Môžete Cisco Unified Communications Manager povoliť prevádzku v prostredí zvýšeného zabezpečenia. Vďaka týmto vylepšeniam funguje vaša telefónna sieť pod súborom prísnych kontrolných mechanizmov zabezpečenia a riadenia rizík, ktoré chránia vás a vašich používateľov.

Prostredie zvýšeného zabezpečenia zahŕňa nasledujúce funkcie:

  • Overenie vyhľadávania kontaktov.

  • TCP ako predvolený protokol pre vzdialené zapisovanie do denníka auditu.

  • Režim FIPS.

  • Vylepšená politika poverení.

  • Podpora rodiny hashov SHA-2 pre digitálne podpisy.

  • Podpora veľkosti kľúča RSA 512 bitov a 4096 bitov.

S vydaním Cisco Unified Communications Manager Release 14.0 a Cisco Video Phone Firmware Release 2.1 a novším telefóny telefóny podporujú autentifikáciu SIP OAuth.

OAuth je podporovaný pre Proxy Trivial File Transfer Protocol (TFTP) s Cisco Unified Communications Manager vydaním 14.0(1)SU1 alebo novším. TFTP servera proxy a protokol OAuth pre TFTP servera proxy nie je podporovaný v mobilných Remote Access.

Ďalšie informácie o zabezpečení nájdete v nasledovných témach:

Do telefónu je možné uložiť len obmedzený počet súborov zoznamu dôveryhodných identít (ITL). Súbory ITL nemôžu v telefóne prekročiť 64K, preto obmedzte počet súborov, ktoré Cisco Unified Communications Manager odosiela do telefónu.

Podporované funkcie zabezpečenia

Bezpečnostné funkcie chránia pred hrozbami vrátane ohrozenia identity telefónu a údajov. Tieto funkcie vytvárajú a udržiavajú overené komunikačné toky medzi telefónom a Cisco Unified Communications Manager server a zabezpečujú, že telefón používa iba digitálne podpísané súbory.

Cisco Unified Communications Manager vydanie 8.5 (1) a novšie obsahuje predvolené zabezpečenie, ktoré poskytuje nasledujúce funkcie zabezpečenia pre Cisco IP Phones bez spustenia klienta CTL:

  • Podpisovanie konfiguračných súborov telefónu

  • Šifrovanie konfiguračného súboru telefónu

  • HTTPS so službou Tomcat a ďalšími webovými službami

Funkcie zabezpečenej signalizácie a médií stále vyžadujú, aby ste spustili klienta CTL a používali hardvérové eTokeny.

Implementácia zabezpečenia v Cisco Unified Communications Manager system zabraňuje krádeži identity telefónu a Cisco Unified Communications Manager server, zabraňuje manipulácii s údajmi a zabraňuje signalizácii hovoru a manipulácii s mediálnym tokom.

Na zmiernenie týchto hrozieb telefónna sieť Cisco IP vytvára a udržiava zabezpečené (šifrované) komunikačné toky medzi telefónom a serverom, digitálne podpisuje súbory pred ich prenosom do telefónu a šifruje prúdy mediálnych tokov a signalizáciu hovorov medzi Cisco IP Phones.

Locally Significant Certificate (LSC) sa nainštaluje do telefónov po vykonaní potrebných úloh, ktoré sú priradené k funkcii Certificate Authority Proxy (CAPF). Pomocou Cisco Unified Communications Manager Administration môžete nakonfigurovať LSC, ako je popísané v príručke zabezpečenia Cisco Unified Communications Manager. Inštaláciu LSC môžete spustiť aj v ponuke Nastavenia zabezpečenia v telefóne. Táto ponuka vám tiež umožňuje aktualizovať alebo odstrániť LSC.

LSC nemožno použiť ako certifikát používateľa pre EAP-TLS s WLAN overením.

Telefóny používajú profil zabezpečenia telefónu, ktorý definuje, či je zariadenie nezabezpečené alebo zabezpečené. Informácie o použití profilu zabezpečenia v telefóne nájdete v dokumentácii k konkrétnemu vydaniu Cisco Unified Communications Manager.

Ak v Cisco Unified Communications Manager Administration nakonfigurujete nastavenia týkajúce sa zabezpečenia, konfiguračný súbor telefónu bude obsahovať citlivé informácie. Ak chcete zabezpečiť súkromie konfiguračného súboru, musíte ho nakonfigurovať na šifrovanie. Podrobné informácie nájdete v dokumentácii k vydaniu konkrétnej Cisco Unified Communications Manager.

Telefón vyhovuje federálnemu štandardu FIPS (Information Processing Standard). Na správne fungovanie vyžaduje režim FIPS veľkosť kľúča najmenej 2048 bitov. Ak má certifikát menej ako 2048 bitov, telefón sa nezaregistruje u Cisco Unified Communications Manager a registrácia telefónu sa nepodarila. Veľkosť kľúča certifikátu nie je na displejoch telefónu kompatibilných s FIPS.

Ak má telefón LSC, pred zapnutím FIPS musíte aktualizovať veľkosť kľúča LSC na 2048 bitov alebo viac.

Nasledujúca tabuľka poskytuje prehľad funkcií zabezpečenia, ktoré telefóny podporujú. Ďalšie informácie nájdete v dokumentácii k vydaniu konkrétnej Cisco Unified Communications Manager.

Ak chcete zobraziť režim zabezpečenia, stlačte tlačidlo Nastavenia Tvrdé tlačidlo Nastavenia A prejdite do časti Nastavenia siete a služby > Zabezpečenie.

Tabuľka 1. Prehľad ochranných prvkov

Funkcia

Popis

Autentifikácia obrazu

Podpísané binárne súbory zabraňujú manipulácii s obrazom firmvéru pred načítaním obrázka do telefónu.

Manipulácia s obrázkom spôsobí, že telefón zlyhá v procese overenia a odmietne nový obrázok.

Inštalácia certifikátu zákazníckeho pracoviska

Každá Cisco IP Phone vyžaduje jedinečný certifikát na overenie zariadenia. Telefóny obsahujú certifikát s inštaláciou výroby (MIC), ale pre zvýšenie bezpečnosti môžete inštaláciu certifikátu zadať v Cisco Unified Communications Manager Administration pomocou funkcie Certificate Authority Proxy (CAPF). Prípadne môžete nainštalovať Locally Significant Certificate (LSC) z ponuky Konfigurácia zabezpečenia v telefóne.

Overenie zariadenia

Vyskytuje sa medzi Cisco Unified Communications Manager server a telefónom, keď každá entita prijme certifikát druhej entity. Určuje, či sa má vyskytnúť zabezpečené spojenie medzi telefónom a Cisco Unified Communications Manager; a ak je to potrebné, vytvorí bezpečnú signalizačnú cestu medzi entitami pomocou TLS protokolu. Cisco Unified Communications Manager neregistruje telefóny, pokiaľ ich nedokáže overiť.

