Bezpečnostné funkcie chránia pred hrozbami vrátane ohrozenia identity telefónu a údajov. Tieto funkcie vytvárajú a udržiavajú overené komunikačné toky medzi telefónom a serverom Cisco Unified Communications Manager a zabezpečujú, že telefón používa iba digitálne podpísané súbory.

Cisco Unified Communications Manager Release 8.5(1) a novšie obsahuje štandardne zabezpečenie, ktoré poskytuje nasledujúce bezpečnostné funkcie pre Cisco IP telefóny bez spustenia klienta CTL:

• Podpisovanie konfiguračných súborov telefónu

• Šifrovanie konfiguračného súboru telefónu

• HTTPS s Tomcatom a ďalšími webovými službami

Implementácia zabezpečenia v systéme Cisco Unified Communications Manager zabraňuje krádeži identity telefónu a servera Cisco Unified Communications Manager, zabraňuje manipulácii s údajmi a zabraňuje signalizácii hovorov a manipulácii s mediálnym tokom.

Na zmiernenie týchto hrozieb Cisco IP telefónna sieť vytvára a udržiava bezpečné (šifrované) komunikačné toky medzi telefónom a serverom, digitálne podpisuje súbory pred ich prenosom do telefónu a šifruje mediálne toky a signalizáciu hovorov medzi Cisco IP telefónmi.

Lokálne významný certifikát (LSC) sa nainštaluje do telefónov po vykonaní potrebných úloh, ktoré súvisia s funkciou proxy certifikačnej autority (CAPF). Na konfiguráciu LSC môžete použiť správu Cisco Unified Communications Manager, ako je popísané v príručke zabezpečenia Cisco Unified Communications Manager. Prípadne môžete spustiť inštaláciu LSC z ponuky Nastavenia zabezpečenia v telefóne. Táto ponuka vám tiež umožňuje aktualizovať alebo odstrániť LSC.

LSC nemožno použiť ako užívateľský certifikát pre EAP-TLS s overením WLAN.

Telefóny používajú bezpečnostný profil telefónu, ktorý definuje, či je zariadenie nezabezpečené alebo zabezpečené. Informácie o použití bezpečnostného profilu v telefóne nájdete v dokumentácii k vašej konkrétnej verzii Cisco Unified Communications Manager.

Ak v správe Cisco Unified Communications Manager nakonfigurujete nastavenia súvisiace so zabezpečením, konfiguračný súbor telefónu obsahuje citlivé informácie. Ak chcete zabezpečiť súkromie konfiguračného súboru, musíte ho nakonfigurovať na šifrovanie. Podrobné informácie nájdete v dokumentácii k vašej konkrétnej verzii Cisco Unified Communications Manager.

Telefón je v súlade s Federal Information Processing Standard (FIPS). Na správne fungovanie vyžaduje režim FIPS veľkosť kľúča 2048 bitov alebo viac. Ak je certifikát menší ako 2 048 bitov, telefón sa nezaregistruje v aplikácii Cisco Unified Communications Manager a Registrácia telefónu zlyhala. Veľkosť kľúča certifikátu nie je v súlade s normou FIPS na displeji telefónu.

Ak má telefón LSC, musíte pred povolením FIPS aktualizovať veľkosť kľúča LSC na 2048 bitov alebo viac.

Nasledujúca tabuľka poskytuje prehľad funkcií zabezpečenia, ktoré telefóny podporujú. Ďalšie informácie nájdete v dokumentácii konkrétneho vydania aplikácie Cisco Unified Communications Manager.

Ak chcete zobraziť režim zabezpečenia, stlačte tlačidlo Nastavenia a prejdite na položku Sieť a služba > Nastavenia zabezpečenia.

Nasledujúca tabuľka obsahuje alarmové hlásenia a význam aktualizácie zoznamu dôveryhodných údajov. Ďalšie informácie nájdete v dokumentácii Cisco Unified Communications Manager.

Ponuka Security Setup poskytuje informácie o rôznych nastaveniach zabezpečenia. Ponuka tiež poskytuje prístup k ponuke zoznamu dôveryhodných údajov a označuje, či je v telefóne nainštalovaný súbor CTL alebo ITL.

Nasledujúca tabuľka popisuje možnosti v ponuke Nastavenie zabezpečenia.

