Caracteristicile de securitate protejează împotriva amenințărilor, inclusiv amenințările la adresa identității telefonului și a datelor. Aceste caracteristici stabilesc și mențin fluxuri de comunicare autentificate între telefon și serverul Cisco Unified Communications Manager și asigură faptul că telefonul utilizează numai fișiere semnate digital.

Cisco Unified Communications Manager versiunea 8.5(1) și versiunile ulterioare include Securitate implicită, care oferă următoarele caracteristici de securitate pentru telefoanele Cisco IP fără a rula clientul CTL:

• Semnarea fișierelor de configurare a telefonului

• Criptare fișier de configurare telefon

• HTTPS cu Tomcat și alte servicii web

Implementarea securității în sistemul Cisco Unified Communications Manager previne furtul de identitate al telefonului și al serverului Cisco Unified Communications Manager, previne modificarea datelor și previne semnalizarea apelurilor și modificarea fluxului media.

Pentru a atenua aceste amenințări, rețeaua de telefonie Cisco IP stabilește și menține fluxuri de comunicare securizate (criptate) între un telefon și server, semnează digital fișierele înainte ca acestea să fie transferate pe un telefon și criptează fluxurile media și semnalizarea apelurilor între telefoanele Cisco IP.

Un certificat semnificativ local (LSC) se instalează pe telefoane după ce efectuați sarcinile necesare care sunt asociate cu funcția proxy autoritate de certificare (CAPF). Puteți utiliza Administrarea Cisco Unified Communications Manager pentru a configura un LSC, conform descrierii din Ghidul de securitate Cisco Unified Communications Manager. Ca alternativă, puteți iniția instalarea unui LSC din meniul Setări de securitate de pe telefon. Acest meniu vă permite, de asemenea, să actualizați sau să eliminați un LSC.

Un LSC nu poate fi utilizat ca certificat de utilizator pentru EAP-TLS cu autentificare WLAN.

Telefoanele utilizează profilul de securitate al telefonului, care definește dacă dispozitivul nu este sigur sau sigur. Pentru informații despre aplicarea profilului de securitate la telefon, consultați documentația versiunii dvs. Cisco Unified Communications Manager.

Dacă configurați setările legate de securitate în Administrarea Cisco Unified Communications Manager, fișierul de configurare a telefonului conține informații sensibile. Pentru a asigura confidențialitatea unui fișier de configurare, trebuie să îl configurați pentru criptare. Pentru informații detaliate, consultați documentația versiunii dvs. Cisco Unified Communications Manager.

Telefonul respectă Standardul federal de procesare a informațiilor (FIPS). Pentru a funcționa corect, modul FIPS necesită o dimensiune a cheii de 2048 biți sau mai mare. Dacă certificatul este mai mic de 2048 de biți, telefonul nu se va înregistra la Cisco Unified Communications Manager și telefonul nu a putut fi înregistrat. Dimensiunea cheii Cert nu este conformă cu FIPS se afișează pe telefon.

Dacă telefonul are un LSC, trebuie să actualizați dimensiunea cheii LSC la 2048 biți sau mai mult înainte de a activa FIPS.

Următorul tabel oferă o prezentare generală a caracteristicilor de securitate acceptate de telefoane. Pentru informații suplimentare, consultați documentația versiunii dvs. Cisco Unified Communications Manager.

Pentru a vizualiza modul Securitate, apăsați Setări și navigați la Rețea și serviciu > Setări de securitate.

Următorul tabel conține mesajele de alarmă și semnificațiile pentru actualizarea listei de încredere. Pentru informații suplimentare, consultați documentația Cisco Unified Communications Manager.

Meniul Configurare securitate oferă informații despre diverse setări de securitate. De asemenea, meniul oferă acces la meniul listei de încredere și indică dacă fișierul CTL sau ITL este instalat pe telefon.

Următorul tabel descrie opțiunile din meniul Configurare securitate.

Telefoanele Cisco IP acceptă autentificarea 802.1X.

Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și a determina parametri precum alocarea VLAN și cerințele de alimentare în linie. CDP nu identifică stațiile de lucru atașate local. Telefoanele Cisco IP furnizează un mecanism de trecere EAPOL. Acest mecanism permite unei stații de lucru atașate la telefonul Cisco IP să transmită mesaje EAPOL către autentificatorul 802.1X la comutatorul LAN. Mecanismul de trecere prin trecere asigură faptul că telefonul IP nu acționează ca comutator LAN pentru autentificarea unui terminal de date înainte de a accesa rețeaua.

Telefoanele Cisco IP oferă, de asemenea, un mecanism de logoff EAPOL proxy. Dacă PC-ul atașat local se deconectează de la telefonul IP, comutatorul LAN nu vede că legătura fizică eșuează, deoarece legătura dintre comutatorul LAN și telefonul IP este menținută. Pentru a evita compromiterea integrității rețelei, telefonul IP trimite un mesaj EAPOL-Logoff către switch în numele PC-ului din aval, care declanșează switch-ul LAN pentru a șterge intrarea de autentificare pentru PC-ul din aval.

Asistența pentru autentificarea 802.1X necesită mai multe componente:

• Telefon Cisco IP: Telefonul inițiază solicitarea de acces la rețea. Telefoanele Cisco IP conțin un implant 802.1X. Acest implant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile de comutare LAN. Versiunea actuală a solicitantului telefonului 802.1X utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.

• Server de autentificare: Serverul de autentificare și comutatorul trebuie să fie configurate cu un secret partajat care autentifică telefonul.

• Comutare: Comutatorul trebuie să accepte 802.1X, astfel încât să poată acționa ca aplicație de autentificare și să transmită mesajele între telefon și serverul de autentificare. După finalizarea schimbului, comutatorul acordă sau refuză accesul telefonului la rețea.

Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.

• Configurați celelalte componente înainte de a activa autentificarea 802.1X pe telefon.

• Configurare port PC: Standardul 802.1X nu ia în considerare VLAN-urile și, prin urmare, recomandă autentificarea unui singur dispozitiv la un anumit port de comutare. Cu toate acestea, unele switch-uri acceptă autentificarea prin mai multe domenii. Configurația comutatorului determină dacă puteți conecta un PC la portul PC al telefonului.

  • Activat: Dacă utilizați un comutator care acceptă autentificarea prin mai multe domenii, puteți activa portul PC și puteți conecta un PC la acesta. În acest caz, telefoanele Cisco IP acceptă proxy EAPOL-Logoff pentru monitorizarea schimburilor de autentificare între switch și PC-ul atașat.

    Pentru mai multe informații despre compatibilitatea IEEE 802.1X cu switch-urile Cisco Catalyst, consultați ghidurile de configurare a switch-urilor Cisco Catalyst de la:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Dezactivat: Dacă comutatorul nu acceptă mai multe dispozitive compatibile 802.1X pe același port, trebuie să dezactivați portul PC atunci când autentificarea 802.1X este activată. Dacă nu dezactivați acest port și apoi încercați să atașați un PC la acesta, comutatorul refuză accesul la rețea, atât la telefon, cât și la PC.

• Configurați Voice VLAN: Deoarece standardul 802.1X nu include VLAN-uri, trebuie să configurați această setare pe baza asistenței pentru comutare.
  • Activat: Dacă utilizați un comutator care acceptă autentificarea prin mai multe domenii, îl puteți utiliza în continuare pentru a utiliza VLAN de voce.
  • Dezactivat: Dacă comutatorul nu acceptă autentificarea prin mai multe domenii, dezactivați VLAN-ul de voce și luați în considerare alocarea portului la VLAN-ul nativ.
• (Numai pentru Cisco Desk Phone seria 9800)

  Telefonul de birou Cisco seria 9800 are un prefix în PID diferit de cel pentru celelalte telefoane Cisco. Pentru a permite telefonului să treacă prin autentificarea 802.1X, setați parametrul Radius·Nume utilizator pentru a include telefonul Cisco Desk seria 9800.