Overenie súboru

Overuje digitálne podpísané súbory, ktoré telefón stiahne. Telefón overí podpis, aby sa ubezpečil, že po vytvorení súboru nedošlo k manipulácii so súbormi. Súbory, ktoré zlyhajú pri overení, sa nezapíšu do pamäte flash v telefóne. Telefón takéto súbory odmietne bez ďalšieho spracovania.

Šifrovanie súborov

Šifrovanie zabraňuje odhaleniu citlivých informácií počas prenosu súboru do telefónu. Okrem toho telefón overí podpis, aby sa ubezpečil, že po vytvorení súboru nedošlo k manipulácii so súbormi. Súbory, ktoré zlyhajú pri overení, sa nezapíšu do pamäte flash v telefóne. Telefón takéto súbory odmietne bez ďalšieho spracovania.

Autentifikácia signalizácie

Používa protokol TLS na overenie, či počas prenosu nedošlo k žiadnej manipulácii so signalizačnými paketmi.

Certifikát nainštalovanej výroby

Každá Cisco IP Phone obsahuje jedinečný výrobný nainštalovaný certifikát (MIC), ktorý sa používa na overenie zariadenia. MIC poskytuje trvalý jedinečný doklad totožnosti telefónu a umožňuje Cisco Unified Communications Manager autentifikáciu telefónu.

Šifrovanie médií

Používa SRTP na zabezpečenie toho, aby sa streamy médií medzi podporovanými zariadeniami ukázali ako bezpečné a aby údaje prijímalo a čítalo iba určené zariadenie. Zahŕňa vytvorenie páru primárnych kľúčov médií pre zariadenia, doručenie kľúčov zariadeniam a zabezpečenie doručenia kľúčov počas prenosu kľúčov.

CAPF (Certificate Authority Proxy Function)

Implementuje časti postupu generovania certifikátov, ktoré sú pre telefón príliš náročné na spracovanie, a komunikuje s telefónom pri generovaní kľúčov a inštalácii certifikátov. CAPF je možné nakonfigurovať tak, aby v mene telefónu požadoval certifikáty od certifikačných autorít určených zákazníkom, alebo ho možno nakonfigurovať na lokálne generovanie certifikátov.

Podporované sú EC (eliptická krivka) aj RSA typy klávesov. Ak chcete použiť kľúč EC, uistite sa, že parameter "Endpoint Advanced Encryption Algorithms Support" (z parametra System >Enterprise) je povolený.

Ďalšie informácie o CAPF a súvisiacich konfiguráciách nájdete v nasledujúcich dokumentoch:

Profil zabezpečenia

Definuje, či je telefón nezabezpečený, overený, šifrovaný alebo chránený. Ďalšie položky v tejto tabuľke popisujú funkcie zabezpečenia.

Šifrované konfiguračné súbory

Umožňuje zabezpečiť súkromie konfiguračných súborov telefónu.

Voliteľné vypnutie webového servera pre telefón

Z bezpečnostných dôvodov môžete zabrániť prístupu na webové stránky telefónu (ktoré zobrazujú rôzne prevádzkové štatistiky telefónu) a portálu samoobsluhy.

Kalenie telefónu

Ďalšie možnosti zabezpečenia, ktoré môžete ovládať z Cisco Unified Communications Manager Administration:

  • Vypnutie portu PC
  • Vypnutie bezdôvodného protokolu ARP (GARP)
  • Zakázanie prístupu k hlasovej sieti VLAN počítača
  • Zakázanie prístupu k ponuke nastavení alebo poskytnutie obmedzeného prístupu
  • Zakázanie prístupu k webovým stránkam v telefóne
  • Vypnutie portu príslušenstva Bluetooth
  • Obmedzenie TLS šifier

Overenie 802.1X

Cisco IP Phone môže používať autentifikáciu 802.1X na vyžiadanie a získanie prístupu do siete. Ďalšie informácie nájdete v časti Overenie 802.1X.

Zabezpečené SIP Failover pre SRST

Po nakonfigurovaní referencie Survivable Remote Site Telephony (SRST) z bezpečnostných dôvodov a následnom resetovaní závislých zariadení v Cisco Unified Communications Manager Administration server TFTP pridá SRST certifikát do súboru cnf.xml telefónu a odošle súbor do telefónu. Zabezpečený telefón potom používa TLS pripojenie na interakciu so smerovačom s podporou SRST.

Signalizačné šifrovanie

Zaisťuje, že všetky signalizačné správy SIP, ktoré sa odosielajú medzi zariadením a Cisco Unified Communications Manager server, sú šifrované.

Alarm aktualizácie zoznamu certifikátov

Keď sa v telefóne aktualizuje zoznam certifikátov, Cisco Unified Communications Manager dostane výstrahu oznamujúcu úspech alebo neúspech aktualizácie. Ďalšie informácie nájdete v nasledujúcej tabuľke.

Šifrovanie AES 256

Po pripojení k Cisco Unified Communications Manager Release 10.5 (2) a novším telefóny podporujú šifrovanie AES 256 pre TLS a SIP pre signalizáciu a šifrovanie médií. To umožňuje telefónom iniciovať a podporovať TLS pripojenia 1.2 pomocou šifier založených na AES-256, ktoré vyhovujú štandardom SHA-2 (Secure Hash Algorithm) a sú v súlade s federálnymi štandardmi spracovania informácií (FIPS). Šifry zahŕňajú:

  • Pre TLS pripojenia:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Pre sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Ďalšie informácie nájdete v dokumentácii pre softvér Cisco Unified Communications Manager.

Certifikáty algoritmu digitálneho podpisu eliptickej krivky (ECDSA)

Ako súčasť certifikácie Common Criteria (CC) Cisco Unified Communications Manager; pridal certifikáty ECDSA vo verzii 11.0. Týka sa to všetkých produktov hlasového operačného systému (VOS) so systémom CUCM 11.5 a novšími verziami.

Certifikát Tomcat s viacerými servermi (SAN) s Cisco UCM

Telefón podporuje Cisco UCM s nakonfigurovanými certifikátmi Tomcat (Multi-server (SAN). Správnu adresu TFTP servera nájdete v súbore ITL telefónu na registráciu telefónu.

Ďalšie informácie o tejto funkcii nájdete v týchto témach:

Nasledujúca tabuľka obsahuje informácie o aktualizácii zoznamu dôveryhodných, výstražných hláseniach a význame. Ďalšie informácie nájdete v dokumentácii pre softvér Cisco Unified Communications Manager.