IP telefóny Cisco podporujú autentifikáciu 802.1X.

IP telefóny Cisco a prepínače Cisco Catalyst tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je pridelenie VLAN a požiadavky na napájanie. CDP neidentifikuje lokálne pripojené pracovné stanice. IP telefóny Cisco poskytujú mechanizmus prechodu EAPOL. Tento mechanizmus umožňuje pracovnej stanici pripojenej k IP telefónu Cisco odovzdávať správy EAPOL autentifikátoru 802.1X na prepínači LAN. Mechanizmus prechodu zaisťuje, že IP telefón nepôsobí ako LAN prepínač na autentifikáciu dátového koncového bodu pred prístupom k sieti.

IP telefóny Cisco tiež poskytujú mechanizmus odhlásenia proxy EAPOL. Ak sa lokálne pripojený počítač odpojí od IP telefónu, prepínač LAN nevidí zlyhanie fyzického spojenia, pretože spojenie medzi prepínačom LAN a IP telefónom je zachované. Aby sa predišlo narušeniu integrity siete, IP telefón odošle do prepínača správu EAPOL-Logoff v mene nadradeného PC, ktorá spustí prepínač LAN, aby vymazal autentifikačnú položku pre nadradený PC.

Podpora autentifikácie 802.1X vyžaduje niekoľko komponentov:

• IP telefón Cisco: Telefón spustí požiadavku na prístup k sieti. IP telefóny Cisco obsahujú žiadateľa 802.1X. Tento žiadateľ umožňuje správcom siete ovládať pripojenie IP telefónov k portom prepínača LAN. Aktuálne vydanie telefónneho žiadateľa 802.1X používa možnosti EAP-FAST a EAP-TLS na sieťovú autentifikáciu.

• Autentifikačný server: Overovací server aj prepínač musia byť nakonfigurované so zdieľaným tajným kľúčom, ktorý overuje telefón.

• Prepínač: Prepínač musí podporovať 802.1X, takže môže fungovať ako autentifikátor a posielať správy medzi telefónom a autentifikačným serverom. Po dokončení výmeny prepínač povolí alebo zamietne telefónu prístup do siete.

Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.

• Pred povolením overenia 802.1X v telefóne nakonfigurujte ostatné komponenty.

• Konfigurácia portu PC: Štandard 802.1X nezohľadňuje siete VLAN, a preto odporúča, aby sa na konkrétny port prepínača autentifikovalo iba jedno zariadenie. Niektoré prepínače však podporujú viacdoménové overenie. Konfigurácia prepínača určuje, či môžete k PC portu telefónu pripojiť počítač.

  • Povolené: Ak používate prepínač, ktorý podporuje viacdoménové overenie, môžete povoliť port počítača a pripojiť k nemu počítač. V tomto prípade Cisco IP telefóny podporujú proxy EAPOL-Logoff na monitorovanie výmeny autentifikácie medzi prepínačom a pripojeným počítačom.

    Ďalšie informácie o podpore IEEE 802.1X na prepínačoch Cisco Catalyst nájdete v sprievodcoch konfiguráciou prepínačov Cisco Catalyst na adrese:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Zakázané: Ak prepínač nepodporuje viacero zariadení kompatibilných s 802.1X na rovnakom porte, mali by ste zakázať port PC, keď je povolené overenie 802.1X. Ak tento port nevypnete a potom sa k nemu nepokúsite pripojiť počítač, prepínač odmietne sieťový prístup k telefónu aj k počítaču.

• Konfigurácia Voice VLAN: Pretože štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínača.
  • Povolené: Ak používate prepínač, ktorý podporuje viacdoménové overenie, môžete v ňom pokračovať a používať hlasovú VLAN.
  • Zakázané: Ak prepínač nepodporuje viacdoménové overenie, deaktivujte Voice VLAN a zvážte priradenie portu k natívnej VLAN.
• (Len pre stolný telefón Cisco radu 9800)

  Cisco Desk Phone 9800 Series má inú predponu v PID ako ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte parameter Radius·User-Name tak, aby zahŕňal váš stolný telefón Cisco série 9800.

