Os recursos de segurança protegem contra ameaças, incluindo ameaças à identidade do telefone e aos dados. Esses recursos estabelecem e mantêm fluxos de comunicação autenticados entre o telefone e o servidor Cisco Unified Communications Manager e garantem que o telefone use apenas arquivos assinados digitalmente.

O Cisco Unified Communications Manager versão 8.5(1) e posterior inclui a Segurança por padrão, que fornece os seguintes recursos de segurança para Telefones IP Cisco sem executar o cliente CTL:

• Assinar os arquivos de configuração do telefone

• Criptografia dos arquivos de configuração do telefone

• HTTPS com Tomcat e outros serviços da web

Implementar a segurança no sistema Cisco Unified Communications Manager evita o roubo de identidade do telefone e do servidor Cisco Unified Communications Manager, impede a adulteração de dados e impede a adulteração da sinalização de chamadas e do fluxo de mídia.

Para minimizar essas ameaças, a rede de telefonia IP da Cisco estabelece e mantém fluxos de comunicação seguros (criptografados) entre um telefone e o servidor, assina digitalmente os arquivos antes de serem transferidos para um telefone e criptografa fluxos de mídia e a sinalização de chamadas entre Telefones IP Cisco.

Um LSC (Locally Significant Certificate) é instalado nos telefones depois que você executa as tarefas necessárias associadas à CAPF (Função de proxy de autoridade de certificação). Você pode usar a Administração do Cisco Unified Communications Manager para configurar um LSC, conforme descrito no Guia de segurança do Cisco Unified Communications Manager. Como alternativa, você pode iniciar a instalação de um LSC no menu Configurações de segurança no telefone. Este menu também permite que você atualize ou remova um LSC.

Um LSC não pode ser usado como o certificado do usuário para EAP-TLS com autenticação WLAN.

Os telefones usam o perfil de segurança do telefone, que define se o dispositivo é não seguro ou seguro. Para obter informações sobre como aplicar o perfil de segurança ao telefone, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Se você definir configurações de segurança na Administração do Cisco Unified Communications Manager, o arquivo de configuração do telefone conterá informações confidenciais. Para garantir a privacidade de um arquivo de configuração, você deve configurá-lo para criptografia. Para obter informações detalhadas, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

O telefone está em conformidade com a norma FIPS (Federal Information Processing Standard). Para funcionar corretamente, o modo FIPS requer uma chave com 2048 bits ou mais. Se o certificado tiver menos de 2048 bits, o telefone não será registrado no Cisco Unified Communications Manager e a mensagem Phone não será registrada. O tamanho da chave do certificado não é compatível com FIPS é exibida no telefone.

Se o telefone tiver um LSC, você precisa atualizar o tamanho da chave LSC para 2048 bits ou mais antes de ativar o FIPS.

A tabela a seguir fornece uma visão geral dos recursos de segurança que são compatíveis com os telefones. Para obter mais informações, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Para visualizar o modo de segurança, pressione Configurações e navegue até Rede e serviço > Configurações de segurança .

A tabela a seguir contém as mensagens de alarme de atualização da lista de confiança e seus significados. Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager.

O menu Configuração de segurança fornece informações sobre várias configurações de segurança. O menu também fornece acesso ao menu Lista de confiança e indica se o arquivo CTL ou ITL está instalado no telefone.

A tabela a seguir descreve as opções do menu Configuração de segurança.

Os Telefones IP Cisco são compatíveis com a Autenticação 802.1X.

Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de energia embutida. O CDP não identifica estações de trabalho conectadas localmente. Os Telefones IP Cisco fornecem um mecanismo de passagem EAPOL. Esse mecanismo permite que uma estação de trabalho conectada ao Telefone IP Cisco passe mensagens EAPOL ao autenticador 802.1X no switch da LAN. O mecanismo de passagem garante que o telefone IP não atue como o switch da LAN para autenticar um dispositivo de dados antes de acessar a rede.

Os Telefones IP Cisco também fornecem um mecanismo de encerramento EAPOL por proxy. Se o PC conectado localmente se desconectar do telefone IP, o switch da LAN não verá a falha do link físico, pois o link entre o switch da LAN e o telefone IP é mantido. Para evitar o comprometimento da integridade da rede, o telefone IP envia uma mensagem de encerramento do EAPOL para o switch em nome do PC downstream, o que aciona o switch da LAN para limpar a entrada de autenticação do PC downstream.

O suporte para autenticação 802.1X requer vários componentes:

• Telefone IP Cisco: O telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite que os administradores de rede controlem a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.

• Servidor de autenticação: O servidor de autenticação e o switch devem ser ambos configurados com um segredo compartilhado que autentique o telefone.

