Функции безопасности защищают от угроз, включая угрозы идентификации телефона и передачи данных. Эти функции устанавливают и поддерживают аутентифицированные потоки связи между телефоном и сервером Cisco Unified Communications Manager, а также обеспечивают использование на телефоне только файлов с цифровой подписью.

Cisco Unified Communications Manager выпуска 8.5(1) и более поздних версий включает функцию безопасности по умолчанию, которая обеспечивает следующие функции безопасности для телефонов Cisco IP без запуска клиента CTL:

• Подписание файлов конфигурации телефона

• Шифрование файлов конфигурации телефона

• HTTPS с Tomcat и другими веб-службами

Реализация безопасности в системе Cisco Unified Communications Manager предотвращает кражу удостоверений телефона и сервера Cisco Unified Communications Manager, предотвращает взлом данных, а также передачу сигналов вызовов и взлом потока мультимедиа.

Для устранения этих угроз сеть IP-телефонии Cisco устанавливает и поддерживает защищенные (зашифрованные) потоки связи между телефоном и сервером, цифровой подписи файлов перед их передачей на телефон и шифрует медиапотоки и сигналы вызовов между телефонами Cisco IP.

Локально значимый сертификат (LSC) устанавливается на телефонах после выполнения необходимых задач, связанных с функцией прокси-сервера центра сертификации (CAPF). Для настройки LSC можно использовать Cisco Unified Communications Manager Administration, как описано в руководстве по безопасности Cisco Unified Communications Manager. Также можно начать установку LSC в меню «Настройки безопасности» на телефоне. Это меню также позволяет обновить или удалить LSC.

LSC нельзя использовать в качестве сертификата пользователя для EAP-TLS с аутентификацией WLAN.

Телефоны используют профиль безопасности телефона, который определяет, является ли устройство незащищенным или защищенным. Сведения о применении профиля безопасности к телефону см. в документации по конкретной версии Cisco Unified Communications Manager.

Если в средстве администрирования Cisco Unified Communications Manager Administration настроены параметры безопасности, файл конфигурации телефона содержит конфиденциальную информацию. Чтобы обеспечить конфиденциальность файла конфигурации, его необходимо настроить для шифрования. Подробные сведения см. в документации по конкретной версии Cisco Unified Communications Manager.

Телефон соответствует федеральному стандарту обработки информации (FIPS). Для правильной работы в режиме FIPS размер ключа должен быть не менее 2048 бит. Если размер сертификата меньше 2048 бит, телефон не будет зарегистрирован в Cisco Unified Communications Manager, и телефону не удалось зарегистрироваться. На телефоне отображается надпись "Размер ключа сертификата не соответствует стандарту FIPS" .

Если телефон оснащен LSC, перед включением FIPS необходимо обновить размер ключа LSC до 2048 бит или выше.

В таблице ниже приведен обзор функций безопасности, поддерживаемых телефонами. Дополнительные сведения см. в документации по конкретной версии Cisco Unified Communications Manager.

Чтобы просмотреть режим безопасности, нажмите Настройки и перейдите к разделу Сеть и служба > Настройки безопасности.

В следующей таблице приведены сообщения об обновлении списка доверия и их значение. Дополнительную информацию см. в документации по Cisco Unified Communications Manager.

Меню «Настройка безопасности» содержит информацию о различных настройках безопасности. Это меню также предоставляет доступ к меню списка доверия и указывает, установлен ли на телефоне файл CTL или ITL.

В следующей таблице описаны параметры меню «Настройка безопасности».

Телефоны Cisco IP поддерживают аутентификацию 802.1X.

Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для идентификации друг друга и определения таких параметров, как выделение VLAN и требования к питанию в сети. CDP не определяет локально подключенные рабочие станции. Телефоны Cisco IP предоставляют сквозной механизм EAPOL. Этот механизм позволяет рабочей станции, подключенной к телефону Cisco IP, передавать сообщения EAPOL в средство аутентификации 802.1X на коммутаторе локальной сети. Сквозной механизм гарантирует, что IP-телефон не выполняет роль коммутатора локальной сети для аутентификации конечной точки данных перед доступом к сети.

Телефоны Cisco IP также предоставляют механизм регистрации прокси-сервера EAPOL. Если локально подключенный ПК отключается от IP-телефона, коммутатор локальной сети не видит сбоя физического канала, так как сохраняется связь между коммутатором локальной сети и IP-телефоном. Во избежание нарушения целостности сети IP-телефон отправляет на коммутатор сообщение EAPOL от имени нисходящего ПК, что приводит к очистке коммутатором локальной сети записи аутентификации нисходящего ПК.