Tabuľka 2. Aktualizácia zoznamu certifikátov výstražné hlásenia
Kód a správa Popis

1 - TL_SUCCESS

Prijaté nové CTL a/alebo ITL

2 - CTL_INITIAL_SUCCESS

Prijaté nové CTL, žiadna existujúca TL

3 - ITL_INITIAL_SUCCESS

Prijaté nové ITL, žiadna existujúca TL

4 - TL_INITIAL_SUCCESS

Prijaté nové CTL a ITL, žiadna existujúca TL

5 - TL_FAILED_OLD_CTL

Aktualizácia na nové CTL zlyhala, ale má predchádzajúcu TL

6 - TL_FAILED_NO_TL

Aktualizácia na novú TL zlyhala a nemáte žiadnu starú TL

7 - TL_FAILED

Všeobecné zlyhanie

8 - TL_FAILED_OLD_ITL

Aktualizácia na nový ITL zlyhal, ale má predchádzajúcu TL

9 - TL_FAILED_OLD_TL

Aktualizácia na novú TL zlyhala, ale mala predchádzajúcu TL

Ponuka Nastavenie zabezpečenia poskytuje informácie o rôznych nastaveniach zabezpečenia. Ponuka tiež poskytuje prístup k ponuke Zoznam dôveryhodných certifikátov a označuje, či je v telefóne nainštalovaný súbor CTL alebo ITL.

Nasledujúca tabuľka popisuje možnosti v ponuke Nastavenie zabezpečenia.

Tabuľka 3. Ponuka nastavenia zabezpečenia

Možnosť

Popis

Zmena

Režim zabezpeč.

Zobrazuje režim zabezpečenia, ktorý je nastavený pre telefón.

V Cisco Unified Communications Manager Administration vyberte položku Zariadenie > telefón. Nastavenie sa zobrazí v časti Informácie špecifické pre protokol v okne Konfigurácia telefónu.

LSC

Označuje, či je v telefóne nainštalovaný certifikát lokálne významný pre funkcie zabezpečenia (nainštalovaný) alebo nie je nainštalovaný v telefóne (nie je nainštalovaný).

Informácie o spravovaní LSC telefónu nájdete v dokumentácii k vydaniu konkrétnej Cisco Unified Communications Manager.

Nastavenie Locally Significant Certificate (LSC)

Táto úloha sa vzťahuje na nastavenie LSC pomocou metódy overovacieho reťazca.

Skôr než začnete

Uistite sa, že sú dokončené príslušné konfigurácie zabezpečenia Cisco Unified Communications Manager a funkcie Certificate Authority proxy (CAPF):

  • Súbor CTL alebo ITL obsahuje CAPF certifikát.

  • V časti Správa Cisco Unified Communications Operating System skontrolujte, či je nainštalovaný certifikát CAPF.

  • CAPF je spustená a nakonfigurovaná.

Ďalšie informácie o týchto nastaveniach nájdete v dokumentácii k vydaniu konkrétnej Cisco Unified Communications Manager.

1

Získajte CAPF overovací kód, ktorý bol nastavený pri konfigurácii CAPF.

2

V telefóne stlačte Nastavenia the Settings hard key.

3

Ak sa zobrazí výzva, zadajte heslo pre prístup do ponuky Nastavenia . Heslo môžete získať od správcu.

4

Prejdite na položku Sieť a služby> Nastavenia zabezpečenia> LSC.

Prístup k ponuke Nastavenia môžete ovládať pomocou poľa Prístup k nastaveniam v Cisco Unified Communications Manager Administration.

5

Zadajte overovací reťazec a vyberte položku Odoslať.

Telefón začne inštalovať, aktualizovať alebo odstraňovať LSC v závislosti od konfigurácie CAPF. Po dokončení procedúry sa v telefóne zobrazí hlásenie Nainštalované alebo Nenainštalované.

Proces inštalácie, aktualizácie alebo odstránenia LSC môže trvať dlho.

Po úspešnej inštalácii telefónu sa zobrazí hlásenie Nainštalované . Ak sa v telefóne zobrazuje hlásenie Nenainštalované, autorizačný reťazec môže byť nesprávny alebo inovácia telefónu nemusí byť povolená. Ak operácia CAPF odstráni LSC, telefón zobrazí stav Nenainštalované , čo znamená, že operácia bola úspešná. Server CAPF zaznamená chybové hlásenia. Pozrite si dokumentáciu k serveru CAPF, aby ste našli denníky a pochopili význam chybových hlásení.

Zapnutie režimu FIPS

1

V Cisco Unified Communications Manager Administration vyberte položku Zariadenie > Telefón a vyhľadajte telefón.

2

Prejdite do oblasti Konfigurácia špecifická pre daný produkt.

3

Pole Režim FIPS nastavte na hodnotu Povolené .

4

Kliknite na položku Uložiť.

5

Vyberte možnosť Použiť konfiguráciu.

6

Reštartujte telefón.

Vypnutie reproduktora, náhlavnej súpravy a slúchadla na telefóne

Máte možnosť natrvalo vypnúť reproduktor, náhlavnú súpravu a slúchadlo na telefóne pre používateľa.

1

V Cisco Unified Communications Manager Administration vyberte položku Zariadenie > Telefón a vyhľadajte telefón.

2

Prejdite do oblasti Konfigurácia špecifická pre daný produkt.

3

Začiarknutím jedného alebo viacerých z nasledujúcich políčok vypnete možnosti telefónu:

  • Vypnutie hlasného telefónu
  • Vypnúť reproduktor a náhlavnú súpravu
  • Vypnúť sluchátka

V predvolenom nastavení tieto začiarkavacie políčka nie sú začiarknuté.

4

Kliknite na položku Uložiť.

5

Vyberte možnosť Použiť konfiguráciu.

Overenie 802.1X

Cisco IP Phones podporuje autentifikáciu 802.1X.

Prepínače Cisco IP Phones a Cisco Catalyst tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je alokácia VLAN a požiadavky na inline napájanie. CDP neidentifikuje lokálne pripojené pracovné stanice. Cisco IP Phones poskytnúť mechanizmus prechodu EAPOL-om. Tento mechanizmus umožňuje pracovnej stanici pripojenej k Cisco IP Phone odovzdávať správy EAPOL do autentifikátora 802.1X na prepínači LAN. Mechanizmus priechodu zabezpečuje, že telefón IP nefunguje ako prepínač LAN na autentifikáciu koncového bodu údajov pred prístupom do siete.

Cisco IP Phones tiež poskytnúť proxy mechanizmus odhlásenia EAPOL. Ak sa lokálne pripojený počítač odpojí od telefónu IP, prepínač siete LAN nevidí fyzické prepojenie zlyhané, pretože spojenie medzi prepínačom LAN a telefónom IP je zachované. Aby sa nenarušila integrita siete, telefón IP odošle prepínaču v mene nadväzujúceho počítača správu EAPOL-Odhlásenie, ktorá spustí prepínač siete LAN na vymazanie položky overenia pre nadväzujúci počítač.

Podpora overovania 802.1X vyžaduje niekoľko komponentov:

  • Cisco IP Phone: Telefón iniciuje požiadavku na prístup k sieti. Cisco IP Phones obsahovať prosebníka 802.1X. Tento prosebník umožňuje správcom siete kontrolovať pripojenie IP telefónov k portom prepínača LAN. Aktuálne vydanie prosepplikanta telefónu 802.1X využíva možnosti EAP-FAST a EAP-TLS na overovanie siete.

  • Autentifikačný server: Autentifikačný server aj prepínač musia byť nakonfigurované so zdieľaným kľúčom, ktorý autentifikuje telefón.