  De exemplu, PID-ul telefonului 9841 este DP-9841; puteți seta Radius·Nume utilizator pentru a Începe cu DP sau Conține DP. Puteți să o setați în ambele secțiuni următoare:

  • Politică > Condiții > Condiții bibliotecă

  • Politică > Seturi de politici > Politică de autorizare > Regulă de autorizare 1

Atunci când securitatea este implementată pentru un telefon, puteți identifica apelurile telefonice securizate prin pictogramele de pe ecranul telefonului. De asemenea, puteți determina dacă telefonul conectat este securizat și protejat dacă la începutul apelului este redat un ton de securitate.

Într-un apel securizat, toate semnalizarea apelurilor și fluxurile media sunt criptate. Un apel securizat oferă un nivel ridicat de securitate, oferind integritate și confidențialitate apelului. Atunci când un apel în curs este criptat, puteți vedea pictograma securizată pe linie. Pentru un telefon securizat, puteți vizualiza, de asemenea, pictograma autentificată sau pictograma criptată de lângă serverul conectat în meniul telefonului (Setări > Despre acest dispozitiv).

Într-un apel securizat, la începutul unui apel este redat un ton de securitate pentru a indica faptul că celălalt telefon conectat recepționează și transmite, de asemenea, sunet securizat. Dacă apelul se conectează la un telefon nesecurizat, tonul de securitate nu este redat.

Atunci când un telefon este configurat ca fiind securizat (criptat și de încredere) în Cisco Unified Communications Manager, i se poate acorda o stare protejată . După aceea, dacă se dorește, telefonul protejat poate fi configurat pentru a reda un ton de indiciu la începutul unui apel:

• Dispozitiv protejat: Pentru a schimba starea unui telefon securizat la protejat, bifați caseta de selectare Dispozitiv protejat din fereastra Configurare telefon din Administrare Cisco Unified Communications Manager (Dispozitiv > Telefon).

• Redați tonul de indicare securizat: Pentru a permite telefonului protejat să redea un ton de indicație securizat sau nesecurizat, setați setarea Redare ton de indicație securizat la Adevărat. În mod implicit, tonul de afișare securizat este setat la Fals. Setați această opțiune în Cisco Unified Communications Manager Administration (Sistem > Parametri serviciu). Selectați serverul, apoi serviciul Unified Communications Manager. În fereastra Configurare parametru serviciu, selectați opțiunea din zona Caracteristică - Ton securizat. Valoarea implicită este False.

Deoarece toate dispozitivele WLAN aflate în raza de acoperire pot recepționa toate celelalte tipuri de trafic WLAN, securizarea comunicațiilor vocale este esențială în rețelele WLAN. Pentru a vă asigura că intrușii nu manipulează și nu interceptează traficul vocal, arhitectura de securitate SIGURĂ Cisco acceptă telefonul. Pentru mai multe informații despre securitatea rețelelor, consultați http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Soluția de telefonie Cisco wireless IP oferă securitate wireless a rețelei, care previne conectarea neautorizată și comunicațiile compromise, utilizând următoarele metode de autentificare acceptate de telefon:

• Deschideți autentificarea: Orice dispozitiv wireless poate solicita autentificarea într-un sistem deschis. AP-ul care primește solicitarea poate acorda autentificarea oricărui solicitant sau numai solicitanților care se află într-o listă de utilizatori. Comunicarea dintre dispozitivul wireless și punctul de acces (AP) ar putea fi necriptată.

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Această arhitectură de securitate client-server criptează tranzacțiile EAP din cadrul unui tunel Transport Level Security (TLS) între AP și serverul RADIUS, cum ar fi Identity Services Engine (ISE).

  Tunelul TLS utilizează Protected Access Credentials (PAC) pentru autentificarea între client (telefon) și serverul RADIUS. Serverul trimite clientului (telefon) un ID de autoritate, care, la rândul său, selectează PAC-ul corespunzător. Clientul (telefonul) returnează un Opac PAC către serverul RADIUS. Serverul decriptează PAC cu cheia principală. Ambele terminale conțin acum cheia PAC și este creat un tunel TLS. EAP-FAST acceptă configurarea automată a PAC, dar trebuie să o activați pe serverul RADIUS.