Для поддержки аутентификации 802.1X требуется несколько компонентов:

• Телефон Cisco IP: Телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущий выпуск запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.

• Сервер аутентификации: Сервер аутентификации и коммутатор должны быть настроены с использованием совместно используемого секретного кода для аутентификации телефона.

• Переключение: Коммутатор должен поддерживать 802.1X, чтобы он мог выполнять функции средства аутентификации и передавать сообщения между телефоном и сервером аутентификации. После завершения обмена коммутатор предоставляет или отклоняет доступ телефона к сети.

Для настройки 802.1X необходимо выполнить следующие действия.

• Настройте другие компоненты, прежде чем включить аутентификацию 802.1X на телефоне.

• Настройка порта ПК: Стандарт 802.1X не учитывает сети VLAN и поэтому рекомендует, чтобы только одно устройство было аутентифицировано по определенному порту коммутатора. Однако некоторые коммутаторы поддерживают аутентификацию в нескольких доменах. Конфигурация коммутатора определяет, можно ли подключить ПК к порту ПК телефона.

  • Включено: При использовании коммутатора, который поддерживает аутентификацию в нескольких доменах, можно включить порт ПК и подключить к нему ПК. В этом случае телефоны Cisco IP поддерживают прокси-сервер EAPOL для отслеживания обмена аутентификацией между коммутатором и подключенным ПК.

    Дополнительную информацию о поддержке IEEE 802.1X на коммутаторах Cisco Catalyst см. в руководствах по настройке коммутатора Cisco Catalyst по ссылке:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Выключено: Если коммутатор не поддерживает несколько устройств, совместимых с 802.1X, на одном и том же порте, необходимо отключить порт ПК, если включена аутентификация 802.1X. Если вы не отключите этот порт, а затем попытаетесь подключить к нему ПК, коммутатор запретит доступ к сети как к телефону, так и к ПК.

• Настройка голосовой VLAN: Поскольку стандарт 802.1X не учитывает сети VLAN, необходимо настроить этот параметр в зависимости от поддержки коммутатора.
  • Включено: Если вы используете коммутатор, который поддерживает аутентификацию в нескольких доменах, можно продолжить использовать голосовую VLAN.
  • Выключено: Если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения порта встроенной VLAN.
• (Только для стационарного телефона Cisco серии 9800)

  Префикс PID для стационарных телефонов Cisco серии 9800 отличается от префикса для других телефонов Cisco. Чтобы телефон мог пройти аутентификацию 802.1X, задайте параметр Radius·User-Name , чтобы добавить стационарный телефон Cisco серии 9800.

  Например, PID телефона 9841 — DP-9841. Для параметра Radius·User-Name можно задать значение Start with DP (Начать с DP) или Contains DP (Содержит DP). Его можно настроить в обоих следующих разделах.

  • Политика > Условия > Условия библиотеки

  • Политика > Наборы политик > Политика авторизации > Правило авторизации 1

Если телефон защищен, защищенные телефонные вызовы можно идентифицировать по значкам на экране телефона. Также можно определить, защищен ли подключенный телефон, если в начале вызова воспроизводится тональный сигнал безопасности.

Во время защищенного вызова все сигналы вызова и потоки мультимедиа шифруются. Защищенный вызов обеспечивает высокий уровень безопасности, обеспечивая целостность и конфиденциальность вызова. Если выполняемый вызов зашифрован, на линии отображается пиктограмма безопасности . Для защищенного телефона можно также просматривать значок аутентификации или зашифрованный значок рядом с подключенным сервером в меню телефона (Настройки > Об этом устройстве).

Во время защищенного вызова в начале вызова воспроизводится тональный сигнал безопасности, указывающий на то, что другой подключенный телефон также получает и передает защищенное аудио. Если ваш вызов подключается к незащищенному телефону, тональный сигнал безопасности не воспроизводится.

Если в Cisco Unified Communications Manager телефон настроен как защищенный (зашифрованный и доверенный), ему может быть присвоено защищенное состояние. После этого, при необходимости, защищенный телефон можно настроить для воспроизведения тонального сигнала индикации в начале вызова:

• Защищенное устройство: Чтобы изменить состояние защищенного телефона на защищенный, установите флажок «Защищенное устройство» в окне «Конфигурация телефона» в Cisco Unified Communications Manager Administration (Устройство > Телефон).

