Varnostne funkcije ščitijo pred grožnjami, vključno z grožnjami identiteti telefona in podatkom. Te funkcije vzpostavljajo in vzdržujejo overjene komunikacijske tokove med telefonom in strežnikom Cisco Unified Communications Manager ter zagotavljajo, da telefon uporablja samo digitalno podpisane datoteke.

Cisco Unified Communications Manager Release 8.5(1) in novejše privzeto vključuje funkcijo Security, ki zagotavlja naslednje varnostne funkcije za telefone Cisco IP brez zagona odjemalca CTL:

• Podpisovanje konfiguracijskih datotek telefona

• Šifriranje konfiguracijske datoteke telefona

• HTTPS s storitvijo Tomcat in drugimi spletnimi storitvami

Izvajanje varnosti v sistemu Cisco Unified Communications Manager preprečuje krajo identitete telefona in strežnika Cisco Unified Communications Manager, preprečuje prirejanje podatkov ter prirejanje signalizacije klicev in medijskega toka.

Za ublažitev teh groženj omrežje Ciscove telefonije IP vzpostavi in vzdržuje varne (šifrirane) komunikacijske tokove med telefonom in strežnikom, digitalno podpisuje datoteke, preden se prenesejo v telefon, ter šifrira medijske tokove in signalizacijo klicev med telefoni Cisco IP.

Lokalno pomembno potrdilo (LSC) se namesti v telefone, ko opravite potrebna opravila, ki so povezana s funkcijo posrednika overitelja potrdil (CAPF). Za konfiguracijo LSC lahko uporabite program Cisco Unified Communications Manager Administration, kot je opisano v priročniku Cisco Unified Communications Manager Security Guide. Namestitev LSC lahko sprožite tudi v meniju Varnostne nastavitve v telefonu. V tem meniju lahko tudi posodobite ali odstranite LSC.

LSC ni mogoče uporabiti kot potrdilo uporabnika za EAP-TLS z avtentikacijo WLAN.

Telefoni uporabljajo varnostni profil telefona, ki določa, ali je naprava nezavarovana ali zavarovana. Za informacije o uporabi varnostnega profila v telefonu glejte dokumentacijo za posamezno izdajo programa Cisco Unified Communications Manager.

Če v programu Cisco Unified Communications Manager Administration konfigurirate nastavitve, povezane z varnostjo, vsebuje datoteka s konfiguracijo telefona občutljive informacije. Če želite zagotoviti zasebnost konfiguracijske datoteke, jo morate konfigurirati za šifriranje. Za podrobne informacije glejte dokumentacijo za posamezno izdajo programa Cisco Unified Communications Manager.

Telefon je skladen z zveznim standardom za obdelavo informacij (FIPS). Za pravilno delovanje načina FIPS je potrebna velikost ključa 2048 bitov ali več. Če je certifikat manjši od 2048 bitov, se telefon ne registrira v Cisco Unified Communications Manager in Phone failed to register. Velikost ključa Cert ni skladna s standardom FIPS se prikaže na telefonu.

Če ima telefon LSC, morate velikost ključa LSC posodobiti na 2048 bitov ali več, preden omogočite FIPS.

Naslednja tabela vsebuje pregled varnostnih funkcij, ki jih podpirajo telefoni. Za več informacij glejte dokumentacijo za posamezno izdajo programa Cisco Unified Communications Manager.

Če si želite ogledati varnostni način, pritisnite Nastavitve in pojdite na Omrežje in storitve > Varnostne nastavitve.

Naslednja tabela vsebuje alarmna sporočila za posodobitev seznama zaupanja in njihov pomen. Za več informacij glejte dokumentacijo programa Cisco Unified Communications Manager.

V meniju Security Setup so na voljo informacije o različnih varnostnih nastavitvah. Meni omogoča tudi dostop do menija Seznam zaupanja in označuje, ali je v telefonu nameščena datoteka CTL ali ITL.

Naslednja tabela opisuje možnosti v meniju Security Setup (Varnostna nastavitev).

Telefoni Cisco IP podpirajo preverjanje pristnosti 802.1X.