  • Prepínač: Prepínač musí podporovať štandard 802.1X, aby mohol fungovať ako autentifikátor a prenášať správy medzi telefónom a overovacím serverom. Po dokončení výmeny prepínač udelí alebo zakáže telefónu prístup k sieti.

Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.

  • Pred zapnutím overovania 802.1X v telefóne nakonfigurujte ostatné súčasti.

  • Konfigurácia portu PC: Štandard 802.1X neberie do úvahy VLAN, a preto odporúča, aby bolo na konkrétnom porte prepínača autentifikované iba jedno zariadenie. Niektoré prepínače však podporujú viacdoménové overovanie. Konfigurácia prepínača určuje, či je možné pripojiť počítač k portu PC telefónu.

    • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete zapnúť port počítača a pripojiť k nemu počítač. V tomto prípade Cisco IP Phones podporovať proxy EAPOL-Logoff na monitorovanie autentifikačných výmen medzi prepínačom a pripojeným počítačom.

      Ďalšie informácie o podpore štandardu IEEE 802.1X na prepínačoch Cisco Catalyst nájdete v príručkách konfigurácie prepínačov Cisco Catalyst na adrese:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Vypnuté: Ak prepínač nepodporuje viacero zariadení kompatibilných so štandardom 802.1X na rovnakom porte, mali by ste vypnúť port PC, keď je povolené overovanie 802.1X. Ak tento port nevypnete a potom sa k nemu pokúsite pripojiť počítač, prepínač zakáže sieťový prístup k telefónu aj počítaču.

  • Konfigurovať hlasovú sieť VLAN: Keďže štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínačov.
    • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete pokračovať v používaní hlasovej siete VLAN.
    • Vypnuté: Ak prepínač nepodporuje overovanie viacerých domén, zakážte hlasovú sieť VLAN a zvážte priradenie portu k natívnej sieti VLAN.
  • (Len pre stolový telefón Cisco Phone 9800 Series)

    Telefón Cisco Desk Phone 9800 Series má v PID inú predvoľbu ako pre ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte okruh· Parameter Meno používateľa na zahrnutie vášho telefónu Cisco Desk Phone 9800 Series.

    Napríklad PID telefónu 9841 je DP-9841; môžete nastaviť polomer· Meno používateľa na začiatok na DP alebo obsahuje DP. Môžete ho nastaviť v oboch nasledujúcich častiach:

    • Zásada > Podmienky > Podmienky knižnice

    • Politika > Množiny politík> Autorizačná politika > Autorizačné pravidlo 1

Zapnutie overovania 802.1X

Overenie 802.1X môžete pre svoj telefón povoliť vykonaním týchto krokov:

1

Stlačte tlačidlo Nastaveniathe Settings hard key.

2

Ak sa zobrazí výzva, zadajte heslo pre prístup do ponuky Nastavenia . Heslo môžete získať od správcu.

3

Prejdite do časti Sieť a služby > Nastavenia zabezpečenia> Overenie 802.1X.

4

Zapnite overovanie IEEE 802.1X.

5

Vyberte položku Použiť.

Zobrazenie informácií o nastaveniach zabezpečenia v telefóne

Informácie o nastaveniach zabezpečenia si môžete pozrieť v ponuke telefónu. Dostupnosť informácií závisí od nastavení siete vo vašej organizácii.

1

Stlačte tlačidlo Nastaveniathe Settings key.

2

Prejdite do časti Nastavenia siete a služby > Zabezpečenie.

3

V nastaveniach zabezpečenia si pozrite nasledujúce informácie.

Tabuľka 4. Parametre pre nastavenie zabezpečenia

Parametre

Popis

Režim zabezpeč.

Zobrazuje režim zabezpečenia, ktorý je nastavený pre telefón.

LSC

Označuje, či je v telefóne nainštalovaný certifikát lokálne významný pre funkcie zabezpečenia (Áno) alebo nie je nainštalovaný v telefóne (Nie).

Zoznam dôveryhodných

Zoznam dôveryhodných obsahuje podponuky pre konfiguračné súbory CTL, ITL a Signed.

Vo vedľajšej ponuke CTL Súbor sa zobrazuje obsah súboru CTL. Podponuka Súbor ITL zobrazuje obsah súboru ITL.

V ponuke Zoznam dôveryhodných certifikátov sa zobrazujú aj nasledujúce informácie:

  • CTL Podpis: hash SHA1 súboru CTL
  • Unified CM/TFTP Server: názov Cisco Unified Communications Manager a TFTP servera, ktorý telefón používa. Zobrazí ikonu certifikátu, ak je pre tento server nainštalovaný certifikát.
  • CAPF Server: názov CAPF servera, ktorý telefón používa. Zobrazí ikonu certifikátu, ak je pre tento server nainštalovaný certifikát.
  • SRST Router: IP adresa dôveryhodného smerovača SRST, ktorý môže telefón používať. Zobrazí ikonu certifikátu, ak je pre tento server nainštalovaný certifikát.

Zabezpečenie telefonických hovorov

Keď je implementované zabezpečenie telefónu, môžete identifikovať zabezpečené telefónne hovory podľa ikon na obrazovke telefónu. Zabezpečenie a ochranu pripojeného telefónu môžete určiť aj vtedy, ak sa na začiatku hovoru ozve tón zabezpečenia.

Pri zabezpečenom hovore sú všetky signalizácie hovorov a prúdy mediálnych údajov šifrované. Zabezpečený hovor ponúka vysokú úroveň zabezpečenia a poskytuje integritu a súkromie hovoru. Keď je prebiehajúci hovor šifrovaný, zobrazí sa ikona zabezpečeného hovoru Ikona zámku pre zabezpečený hovor Na linke. V prípade zabezpečeného telefónu môžete tiež zobraziť overenú ikonu Alebo na ikonu šifrovania Vedľa pripojeného servera v ponuke telefón (Nastavenia > Informácie o tomto zariadení).

Ak je hovor smerovaný cez spoje bez použitia protokolu IP, napríklad prostredníctvom verejnej telefónnej siete (PSTN), hovor môže byť nezabezpečený, aj keď je v rámci siete IP šifrovaný a je k nemu priradená ikona zámku.

Pri zabezpečenom hovore sa na začiatku hovoru prehrá bezpečnostný tón, ktorý oznamuje, že aj druhý pripojený telefón prijíma a vysiela zabezpečený zvuk. Ak sa hovor pripojí k nezabezpečenému telefónu, tón zabezpečenia sa neprehrá.

Zabezpečené volanie je podporované iba pre pripojenia medzi dvoma telefónmi. Niektoré funkcie, napríklad konferenčné hovory a zdieľané linky, nie sú pri nakonfigurovaní zabezpečeného hovoru dostupné.

Keď je telefón nakonfigurovaný ako bezpečný (šifrovaný a dôveryhodný) v Cisco Unified Communications Manager, môže dostať chránený stav. Potom, ak je to potrebné, môže byť chránený telefón nakonfigurovaný tak, aby na začiatku hovoru prehral indikačný tón:

  • Chránené zariadenie: Ak chcete zmeniť stav zabezpečeného telefónu na chránený, začiarknite políčko Chránené zariadenie v okne Konfigurácia telefónu v Cisco Unified Communications Manager Administration (Zariadenie > telefón).