  Napríklad PID telefónu 9841 je DP-9841; môžete nastaviť Radius·User-Name na Začať s DP alebo Obsahuje DP. Môžete ho nastaviť v oboch nasledujúcich častiach:

  • Zásady > Podmienky > Podmienky knižnice

  • Pravidlá > Súbory pravidiel > Pravidlá autorizácie > Pravidlo autorizácie 1

Keď je pre telefón implementované zabezpečenie, môžete zabezpečené telefónne hovory identifikovať podľa ikon na obrazovke telefónu. Môžete tiež určiť, či je pripojený telefón zabezpečený a chránený, ak na začiatku hovoru zaznie bezpečnostný tón.

V zabezpečenom hovore sú všetky signalizácie hovorov a mediálne toky šifrované. Zabezpečený hovor ponúka vysokú úroveň bezpečnosti a poskytuje hovoru integritu a súkromie. Keď je prebiehajúci hovor šifrovaný, môžete na linke vidieť ikonu zabezpečenia . V prípade zabezpečeného telefónu si môžete tiež zobraziť ikonu overenia alebo zašifrovanú ikonu vedľa pripojeného servera v ponuke telefónu (Nastavenia > O tomto zariadení) .

Pri zabezpečenom hovore sa na začiatku hovoru prehrá bezpečnostný tón, ktorý signalizuje, že aj druhý pripojený telefón prijíma a vysiela zabezpečený zvuk. Ak sa váš hovor spojí s nezabezpečeným telefónom, bezpečnostný tón sa neprehrá.

Keď je telefón v aplikácii Cisco Unified Communications Manager nakonfigurovaný ako zabezpečený (šifrovaný a dôveryhodný), môže mu byť priradený stav chránený . Potom, ak je to potrebné, môže byť chránený telefón nakonfigurovaný tak, aby prehral indikačný tón na začiatku hovoru:

• Chránené zariadenie: Ak chcete zmeniť stav zabezpečeného telefónu na chránený, začiarknite políčko Chránené zariadenie v okne Konfigurácia telefónu v správe Cisco Unified Communications Manager (Zariadenie > Telefón).

• Prehrať bezpečný indikačný tón: Ak chcete, aby chránený telefón prehral zabezpečený alebo nezabezpečený indikačný tón, nastavte nastavenie Prehrať zabezpečený indikačný tón na hodnotu True. V predvolenom nastavení je zabezpečený indikačný tón prehrávania nastavený na hodnotu False. Túto možnosť nastavíte v správe Cisco Unified Communications Manager (Systém > Parametre služieb). Vyberte server a potom službu Unified Communications Manager. V okne Konfigurácia parametra služby vyberte možnosť v oblasti Funkcia - Bezpečný tón. Predvolená hodnota je False.

Pretože všetky zariadenia WLAN, ktoré sú v dosahu, môžu prijímať všetku ostatnú prevádzku WLAN, zabezpečenie hlasovej komunikácie je v sieťach WLAN rozhodujúce. Aby sa zaistilo, že votrelci nebudú manipulovať ani nezachytávať hlasovú prevádzku, architektúra Cisco SAFE Security podporuje telefón. Ďalšie informácie o bezpečnosti v sieťach nájdete v časti http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Bezdrôtové riešenie IP telefónie Cisco poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávnenému prihláseniu a narušeniu komunikácie pomocou nasledujúcich metód overovania, ktoré telefón podporuje:

• Otvoriť overenie totožnosti: Akékoľvek bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. AP, ktoré prijme požiadavku, môže udeliť autentifikáciu ktorémukoľvek žiadateľovi alebo len žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) nemusí byť šifrovaná.

• Extensible Authentication Protocol – Flexibilná autentifikácia prostredníctvom Secure Tunneling (EAP-FAST) Authentication: Táto bezpečnostná architektúra klient-server šifruje transakcie EAP v rámci tunela TLS (Transport Level Security) medzi prístupovým bodom a serverom RADIUS, ako napríklad Identity Services Engine (ISE).

  Tunel TLS používa chránené prístupové poverenia (PAC) na autentifikáciu medzi klientom (telefónom) a serverom RADIUS. Server odošle ID autority (AID) klientovi (telefónu), ktorý následne vyberie vhodný PAC. Klient (telefón) vráti PAC-Opaque serveru RADIUS. Server dešifruje PAC pomocou primárneho kľúča. Oba koncové body teraz obsahujú kľúč PAC a je vytvorený tunel TLS. EAP-FAST podporuje automatické poskytovanie PAC, ale musíte ho povoliť na serveri RADIUS.