• Воспроизводить тональный сигнал индикации безопасности: Чтобы разрешить защищенному телефону воспроизводить защищенный или незащищенный тональный сигнал индикации, задайте для параметра «Воспроизводить защищенный тональный сигнал индикации защищенности» значение True. По умолчанию для параметра «Воспроизводить тональный сигнал индикации защищенности» установлено значение «Ложь». Этот параметр можно настроить в средстве администрирования Cisco Unified Communications Manager Administration (Система > Служебные параметры). Выберите сервер, а затем службу Unified Communications Manager. В окне «Конфигурация служебных параметров» выберите параметр в области «Функция – тональный сигнал безопасности». Значение по умолчанию — False.

Поскольку все устройства БЛВС, находящиеся в радиусе действия, могут получать весь остальной трафик БЛВС, безопасность голосовой связи в БЛВС имеет решающее значение. Чтобы убедиться, что злоумышленники не манипулируют голосовым трафиком и не перехватывают его, архитектура безопасности Cisco SAFE поддерживает телефон. Дополнительную информацию о безопасности в сетях см. в статье http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решение для беспроводной IP-телефонии Cisco обеспечивает безопасность беспроводной сети, которая предотвращает несанкционированный вход и скомпрометированную связь с помощью следующих методов аутентификации, поддерживаемых телефоном:

• Открыть аутентификацию. Любое беспроводное устройство может запросить аутентификацию в открытой системе. Точка доступа, получающая запрос, может предоставить аутентификацию любому запрашивающему пользователю или только тем, кто указан в списке пользователей. Связь между беспроводным устройством и точкой доступа (AP) может быть незашифрована.

• Протокол Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST). Эта архитектура безопасности клиента-сервера шифрует транзакции EAP в туннеле Transport Level Security (TLS) между точкой доступа и сервером RADIUS, например Identity Services Engine (ISE).

  TLS-туннель использует учетные данные защищенного доступа (PAC) для аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор авторизации (AID) клиенту (телефону), который в свою очередь выбирает соответствующий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью основного ключа. Обе конечные точки теперь содержат ключ PAC, и создается туннель TLS. EAP-FAST поддерживает автоматическую подготовку PAC, однако ее необходимо включить на сервере RADIUS.

  В ISE срок действия PAC по умолчанию истекает через неделю. Если у телефона истек срок действия PAC, аутентификация на сервере RADIUS занимает больше времени, пока телефон получает новый PAC. Во избежание задержек подготовки PAC задайте на сервере ISE или RADIUS срок действия PAC равный 90 или более дней.

• Аутентификация по протоколу EAP-TLS. Для аутентификации и сетевого доступа EAP-TLS требуется сертификат клиента. Для беспроводного EAP-TLS сертификатом клиента может быть MIC, LSC или установленный пользователем сертификат.

• Протокол PEAP. Собственная схема взаимной аутентификации Cisco на основе пароля между клиентом (телефоном) и сервером RADIUS. Телефон может использовать PEAP для аутентификации в беспроводной сети. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.

• Общий ключ (PSK). Телефон поддерживает формат ASCII. При настройке предварительного ключа WPA/WPA2/SAE необходимо использовать этот формат.

  ASCII: строка ASCII длиной от 8 до 63 символов (0–9, строчные и верхние буквы A–Z и специальные символы)

  Пример. ГРЕГ123567@9ZX&W

Следующие схемы аутентификации используют сервер RADIUS для управления ключами аутентификации:

• wpa/wpa2/wpa3: Использование информации о сервере RADIUS для создания уникальных ключей аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA2/WPA3 обеспечивает большую безопасность, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.

• Быстрый безопасный роуминг: Для управления ключами и аутентификации используется информация о сервере RADIUS и сервере домена беспроводной сети (WDS). WDS создает кэш учетных данных безопасности для клиентских устройств с поддержкой FT для быстрой и безопасной повторной аутентификации. Стационарные телефоны Cisco 9861 и 9871, а также видеотелефоны Cisco 8875 поддерживают 802.11r (FT). Для обеспечения быстрого безопасного роуминга поддерживаются как по воздуху, так и по DS. Однако мы настоятельно рекомендуем использовать метод 802.11r (FT) по воздуху.

При использовании WPA/WPA2/WPA3 ключи шифрования не вводятся на телефоне, но автоматически передаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.

