Puteți activa Cisco Unified Communications Manager să funcționeze într-un mediu cu securitate îmbunătățită. Prin aceste îmbunătățiri, rețeaua dvs. de telefonie funcționează sub un set de controale stricte de securitate și gestionare a riscurilor, pentru a vă proteja pe dvs. și pe utilizatorii dvs.

Mediul cu securitate îmbunătățită include următoarele caracteristici:

  • Autentificare la căutarea contactelor.

  • TCP ca protocol prestabilit pentru înregistrarea la distanță în jurnalele de audit.

  • Modul FIPS.

  • O politică îmbunătățită a informațiilor.

  • Compatibilitate cu familia SHA-2 de hash-uri pentru semnături digitale.

  • Compatibilitate cu o dimensiune a cheilor RSA de 512 biți și de 4096 de biți.

Cu Cisco Unified Communications Manager versiune 14.0 și Cisco Video Phone Firmware versiunea 2.1 și versiuni ulterioare, telefoanele acceptă autentificarea SIP OAuth.

OAuth este acceptat pentru Proxy Trivial File Transfer Protocol (TFTP) cu versiunea Cisco Unified Communications Manager 14.0(1)SU1 sau o versiune ulterioară. Proxy TFTP și OAuth pentru Proxy TFTP nu sunt acceptate pe Mobile Remote Access (MRA).

Pentru informații suplimentare despre securitate, consultați următoarele:

Telefonul dvs. poate stoca doar un număr limitat de fișiere listă de identități de încredere (ITL). Fișierele ITL nu pot depăși 64.000 pe telefon, deci limitați numărul de fișiere pe care Cisco Unified Communications Manager îl trimite către telefon.

Caracteristicile de securitate acceptate

Caracteristicile de securitate protejează împotriva amenințărilor, inclusiv a amenințărilor la adresa identității telefonului și a datelor. Aceste caracteristici stabilesc și întrețin fluxuri de comunicare autentificate între telefon și serverul Cisco Unified Communications Manager și garantează faptul că telefonul utilizează numai fișiere semnate digital.

Cisco Unified Communications Manager versiunea 8.5(1) și versiuni mai recente includ securitate în mod prestabilit, care oferă următoarele caracteristici de securitate pentru telefoanele Cisco IP, fără să ruleze clientul CTL:

  • Semnarea fișierelor de configurare a telefonului

  • Criptarea fișierelor de configurare a telefonului

  • HTTPS cu Tomcat și alte servicii web

Caracteristicile securizate de semnalizare și media vă cer în continuare să rulați clientul CTL și să utilizați hardware-ul eTokens.

Implementarea securității în sistemul Cisco Unified Communications Manager previne furtul de identitate al telefonului și al serverului Cisco Unified Communications Manager, previne falsificarea datelor și previne falsificarea semnalizărilor apelurilor și a fluxului media.

Pentru a atenua aceste amenințări, rețeaua de telefonie Cisco IP stabilește și întreține fluxuri de comunicație securizate (criptate) între un telefon și server, semnează digital fișierele înainte de a fi transferate pe un telefon și criptează fluxurile media și semnalizarea apelurilor dintre telefoanele Cisco IP.

Un certificat semnificativ la nivel local (LSC) se instalează pe telefoane după ce efectuați sarcinile necesare, asociate cu Proxy Certificate Authority Function (CAPF). Puteți să utilizați Administrare Cisco Unified Communications Manager pentru a configura un LSC, așa cum este descris în Ghidul de securitate Cisco Unified Communications Manager. Alternativ, puteți iniția instalarea unui LSC din meniul Setări securitate de pe telefon. De asemenea, acest meniu vă permite să actualizați sau să eliminați un LSC.

Un LSC nu poate fi utilizat ca certificat de utilizator pentru EAP-TLS cu autentificare WLAN.

Telefoanele utilizează profilul de securitate al telefonului, care definește dacă dispozitivul este nesecurizat sau securizat. Pentru informații despre aplicarea profilului de securitate pe telefon, consultați documentația pentru versiunea dvs. specifică Cisco Unified Communications Manager.

Când configurați setările legate de securitate în Administrare Cisco Unified Communications Manager, fișierul de configurare a telefonului conține informații confidențiale. Pentru a asigura confidențialitatea unui fișier de configurare, trebuie să-l configurați pentru criptare. Pentru informații detaliate, consultați documentația pentru versiunea dvs. specifică Cisco Unified Communications Manager.

Telefonul respectă Standardul federal de procesare a informațiilor (FIPS). Pentru a funcționa corect, modul FIPS necesită o dimensiune a cheilor de 2048 de biți sau mai mare. Dacă certificatul este mai mic de 2048 de biți, telefonul nu se va înregistra în Cisco Unified Communications Manager, iar mesajul Telefonul nu a reușit să se înregistreze. Dimensiunea cheii certificatului nu este compatibilă cu FIPS se afișează pe telefon.

Dacă telefonul are un LSC, trebuie să actualizați dimensiunea cheii LSC la 2048 de biți sau mai mare înainte de a activa FIPS.

Următorul tabel oferă o prezentare generală a caracteristicilor de securitate pe care le acceptă telefoanele. Pentru informații suplimentare, consultați documentația versiunii dvs. Cisco Unified Communications Manager.

Pentru a vizualiza modul Securitate, apăsați Setări Tasta hard Setări și navigați la Setări rețea și serviciu >Securitate.

Tabelul 1. Prezentare generală a caracteristicilor de securitate

Caracteristică

Descriere

Autentificarea pentru imagini

Fișierele binare semnate previn falsificarea imaginii firmware-ului înainte ca imaginea să fie încărcată pe un telefon.

Falsificarea imaginii determină eșecul procesului de autentificare al unui telefon și respingerea noii imagini.

Instalarea certificatelor la sediul clientului

Fiecare telefon Cisco IP necesită un certificat unic pentru autentificarea dispozitivului. Telefoanele includ un certificat de fabricație instalat (MIC), dar, pentru securitate suplimentară, puteți specifica instalarea certificatului în Administrare Cisco Unified Communications Manager, utilizând Certificate Authority Proxy Function (CAPF). Ca alternativă, puteți instala un certificat semnificativ la nivel local (LSC), din meniul Configurare securitate de pe telefon.

Autentificarea dispozitivelor

Are loc între serverul Cisco Unified Communications Manager și telefon atunci când fiecare entitate acceptă certificatul celeilalte entități. Stabilește dacă trebuie să aibă loc o conexiune securizată între telefon și un Cisco Unified Communications Manager și, dacă este necesar, creează o cale de semnalizare securizată între entități, prin utilizarea protocolului TLS. Cisco Unified Communications Manager nu înregistrează telefoanele decât dacă le poate autentifica.