Telefoni Cisco IP in stikala Cisco Catalyst tradicionalno uporabljajo protokol Cisco Discovery Protocol (CDP) za medsebojno prepoznavanje in določanje parametrov, kot so dodelitev VLAN in zahteve glede napajanja v omrežju. CDP ne prepozna lokalno priključenih delovnih postaj. Telefoni Cisco IP zagotavljajo mehanizem EAPOL pass-through. Ta mehanizem omogoča delovni postaji, ki je priključena na telefon Cisco IP Phone, da posreduje sporočila EAPOL overitelju 802.1X na stikalu LAN. Mehanizem prepustitve zagotavlja, da telefon IP ne deluje kot stikalo LAN za preverjanje pristnosti podatkovne končne točke pred dostopom do omrežja.

Telefoni Cisco IP omogočajo tudi mehanizem posredniškega odjavljanja EAPOL. Če se lokalno priključen računalnik odklopi od telefona IP, stikalo LAN ne zazna prekinitve fizične povezave, saj se povezava med stikalom LAN in telefonom IP ohrani. Da ne bi ogrozili celovitosti omrežja, telefon IP pošlje stikalu sporočilo EAPOL-Logoff v imenu nadaljnjega računalnika, kar sproži, da stikalo LAN izbriše vnos avtentikacije za nadaljnji računalnik.

Podpora za preverjanje pristnosti 802.1X zahteva več komponent:

• Telefon Cisco IP: Telefon sproži zahtevo za dostop do omrežja. Telefoni Cisco IP vsebujejo podporno napravo 802.1X. Ta podpornik omogoča omrežnim upraviteljem nadzor nad povezljivostjo telefonov IP s priključki stikala LAN. Trenutna izdaja telefonske naprave 802.1X supplicant uporablja možnosti EAP-FAST in EAP-TLS za preverjanje pristnosti v omrežju.

• Strežnik za preverjanje pristnosti: Strežnik za preverjanje pristnosti in stikalo morata biti konfigurirana s skupno skrivnostjo, ki preverja pristnost telefona.

• Stikalo: Stikalo mora podpirati standard 802.1X, da lahko deluje kot overitelj in posreduje sporočila med telefonom in strežnikom za preverjanje pristnosti. Po končani izmenjavi stikalo telefonu odobri ali zavrne dostop do omrežja.

Za konfiguriranje protokola 802.1X morate opraviti naslednja dejanja.

• Preden v telefonu omogočite preverjanje pristnosti 802.1X, konfigurirajte druge komponente.

• Konfigurirajte vrata za osebni računalnik: Standard 802.1X ne upošteva omrežij VLAN, zato priporoča, da se na določenih vratih stikala avtentificira le ena naprava. Nekatera stikala podpirajo večdomensko preverjanje pristnosti. Konfiguracija stikala določa, ali lahko računalnik priključite na vrata za računalnik v telefonu.

  • Omogočeno: Če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko omogočite vrata za osebni računalnik in nanj priključite osebni računalnik. V tem primeru telefoni Cisco IP podpirajo proxy EAPOL-Logoff za spremljanje izmenjav avtentikacije med stikalom in priključenim računalnikom.

    Za več informacij o podpori IEEE 802.1X na stikalih Cisco Catalyst glejte priročnike za konfiguracijo stikal Cisco Catalyst na:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Onemogočeno: Če stikalo ne podpira več naprav, skladnih s standardom 802.1X, na istih vratih, morate onemogočiti vrata PC, ko je omogočeno preverjanje pristnosti 802.1X. Če ne onemogočite teh vrat in nato poskušate nanje priključiti osebni računalnik, stikalo onemogoči dostop do omrežja tako telefonu kot osebnemu računalniku.

• Konfigurirajte Voice VLAN: Ker standard 802.1X ne upošteva VLAN, morate to nastavitev konfigurirati glede na podporo stikala.
  • Omogočeno: Če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko še naprej uporabljate glasovno VLAN.
  • Onemogočeno: Če stikalo ne podpira večdomenskega preverjanja pristnosti, onemogočite VLAN Voice in razmislite o dodelitvi vrat v izvorno VLAN.
• (samo za namizni telefon Cisco serije 9800)

  Telefon Cisco Desk Phone 9800 Series ima v PID drugačno predpono kot drugi telefoni Cisco. Če želite telefonu omogočiti preverjanje pristnosti 802.1X, nastavite parameter Radius-User-Name tako, da vključuje vaš telefon Cisco Desk Phone 9800 Series.