Чтобы обеспечить безопасность голосового трафика, телефон поддерживает TKIP и AES для шифрования. Если эти механизмы используются для шифрования, сигнальные пакеты SIP и голосовые пакеты протокола RTP шифруются между точкой доступа и телефоном.

tkip

WPA использует шифрование TKIP, которое имеет несколько улучшений по сравнению с WEP. TKIP обеспечивает шифрование ключей для каждого пакета и более длительные векторы инициализации (IV), которые усиливают шифрование. Кроме того, проверка целостности сообщений (MIC) гарантирует, что зашифрованные пакеты не будут изменены. TKIP удаляет предсказуемость WEP, которая помогает злоумышленникам расшифровать ключ WEP.

aes

Метод шифрования, используемый для аутентификации WPA2/WPA3. Этот национальный стандарт шифрования использует симметричный алгоритм, который имеет один и тот же ключ для шифрования и дешифрования. AES использует шифрование CBC размером 128 бит, которое, как минимум, поддерживает размеры ключей 128, 192 и 256 бит. Телефон поддерживает размер ключа 256 бит.

Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и указывают различные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Для успешной аутентификации беспроводных клиентских устройств необходимо настроить те же SSID с их схемами аутентификации и шифрования в точках доступа и на телефоне.

Некоторые схемы аутентификации требуют определенных типов шифрования.

В схемах аутентификации и шифрования в следующей таблице показаны параметры сетевой конфигурации телефона, соответствующие конфигурации точки доступа.

Гарантированные службы SIP (AS-SIP) — это набор функций и протоколов, которые предлагают высокобезопасный поток вызовов для телефонов Cisco IP и сторонних телефонов. Следующие функции совместно известны как AS-SIP:

• Многоуровневый приоритет и вытеснение (MLPP)
• Точка кода дифференцированных служб (DSCP)
• Transport Layer Security (TLS) и Secure Real-time Transport Protocol (SRTP)
• Интернет-протокол версии 6 (IPv6)

AS-SIP часто используется с многоуровневым приоритетом и приоритетным прерыванием (MLPP) для определения приоритетов вызовов во время экстренных вызовов. С помощью MLPP вы назначаете уровень приоритета исходящих вызовов, от 1 (низкий) до 5 (высокий). При поступлении вызова на телефоне отображается значок уровня приоритета, показывающий приоритет вызова.

Чтобы настроить AS-SIP, выполните следующие задачи в Cisco Unified Communications Manager:

• Настройка пользователя дайджест. Настройте конечного пользователя на использование дайджест-аутентификации для запросов SIP.
• Настройка защищенного порта телефона SIP — Cisco Unified Communications Manager использует этот порт для прослушивания телефонов SIP для регистрации линий SIP по TLS.
• Перезапуск служб. После настройки защищенного порта перезапустите службы Cisco Unified Communications Manager и поставщика услуг Cisco CTL. Настройте профиль SIP для AS-SIP-Настройте профиль SIP с настройками SIP для конечных точек AS-SIP и магистралей SIP. Параметры, относящиеся к телефону, не загружаются на сторонний телефон AS-SIP. Они используются только Cisco Unified Manager. Телефоны сторонних производителей должны локально настроить такие же параметры.
• Настройка профиля безопасности телефона для AS-SIP. Профиль безопасности телефона можно использовать для назначения параметров безопасности, таких как TLS, SRTP и дайджест-аутентификация.
• Настройка конечной точки AS-SIP — настройте телефон Cisco IP или стороннюю конечную точку с поддержкой AS-SIP.
• Связывание устройства с конечным пользователем. Связывание конечной точки с пользователем.
• Настройка профиля безопасности магистрали SIP для AS-SIP. Профиль безопасности магистрали SIP можно использовать для назначения функций безопасности, таких как TLS или дайджест-аутентификация.
• Настройка магистрали SIP для AS-SIP — настройка магистрали SIP с поддержкой AS-SIP.
• Настройка функций AS-SIP — настройка дополнительных функций AS-SIP, таких как MLPP, TLS, V.150 и IPv6.

Подробную информацию о настройке AS-SIP см. в главе "Настройка конечных точек AS-SIP" руководства по настройке функций Cisco Unified Communications Manager.

Если на телефоне настроены коды принудительной авторизации (FAC) или коды клиента (CMC) либо оба этих кода, пользователи должны ввести необходимые пароли для набора номера.

Дополнительную информацию о настройке FAC и CMC в Cisco Unified Communications Manager см. в главе Коды обоснований клиентов и коды принудительной авторизации в Руководстве по настройке функций Cisco Unified Communications Manager, выпуск 12.5(1) или более поздний.