Autentificarea pentru fișiere

Validează fișierele semnate digital, pe care le descarcă telefonul. Telefonul validează semnătura, pentru a se asigura că nu a avut loc falsificarea fișierelor după crearea fișierelor. Fișierele a căror autentificare eșuează nu sunt scrise în memoria flash de pe telefon. Telefonul respinge astfel de fișiere, fără procesare suplimentară.

Criptarea fișierelor

Criptarea împiedică dezvăluirea informațiilor confidențiale în timp ce fișierul este în tranzit către telefon. În plus, telefonul validează semnătura, pentru a se asigura că nu a avut loc falsificarea fișierelor după crearea fișierelor. Fișierele a căror autentificare eșuează nu sunt scrise în memoria flash de pe telefon. Telefonul respinge astfel de fișiere, fără procesare suplimentară.

Autentificarea pentru semnalizare

Utilizează protocolul TLS pentru a valida faptul că nu a avut loc nicio falsificare a pachetelor de semnalizare în timpul transmisiei.

Certificatul de fabricație instalat

Fiecare telefon Cisco IP conține un certificat unic de fabricație instalat (MIC), care este utilizat pentru autentificarea dispozitivului. MIC oferă dovada permanentă unică a identității pentru telefon și permite Cisco Unified Communications Manager să autentifice telefonul.

Criptarea media

Utilizează SRTP pentru a garanta faptul că fluxurile media dintre dispozitivele acceptate se dovedesc securizate și că numai dispozitivul vizat primește și citește datele. Include crearea unei perechi de chei primare media pentru dispozitive, livrarea cheilor către dispozitive și asigurarea livrării cheilor în timp ce cheile sunt în curs de a fi transportate.

CAPF (Certificate Authority Proxy Function)

Implementează părți din procedura de generare a certificatelor, care sunt prea de intensive pentru procesare pe telefon, și interacționează cu telefonul pentru generarea cheilor și instalarea certificatelor. CAPF poate fi configurată să solicite certificate de la autoritățile de certificate specificate de client în numele telefonului sau poate fi configurată să genereze certificate la nivel local.

Sunt acceptate atât EC (curbă eliptică), cât și RSA tipuri de chei. Pentru a utiliza cheia EC, asigurați-vă că parametrul "Endpoint Advanced Encryption Algorithms Support" (din parametrul System >Enterprise) este activat.

Pentru mai multe informații despre CAPF și configurațiile asociate, consultați următoarele documente:

Profilul de securitate

Definește dacă telefonul este nesecurizat, autentificat, criptat sau protejat. Alte intrări din acest tabel descriu caracteristicile de securitate.

Fișierele de configurare criptate

Vă permite să asigurați confidențialitatea fișierelor de configurare a telefonului.

Dezactivarea opțională a serverului web pentru un telefon

Din motive de securitate, puteți împiedica accesul la paginile web pentru un telefon (care afișează diverse statistici operaționale pentru telefon) și pentru Self Care Portal.

Consolidarea telefoanelor

Opțiunile suplimentare de securitate, pe care le controlați din Administrare Cisco Unified Communications Manager:

  • Dezactivarea portului PC
  • Dezactivarea Gratuitous ARP (GARP)
  • Dezactivarea accesului VLAN vocal PC
  • Dezactivarea accesului la meniul Setări sau furnizarea accesului restricționat
  • Dezactivarea accesului la paginile web pentru un telefon
  • Dezactivarea portului accesoriului Bluetooth
  • Restricționarea cifrurilor TLS

Autentificarea 802.1X

Telefonul Cisco IP poate utiliza autentificarea 802.1X pentru a solicita și a obține acces la rețea. Consultați Autentificarea 802.1X pentru mai multe informații.

Securizarea reluării în caz de nereuşită SIP pentru SRST

După ce configurați o referință Survivable Remote Site Telephony (SRST) pentru securitate, apoi resetați dispozitivele dependente în Administrare Cisco Unified Communications Manager, serverul TFTP adaugă certificatul SRST la fișierul cnf.xml al telefonului și trimite fișierul către telefon. Un telefon securizat utilizează apoi o conexiune TLS pentru a interacționa cu routerul activat pentru SRST.

Criptarea semnalizării

Garantează faptul că toate mesajele de semnalizare SIP care sunt trimise între dispozitiv și serverul Cisco Unified Communications Manager sunt criptate.

Alarmă pentru actualizarea listei de încredere

Când lista de încredere se actualizează pe telefon, Cisco Unified Communications Manager primește o alarmă pentru a indica reușita sau eșecul actualizării. Pentru mai multe informații, consultați următorul tabel.

Criptarea AES 256

Când este conectat la Cisco Unified Communications Manager versiunea 10.5(2) și versiuni mai recente, telefoanele acceptă criptare AES 256 pentru TLS și SIP, pentru semnalizare și criptarea media. Acest lucru permite telefoanelor să inițieze și să accepte conexiuni TLS 1.2 folosind cifruri bazate pe AES-256, care respectă standardele SHA-2 (Secure Hash Algoritm) și sunt conforme cu Federal Information Processing Standards (FIPS). Cifrurile includ:

  • Pentru conexiunile TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Pentru sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Pentru informații suplimentare, consultați documentația platformei Cisco Unified Communications Manager.

Certificate Elliptic Curve Digital Signature Algorithm (ECDSA)

Ca parte din certificarea cu criterii comune (CC), Cisco Unified Communications Manager a adăugat certificate ECDSA în versiunea 11.0. Acest lucru afectează toate produsele cu sistem de operare vocal (VOS), care rulează CUCM 11.5 și versiuni mai recente.

Certificat Tomcat multi-server (SAN) cu Cisco UCM

Telefonul acceptă Cisco UCM cu certificate Tomcat multi-server (SAN) configurate. Adresa corectă a serverului de TFTP poate fi găsită în fișierul ITL al telefonului pentru înregistrarea telefonului.

Pentru mai multe informații despre caracteristică, consultați următoarele:

Următorul tabel conține mesajele de alarmă pentru actualizarea listei de încredere și semnificația. Pentru informații suplimentare, consultați documentația platformei Cisco Unified Communications Manager.