  Na primer, PID telefona 9841 je DP-9841; nastavite lahko Radius-User-Name na Začnite z DP ali Vsebuje DP. Nastavite ga lahko v obeh naslednjih razdelkih:

  • Politika > Pogoji > Knjižnični pogoji

  • Politika > Zbirke politik > Politika avtorizacije > Pravilo avtorizacije 1

Ko je za telefon vzpostavljena varnost, lahko zaščitene telefonske klice prepoznate po ikonah na zaslonu telefona. Če se na začetku klica oglasi varnostni ton, lahko tudi ugotovite, ali je povezani telefon varen in zaščiten.

Pri varnem klicu so vsi signali klica in medijski tokovi šifrirani. Varen klic zagotavlja visoko raven varnosti, saj zagotavlja celovitost in zasebnost klica. Ko je klic v teku šifriran, se na liniji prikaže ikona varnega . Pri varnem telefonu lahko v meniju telefona (Nastavitve > O tej napravi) poleg povezanega strežnika vidite tudi ikono overjeno ali šifrirano .

Pri varnem klicu se na začetku klica oglasi varnostni ton, ki sporoča, da tudi drugi povezani telefon sprejema in oddaja varen zvok. Če je klic povezan z nezavarovanim telefonom, se varnostni ton ne predvaja.

Ko je telefon v programu Cisco Unified Communications Manager konfiguriran kot varen (šifriran in zaupanja vreden), mu je mogoče dodeliti status protected . Nato lahko zaščiteni telefon po želji nastavite tako, da na začetku klica predvaja opozorilni ton:

• Zaščitena naprava: Če želite spremeniti status zaščitenega telefona v zaščitenega, potrdite potrditveno polje Zaščitena naprava v oknu Konfiguracija telefona v programu Cisco Unified Communications Manager Administration (Device > Phone).

• Predvajajte varen signal: Če želite, da zaščiteni telefon predvaja varen ali nevaren signalni ton, nastavite nastavitev Predvajaj varen signalni ton na Resnično. Privzeto je možnost Predvajaj varen signal nastavljena na možnost Napačno. To možnost nastavite v programu Cisco Unified Communications Manager Administration (System > Service Parameters). Izberite strežnik in nato storitev Unified Communications Manager. V oknu Konfiguracija parametrov storitve izberite možnost v območju Feature - Secure Tone. Privzeta vrednost je False.

Ker lahko vse naprave WLAN, ki so v dosegu, sprejemajo ves ostali promet WLAN, je varovanje govornih komunikacij v omrežjih WLAN ključnega pomena. Varnostna arhitektura Cisco SAFE podpira telefon, da bi zagotovila, da vsiljivci ne bodo manipulirali z glasovnim prometom ali ga prestrezali. Za več informacij o varnosti v omrežjih glejte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rešitev Ciscove brezžične telefonije IP zagotavlja varnost brezžičnega omrežja, ki preprečuje nepooblaščene prijave in ogrožene komunikacije z uporabo naslednjih načinov preverjanja pristnosti, ki jih podpira telefon:

• Odprta avtentikacija: V odprtem sistemu lahko vsaka brezžična naprava zahteva avtentikacijo. AP, ki prejme zahtevo, lahko odobri avtentikacijo kateremu koli prosilcu ali samo prosilcem, ki so na seznamu uporabnikov. Komunikacija med brezžično napravo in dostopno točko (AP) je lahko nešifrirana.

• Protokol razširljive avtentikacije - prilagodljiva avtentikacija prek varnega tunela (EAP-FAST) Avtentikacija: Ta varnostna arhitektura odjemalec-strežnik šifrira transakcije EAP v tunelu TLS (Transport Level Security) med AP in strežnikom RADIUS, kot je Identity Services Engine (ISE).

  Predor TLS za preverjanje pristnosti med odjemalcem (telefonom) in strežnikom RADIUS uporablja zaščitene poverilnice za dostop (PAC). Strežnik odjemalcu (telefonu) pošlje identifikacijsko oznako organa (AID), ta pa izbere ustrezen PAC. Odjemalec (telefon) vrne strežniku RADIUS sporočilo PAC-Opaque. Strežnik dešifrira PAC s primarnim ključem. Obe končni točki zdaj vsebujeta ključ PAC in ustvarjen je predor TLS. EAP-FAST podpira samodejno zagotavljanje PAC, vendar ga morate omogočiti v strežniku RADIUS.