• Alternar: O switch deve ser compatível com 802.1X para que possa agir como o autenticador e passar as mensagens entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.

Você deve executar as seguintes ações para configurar a 802.1X.

• Configure os outros componentes antes de ativar a Autenticação 802.1X no telefone.

• Configurar porta do PC: O padrão 802.1X não considera VLANs e, assim, recomenda que apenas um único dispositivo seja autenticado para uma porta de switch específica. No entanto, alguns switches suportam a autenticação de vários domínios. A configuração do switch determina se você pode conectar um PC à porta do PC do telefone.

  • Habilitado: Se você estiver usando um switch que aceita a autenticação de vários domínios, poderá ativar a porta do PC e conectar um PC a ela. Nesse caso, os Telefones IP Cisco suportam o encerramento do EAPOL por proxy para monitorar a troca de autenticação entre o switch e o PC conectado.

    Para obter mais informações sobre o suporte do IEEE 802.1X em switches do Cisco Catalyst, consulte os guias de configuração de switch do Cisco Catalyst em:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Desabilitado: Se o switch não oferecer suporte a vários dispositivos compatíveis com 802.1X na mesma porta, você deverá desativar a porta do PC quando a autenticação 802.1X for ativada. Se você não desativar essa porta e tentar conectar um PC a ela, o switch negará o acesso à rede tanto para o telefone quanto para o PC.

• Configure a VLAN de voz: Como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.
  • Habilitado: Se você estiver usando um switch que ofereça suporte à autenticação de vários domínios, poderá continuar usando a VLAN de voz.
  • Desabilitado: Se o switch não oferecer suporte à autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.
• (Apenas para o Telefone fixo Cisco série 9800)

  O Telefone fixo Cisco série 9800 tem um prefixo diferente no PID para outros telefones Cisco. Para permitir que o telefone passe a autenticação 802.1X, defina o parâmetro Radius·User-Name para incluir o Cisco Desk Phone 9800 Series.

  Por exemplo, o PID do telefone 9841 é DP-9841; você pode definir Radius·Nome do usuário para Iniciar com DP ou Contém DP . Você pode configurá-lo em ambas as seções a seguir:

  • Política > Condições > Condições da Biblioteca

  • Política > Conjuntos de políticas > Política de autorização > Regra de autorização 1

Quando a segurança é implementada para um telefone, você pode identificar chamadas telefônicas seguras por ícones na tela do telefone. Você também pode determinar se o telefone conectado está seguro e protegido se um tom de segurança for reproduzido no início da chamada.

Em uma chamada segura, todos os fluxos de mídia e sinalização de chamadas são criptografados. Uma chamada segura oferece um alto nível de segurança, fornecendo integridade e privacidade à chamada. Quando uma chamada em andamento é criptografada, você pode ver o ícone seguro na linha. Para um telefone seguro, você também pode visualizar o ícone autenticado ou o ícone criptografado ao lado do servidor conectado no menu do telefone ( Configurações > Sobre este dispositivo ).

Em uma chamada segura, um tom de segurança é reproduzido no início de uma chamada para indicar que o outro telefone conectado também está recebendo e transmitindo áudio seguro. Se a chamada se conectar a um telefone não seguro, o tom de segurança não será reproduzido.

Quando um telefone é configurado como seguro (criptografado e confiável) no Cisco Unified Communications Manager, ele pode receber um status protected . Depois disso, se desejado, o telefone protegido pode ser configurado para reproduzir um tom indicativo no início de uma chamada:

• Dispositivo Protegido: Para alterar o status de um telefone seguro para protegido, marque a caixa de seleção Dispositivo protegido na janela Configuração do telefone na Administração do Cisco Unified Communications Manager ( Device > Phone ).

• Reproduzir tom indicativo de seguro: Para permitir que o telefone protegido reproduza um tom indicativo seguro ou não seguro, defina a configuração Play Secure Indication Tone (Tocar tom indicativo de seguro) como Verdadeiro. Por padrão, a opção Tocar tom indicativo de seguro é definida como Falso. Você define essa opção na Administração do Cisco Unified Communications Manager ( System > Parâmetros de serviço ). Selecione o servidor e, em seguida, o serviço Unified Communications Manager. Na janela Configuração de parâmetro de serviço, selecione a opção na área Recurso - Tom seguro. O padrão é Falso.