  • Prehrať bezpečný indikačný tón: Ak chcete chránenému telefónu povoliť prehrávanie zabezpečeného alebo nezabezpečeného indikačného tónu, nastavte nastavenie Prehrať tón indikácie zabezpečené na hodnotu Pravda. Prehrať tón indikácie zabezpečeného prenosu je predvolene nastavený na hodnotu Nepravda. Túto možnosť nastavíte v Cisco Unified Communications Manager Administration (System> Service Parameters (Parametre systémuslužby). Vyberte server a potom službu Unified Communications Manager. V Service Parameter Configuration window vyberte možnosť v oblasti Funkcia - Tón zabezpečenia. Predvolená hodnota je False.

Bezpečná identifikácia konferenčného hovoru

Môžete iniciovať bezpečný konferenčný hovor a monitorovať úroveň zabezpečenia účastníkov. Zabezpečený konferenčný hovor sa vytvorí pomocou tohto postupu:

  1. Používateľ iniciuje konferenciu zo zabezpečeného telefónu.

  2. Cisco Unified Communications Manager priradí k hovoru zabezpečený konferenčný most.

  3. Po pridaní účastníkov Cisco Unified Communications Manager overí režim zabezpečenia každého telefónu a zachová úroveň zabezpečenia konferencie.

  4. Telefón zobrazuje úroveň zabezpečenia konferenčného hovoru. Na zabezpečenej konferencii sa zobrazí ikona zabezpečeného Ikona zámku pre zabezpečený hovor.

Zabezpečené volanie je podporované medzi dvoma telefónmi. V prípade chránených telefónov nie sú pri nakonfigurovaní zabezpečeného hovoru dostupné niektoré funkcie, napríklad konferenčné hovory, zdieľané linky a Extension Mobility.

Nasledujúca tabuľka obsahuje informácie o zmenách úrovní zabezpečenia konferencie v závislosti od úrovne zabezpečenia telefónu iniciátora, úrovní zabezpečenia účastníkov a dostupnosti zabezpečených konferenčných mostov.

Tabuľka 5. Bezpečnostné obmedzenia pri konferenčných hovoroch

Úroveň zabezpečenia telefónu iniciátora

Použitá funkcia

Úroveň zabezpečenia účastníkov

Výsledky akcie

Nezabezpečené

Konferenčný hovor

Zabezpečený

Nezabezpečený konferenčný most

Nezabezpečená konferencia

Zabezpečený

Konferenčný hovor

Najmenej jeden člen nie je zabezpečený.

Zabezpečený konferenčný most

Nezabezpečená konferencia

Zabezpečený

Konferenčný hovor

Zabezpečený

Zabezpečený konferenčný most

Bezpečná konferencia na šifrovanej úrovni

Nezabezpečené

Zoznámte sa so mnou

Minimálna úroveň zabezpečenia je šifrovaná.

Iniciátor dostane správu Nespĺňa úroveň zabezpečenia, hovor bol odmietnutý.

Zabezpečený

Zoznámte sa so mnou

Minimálna úroveň zabezpečenia nie je zabezpečená.

Zabezpečený konferenčný most

Konferencia prijíma všetky hovory.

Bezpečná identifikácia telefonického hovoru

Zabezpečený hovor sa vytvorí, keď je váš telefón a telefón na druhom konci nakonfigurovaný na zabezpečené volanie. Druhý telefón sa môže nachádzať v rovnakej sieti Cisco IP alebo v sieti mimo IP siete. Zabezpečené hovory je možné uskutočňovať iba medzi dvoma telefónmi. Konferenčné hovory by mali podporovať zabezpečený hovor po nastavení zabezpečeného konferenčného mosta.

Zabezpečený hovor sa vytvorí pomocou tohto procesu:

  1. Používateľ iniciuje hovor zo zabezpečeného telefónu (zabezpečený režim zabezpečenia).

  2. Telefón zobrazí ikonu zabezpečenia Ikona zámku pre zabezpečený hovor Na obrazovke telefónu. Táto ikona označuje, že telefón je nakonfigurovaný na zabezpečené hovory, ale to neznamená, že je zabezpečený aj druhý pripojený telefón.

  3. Ak sa hovor pripája k inému zabezpečenému telefónu, používateľ počuje bezpečnostný tón, ktorý naznačuje, že oba konce konverzácie sú šifrované a zabezpečené. Ak sa hovor pripojí k nezabezpečenému telefónu, používateľ nepočuje tón zabezpečenia.

Zabezpečené volanie je podporované medzi dvoma telefónmi. V prípade chránených telefónov nie sú pri nakonfigurovaní zabezpečeného hovoru dostupné niektoré funkcie, napríklad konferenčné hovory, zdieľané linky a Extension Mobility.

Tieto zabezpečené alebo nezabezpečené indikačné tóny prehrávajú iba chránené telefóny. Nechránené telefóny nikdy neprehrávajú zvuky. Ak sa počas hovoru zmení celkový stav hovoru, zmení sa tón signalizácie a chránený telefón prehrá príslušný tón.

Chránený telefón prehrá tón alebo nie za týchto okolností:

  • Keď je zapnutá možnosť Prehrať bezpečný indikačný tón:

    • Keď je vytvorené zabezpečené médium počas celého spojenia a stav hovoru je zabezpečený, telefón prehrá tón signalizácie zabezpečeného spojenia (tri dlhé pípnutia s prestávkami).

    • Keď je vytvorené nezabezpečené médium typu end-to-end a stav hovoru je nezabezpečený, telefón prehrá nezabezpečený indikačný tón (šesť krátkych pípnutí s krátkymi prestávkami).

Ak je vypnutá možnosť Prehrať tón zabezpečenej indikácie, neprehrá sa žiadny tón.

Poskytnutie šifrovania pre nákladný čln

Cisco Unified Communications Manager kontroluje stav zabezpečenia telefónu pri vytváraní konferencií a mení bezpečnostné indikácie konferencie alebo blokuje dokončenie hovoru, aby sa zachovala integrita a bezpečnosť v systéme.

Používateľ nemôže vstúpiť do šifrovaného hovoru, ak telefón, ktorý sa používa na pristúpenie, nie je nakonfigurovaný na šifrovanie. Ak čln v tomto prípade zlyhá, zaznie v telefóne, v ktorom bol čln iniciovaný, tón zmeny poradia (rýchlo obsadený).

Ak je telefón iniciátora nakonfigurovaný na šifrovanie, iniciátor člna môže vstúpiť do nezabezpečeného hovoru zo šifrovaného telefónu. Po uskutočnení člna Cisco Unified Communications Manager klasifikuje hovor ako nezabezpečený.

Ak je telefón iniciátora nakonfigurovaný na šifrovanie, iniciátor člna môže vstúpiť do šifrovaného hovoru a telefón označí, že hovor je šifrovaný.