Tabelul 2. Mesajele de alarmă la actualizarea listei de încredere
Cod și mesaj Descriere

1 - TL_SUCCESS

S-au primit CTL și/sau ITL noi

2 - CTL_INITIAL_SUCCESS

S-a primit CTL nou, nu există TL

3 - ITL_INITIAL_SUCCESS

S-a primit ITL nou, nu există TL

4 - TL_INITIAL_SUCCESS

S-au primit CTL și ITL noi, nu există TL

5 - TL_FAILED_OLD_CTL

Actualizarea noului CTL nu a reușit, dar are TL anterioară

6 - TL_FAILED_NO_TL

Actualizarea noii TL nu a reușit și nu are TL veche

7 - TL_FAILED

Eroare generică

8 - TL_FAILED_OLD_ITL

Actualizarea noului ITL nu a reușit, dar are TL anterioară

9 - TL_FAILED_OLD_TL

Actualizarea noii TL nu a reușit, dar are TL anterioară

Meniul Configurare securitate oferă informații despre diversele setări de securitate. De asemenea, meniul oferă acces la meniul Listă de încredere și indică dacă fișierul CTL sau ITL este instalat pe telefon.

Următorul tabel descrie opțiunile din meniul Configurare securitate.

Tabelul 3. Meniul Configurare securitate

Opţiune

Descriere

De modificat

Mod securitate

Afișează modul de securitate care este setat pentru telefon.

Din Administrare Cisco Unified Communications Manager, alegeți Dispozitiv > Telefon. Setarea apare în porțiunea Informații specifice protocolului, din fereastra Configurație telefon.

LSC

Indică dacă un certificat semnificativ local care este utilizat pentru caracteristici de securitate este instalat pe telefon (instalat) sau nu este instalat pe telefon (neinstalat).

Pentru informații despre modul de gestionare a LSC pentru telefonul dvs., consultați documentația pentru versiunea dvs. specifică Cisco Unified Communications Manager.

Configurarea unui certificat semnificativ la nivel local (LSC)

Această sarcină se aplică configurării unui LSC cu metoda șirului de autentificare.

Înainte de a începe

Asigurați-vă că configurațiile de securitate corespunzătoare Cisco Unified Communications Manager și Certificate Authority Proxy (CAPF) sunt complete:

  • Fișierul CTL sau ITL are un certificat CAPF.

  • În Administrare sistem de operare Cisco Unified Communications, verificați dacă este instalat certificatul CAPF.

  • CAPF rulează și este configurat.

Pentru informații suplimentare despre aceste setări, consultați documentația versiunii dvs. specifice Cisco Unified Communications Manager.

1

Obțineți codul de autentificare CAPF care a fost setat când a fost configurat CAPF.

2

Pe telefon, apăsați Setări the Settings hard key.

3

Dacă vi se solicită, introduceți parola pentru a accesa meniul Setări . Puteți obține parola de la administratorul dvs.

4

Navigați la Setări rețea și serviciu > Securitate> LSC.

Puteți controla accesul la meniul Setări utilizând câmpul Acces setări din Administrare Cisco Unified Communications Manager.

5

Introduceți șirul de autentificare și selectați Trimitere.

Telefonul începe să instaleze, să actualizeze sau să elimine LSC, în funcție de modul în care este configurat CAPF. Când procedura este finalizată, pe telefon se afișează Instalat sau Neinstalat.

Finalizarea procesului de instalare, actualizare sau eliminare a LSC poate dura mult.

Când procedura de instalare a telefonului reușește, se afișează mesajul Instalat. Dacă telefonul afișează Neinstalat, este posibil ca șirul de autorizare să fie incorect sau ca upgrade-ul telefonului să nu fie activat. Dacă operația CAPF șterge LSC, telefonul afișează Neinstalat pentru a indica faptul că operația a reușit. Serverul CAPF înregistrează mesajele de eroare. Consultați documentația serverului CAPF pentru a găsi jurnalele și pentru a înțelege semnificația mesajelor de eroare.

Activarea modului FIPS

1

În Administrare Cisco Unified Communications Manager, selectați Dispozitiv > Telefon și găsiți telefonul.

2

Navigați la zona Configurație specifică produsului.

3

Setați câmpul Modul FIPS la Activat.

4

Selectați Salvare.

5

Selectați Aplicare config.

6

Reporniți telefonul.

Oprirea difuzorului, căștilor și receptorului pe un telefon

Aveți opțiunea de a dezactiva permanent difuzorul, căștile și receptorul de pe un telefon pentru utilizatorul dvs.

1

În Administrare Cisco Unified Communications Manager, selectați Dispozitiv > Telefon și găsiți telefonul.

2

Navigați la zona Configurație specifică produsului.

3

Bifați una sau mai multe dintre următoarele casete de selectare pentru a dezactiva capacitățile telefonului:

  • Dezactivare difuzor
  • Dezactivare difuzor și căști
  • Dezactivare căști

În mod implicit, aceste casete de selectare nu sunt bifate.

4

Selectați Salvare.

5

Selectați Aplicare config.

Autentificarea 802.1X

Telefoanele Cisco IP acceptă autentificarea 802.1X.

Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și pentru a determina parametrii, cum ar fi alocarea VLAN și cerințele de alimentare în linie. CDP nu identifică stațiile de lucru atașate local. Telefoanele Cisco IP oferă un mecanism de transfer EAPOL. Acest mecanism permite unei stații de lucru atașate la telefonul Cisco IP să transmită mesaje EAPOL către autentificatorul 802.1X de la switch-ul LAN. Mecanismul de transmisie garantează faptul că telefonul IP nu acționează ca switch LAN pentru a autentifica un punct final de date înainte de a accesa rețeaua.

Telefoanele Cisco IP oferă, de asemenea, un mecanism proxy de deconectare de la EAPOL. Dacă PC-ul atașat local se deconectează de la telefonul IP, switch LAN nu vede eșecul legăturii fizice, deoarece legătura dintre switch-ul LAN și telefonul IP este păstrată. Pentru a evita compromiterea integrității rețelei, telefonul IP trimite un mesaj EAPOL-Logoff către switch în numele PC-ului din aval, care declanșează switch-ul LAN pentru a elimina intrarea de autentificare pentru PC-ul din aval.

Acceptarea autentificării 802.1X necesită mai multe componente:

  • Telefonul Cisco IP: telefonul inițiază solicitarea de a accesa rețeaua. Telefoanele Cisco IP conțin un solicitant 802.1X. Acest solicitant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile switch-ului LAN. Versiunea curentă a solicitantului 802.1X de pe telefon utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.

  • Server de autentificare: Serverul de autentificare și comutatorul trebuie să fie configurate cu un secret partajat care autentifică telefonul.

  • Switch: switch-ul trebuie să accepte 802.1X, astfel încât să poată acționa ca autentificator și să poată transmite mesajele între telefon și serverul de autentificare. După finalizarea schimbului, switch-ul acordă sau respinge accesul telefonului în rețea.

Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.

  • Configurați celelalte componente înainte de a activa autentificarea 802.1X pe telefon.