  V ISE štandardne vyprší platnosť PAC do jedného týždňa. Ak má telefón vypršaný PAC, overenie pomocou servera RADIUS trvá dlhšie, kým telefón získa nový PAC. Aby ste predišli oneskoreniam poskytovania PAC, nastavte dobu platnosti PAC na 90 dní alebo dlhšie na serveri ISE alebo RADIUS.

• Autentifikácia protokolu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vyžaduje klientsky certifikát na autentifikáciu a sieťový prístup. V prípade bezdrôtového protokolu EAP-TLS môže byť klientskym certifikátom certifikát MIC, LSC alebo certifikát nainštalovaný používateľom.

• Protokol PEAP (Protected Extensible Authentication Protocol): Vlastná schéma vzájomnej autentifikácie spoločnosti Cisco na základe hesla medzi klientom (telefónom) a serverom RADIUS. Telefón môže použiť protokol PEAP na overenie v bezdrôtovej sieti. Podporované sú metódy autentifikácie PEAP-MSCHAPV2 aj PEAP-GTC.

• Prezdieľaný kľúč (PSK): Telefón podporuje formát ASCII. Tento formát musíte použiť pri nastavovaní predzdieľaného kľúča WPA/WPA2/SAE:

  ASCII: reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0-9, malé a veľké písmená A-Z a špeciálne znaky)

  Príklad: GREG123567@9ZX&W

Nasledujúce schémy autentifikácie používajú server RADIUS na správu autentifikačných kľúčov:

• WPA/WPA2/WPA3: Používa informácie servera RADIUS na generovanie jedinečných kľúčov na autentifikáciu. Pretože sa tieto kľúče generujú na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšiu bezpečnosť ako vopred zdieľané kľúče WPA, ktoré sú uložené na prístupovom bode a telefóne.

• Rýchly bezpečný roaming: Používa server RADIUS a informácie o serveri bezdrôtovej domény (WDS) na správu a overovanie kľúčov. WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s podporou FT pre rýchlu a bezpečnú opätovnú autentifikáciu. Cisco Desk Phone 9861 a 9871 a Cisco Video Phone 8875 podporujú 802.11r (FT). Sú podporované vzduchom aj cez DS, aby sa umožnil rýchly bezpečný roaming. Dôrazne však odporúčame použiť vzduchovú metódu 802.11r (FT).

Pri WPA/WPA2/WPA3 sa šifrovacie kľúče nezadávajú do telefónu, ale sú automaticky odvodené medzi AP a telefónom. Používateľské meno a heslo EAP, ktoré sa používajú na overenie, však musíte zadať na každom telefóne.

Aby bola zaistená bezpečnosť hlasovej prevádzky, telefón podporuje šifrovanie TKIP a AES. Keď sa na šifrovanie použijú tieto mechanizmy, medzi prístupovým bodom a telefónom sa šifrujú signalizačné pakety SIP aj hlasové pakety protokolu RTP (Real-Time Transport Protocol).

TKIP

WPA používa šifrovanie TKIP, ktoré má oproti WEP niekoľko vylepšení. TKIP poskytuje šifrovanie kľúčov po paketoch a dlhšie inicializačné vektory (IV), ktoré posilňujú šifrovanie. Okrem toho kontrola integrity správ (MIC) zaisťuje, že sa šifrované pakety nemenia. TKIP odstraňuje predvídateľnosť WEP, ktorá pomáha votrelcom dešifrovať kľúč WEP.

AES

Metóda šifrovania používaná na overenie WPA2/WPA3. Tento národný štandard pre šifrovanie používa symetrický algoritmus, ktorý má rovnaký kľúč na šifrovanie a dešifrovanie. AES používa šifrovanie Cipher Blocking Chain (CBC) s veľkosťou 128 bitov, ktoré podporuje veľkosť kľúčov minimálne 128 bitov, 192 bitov a 256 bitov. Telefón podporuje veľkosť kľúča 256 bitov.