Zabezpečenie WLAN

Táto časť sa vzťahuje len na modely telefónov s Wi-Fi schopnosťou.

Zabezpečenie WLAN

Keďže všetky WLAN zariadenia, ktoré sú v dosahu, môžu prijímať všetky ostatné WLAN prevádzky, zabezpečenie hlasovej komunikácie je v sieti WLAN rozhodujúce. Aby sa zabezpečilo, že votrelci nebudú manipulovať ani nezachytiť hlasovú prevádzku, architektúra Cisco SAFE Security podporuje telefón. Ďalšie informácie o zabezpečení sietí nájdete v téme http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Riešenie bezdrôtovej IP telefónie Cisco poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávnenému prihláseniu a narušeniu komunikácie pomocou nasledujúcich metód overovania, ktoré telefón podporuje:

  • Otvorené overenie: Každé bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. Prístupový bod, ktorý prijme žiadosť, môže udeliť autentifikáciu ktorémukoľvek žiadateľovi alebo len žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) mohla byť nešifrovaná.

  • Rozšíriteľný autentifikačný protokol – flexibilné overovanie prostredníctvom zabezpečeného tunelovania (EAP-FAST) Autentifikácia: Táto architektúra zabezpečenia klient-server šifruje EAP transakcie v rámci tunela Transport Level Security (TLS) medzi prístupovým bodom a serverom RADIUS, ako je napríklad Identity Services Engine (ISE).

    Tunel TLS používa poverenia chráneného prístupu (PAC) na autentifikáciu medzi klientom (telefónom) a serverom RADIUS. Server odošle ID autority (AID) klientovi (telefónu), ktorý následne vyberie príslušné PAC. Klient (telefón) vráti PAC-Opaque na server RADIUS. Server dešifruje PAC primárnym kľúčom. Oba koncové body teraz obsahujú kľúč PAC a vytvorí sa TLS tunel. EAP-FAST podporuje automatické poskytovanie PAC, ale musíte ho povoliť na serveri RADIUS.

    V systéme ISE predvolene platnosť PAC vyprší o týždeň. Ak má telefón PAC s vypršanou platnosťou, overenie pomocou servera RADIUS trvá dlhšie, kým telefón dostane nový PAC. Aby ste sa vyhli oneskoreniam pri poskytovaní PAC, nastavte dobu vypršania platnosti PAC na 90 dní alebo dlhšie na serveri ISE alebo RADIUS.

  • Autentifikácia Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) (Extensible Authentication Protocol-): EAP-TLS vyžaduje certifikát klienta na autentifikáciu a prístup do siete. V prípade bezdrôtových EAP-TLS môže byť klientskym certifikátom certifikát MIC, LSC alebo certifikát nainštalovaný používateľom.

  • Protected Extensible Authentication Protocol (PEAP): proprietárna schéma vzájomnej autentifikácie založená na hesle spoločnosti Cisco medzi klientom (telefónom) a serverom RADIUS. Telefón môže používať PEAP na overenie v bezdrôtovej sieti. Podporované sú metódy overovania PEAP-MSCHAPV2 aj PEAP-GTC.

  • Predzdieľaný kľúč (PSK): Telefón podporuje ASCII formát. Tento formát musíte použiť pri nastavovaní vopred zdieľaného kľúča WPA/WPA2/SAE:

    ASCII: reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0-9, malé a veľké písmená A-Z a špeciálne znaky)

    Príklad: GREG123567@9ZX&W

Nasledujúce schémy overovania používajú server RADIUS na správu autentifikačných kľúčov:

  • WPA/WPA2/WPA3: Používa informácie zo servera RADIUS na generovanie jedinečných kľúčov na overenie. Keďže tieto kľúče sú generované na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšiu bezpečnosť ako WPA predzdieľané kľúče, ktoré sú uložené v prístupovom bode a telefóne.

  • Rýchly zabezpečený roaming: Používa informácie zo servera RADIUS a bezdrôtového doménového servera (WDS) na správu a overovanie kľúčov. WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s podporou FT pre rýchlu a bezpečnú opätovnú autentifikáciu. Telefóny Cisco Desk Phone 9861 a 9871 a Cisco Video Phone 8875 podporujú štandard 802.11r (FT). Podporované sú vzduchom aj DS, ktoré umožňujú rýchly a bezpečný roaming. Dôrazne však odporúčame použiť metódu 802.11r (FT) nad vzduchom.

Pri použití WPA/WPA2/WPA3 sa šifrovacie kľúče nezadávajú do telefónu, ale automaticky sa odvodzujú medzi prístupovým bodom a telefónom. Na každom telefóne však musí byť zadané EAP používateľské meno a heslo, ktoré sa používajú na overenie.

Aby bola hlasová prevádzka bezpečná, telefón podporuje šifrovanie TKIP a AES. Keď sa na šifrovanie používajú tieto mechanizmy, medzi prístupovým bodom a telefónom sa šifrujú signalizačné pakety SIP aj hlasové pakety protokolu prenosu v reálnom čase (RTP).

TKIP

WPA používa šifrovanie TKIP, ktoré má oproti WEP niekoľko vylepšení. TKIP poskytuje šifrovanie kľúčom pre každý paket a dlhšie inicializačné vektory (IV), ktoré posilňujú šifrovanie. Okrem toho kontrola integrity správ (MIC) zabezpečuje, že šifrované pakety sa nemenia. TKIP odstraňuje predvídateľnosť WEP, ktorá pomáha votrelcom dešifrovať kľúč WEP.

AES

Metóda šifrovania používaná na overovanie WPA2/WPA3. Tento národný štandard pre šifrovanie používa symetrický algoritmus, ktorý má rovnaký kľúč na šifrovanie a dešifrovanie. AES používa šifrovanie Cipher Blocking Chain (CBC) s veľkosťou 128 bitov, ktoré podporuje minimálne veľkosti kľúčov 128 bitov, 192 bitov a 256 bitov. Telefón podporuje veľkosť kľúča 256 bitov.

Telefóny Cisco Desk Phone 9861 a 9871 a Cisco Video Phone 8875 nepodporujú protokol Cisco Key Integrity Protocol (CKIP) s protokolom CMIC.

Schémy overovania a šifrovania sú nastavené v rámci bezdrôtovej siete LAN. VLAN sú konfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa spája s VLAN a konkrétnou autentifikačnou a šifrovacou schémou. Ak chcete, aby sa bezdrôtové klientske zariadenia úspešne overili, musíte na prístupových bodoch a v telefóne nakonfigurovať rovnaké identifikátory SSID s ich schémami overovania a šifrovania.

Niektoré schémy overovania vyžadujú špecifické typy šifrovania.

  • Ak používate WPA predzdieľaný kľúč, kľúč WPA2 predzdieľaný alebo SAE, predzdieľaný kľúč musí byť staticky nastavený v telefóne. Tieto klávesy sa musia zhodovať s klávesmi, ktoré sú na prístupovom bode.