  În ISE, în mod implicit, PAC expiră într-o săptămână. Dacă telefonul are un PAC expirat, autentificarea la serverul RADIUS durează mai mult, în timp ce telefonul primește un nou PAC. Pentru a evita întârzierile în asigurarea accesului la PAC, setați perioada de expirare a PAC la 90 de zile sau mai mult pe serverul ISE sau RADIUS.

• Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS necesită un certificat de client pentru autentificare și acces la rețea. Pentru EAP-TLS wireless, certificatul clientului poate fi MIC, LSC sau certificat instalat de utilizator.

• Protected Extensible Authentication Protocol (PEAP): Schemă de autentificare reciprocă Cisco bazată pe parolă privată între client (telefon) și un server RADIUS. Telefonul poate utiliza PEAP pentru autentificare în rețeaua wireless. Sunt acceptate atât metode de autentificare PEAP-MSCHAPV2, cât și metode de autentificare PEAP-GTC.

• Cheie prepartajată (PSK): Telefonul acceptă formatul ASCII. Trebuie să utilizați acest format atunci când configurați o cheie prepartajată WPA/WPA2/SAE:

  ASCII: un șir de caractere ASCII cu o lungime de 8 până la 63 de caractere (0-9, litere mici și mari, de la A LA Z și caractere speciale)

  Exemplu: GREG123567@9ZX&W

Următoarele scheme de autentificare utilizează serverul RADIUS pentru a gestiona cheile de autentificare:

• wpa/wpa2/wpa3: Utilizează informațiile serverului RADIUS pentru a genera chei unice pentru autentificare. Deoarece aceste chei sunt generate pe serverul RADIUS centralizat, WPA2/WPA3 oferă mai multă securitate decât chei prestabilite WPA care sunt stocate pe AP și pe telefon.

• Roaming securizat rapid: Utilizează informațiile serverului RADIUS și ale serverului de domeniu wireless (WDS) pentru a gestiona și autentifica cheile. WDS creează o memorie cache a acreditărilor de securitate pentru dispozitivele client cu capacități FT, pentru o reautentificare rapidă și sigură. Telefoanele de birou Cisco 9861 și 9871 și Telefonul video Cisco 8875 acceptă 802.11r (FT). Atât pe calea aerului, cât și pe DS sunt acceptate pentru a permite roaming-ul rapid și sigur. Dar vă recomandăm insistent să utilizați metoda 802.11r (FT) deasupra aerului.

Cu WPA/WPA2/WPA3, cheile de criptare nu sunt introduse pe telefon, dar sunt derivate automat între AP și telefon. Dar numele de utilizator și parola EAP care sunt utilizate la autentificare trebuie să fie introduse pe fiecare telefon.

Pentru a vă asigura că traficul de voce este securizat, telefonul acceptă TKIP și AES pentru criptare. Când aceste mecanisme sunt utilizate pentru criptare, atât pachetele SIP de semnalizare, cât și pachetele de voce Real-Time Transport Protocol (RTP) sunt criptate între AP și telefon.

tkip

WPA utilizează criptarea TKIP care are mai multe îmbunătățiri față de WEP. TKIP oferă criptare cheie per pachet și vectori de inițializare mai lungi (IV) care consolidează criptarea. În plus, o verificare a integrității mesajului (MIC) asigură faptul că pachetele criptate nu sunt modificate. TKIP elimină previzibilitatea WEP care ajută intrușii să descifreze cheia WEP.

Aes (dezambiguizare)

O metodă de criptare utilizată pentru autentificarea WPA2/WPA3. Acest standard național pentru criptare utilizează un algoritm simetric care are aceeași cheie pentru criptare și decriptare. AES utilizează criptarea lanțului de blocare a cifrului (CBC) de 128 biți, care acceptă ca minim dimensiunile cheilor de 128 biți, 192 biți și 256 biți. Telefonul acceptă o dimensiune a cheii de 256 biți.

Schemele de autentificare și criptare sunt configurate în rețeaua LAN wireless. VLAN-urile sunt configurate în rețea și pe AP-uri și specifică diferite combinații de autentificare și criptare. Un SSID se asociază cu un VLAN și cu o anumită schemă de autentificare și criptare. Pentru ca dispozitivele client wireless să se autentifice cu succes, trebuie să configurați aceleași SSID-uri cu schemele lor de autentificare și criptare pe AP-uri și pe telefon.