  • Configurarea portului PC: standardul 802.1X nu ia în considerare VLAN-urile și, prin urmare, recomandă ca numai un singur dispozitiv să fie autentificat la un port de switch specific. Cu toate acestea, unele switch-uri acceptă autentificarea în mai multe domenii. Configurația switch-ului stabilește dacă puteți conecta un PC la portul PC al telefonului.

    • Activat: Dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți să activați portul PC și să conectați un PC la acesta. În acest caz, telefoanele Cisco IP acceptă EAPOL-Logoff proxy pentru a monitoriza schimburile de autentificare dintre switch și PC-ul atașat.

      Pentru mai multe informații despre acceptarea IEEE 802.1X pe switch-urile Cisco Catalyst, consultați ghidurile de configurare a switch-urilor Cisco Catalyst, de la:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Dezactivat: dacă switch-ul nu acceptă mai multe dispozitive compatibile cu 802.1X pe același port, trebuie să dezactivați portul PC când este activată autentificarea 802.1X. Dacă nu dezactivați acest port și apoi încercați să atașați un PC la acesta, switch-ul respinge accesul în rețea atât pentru telefon, cât și pentru PC.

  • Configurare VLAN vocal: deoarece standardul 802.1X nu ține cont de VLAN-uri, trebuie să configurați această setare pe baza compatibilității switch-ului.
    • Activat: dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți continua să utilizați VLAN-ul vocal.
    • Dezactivat: dacă switch-ul nu acceptă autentificarea în mai multe domenii, dezactivați VLAN-ul vocal și luați în considerare atribuirea portului către VLAN-ul nativ.
  • (Numai pentru telefonul Cisco Desk seria 9800)

    Telefonul Cisco Desk seria 9800 are un prefix diferit în PID față de cel pentru celelalte telefoane Cisco. Pentru a permite telefonului să treacă autentificarea 802.1X, setați Rază · Parametrul Nume utilizator pentru a include telefonul Cisco Desk seria 9800.

    De exemplu, PID-ul telefonului 9841 este DP-9841; puteți seta Rază· Nume utilizator pentru a începe cu DP sau conține DP. Puteți să o setați în ambele secțiuni următoare:

    • Politică > Condiții > Condiții de bibliotecă

    • Politici > Seturi de politici> Politica de autorizare> Regula de autorizare 1

Activarea autentificării 802.1X

Puteți activa autentificarea 802.1X pentru telefonul dvs. urmând acești pași:

1

Apăsați Setări the Settings hard key.

2

Dacă vi se solicită, introduceți parola pentru a accesa meniul Setări . Puteți obține parola de la administratorul dvs.

3

Navigați la Setări rețea și servicii > Securitate > autentificare 802.1X.

4

Activați autentificarea IEEE 802.1X.

5

Selectați Aplicare.

Vizualizarea informațiilor despre setările de securitate de pe telefon

Puteți vizualiza informațiile despre setările de securitate în meniul telefonului. Disponibilitatea informațiilor depinde de setările de rețea din organizația dvs.

1

Apăsați Setări the Settings key.

2

Navigați la Setări rețea și servicii >Securitate.

3

În setările desecuritate, vizualizați următoarele informații.

Tabelul 4. Parametri pentru setările de securitate

Parametri

Descriere

Mod securitate

Afișează modul de securitate care este setat pentru telefon.

LSC

Indică dacă un certificat semnificativ local care este utilizat pentru caracteristicile de securitate este instalat pe telefon (Da) sau nu este instalat pe telefon (Nu).

Listă de încredere

Lista de încredere furnizează submeniuri pentru fișierele CTL, ITL și Configurare semnată.

Submeniul Fișier CTL afișează conținutul fișierului CTL. Submeniul Fișier ITL afișează conținutul fișierului ITL.

Meniul Listă de încredere afișează, de asemenea, următoarele informații:

  • CTL Semnătură: codul hash SHA1 al fișierului CTL
  • Unified CM/TFTP Server: numele serverului Cisco Unified Communications Manager și TFTP utilizat de telefon. Afișează o pictogramă certificat dacă este instalat un certificat pentru acest server.
  • CAPF Server: numele serverului CAPF utilizat de telefon. Afișează o pictogramă certificat dacă este instalat un certificat pentru acest server.
  • SRST Router: adresa IP a routerului SRST de încredere pe care îl poate utiliza telefonul. Afișează o pictogramă certificat dacă este instalat un certificat pentru acest server.

Securitatea apelurilor telefonice

Când este implementată securitatea pentru un telefon, puteți să identificați apelurile telefonice securizate prin pictograme de pe ecranul telefonului. De asemenea, puteți determina dacă telefonul conectat este securizat și protejat dacă un ton de securitate este redat la începutul apelului.

Într-un apel securizat, toate fluxurile de semnalizare a apelurilor și fluxurile media sunt criptate. Un apel securizat oferă un nivel înalt de securitate, asigurând integritatea și confidențialitatea apelului. Atunci când un apel în curs este criptat, puteți vedea pictograma securizată Pictograma lacăt pentru un apel securizat Pe linie. Pentru un telefon securizat, puteți vizualiza și pictograma autentificată Sau pictograma criptată De lângă serverul conectat din meniul telefonului (Setări > Despre acest dispozitiv).

Dacă apelul este direcționat prin intermediul porțiunilor de apel non-IP, de exemplu PSTN, apelul poate fi nesecurizat, chiar dacă este criptat în cadrul rețelei IP și are o pictogramă de blocare asociată.

Într-un apel securizat, un ton de securitate este redat la începutul unui apel, pentru a indica faptul că celălalt telefon conectat primește și transmite semnal audio securizat. Dacă apelul dvs. se conectează la un telefon nesecurizat, tonul de securitate nu este redat.

Apelarea securizată este acceptată numai pentru conexiunile dintre două telefoane. Unele caracteristici, cum ar fi apelurile în conferință și liniile partajate, nu sunt disponibile când este configurată apelarea securizată.

Atunci când un telefon este configurat ca securizat (criptat și de încredere) în Cisco Unified Communications Manager, acesta poate primi un protejat stare. După aceea, dacă doriți, telefonul protejat poate fi configurat să redea un ton de indicație la începutul unui apel:

  • Dispozitiv protejat: pentru a modifica starea unui telefon securizat la telefon protejat, bifați căsuța de aprobare Dispozitiv protejat din fereastra Configurație telefon din Administrare Cisco Unified Communications Manager (Dispozitiv > Telefon).