Como todos os dispositivos de WLAN que estão no intervalo podem receber todo o tráfego da WLAN, proteger a comunicação por voz é algo essencial nas WLANs. Para garantir que intrusos não manipulem nem interceptem o tráfego de voz, a arquitetura do Cisco SAFE Security oferece suporte ao telefone. Para obter mais informações sobre segurança em redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A solução de telefonia IP sem fio Cisco fornece segurança de rede sem fio que impede inícios de sessão não autorizados e comunicações comprometidas usando os seguintes métodos de autenticação aceitos pelo telefone:

• Autenticação aberta : Qualquer dispositivo sem fio pode solicitar autenticação em um sistema aberto. O AP que recebe a solicitação pode conceder autenticação a qualquer solicitante ou apenas a solicitantes encontrados em uma lista de usuários. A comunicação entre o dispositivo sem fio e o ponto de acesso (AP) pode não ser criptografada.

• Autenticação Extensible Protocol-Flexible via autenticação de túnel seguro (EAP-FAST) : Essa arquitetura de segurança cliente-servidor criptografa transações EAP dentro de um túnel TLS (Transport Level Security) entre o AP e o servidor RADIUS, como o Identity Services Engine (ISE).

  O túnel TLS usa credenciais de acesso protegido (PACs) para autenticação entre o cliente (telefone) e o servidor RADIUS. O servidor envia um ID de autoridade (AID) para o cliente (telefone), que por sua vez seleciona o PAC apropriado. O cliente (telefone) retorna um PAC-Opaque para o servidor RADIUS. O servidor descriptografa a PAC com a chave primária. Agora, ambos os terminais contêm a chave PAC e um túnel TLS é criado. O EAP-FAST suporta provisionamento automático de PAC, mas você deve ativá-lo no servidor RADIUS.

  No ISE, por padrão, a PAC expira em uma semana. Se o telefone tiver uma PAC expirada, a autenticação no servidor RADIUS levará mais tempo enquanto o telefone obtém uma nova PAC. Para evitar atrasos no provisionamento da PAC, defina o período de expiração para 90 dias ou mais no servidor ISE ou RADIUS.

• Autenticação Extensible Protocol-Transport Layer Security (EAP-TLS) : O EAP-TLS requer um certificado de cliente para autenticação e acesso à rede. Para EAP-TLS sem fio, o certificado do cliente pode ser MIC, LSC ou certificado instalado pelo usuário.

• Protocolo de autenticação extensível protegido (PEAP): Esquema de autenticação mútua baseada em senha proprietária da Cisco entre o cliente (telefone) e um servidor RADIUS. O telefone pode usar PEAP para autenticação com a rede sem fio. Os métodos de autenticação PEAP-MSCHAPV2 e PEAP-GTC são suportados.

• Chave pré-compartilhada (PSK): O telefone é compatível com o formato ASCII. Você deve usar este formato ao configurar uma chave pré-compartilhada WPA/WPA2/SAE:

  ASCII : uma sequência de caracteres ASCII com 8 a 63 caracteres de comprimento (0-9, A-Z minúsculo e maiúsculo e caracteres especiais)

  Exemplo: GREG123567@9ZX&W

Os seguintes esquemas de autenticação usam o servidor RADIUS para gerenciar chaves de autenticação:

• WPA/WPA2/WPA3: Usa informações do servidor RADIUS para gerar chaves exclusivas para autenticação. Como essas chaves são geradas no servidor RADIUS centralizado, o WPA2/WPA3 fornece mais segurança do que as chaves pré-compartilhadas WPA que são armazenadas no AP e no telefone.

• Roaming seguro rápido: Usa as informações do servidor RADIUS e de um servidor de domínio sem fio (WDS) para gerenciar e autenticar as chaves. O WDS cria um cache de credenciais de segurança para dispositivos cliente habilitados para FT para nova autenticação rápida e segura. Os Telefones de mesa Cisco 9861 e 9871 e os Telefones de vídeo Cisco 8875 são compatíveis com 802.11r (FT). Tanto no ar quanto no DS são suportados para permitir roaming rápido e seguro. Mas recomendamos fortemente a utilização do método 802.11r (FT) sobre o ar.

Com o WPA/WPA2/WPA3, as chaves de criptografia não são inseridas no telefone, mas derivadas automaticamente entre o AP e o telefone. Mas o nome de usuário e a senha EAP que são usados para autenticação devem ser inseridos em cada telefone.

Para garantir que o tráfego de voz esteja seguro, o telefone é compatível com TKIP e AES para criptografia. Quando esses mecanismos são usados para criptografia, os pacotes SIP de sinalização e os pacotes RTP (Real-Time Transport Protocol) de voz são criptografados entre o AP e o telefone.