  V programu ISE privzeto velja, da PAC poteče čez en teden. Če je telefonu potekel PAC, traja avtentikacija s strežnikom RADIUS dlje, dokler telefon ne dobi novega PAC. Če se želite izogniti zamudam pri zagotavljanju PAC, v strežniku ISE ali RADIUS nastavite obdobje veljavnosti PAC na 90 dni ali več.

• Avtentikacija z razširljivim protokolom za avtentikacijo in varnostjo transportne plasti (EAP-TLS): EAP-TLS za preverjanje pristnosti in dostop do omrežja zahteva potrdilo odjemalca. Pri brezžičnem protokolu EAP-TLS je lahko potrdilo odjemalca MIC, LSC ali uporabniško nameščeno potrdilo.

• Zaščiteni razširljivi protokol za preverjanje pristnosti (PEAP): Ciscova lastniška shema vzajemnega preverjanja pristnosti med odjemalcem (telefonom) in strežnikom RADIUS, ki temelji na geslu. Telefon lahko za preverjanje pristnosti v brezžičnem omrežju uporablja protokol PEAP. Podprti sta metodi avtentikacije PEAP-MSCHAPV2 in PEAP-GTC.

• Predhodno zaupani ključ (PSK): Telefon podpira format ASCII. To obliko morate uporabiti, ko nastavljate vnaprej zaupni ključ WPA/WPA2/SAE:

  ASCII: niz znakov ASCII, dolg od 8 do 63 znakov (0-9, male in velike črke A-Z ter posebni znaki).

  Primer: GREG123567@9ZX&W

Naslednje sheme preverjanja pristnosti uporabljajo strežnik RADIUS za upravljanje ključev za preverjanje pristnosti:

• WPA/WPA2/WPA3: Uporablja podatke strežnika RADIUS za ustvarjanje edinstvenih ključev za preverjanje pristnosti. Ker se ti ključi generirajo v centraliziranem strežniku RADIUS, WPA2/WPA3 zagotavlja večjo varnost kot vnaprej zaupani ključi WPA, ki so shranjeni v dostopnem točki in telefonu.

• Hitro varno gostovanje: Za upravljanje in preverjanje pristnosti ključev uporablja podatke strežnika RADIUS in strežnika brezžične domene (WDS). WDS ustvari predpomnilnik varnostnih poverilnic za odjemalske naprave s podporo FT za hitro in varno ponovno preverjanje pristnosti. Cisco namizna telefona 9861 in 9871 ter Cisco videotelefon 8875 podpirajo standard 802.11r (FT). Podprta sta tako zračna povezava kot povezava DS, ki omogočata hitro varno gostovanje. Priporočamo pa uporabo metode 802.11r (FT) po zraku.

Pri WPA/WPA2/WPA3 šifrirnih ključev ne vnašate v telefon, temveč se samodejno določijo med dostopnim mestom in telefonom. Uporabniško ime in geslo EAP, ki se uporabljata za preverjanje pristnosti, pa je treba vnesti v vsakem telefonu.

Za zagotavljanje varnosti govornega prometa telefon podpira šifriranje TKIP in AES. Če se ti mehanizmi uporabljajo za šifriranje, se med dostopnim mestom in telefonom šifrirajo signalizacijski paketi SIP in glasovni paketi protokola RTP (Real-Time Transport Protocol).

TKIP

WPA uporablja šifriranje TKIP, ki ima več izboljšav v primerjavi z WEP. TKIP omogoča šifriranje ključa na paket in daljše inicializacijske vektorje (IV), ki okrepijo šifriranje. Poleg tega preverjanje celovitosti sporočila (MIC) zagotavlja, da se šifrirani paketi ne spreminjajo. TKIP odpravlja predvidljivost protokola WEP, ki vsiljivcem pomaga dešifrirati ključ WEP.

AES

Metoda šifriranja, ki se uporablja za preverjanje pristnosti WPA2/WPA3. Ta nacionalni standard za šifriranje uporablja simetrični algoritem, ki ima enak ključ za šifriranje in dešifriranje. AES uporablja šifriranje CBC (Cipher Blocking Chain) velikosti 128 bitov, ki podpira ključe velikosti najmanj 128 bitov, 192 bitov in 256 bitov. Telefon podpira velikost ključa 256 bitov.