  • Redare ton de indicație securizat: pentru a activa telefonul protejat să redea un ton de indicație securizat sau nesecurizat, setați setarea Redare ton de indicație securizat la True. În mod prestabilit, setarea Redare ton de indicație securizat este setată la False. Setați această opțiune în Administrare Cisco Unified Communications Manager (Sistem > Parametri serviciu). Selectați serverul, apoi serviciul Unified Communications Manager. În fereastra Configurație parametru serviciu, selectați opțiunea din zona Caracteristică - Ton securizat. Setarea prestabilită este False.

Identificarea apelurilor în conferință securizate

Puteți să inițiați un apel în conferință securizat și să monitorizați nivelul de securitate al participanților. Un apel în conferință securizat este stabilit prin utilizarea acestui proces:

  1. Un utilizator inițiază conferința de pe un telefon securizat.

  2. Cisco Unified Communications Manager atribuie apelului o punte de conferință securizată.

  3. În timp ce sunt adăugați participanții, Cisco Unified Communications Manager verifică modul securizat al fiecărui telefon și menține nivelul securizat al conferinței.

  4. Telefonul afișează nivelul de securitate al apelului în conferință. O conferință securizată afișează pictograma securizată Pictograma lacăt pentru un apel securizat.

Apelarea securizată este acceptată între două telefoane. Pentru telefoanele protejate, unele caracteristici, cum ar fi apelarea în conferință, liniile partajate și Extension Mobility, nu sunt disponibile când este configurată apelarea securizată.

Următorul tabel oferă informații despre modificările nivelurilor de securitate ale conferințelor, în funcție de nivelul de securitate al telefonului inițiator, de nivelurile de securitate ale participanților și de disponibilitatea punților de conferințe securizate.

Tabelul 5. Restricții de securitate cu apelurile în conferință

Nivel de securitate al telefonului inițiator

Caracteristică utilizată

Nivel de securitate al participanților

Rezultatele acțiunii

Nesecurizat

Conferinţă

Securizat

Punte de conferință nesecurizată

Conferință nesecurizată

Securizat

Conferinţă

Cel puțin un membru este nesecurizat.

Punte de conferință securizată

Conferință nesecurizată

Securizat

Conferinţă

Securizat

Punte de conferință securizată

Conferință cu nivel criptat securizată

Nesecurizat

Meet Me

Nivelul minim de securitate este criptat.

Inițiatorul primește mesajul Nu îndeplinește nivelul de securitate; apelul este respins.

Securizat

Meet Me

Nivelul minim de securitate este nesecurizat.

Punte de conferință securizată

Conferința acceptă toate apelurile.

Identificarea apelurilor telefonice securizate

Un apel securizat este stabilit când telefonul dvs. și telefonul de la celălalt capăt sunt configurate pentru apelare securizată. Celălalt telefon poate fi în aceeași rețea Cisco IP sau într-o rețea din afara rețelei IP. Apelurile securizate pot fi efectuate numai între două telefoane. Apelurile în conferință trebuie să accepte apelul securizat după configurarea punții de conferință securizată.

Un apel securizat este stabilit utilizând acest proces:

  1. Un utilizator inițiază apelul de pe un telefon securizat (în modul de securitate Securizat).

  2. Telefonul afișează pictograma securizată Pictograma lacăt pentru un apel securizat Pe ecranul telefonului. Această pictogramă indică faptul că telefonul este configurat pentru apeluri securizate, dar nu înseamnă că celălalt telefon conectat este, de asemenea, securizat.

  3. Utilizatorul aude un ton de securitate dacă apelul se conectează la alt telefon securizat, indicând faptul că ambele capete ale conversației sunt criptate și securizate. Dacă apelul se conectează la un telefon nesecurizat, utilizatorul nu aude tonul de securitate.

Apelarea securizată este acceptată între două telefoane. Pentru telefoanele protejate, unele caracteristici, cum ar fi apelarea în conferință, liniile partajate și Extension Mobility, nu sunt disponibile când este configurată apelarea securizată.

Numai telefoanele protejate redau aceste tonuri de indicație securizate sau nesecurizate. Telefoanele neprotejate nu redau niciodată tonuri. Dacă starea generală a apelului se schimbă în timpul apelului, tonul de indicație se schimbă și telefonul protejat redă tonul corespunzător.

Un telefon protejat redă un ton sau nu în aceste condiții:

  • Când este activată opțiunea Redare ton de indicație securizat:

    • Când este stabilită compatibilitatea media securizată de la un capăt la celălalt și starea apelului este securizată, telefonul redă tonul de indicație securizat (trei bipuri lungi, cu pauze).

    • Când este stabilită compatibilitatea media de la un capăt la celălalt și starea apelului este nesecurizată, telefonul redă tonul de indicație nesecurizat (șase bipuri scurte, cu pauze scurte).

Dacă opțiunea Redare ton de indicație securizat este dezactivată, nu este redat niciun ton.

Furnizați criptare pentru barjă

Cisco Unified Communications Manager verifică starea de securitate a telefonului atunci când sunt stabilite conferințe și modifică indicația de securitate pentru conferință sau blochează finalizarea apelului pentru a menține integritatea și securitatea în sistem.

Un utilizator nu poate intra într-un apel criptat dacă telefonul utilizat pentru barjă nu este configurat pentru criptare. Când barja eșuează în acest caz, un ton de reordonare (rapid ocupat) este redat pe telefonul pe care a fost inițiată barja.

Dacă telefonul inițiatorului este configurat pentru criptare, inițiatorul barjei poate intra într-un apel nesecurizat de pe telefonul criptat. După ce apare barja, Cisco Unified Communications Manager clasifică apelul ca nesecurizat.

Dacă telefonul inițiatorului este configurat pentru criptare, inițiatorul barjei poate intra într-un apel criptat, iar telefonul indică faptul că apelul este criptat.

WLAN securitate

Această secțiune se aplică numai modelelor de telefoane cu capacitate Wi-Fi.

WLAN securitate

Deoarece toate dispozitivele WLAN care se află în aria de acoperire pot primi tot celălalt trafic WLAN, securizarea comunicațiilor vocale este critică în rețelele WLAN. Pentru a se asigura că intrușii nu manipulează și nu interceptează traficul de voce, arhitectura Cisco SAFE Security acceptă telefonul. Pentru mai multe informații despre securitatea în rețele, consultați http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Soluția de telefonie Cisco Wireless IP asigură securitatea rețelei wireless care previne conectările neautorizate și comunicațiile compromise, utilizând următoarele metode de autentificare acceptate de telefon:

  • Autentificare deschisă: orice dispozitiv wireless poate solicita autentificarea într-un sistem deschis. AP care primește solicitarea poate acorda autentificare oricărui solicitant sau numai solicitanților care se află pe o listă de utilizatori. Comunicarea dintre dispozitivul wireless și punctul de acces (AP) ar putea fi necriptată.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Această arhitectură de securitate client-server criptează tranzacțiile EAP într-un tunel Transport Level Security (TLS) între AP și serverul RADIUS, cum ar fi Identity Services Engine (ISE).