Unele scheme de autentificare necesită tipuri specifice de criptare.

Schemele de autentificare și criptare din tabelul următor afișează opțiunile de configurare a rețelei pentru telefonul care corespunde configurației AP.

Servicii securizate SIP (AS-SIP) este o colecție de funcții și protocoale care oferă un flux de apeluri extrem de sigur pentru telefoanele Cisco IP și telefoanele terțe. Următoarele caracteristici sunt cunoscute colectiv sub denumirea de AS-SIP:

• Prioritate și preemțiune pe mai multe niveluri (MLPP)
• Punct de cod pentru servicii diferențiate (DSCP)
• Transport Layer Security (TLS) și Secure Real-time Transport Protocol (SRTP)
• Protocolul internet versiunea 6 (IPv6)

AS-SIP este adesea utilizat cu Multilevel Precedence and Preemption (MLPP) pentru a prioritiza apelurile în timpul unei situații de urgență. Cu MLPP, atribuiți un nivel de prioritate apelurilor de ieșire, de la nivelul 1 (scăzut) la nivelul 5 (ridicat). Când primiți un apel, pe telefon se afișează o pictogramă cu nivel de prioritate care afișează prioritatea apelului.

Pentru a configura AS-SIP, finalizați următoarele sarcini în Cisco Unified Communications Manager:

• Configurați un utilizator rezumat — configurați utilizatorul final pentru a utiliza autentificarea rezumat pentru solicitările SIP.
• Configurare port securizat telefon SIP — Cisco Unified Communications Manager utilizează acest port pentru a asculta telefoanele SIP pentru înregistrările de linii SIP prin TLS.
• Repornire servicii — după configurarea portului securizat, reporniți serviciile Cisco Unified Communications Manager și furnizorul Cisco CTL. Configurați profilul SIP pentru AS-SIP - Configurați un profil SIP cu setări SIP pentru terminalele AS-SIP și pentru trunchiurile SIP. Parametrii specifici telefonului nu sunt descărcați pe un telefon AS-SIP terț. Acestea sunt utilizate numai de Cisco Unified Manager. Telefoanele de la terți trebuie să configureze la nivel local aceleași setări.
• Configurați profilul de securitate al telefonului pentru AS-SIP — puteți utiliza profilul de securitate al telefonului pentru a atribui setări de securitate precum TLS, SRTP și autentificarea prin rezumat.
• Configurare terminal AS-SIP — configurați un telefon Cisco IP sau un terminal terț cu asistență AS-SIP.
• Asociați dispozitivul cu utilizatorul final — asociați punctul final cu un utilizator.
• Configurați profilul de securitate al trunchiului SIP pentru AS-SIP — puteți utiliza profilul de securitate al trunchiului SIP pentru a atribui caracteristici de securitate, cum ar fi TLS sau autentificarea rezumat unui trunchi SIP.
• Configurare trunchi SIP pentru AS-SIP — configurați un trunchi SIP cu asistență AS-SIP.
• Configurați funcțiile AS-SIP - Configurați caracteristici AS-SIP suplimentare, cum ar fi MLPP, TLS, V.150 și IPv6.

Pentru informații detaliate despre configurarea AS-SIP, consultați capitolul „Configurarea punctelor finale AS-SIP” din Ghidul de configurare a caracteristicilor pentru Cisco Unified Communications Manager.

Atunci când pe telefon sunt configurate codurile de autorizare forțată (FAC) sau codurile de probleme client (CMC), sau ambele, utilizatorii trebuie să introducă parolele necesare pentru a apela un număr.

Pentru mai multe informații despre modul de configurare a FAC și CMC în Cisco Unified Communications Manager, consultați capitolul „Coduri de probleme client și coduri de autorizare forțată” din Ghidul de configurare a funcțiilor pentru Cisco Unified Communications Manager, versiunea 12.5(1) sau o versiune ulterioară.