Schémy overovania a šifrovania sú nastavené v rámci bezdrôtovej siete LAN. Siete VLAN sú konfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa spája s VLAN a konkrétnou schémou overovania a šifrovania. Aby sa bezdrôtové klientske zariadenia úspešne overili, musíte nakonfigurovať rovnaké SSID s ich schémami overovania a šifrovania na prístupových bodoch a v telefóne.

Niektoré autentifikačné schémy vyžadujú špecifické typy šifrovania.

Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre telefón, ktoré zodpovedajú konfigurácii prístupového bodu.

Assured Services SIP (AS-SIP) je súbor funkcií a protokolov, ktoré ponúkajú vysoko bezpečný tok hovorov pre Cisco IP telefóny a telefóny tretích strán. Nasledujúce funkcie sú súhrnne známe ako AS-SIP:

• Viacúrovňová priorita a preempcia (MLPP)
• Kódový bod diferencovaných služieb (DSCP)
• Transport Layer Security (TLS) a Secure Real-time Transport Protocol (SRTP)
• Internetový protokol verzie 6 (IPv6)

AS-SIP sa často používa s funkciou Multilevel Precedence and Preemption (MLPP) na uprednostňovanie hovorov v prípade núdze. Pomocou MLPP priradíte úroveň priority odchádzajúcich hovorov od úrovne 1 (nízka) po úroveň 5 (vysoká). Keď prijmete hovor, na telefóne sa zobrazí ikona úrovne priority, ktorá zobrazuje prioritu hovoru.

Ak chcete nakonfigurovať AS-SIP, vykonajte nasledujúce úlohy v aplikácii Cisco Unified Communications Manager:

• Konfigurovať používateľa prehľadu – nakonfigurujte koncového používateľa na používanie overenia súhrnu pre požiadavky SIP.
• Konfigurácia zabezpečeného portu telefónu SIP – Cisco Unified Communications Manager používa tento port na počúvanie telefónov SIP na registráciu liniek SIP cez TLS.
• Reštartovať služby – po nakonfigurovaní zabezpečeného portu reštartujte služby Cisco Unified Communications Manager a Cisco CTL Provider. Konfigurácia profilu SIP pre AS-SIP-Nakonfigurujte profil SIP s nastaveniami SIP pre vaše AS-SIP koncové body a pre vaše SIP trunky. Parametre špecifické pre telefón sa nesťahujú do AS-SIP telefónu tretej strany. Používa ich iba Cisco Unified Manager. Telefóny tretích strán musia lokálne nakonfigurovať rovnaké nastavenia.
• Konfigurácia bezpečnostného profilu telefónu pre AS-SIP – bezpečnostný profil telefónu môžete použiť na priradenie bezpečnostných nastavení, ako sú TLS, SRTP a overenie súhrnu.
• Konfigurácia koncového bodu AS-SIP – nakonfigurujte Cisco IP telefón alebo koncový bod tretej strany s podporou AS-SIP.
• Priradiť zariadenie ku koncovému používateľovi – priraďte koncový bod používateľovi.
• Konfigurácia bezpečnostného profilu SIP trunku pre AS-SIP – bezpečnostný profil sip trunk môžete použiť na priradenie bezpečnostných funkcií, ako je TLS alebo digestálna autentifikácia k SIP trunku.
• Configure SIP Trunk for AS-SIP—Nakonfigurujte SIP trunk s podporou AS-SIP.
• Konfigurácia funkcií AS-SIP – konfigurácia ďalších funkcií AS-SIP, ako sú MLPP, TLS, V.150 a IPv6.

Podrobné informácie o konfigurácii AS-SIP nájdete v kapitole „Konfigurácia koncových bodov AS-SIP“ v Feature Configuration Guide for Cisco Unified Communications Manager.

Keď sú v telefóne nakonfigurované kódy nútenej autorizácie (FAC) alebo kódy klientskych záležitostí (CMC) alebo oboje, používatelia musia zadať požadované heslá, aby mohli vytočiť číslo.

Ďalšie informácie o tom, ako nastaviť FAC a CMC v aplikácii Cisco Unified Communications Manager, nájdete v kapitole „Kódy pre klienta a vynútené autorizačné kódy“ v Príručke konfigurácie funkcií pre Cisco Unified Communications Manager, vydanie 12.5 (1) alebo neskôr.