    Tunelul TLS utilizează Protected Access Credentials (PAC) pentru autentificarea dintre client (telefon) și serverul RADIUS. Serverul trimite un ID de autoritate (AID) către client (telefon), care, la rândul său, selectează PAC corespunzătoare. Clientul (telefonul) returnează PAC-Opaque către serverul RADIUS. Serverul decriptează PAC cu cheia primară. Ambele puncte finale conțin acum cheia PAC și este creat un tunel TLS. EAP-FAST acceptă asigurarea automată PAC, dar trebuie s-o activați pe serverul RADIUS.

    În ISE, în mod implicit, PAC expiră într-o săptămână. Dacă telefonul are PAC expirate, autentificarea pe serverul RADIUS durează mai mult, în timp ce telefonul primește PAC noi. Pentru a evita întârzierile de asigurare a PAC, setați perioada de expirare a PAC la 90 zile sau mai mult pe serverul ISE sau RADIUS.

  • Autentificarea Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS necesită un certificat client pentru autentificare și accesul în rețea. Pentru EAP-TLS wireless, certificatul client poate fi MIC, LSC sau certificat instalat de utilizator.

  • Protected Extensible Authentication Protocol (PEAP): schema proprietară Cisco de autentificare reciprocă bazată pe parolă dintre client (telefon) și un server RADIUS. Telefonul poate utiliza PEAP pentru autentificarea cu rețeaua fără fir. Sunt acceptate ambele metode de autentificare, PEAP-MSCHAPV2 și PEAP-GTC.

  • Cheie pre-partajată (PSK): telefonul acceptă formatul ASCII. Trebuie să utilizați acest format atunci când configurați o cheie pre-partajată WPA/WPA2/SAE:

    ASCII: un șir de caractere ASCII cu 8 - 63 caractere lungime (0-9, litere mici și majuscule A-Z și caractere speciale)

    Exemplu: GREG123567@9ZX&W

Următoarele scheme de autentificare utilizează serverul RADIUS pentru a gestiona cheile de autentificare:

  • WPA/WPA2/WPA3: utilizează informațiile serverului RADIUS pentru a genera chei unice pentru autentificare. Deoarece aceste chei sunt generate la serverul centralizat RADIUS, WPA2/WPA3 oferă mai multă securitate decât WPA cheile prepartajate stocate pe AP și telefon.

  • Roaming rapid securizat: utilizează informațiile despre serverul RADIUS și despre serverul de domeniu wireless (WDS) pentru a gestiona și a autentifica cheile. WDS creează o memorie cache de acreditări de securitate pentru dispozitivele client compatibile FT pentru reautentificare rapidă și sigură. Telefoanele de birou Cisco 9861 și 9871 și Cisco Video Phone 8875 acceptă 802.11r (FT). Atât deasupra aerului cât și deasupra DS sunt acceptate pentru a permite roaming rapid și sigur. Dar vă recomandăm insistent utilizarea 802.11r (FT) la metoda aeriană.

Cu WPA/WPA2/WPA3, cheile de criptare nu sunt introduse pe telefon, ci sunt derivate automat între AP și telefon. Dar numele de utilizator și parola EAP care sunt utilizate pentru autentificare trebuie introduse pe fiecare telefon.

Pentru a asigura securitatea traficului de voce, telefonul acceptă TKIP și AES pentru criptare. Când aceste mecanisme sunt utilizate pentru criptare, atât pachetele SIP de semnalizare, cât și pachetele de voce Real-Time Transport Protocol (RTP) sunt criptate între AP și telefon.

TKIP

WPA utilizează criptarea TKIP care are mai multe îmbunătățiri față de WEP. TKIP oferă cifrarea cheilor per pachet și vectori de inițializare (IV) mai lungi, care consolidează criptarea. În plus, o verificare de integritate a mesajului (MIC) garantează faptul că pachetele criptate nu sunt modificate. TKIP elimină predictibilitatea WEP, care ajută intrușii să descifreze cheia WEP.

AES

O metodă de criptare utilizată pentru autentificarea WPA2/WPA3. Acest standard național pentru criptare utilizează un algoritm simetric, care are aceeași cheie pentru criptare și decriptare. AES utilizează criptarea Cipher Blocking Chain (CBC) pe dimensiunea de 128 de biți, care acceptă dimensiuni de chei de minimum 128 de biți, 192 de biți și 256 de biți. Telefonul acceptă o dimensiune a tastei de 256 biți.

Telefoanele de birou Cisco 9861, 9871 și Cisco Video Phone 8875 nu acceptă Cisco Key Integrity Protocol (CKIP) cu CMIC.

Schemele de autentificare și criptare sunt configurate în cadrul rețelei LAN wireless. VLAN-urile sunt configurate în rețea și pe AP-uri și specifică diferite combinații de autentificare și criptare. Un SSID se asociază cu un VLAN și cu schema specifică de autentificare și criptare. Pentru ca dispozitivele client wireless să se autentifice cu succes, trebuie să configurați aceleași SSID-uri cu schemele lor de autentificare și criptare pe AP-uri și pe telefon.

Unele scheme de autentificare necesită tipuri specifice de criptare.

  • Când utilizați WPA cheie pre-partajată, cheie WPA2 pre-partajată sau SAE, cheia pre-partajată trebuie să fie setată static pe telefon. Aceste chei trebuie să se potrivească cu cheile care sunt pe AP.

  • Telefonul acceptă negocierea EAP automată pentru FAST sau PEAP, dar nu și pentru TLS. Pentru EAP-TLS mod, trebuie să îl specificați.

Schemele de autentificare și criptare din tabelul următor prezintă opțiunile de configurare a rețelei pentru telefonul care corespunde configurației AP.

Tabelul 6. Scheme de autentificare și criptare
Tip FSRAutentificareAdministrare cheiCriptareCadrul de Management Protejat (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNu
802.11r (FT)WPA3

SAE

FT-SAE

AESDa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa

Configurarea profilului LAN wireless

Puteți să vă gestionați profilul de rețea wireless prin configurarea informațiilor, a benzii de frecvențe, a metodei de autentificare etc.

Rețineți următoarele note înainte de a configura profilul WLAN:

  • Numele de utilizator şi parola

    • Când rețeaua dvs. utilizează EAP-FAST și PEAP pentru autentificarea utilizatorilor, trebuie să configurați atât numele de utilizator, cât și parola, dacă este necesar, pe Remote Authentication Dial-In User Service (RADIUS) și pe telefon.