  • Telefón podporuje automatické vyjednávanie EAP pre FAST alebo PEAP, ale nie pre TLS. Pre EAP-TLS režim ho musíte zadať.

Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre telefón, ktorá zodpovedá konfigurácii prístupového bodu.

Tabuľka 6. Schémy autentifikácie a šifrovania
Typ FSROverovanieSpráva kľúčovŠifrovanieChránený rámec správy (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNie
802.11r (FT)WPA3

SAE

FT-SAE

AESÁno
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESÁno
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESÁno
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESÁno

Konfigurácia profilu bezdrôtovej siete LAN

Profil bezdrôtovej siete môžete spravovať konfiguráciou poverení, frekvenčného pásma, metódy overovania atď.

Pred konfiguráciou profilu WLAN majte na pamäti nasledujúce poznámky:

  • Meno používateľa a heslo

    • Ak vaša sieť používa EAP-FAST a PEAP na overenie používateľa, musíte v službe RADIUS (Remote Authentication Dial-In User Service) a telefóne nakonfigurovať meno používateľa aj heslo používateľa a heslo.

    • Poverenia, ktoré zadáte do profilu bezdrôtovej siete LAN, musia byť totožné s povereniami, ktoré ste nakonfigurovali na serveri RADIUS.

    • Ak používate domény v rámci svojej siete, musíte zadať meno používateľa s názvom domény vo formáte: doména\menopoužívateľa.

  • Nasledujúce akcie môžu viesť k vymazaniu existujúceho hesla Wi-Fi:

    • Zadanie neplatného ID používateľa alebo hesla
    • Inštalácia neplatnej koreňovej certifikačnej autority alebo s uplynutou platnosťou, keď je typ EAP nastavený na PEAP-MSCHAPV2 alebo PEAP-GTC
    • Vypnutie typu používaného EAP na serveri RADIUS pred prepnutím telefónu na nový typ EAP
  • Ak chcete zmeniť typ EAP, najprv povoľte nový typ EAP na serveri RADIUS a potom prepnite telefón na EAP typ. Po zmene všetkých telefónov na nový typ EAP môžete predchádzajúci typ EAP vypnúť.
1

V Cisco Unified Communications Manager Administration vyberte položku Device > Device Settings > Wireless LAN Profile.

2

Vyberte sieťový profil, ktorý chcete nakonfigurovať.

3

Nastavte parametre.

4

Kliknite na položku Uložiť.

Manuálna inštalácia certifikátu autentifikačného servera

Certifikát autentifikačného servera môžete do telefónu nainštalovať manuálne, ak nie je k dispozícii protokol SCEP (Simple Certificate Enrollment Protocol).

Koreňový certifikát CA, ktorý vydal certifikát servera RADIUS, musí byť nainštalovaný už EAP-TLS.

Skôr než začnete

Pred inštaláciou certifikátu do telefónu musíte mať v počítači uložený certifikát autentifikačného servera. Certifikát musí byť kódovaný v PEM (Base-64) alebo DER.

1

Na webovej stránke správy telefónu vyberte položku Certifikáty.

2

Vyhľadajte pole CA overovacieho servera a kliknite na tlačidlo Inštalovať.

3

V počítači vyhľadajte certifikát.

4

Kliknite na položku Nahrať.

5

Po dokončení nahrávania reštartujte telefón.

Ak preinštalujete viac ako jeden certifikát, použije sa iba posledný nainštalovaný certifikát.

Manuálna inštalácia certifikátu používateľa

Ak protokol SCEP (Simple Certificate Enrollment Protocol) nie je k dispozícii, môžete do telefónu nainštalovať certifikát používateľa.

Predinštalovaný certifikát Manufacturing Installed Certificate (MIC) je možné použiť ako certifikát používateľa pre EAP-TLS.

Po nainštalovaní certifikátu používateľa ho pridajte do zoznamu dôveryhodných certifikátov servera RADIUS.

Skôr než začnete

Pred inštaláciou certifikátu používateľa do telefónu musíte mať:

  • Certifikát používateľa uložený v počítači. Certifikát musí byť vo formáte PKCS #12.

  • Heslo na extrahovanie certifikátu.

    Toto heslo môže mať maximálne 16 znakov.

1

Na webovej stránke správy telefónu vyberte položku Certifikáty.

2

Vyhľadajte pole Nainštalovaný používateľom a kliknite na tlačidlo Inštalovať.

3

V počítači vyhľadajte certifikát.

4

Do poľa Extrahovať heslo zadajte heslo pre výpis certifikátu.

5

Kliknite na položku Nahrať.

6

Po dokončení nahrávania reštartujte telefón.

Manuálne odstránenie certifikátu zabezpečenia

Certifikát zabezpečenia môžete z telefónu odstrániť manuálne, ak nie je k dispozícii protokol SCEP (Simple Certificate Enrollment Protocol).

1

Na webovej stránke správy telefónu vyberte položku Certifikáty.

2

Vyhľadajte certifikát na stránke Certifikáty .

3

Kliknite na položku Odstrániť.

4

Po dokončení procesu odstránenia reštartujte telefón.

Konfigurácia parametrov SCEP

Protokol jednoduchého zápisu certifikátu (SCEP) je štandard pre automatické zaisťovanie a obnovovanie certifikátov. Server SCEP môže automaticky uchovávať vaše užívateľské a serverové certifikáty.

Na webovej stránke telefónu musíte nakonfigurovať nasledujúce parametre SCEP

  • Adresa IP RA

  • SHA-1 alebo SHA-256 odtlačok koreňového certifikátu CA pre server SCEP

Registračná autorita Cisco IOS (RA) slúži ako proxy server SCEP. Klient SCEP v telefóne používa parametre prevzaté z aplikácie Cisco Unified Communication Manager. Po nakonfigurovaní parametrov telefón odošle požiadavku SCEP getcs do RA a koreňový certifikát CA sa overí pomocou definovaného odtlačku prsta.

Skôr než začnete

Na serveri SCEP nakonfigurujte registračného agenta SCEP (RA) na:

  • Pôsobiť ako bod dôvery PKI
  • Pôsobiť ako PKI RA
  • Vykonanie overenia zariadenia pomocou servera RADIUS

Ďalšie informácie nájdete v dokumentácii k serveru SCEP.

1

Na Cisco Unified Communications Manager Administration vyberte položku Zariadenie > telefón.

2

Vyhľadajte telefón.

3

Prejdite do oblasti Rozloženie konfigurácie špecifickej pre daný produkt.

4

Začiarknite políčko WLAN SCEP Server pre aktiváciu parametra SCEP.

5

Začiarknite políčko WLAN Root CA Fingerprint (SHA256 alebo SHA1), aby ste aktivovali parameter SCEP QED.

Nastavenie podporovaných verzií TLS

Môžete nastaviť minimálnu verziu TLS požadovanú pre klienta a server.