TKIP

O WPA usa criptografia TKIP que tem várias melhorias em relação ao WEP. O TKIP fornece vetores de inicialização (IVs) mais longos e cifragem de chave por pacote que fortalecem a criptografia. Além disso, uma verificação de integridade das mensagens (MIC) garante que os pacotes criptografados não estejam sendo alterados. O TKIP remove a previsibilidade do WEP que ajuda os invasores a decifrar a chave WEP.

AES

Um método de criptografia usado para autenticação WPA2/WPA3. Esse padrão nacional de criptografia usa um algoritmo simétrico que tem a mesma chave para criptografia e descriptografia. O AES usa criptografia CBC de 128 bits, que suporta tamanhos de chave de 128 bits, 192 bits e 256 bits, no mínimo. O telefone suporta um tamanho de chave de 256 bits.

Esquemas de autenticação e criptografia são configurados na LAN sem fio. As VLANs são configuradas na rede e nos APs e especificam diferentes combinações de autenticação e criptografia. Um SSID se associa a uma VLAN e ao esquema de autenticação e criptografia específico. Para que os dispositivos cliente sem fio sejam autenticados corretamente, você deve configurar os mesmos SSIDs com os esquemas de autenticação e criptografia deles nos APs e no telefone.

Alguns esquemas de autenticação exigem tipos específicos de criptografia.

Os esquemas de autenticação e criptografia na tabela a seguir mostram as opções de configuração de rede do telefone que correspondem à configuração do AP.

Os serviços de garantia SIP (AS-SIP) são um conjunto de recursos e protocolos que oferecem um fluxo de chamada altamente seguro para Telefones IP Cisco e telefones de terceiros. Os seguintes recursos são conhecidos coletivamente como AS-SIP:

• Precedência e antecipação de vários níveis (MLPP)
• Ponto de código de serviços diferenciados (DSCP)
• TLS (Transport Layer Security) e SRTP (Secure Real-time Transport Protocol)
• Protocolo de Internet versão 6 (IPv6)

AS-SIP é frequentemente usado com Precedência e antecipação de vários níveis (MLPP) para priorizar chamadas durante uma emergência. Com o MLPP, você atribui um nível de prioridade às chamadas de saída do nível 1 (baixa) ao 5 (alta). Quando você recebe uma chamada, um ícone de nível de precedência é exibido no telefone que mostra a prioridade da chamada.

Para configurar AS-SIP, conclua as seguintes tarefas no Cisco Unified Communications Manager:

• Configurar um usuário Digest — Configure o usuário final para usar a autenticação Digest em solicitações SIP.
• Configurar porta segura de telefone SIP — o Cisco Unified Communications Manager usa essa porta para ouvir telefones SIP para registros de linha SIP em TLS.
• Reiniciar serviços — Depois de configurar a porta segura, reinicie os serviços Cisco Unified Communications Manager e Cisco CTL Provider. Configure o perfil SIP para AS-SIP Configure um perfil SIP com configurações de SIP para os terminais AS-SIP e para os troncos SIP. Os parâmetros específicos do telefone não são baixados para um telefone AS-SIP de terceiros. Eles são usados apenas pelo Cisco Unified Manager. Os telefones de terceiros devem definir localmente as mesmas configurações.
• Configurar o perfil de segurança do telefone para AS-SIP—Você pode usar o perfil de segurança do telefone para atribuir configurações de segurança como TLS, SRTP e autenticação digest.
• Configurar terminal AS-SIP — Configure um Telefone IP Cisco ou um terminal de terceiros com suporte AS-SIP.
• Associar dispositivo a usuário final — Associe o terminal a um usuário.
• Configurar o perfil de segurança do tronco SIP para AS-SIP — Você pode usar o perfil de segurança do tronco SIP para atribuir recursos de segurança como TLS ou autenticação digest a um tronco SIP.
• Configurar tronco SIP para AS-SIP — Configure um tronco SIP com suporte AS-SIP.
• Configurar recursos do AS-SIP — Configure recursos adicionais do AS-SIP, como MLPP, TLS, V.150 e IPv6.

Para obter informações detalhadas sobre como configurar o AS-SIP, consulte o capítulo "Configurar dispositivo AS-SIP" no Guia de configuração de recursos para o Cisco Unified Communications Manager .

Quando os Códigos de autorização forçada (FAC) ou Códigos de assunto de cliente (CMC) ou ambos estão configurados no telefone, os usuários devem inserir as senhas necessárias para discar um número.

Para obter mais informações sobre como configurar o FAC e o CMC no Cisco Unified Communications Manager, consulte o capítulo " Códigos de assunto de cliente e códigos de autorização forçada " no Guia de configuração de recursos para o Cisco Unified Communications Manager, versão 12.5(1) ou posterior .