    • Informațiile pe care le introduceți în profilul LAN wireless trebuie să fie identice cu informațiile pe care le-ați configurat pe serverul RADIUS.

    • Dacă utilizați domenii în cadrul rețelei dvs., trebuie să introduceți numele de utilizator cu numele de domeniu, în formatul: domeniu\numedeutilizator.

  • Următoarele acțiuni pot duce la eliminarea parolei Wi-Fi existente:

    • Introducerea unui ID de utilizator sau a unei parole nevalide
    • Instalarea unei CA rădăcină nevalide sau expirate când tipul EAP este setat la PEAP-MSCHAPV2 sau PEAP-GTC
    • Dezactivarea tipului EAP în curs de utilizare pe serverul RADIUS înainte de a comuta telefonul la noul tip EAP
  • Pentru a schimba tipul EAP, asigurați-vă că activați mai întâi noul tip EAP pe serverul RADIUS, apoi comutați telefonul la tipul EAP. Când toate telefoanele au fost schimbate la tipul EAP nou, puteți dezactiva tipul EAP anterior dacă doriți.
1

În Administrare Cisco Unified Communications Manager, selectați Dispozitiv > Setări dispozitiv > Profil LAN wireless.

2

Selectați profilul de rețea pe care doriți să-l configurați.

3

Configurați parametrii.

4

Faceți clic pe Salvare.

Instalarea manuală a unui certificat de server de autentificare

Puteți instala manual un certificat de server de autentificare pe telefon dacă Simple Certificate Enrollment Protocol (SCEP) nu este disponibil.

Certificatul CA rădăcină care a emis certificatul de server RADIUS trebuie să fie instalat pentru EAP-TLS.

Înainte de a începe

Înainte de a putea instala un certificat pe un telefon, trebuie să aveți un certificat de server de autentificare salvat pe PC. Certificatul trebuie să fie codificat în PEM (Base-64) sau DER.

1

Din pagina web de administrare a telefonului, selectați Certificate.

2

Găsiți câmpul CA server de autentificare și faceți clic pe Instalare

3

Răsfoiți până la certificatul de pe PC.

4

Faceți clic pe Încărcare.

5

Reporniți telefonul după ce încărcarea este finalizată.

Dacă reinstalați mai multe certificate, se va utiliza numai ultimul certificat.

Instalarea manuală a certificatului unui utilizator

Puteți instala manual certificatul unui utilizator pe telefon dacă Simple Certificate Enrollment Protocol (SCEP) nu este disponibil.

Manufacturing Installed Certificate (MIC) preinstalat poate fi utilizat ca certificat de utilizator pentru EAP-TLS.

După ce se instalează certificatul utilizatorului, adăugați-l în lista de încredere a serverului RADIUS.

Înainte de a începe

Înainte de a putea instala certificatul unui utilizator pentru un telefon, trebuie să aveți:

  • Un certificat al unui utilizator, salvat pe calculator. Certificatul trebuie să fie în format PKCS #12.

  • Parola pentru extragerea certificatului.

    Această parolă poate avea până la 16 caractere.

1

Din pagina web de administrare a telefonului, selectați Certificate.

2

Găsiți câmpul Instalat de utilizator și faceți clic pe Instalare.

3

Răsfoiți până la certificatul de pe PC.

4

În câmpul Parolă de extragere, introduceți parola de extragere a certificatului.

5

Faceți clic pe Încărcare.

6

Reporniți telefonul după ce încărcarea este finalizată.

Eliminarea manuală a unui certificat de securitate

Puteți să eliminați manual un certificat de securitate de pe un telefon dacă Simple Certificate Enrollment Protocol (SCEP) nu este disponibil.

1

Din pagina web de administrare a telefonului, selectați Certificate.

2

Găsiți certificatul în pagina Certificate.

3

Faceți clic pe Ștergere.

4

Reporniți telefonul după finalizarea procesului de ștergere.

Configurarea parametrilor SCEP

Simple Certificate Enrollment Protocol (SCEP) este standardul pentru acordarea și reînnoirea automată a certificatelor. Serverul SCEP poate să întrețină automat certificatele utilizatorilor și certificatele de server.

Trebuie să configurați următorii parametri SCEP în pagina web a telefonului

  • Adresa IP RA

  • Amprenta SHA-1 sau SHA-256 a certificatului CA rădăcină pentru serverul SCEP

Autoritatea de înregistrare (RA) din Cisco IOS servește ca proxy pentru serverul SCEP. Clientul SCEP de pe telefon utilizează parametrii care sunt descărcați din Cisco Unified Communication Manager. După ce configurați parametrii, telefonul trimite o solicitare getcs SCEP către RA și certificatul CA rădăcină este validat utilizând amprenta definită.

Înainte de a începe

Pe serverul SCEP, configurați agentul de înregistrare (RA) SCEP pentru:

  • A acționa ca punct de încredere PKI
  • A acționa ca RA PKI
  • A efectua autentificarea dispozitivelor folosind un server RADIUS

Pentru mai multe informații, consultați documentația serverului dvs. SCEP.

1

Din Administrare Cisco Unified Communications Manager, selectați Dispozitiv > Telefon.

2

Găsiți telefonul.

3

Derulați la zona Aspect configurație specifică produsului.

4

Bifați caseta WLAN SCEP Server pentru a activa parametrul SCEP.

5

Bifați căsuța de aprobare Amprentă CA rădăcină WLAN (SHA256 sau SHA1) pentru a activa parametrul QED SCEP.

Configurarea versiunilor acceptate de TLS

Puteți configura versiunea minimă de TLS necesară pentru client și, respectiv, server.

În mod implicit, versiunea minimă de TLS de server și client este 1.2. Setarea are impact asupra următoarelor funcții:

  • Conexiune de acces web HTTPS
  • Onboarding pentru telefonul local
  • Onboarding pentru dispozitive mobile și Remote Access (MRA)
  • Servicii HTTPS, cum ar fi Serviciile de directoare
  • Securitatea stratului de transport al datagramelor (DTLS)
  • Entitatea de acces portuar (PAE)
  • Protocol de autentificare extensibil-Transport Layer Security (EAP-TLS)

Pentru mai multe informații despre compatibilitatea TLS 1.3 pentru Cisco IP Phones, consultați TLS 1.3 Matricea de compatibilitate pentru produsele de colaborare Cisco.

1

Autentificați-vă ca administrator în modul de Administrare Cisco Unified Communications Manager.

