP, należy wykonać następujące czynności w programie Cisco Unified Communications Manager:

• Konfigurowanie użytkownika digest — Skonfiguruj użytkownika końcowego do korzystania z uwierzytelniania digest dla żądań SIP.
• Konfigurowanie bezpiecznego portu telefonu SIP — System Cisco Unified Communications Manager używa tego portu do nasłuchiwania telefonów SIP w celu rejestracji linii SIP za pośrednictwem protokołu TLS.
• Ponowne uruchomienie usług — po skonfigurowaniu bezpiecznego portu należy ponownie uruchomić system Cisco Unified Communications Manager i dostawcę usług Cisco CTL. Konfigurowanie profilu SIP dla protokołu AS-SIP — Skonfiguruj profil SIP przy użyciu ustawień SIP dla punktów końcowych AS-SIP i łączy magistralowych SIP. Parametry poszczególnych telefonów nie są pobierane na telefon AS-SIP innej firmy. Są one używane tylko przez program Cisco Unified Manager. Telefony innych firm muszą konfigurować te same ustawienia lokalnie.
• Konfigurowanie profilu zabezpieczeń telefonu dla protokołu AS-SIP — Profil zabezpieczeń telefonu umożliwia przypisywanie ustawień zabezpieczeń, takich jak TLS, SRTP i uwierzytelnianie digest.
• Konfigurowanie punktu końcowego AS-SIP — Skonfiguruj telefon IP Cisco lub punkt końcowy innej firmy z obsługą protokołu AS-SIP.
• Skojarz urządzenie z użytkownikiem końcowym — Skojarz punkt końcowy z użytkownikiem.
• Konfigurowanie profilu zabezpieczeń łącza magistralowego SIP dla protokołu AS-SIP — Profil zabezpieczeń łącza magistralowego SIP umożliwia przypisywanie funkcji zabezpieczeń, takich jak TLS i uwierzytelnianie digest, do łącza magistralowego SIP.
• Konfigurowanie łącza magistralowego SIP dla protokołu AS-SIP — Skonfiguruj magistralę SIP z obsługą protokołu AS-SIP.
• Konfigurowanie funkcji protokołu AS-SIP — Skonfiguruj dodatkowe funkcje protokołu AS-SIP, takie jak MLPP, TLS, V.150 i IPv6.

Szczegółowe informacje na temat konfigurowania protokołu AS-SIP można znaleźć w rozdziale „Konfigurowanie punktów końcowych AS-SIP” w Przewodniku konfiguracji funkcji dla programu Cisco Unified Communications Manager.

Gdy w telefonie są skonfigurowane kody wymuszonego uwierzytelnienia (FAC) lub kody sprawy klienta (CMC) albo oba te kody, użytkownicy muszą wprowadzić wymagane hasła, aby wybrać numer.

Więcej informacji o konfigurowaniu kodów FAC i CMC w programie Cisco Unified Communications Manager można znaleźć w rozdziale „Kody spraw klienta i kody wymuszonej autoryzacji” w Przewodniku konfiguracji funkcji dla programu Cisco Unified Communications Manager w wersji 12.5(1) lub nowszej.