V predvolenom nastavení je minimálna TLS verzia servera aj klienta 1.2. Toto nastavenie má vplyv na nasledujúce funkcie:

  • Pripojenie webového prístupu HTTPS
  • Adaptácia lokálneho telefónu
  • Onboarding pre mobilné zariadenia a Remote Access (MRA)
  • Služby HTTPS, ako sú adresárové služby
  • Zabezpečenie transportnej vrstvy datagramu (DTLS)
  • Entita prístupu k portom (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Ďalšie informácie o kompatibilite TLS 1.3 pre Cisco IP Phones nájdete v téme TLS 1.3 Matica kompatibility pre produkty spolupráce spoločnosti Cisco.

1

Prihláste sa do rozhrania správy systému Cisco Unified Communications Manager ako správca.

2

Prejdite do jedného z nasledujúcich okien:

  • Konfigurácia systému > podnikového telefónu
  • Zariadenie > Nastavenia zariadenia> Spoločný profil telefónu
  • Konfigurácia zariadenia > telefónu > telefónu
3

Nastavte pole TLS Minimálna verzia klienta :

Možnosť "TLS 1.3" je k dispozícii na Cisco Unified CM 15SU2 alebo novšej.
  • TLS 1.1: Klient TLS podporuje verzie TLS od verzie 1.1 do 1.3.

    Ak je verzia TLS servera nižšia ako 1.1, napríklad 1.0, pripojenie nie je možné nadviazať.

  • TLS 1.2 (predvolené): TLS klient podporuje TLS 1.2 a 1.3.

    Ak je verzia TLS na serveri nižšia ako 1.2, napríklad 1.1 alebo 1.0, pripojenie nie je možné nadviazať.

  • TLS 1.3: Klient TLS podporuje iba TLS 1.3.

    Ak je verzia TLS na serveri nižšia ako 1.3, napríklad 1.2, 1.1 alebo 1.0, pripojenie sa nedá nadviazať.

4

Nastavte pole TLS Server Min Version :

  • TLS 1.1: Server TLS podporuje verzie TLS od 1.1 do 1.3.

    Ak je verzia TLS v klientovi nižšia ako 1.1, napríklad 1.0, pripojenie nie je možné nadviazať.

  • TLS 1.2 (predvolené nastavenie): Server TLS podporuje TLS 1.2 a 1.3.

    Ak je verzia TLS v klientovi nižšia ako 1.2, napríklad 1.1 alebo 1.0, pripojenie nie je možné nadviazať.

  • TLS 1.3: Server TLS podporuje iba TLS 1.3.

    Ak je verzia TLS v klientovi nižšia ako 1.3, napríklad 1.2, 1.1 alebo 1.0, pripojenie nie je možné nadviazať.

Od vydania PhoneOS 3.2 nastavenie poľa "Zakázať TLS 1.0 a TLS 1.1 pre webový prístup" nemá vplyv na telefóny.
5

Kliknite na položku Uložiť.

6

Kliknite na možnosť Použiť konfiguráciu.

7

Reštartujte telefóny.

Zaručené služby SIP

Assured Services SIP (AS-SIP) je kolekcia funkcií a protokolov, ktoré ponúkajú vysoko bezpečný tok hovorov pre telefóny Cisco IP Phones a tretích strán. Nasledujúce funkcie sú spoločne známe ako AS-SIP:

  • Viacúrovňová priorita a prednosť (MLPP)
  • Kód diferencovaných služieb bod (DSCP)
  • Transport Layer Security (TLS) a Secure Real-time Transport Protocol (SRTP)
  • Internet Protocol version 6 (IPv6)

AS-SIP sa často používa s viacúrovňovou prioritou a preempciou (MLPP) na uprednostnenie hovorov počas núdze. Pomocou MLPP môžete odchádzajúcim hovorom priradiť úroveň priority, a to od úrovne 1 (nízka) po úroveň 5 (vysoká). Po prijatí hovoru sa na telefóne zobrazí ikona úrovne priority hovoru.

Ak chcete nakonfigurovať AS-SIP, vykonajte na Cisco Unified Communications Manager nasledujúce úlohy:

  • Konfigurácia používateľa súhrnu – nakonfigurujte koncového používateľa tak, aby používal overenie súhrnu pre požiadavky SIP.
  • Konfigurovať zabezpečený port telefónu SIP – Cisco Unified Communications Manager tento port používa na počúvanie telefónov SIP na registráciu liniek SIP cez TLS.
  • Reštartovať služby – po nakonfigurovaní zabezpečeného portu reštartujte služby Cisco Unified Communications Manager a Cisco CTL Provider. Konfigurácia profilu SIP pre AS-SIP-Nakonfigurujte profil SIP s nastaveniami SIP pre koncové body AS-SIP a prenosové spoje SIP. Parametre špecifické pre telefón sa nesťahujú do telefónu AS-SIP tretej strany. Používa ich iba aplikácia Cisco Unified Manager. Telefóny tretích strán musia lokálne nakonfigurovať rovnaké nastavenia.
  • Konfigurácia profilu zabezpečenia telefónu pre AS-SIP – profil zabezpečenia telefónu môžete použiť na priradenie nastavení zabezpečenia, ako je napríklad overenie TLS, SRTP a overenie.
  • Konfigurácia koncového bodu AS-SIP – konfigurácia koncového bodu Cisco IP Phone alebo koncového bodu tretej strany s podporou AS-SIP.
  • Priradiť zariadenie ku koncovému používateľovi – priraďte koncový bod k používateľovi.
  • Konfigurácia profilu zabezpečenia prenosového spoja SIP pre AS-SIP – profil zabezpečenia prenosového spoja SIP môžete použiť na priradenie funkcií zabezpečenia, ako je overenie TLS alebo overenie súhrnu, do prenosového spoja SIP.
  • Konfigurovať prenosový spoj SIP pre AS-SIP – nakonfigurujte prenosový spoj SIP s podporou AS-SIP.
  • Konfigurácia funkcií AS-SIP – konfigurácia ďalších funkcií AS-SIP, napríklad MLPP, TLS, V.150 a IPv6.

Podrobné informácie o konfigurácii AS-SIP nájdete v kapitole "Konfigurácia koncových bodov AS-SIP" v Príručke konfigurácie funkcií pre Cisco Unified Communications Manager.

Viacúrovňová priorita a predkupné právo

Funkcia Multilevel Precedence and Preemption (MLPP) vám umožňuje uprednostniť hovory počas núdzových alebo iných krízových situácií. Odchádzajúcim hovorom v rozsahu od 1 do 5 priradíte prioritu. Pri prichádzajúcich hovoroch sa zobrazuje ikona a priorita hovoru. Overení užívatelia môžu predbiehať hovory na cieľové stanice alebo prostredníctvom plne predplatených prenosových spojov TDM.

Táto schopnosť zabezpečuje vysoko postavený personál komunikácie s kritickými organizáciami a personálom.

MLPP sa často používa so zaručenými službami SIP (AS-SIP). Podrobné informácie o konfigurácii MLPP nájdete v kapitole Konfigurácia viacúrovňovej priority a zabránenia v príručke konfigurácie funkcií pre Cisco Unified Communications Manager.