V brezžičnem omrežju LAN so vzpostavljene sheme za preverjanje pristnosti in šifriranje. VLAN so konfigurirani v omrežju in na dostopnih točkah ter določajo različne kombinacije avtentikacije in šifriranja. SSID se poveže z VLAN ter določeno shemo za preverjanje pristnosti in šifriranje. Za uspešno preverjanje pristnosti brezžičnih odjemalskih naprav morate v dostopnih točkah in telefonu konfigurirati iste SSID s shemami preverjanja pristnosti in šifriranja.

Nekatere sheme avtentikacije zahtevajo posebne vrste šifriranja.

Sheme avtentikacije in šifriranja v naslednji tabeli prikazujejo možnosti konfiguracije omrežja za telefon, ki ustrezajo konfiguraciji AP.

Assured Services SIP (AS-SIP) je zbirka funkcij in protokolov, ki zagotavljajo zelo varen pretok klicev za telefone Cisco IP in telefone drugih proizvajalcev. Naslednje funkcije so skupno znane kot AS-SIP:

• Večnivojska prednost in predkupna pravica (MLPP)
• Kodna točka diferenciranih storitev (DSCP)
• Protokol TLS (Transport Layer Security) in SRTP (Secure Real-time Transport Protocol)
• Internetni protokol različice 6 (IPv6)

AS-SIP se pogosto uporablja z večnivojsko prednostjo in prevlado (MLPP) za določanje prednosti klicev v nujnih primerih. S programom MLPP odhodnim klicem dodelite stopnjo prioritete, od stopnje 1 (nizka) do stopnje 5 (visoka). Ko prejmete klic, se na telefonu prikaže ikona stopnje prednosti, ki prikazuje prednost klica.

Če želite konfigurirati AS-SIP, v programu Cisco Unified Communications Manager opravite naslednje naloge:

• Konfiguracija uporabnika Digest - konfigurirajte končnega uporabnika, da za zahteve SIP uporablja avtentikacijo digest.
• Konfiguracija varnih vrat za telefon SIP - Cisco Unified Communications Manager uporablja ta vrata za poslušanje telefonov SIP za registracijo linij SIP prek protokola TLS.
• Ponovni zagon storitev - po konfiguriranju varnih vrat ponovno zaženite storitve Cisco Unified Communications Manager in Cisco CTL Provider. Konfiguriranje profila SIP za AS-SIP - konfigurirajte profil SIP z nastavitvami SIP za končne točke AS-SIP in za magistralna omrežja SIP. Parametri, specifični za telefon, se ne prenesejo v telefon AS-SIP tretje osebe. Uporablja jih samo Cisco Unified Manager. Telefoni tretjih oseb morajo lokalno konfigurirati enake nastavitve.
• Konfiguracija varnostnega profila telefona za AS-SIP - varnostni profil telefona lahko uporabite za dodelitev varnostnih nastavitev, kot so TLS, SRTP in preverjanje pristnosti z razvidom.
• Konfiguracija končne točke AS-SIP - konfigurirajte telefon Cisco IP Phone ali končno točko tretje osebe s podporo AS-SIP.
• Povezati napravo s končnim uporabnikom - povezovanje končne točke z uporabnikom.
• Konfiguracija varnostnega profila za magistralno omrežje SIP za AS-SIP - z varnostnim profilom za magistralno omrežje SIP lahko dodelite varnostne funkcije, kot sta TLS ali avtentikacija s prebiranjem, za magistralno omrežje SIP.
• Configure SIP Trunk for AS-SIP (Konfiguriranje magistralnega omrežja SIP za AS-SIP) - konfigurirajte magistralno omrežje SIP s podporo AS-SIP.
• Konfiguriranje funkcij AS-SIP - konfigurirajte dodatne funkcije AS-SIP, kot so MLPP, TLS, V.150 in IPv6.

Za podrobne informacije o konfiguraciji AS-SIP glejte poglavje "Konfiguriranje končnih točk AS-SIP" v Feature Configuration Guide for Cisco Unified Communications Manager.

Če so v telefonu konfigurirane prisilne kode za avtorizacijo (FAC) ali kode za stranke (CMC) ali oboje, morajo uporabniki za klicanje številke vnesti zahtevana gesla.

Za več informacij o tem, kako nastaviti FAC in CMC v programu Cisco Unified Communications Manager, glejte poglavje "Kode za odjemalčeve zadeve in kode za prisilno avtorizacijo" v Feature Configuration Guide for Cisco Unified Communications Manager, Release 12.5(1) or later.