2

Navigați la una dintre următoarele ferestre:

  • Sistem > Configurație telefon Enterprise
  • Setări dispozitiv > dispozitiv> Profil comun telefon
  • Configurare dispozitiv > telefon > telefon
3

Configurați TLS câmpul Client Min Version :

Opțiunea "TLS 1.3" este disponibilă pe Cisco Unified CM 15SU2 sau o versiune ulterioară.
  • TLS 1.1: Clientul TLS acceptă versiunile de TLS de la 1.1 la 1.3.

    Dacă versiunea TLS pe server este mai mică decât 1.1, de exemplu, 1.0, atunci conexiunea nu poate fi stabilită.

  • TLS 1.2 (implicit): clientul TLS acceptă TLS 1.2 și 1.3.

    Dacă versiunea TLS pe server este mai mică decât 1.2, de exemplu, 1.1 sau 1.0, atunci conexiunea nu poate fi stabilită.

  • TLS 1.3: Clientul TLS acceptă numai TLS 1.3.

    Dacă versiunea TLS din server este mai mică decât 1.3, de exemplu, 1.2, 1.1 sau 1.0, atunci conexiunea nu poate fi stabilită.

4

Configurați TLS câmpul Server Min Version :

  • TLS 1.1: Serverul TLS acceptă versiunile de TLS de la 1.1 la 1.3.

    Dacă versiunea TLS din client este mai mică decât 1.1, de exemplu, 1.0, atunci conexiunea nu poate fi stabilită.

  • TLS 1.2 (implicit): Serverul TLS acceptă TLS 1.2 și 1.3.

    Dacă versiunea TLS în client este mai mică decât 1.2, de exemplu, 1.1 sau 1.0, atunci conexiunea nu poate fi stabilită.

  • TLS 1.3: Serverul TLS acceptă numai TLS 1.3.

    Dacă versiunea TLS din client este mai mică decât 1.3, de exemplu, 1.2, 1.1 sau 1.0, atunci conexiunea nu poate fi stabilită.

Din versiunea PhoneOS 3.2, setarea câmpului "Dezactivați TLS 1.0 și TLS 1.1 pentru acces web" nu afectează telefoanele.
5

Faceți clic pe Salvare.

6

Faceți clic pe Aplicare config.

7

Reporniți telefoanele.

Servicii asigurate SIP

Servicii asigurate SIP (AS-SIP) este o colecție de caracteristici și protocoale care oferă un flux de apeluri extrem de sigur pentru telefoanele Cisco IP Phones și terțe. Următoarele caracteristici sunt cunoscute colectiv ca AS-SIP:

  • Prioritate și preempțiune pe mai multe niveluri (MLPP)
  • Punctul de cod pentru servicii diferențiate (DSCP)
  • Transport Layer Security (TLS) și Secure Real-time Transport Protocol (SRTP)
  • Protocol Internet versiunea 6 (IPv6)

AS-SIP este adesea folosit cu prioritate și preempțiune pe mai multe niveluri (MLPP) pentru a prioritiza apelurile în timpul unei situații de urgență. Cu MLPP, atribuiți un nivel de prioritate apelurilor efectuate, de la nivelul 1 (scăzut) la nivelul 5 (ridicat). Când primiți un apel, pe telefon se afișează o pictogramă de nivel de prioritate care arată prioritatea apelului.

Pentru a configura AS-SIP, efectuați următoarele activități pe Cisco Unified Communications Manager:

  • Configurare utilizator rezumat — Configurați utilizatorul final să utilizeze autentificarea rezumat pentru solicitările SIP.
  • Configurare SIP Phone Secure Port — Cisco Unified Communications Manager utilizează acest port pentru a asculta telefoane SIP pentru înregistrări de linii SIP pe TLS.
  • Repornire servicii—După configurarea portului securizat, reporniți serviciile Cisco Unified Communications Manager și Cisco CTL Provider. Configurați profilul SIP pentru AS-SIP - Configurați un profil SIP cu setări SIP pentru punctele finale AS-SIP și pentru trunchiurile SIP. Parametrii specifici telefonului nu sunt descărcați pe un telefon AS-SIP terț. Acestea sunt utilizate numai de Cisco Unified Manager. Telefoanele terțe trebuie să configureze local aceleași setări.
  • Configurare profil de securitate telefon pentru AS-SIP — Puteți utiliza profilul de securitate al telefonului pentru a atribui setări de securitate, cum ar fi autentificarea TLS, SRTP și rezumat.
  • Configurare punct final AS-SIP — Configurați un punct final Cisco IP Phone sau terț cu suport AS-SIP.
  • Asociere dispozitiv cu utilizator final — asociați punctul final cu un utilizator.
  • Configurarea profilului de securitate SIP trunk pentru AS-SIP — Puteți utiliza profilul de securitate al trunchiului SIP pentru a atribui caracteristici de securitate, cum ar fi autentificarea TLS sau digest, unui trunchi SIP.
  • Configurați trunchiul SIP pentru AS-SIP - Configurați un trunchi SIP cu suport AS-SIP.
  • Configurare caracteristici AS-SIP — Configurați caracteristici AS-SIP suplimentare, cum ar fi MLPP, TLS, V.150 și IPv6.

Pentru informații detaliate despre configurarea AS-SIP, consultați capitolul "Configurarea punctelor finale AS-SIP" din Ghidul de configurare a caracteristicilor pentru Cisco Unified Communications Manager.

Prioritate și preempțiune pe mai multe niveluri

Multilevel Precedence and Preemption (MLPP) vă permite să prioritizați apelurile în timpul situațiilor de urgență sau al altor situații de criză. Atribuiți o prioritate apelurilor efectuate care variază de la 1 la 5. Apelurile primite afișează o pictogramă și prioritatea apelului. Utilizatorii autentificați pot preveni apelurile fie către stațiile vizate, fie prin trunchiuri TDM complet abonate.

Această capacitate asigură personalului de rang înalt comunicarea cu organizațiile și personalul critic.

MLPP este adesea folosit cu Assured Services SIP (AS-SIP). Pentru informații detaliate despre configurarea MLPP, consultați capitolul Configurarea precedenței și preempțiunii pe mai multe niveluri din Ghidul de configurare a caracteristicilor pentru Cisco Unified Communications Manager.

Configurarea FAC și CMC

Atunci când codurile de autorizare forțată (FAC) sau codurile materiei clientului (CMC) sau ambele sunt configurate pe telefon, utilizatorii trebuie să introducă parolele necesare pentru a apela un număr.

Pentru mai multe informații despre modul de configurare a FAC și CMC în Cisco Unified Communications Manager, consultați capitolul "Coduri subiect client și coduri de autorizare forțată" dinGhidul de configurare a caracteristicilor pentru Cisco Unified Communications Manager, versiunea 12.5 (1) sau o versiune ulterioară.