Omogočite Cisco Unified Communications Manager lahko delovanje v izboljšanem varnostnem okolju. S temi izboljšavami vaše telefonsko omrežje deluje pod naborom strogih kontrolnikov za varnost in upravljanje tveganja, ki ščitijo vas in vaše uporabnike.

Izboljšano varnostno okolje vključuje naslednje funkcije:

  • Preverjanje pristnosti iskanja stikov.

  • TCP kot privzeti protokol za beleženje oddaljenega nadzora.

  • Način FIPS.

  • Izboljšan pravilnik o poverilnicah.

  • Podpora za družino razpršitev SHA-2 za digitalne podpise.

  • Podpora za RSA velikost ključa 512 bitov in 4096 bitov.

S Cisco Unified Communications Manager izdajo 14.0 in Cisco Video Phone Firmware Release 2.1 ter novejšimi telefoni podpirajo preverjanje pristnosti SIP OAuth.

OAuth je podprt za Proxy Trivial File Transfer Protocol (TFTP) z izdajo Cisco Unified Communications Manager 14.0(1)SU1 ali novejšo. Proxy TFTP in OAuth za TFTP proxy nista podprta v Mobile Remote Access (MRA).

Če želite več informacij o varnosti, glejte to:

Telefon lahko shrani le omejeno število datotek seznama zaupanja identitete (ITL). Datoteke ITL ne smejo presegati 64 tisoč na telefonu, zato omejite število datotek, ki jih Cisco Unified Communications Manager pošlje v telefon.

Podprte varnostne funkcije

Varnostne funkcije ščitijo pred grožnjami, vključno z grožnjami identiteti telefona in podatkom. Te funkcije vzpostavijo in vzdržujejo komunikacijske tokove s preverjeno pristnostjo med telefonom in Cisco Unified Communications Manager server ter zagotavljajo, da telefon uporablja samo digitalno podpisane datoteke.

Cisco Unified Communications Manager izdaja 8.5 (1) in novejše različice vključujejo Varnost privzeto, ki zagotavlja naslednje varnostne funkcije za Cisco IP Phones brez zagona odjemalca CTL:

  • Podpisovanje konfiguracijskih datotek telefona

  • Šifriranje datotek konfiguracije telefona

  • HTTPS s storitvijo Tomcat in drugimi spletnimi storitvami

Funkcije varne signalizacije in predstavnosti še vedno zahtevajo, da zaženete odjemalca CTL in uporabljate strojne eŽetone.

Izvajanje varnosti v Cisco Unified Communications Manager system preprečuje krajo identitete telefona in Cisco Unified Communications Manager server, preprečuje nedovoljeno spreminjanje podatkov ter preprečuje klicno signalizacijo in nedovoljeno spreminjanje medijskega toka.

Za ublažitev teh groženj omrežje Ciscove IP-telefonije vzpostavi in vzdržuje varne (šifrirane) komunikacijske tokove med telefonom in strežnikom, digitalno podpiše datoteke, preden se prenesejo v telefon, ter med Cisco IP Phones šifrira medijske tokove in signalizacijo klicev.

Ko izvedete potrebna opravila, povezana s funkcijo Certificate Authority Proxy (CAPF), se v telefone namesti Locally Significant Certificate (LSC). Za konfiguracijo LSC lahko uporabite Cisco Unified Communications Manager Administration, kot je opisano v Cisco Unified Communications Manager varnostnem vodniku. Druga možnost je, da začnete namestitev LSC iz menija Varnostne nastavitve v telefonu. V tem meniju lahko tudi posodobite ali odstranite LSC.

LSC ni mogoče uporabiti kot uporabniško potrdilo za EAP-TLS s preverjanjem pristnosti WLAN.

Telefoni uporabljajo varnostni profil telefona, ki določa, ali je naprava nevarna ali varna. Če želite več informacij o uporabi varnostnega profila v telefonu, glejte dokumentacijo za izdajo Cisco Unified Communications Manager.

Če v Cisco Unified Communications Manager Administration konfigurirate varnostne nastavitve, konfiguracijska datoteka telefona vsebuje občutljive podatke. Če želite zagotoviti zasebnost konfiguracijske datoteke, jo morate konfigurirati za šifriranje. Za podrobnejše informacije glejte dokumentacijo za izdajo Cisco Unified Communications Manager.

Telefon je skladen z Zveznim standardom za obdelavo informacij (FIPS). Za pravilno delovanje način FIPS zahteva velikost ključa 2048 bitov ali več. Če je potrdilo manjše od 2048 bitov, se telefon ne bo registriral pri Cisco Unified Communications Manager in telefon se ni uspel registrirati. Velikost ključa cert ni skladna s FIPS zasloni na telefonu.

Če ima telefon LSC, morate posodobiti velikost ključa LSC na 2048 bitov ali več, preden omogočite FIPS.

V spodnji tabeli je pregled varnostnih funkcij, ki jih podpirajo telefoni. Če želite več informacij, glejte dokumentacijo za izdajo Cisco Unified Communications Manager.

Če si želite ogledati varnostni način, pritisnite Nastavitve Trdo tipko Nastavitve In se pomaknite do možnosti Nastavitve omrežja in storitve >varnosti.

Preglednica 1. Pregled zaščitnih elementov

Funkcija

Opis

Preverjanje pristnosti slike

Podpisane dvojiške datoteke preprečijo nedovoljeno spreminjanje slike vdelane programske opreme, preden se slika naloži v telefon.

Nedovoljeno spreminjanje slike povzroči, da telefon ne uspe postopek preverjanja pristnosti in zavrne novo sliko.

Namestitev certifikata na spletnem mestu stranke

Vsaka Cisco IP Phone zahteva enolično potrdilo za preverjanje pristnosti naprave. Telefoni vključujejo proizvodno nameščen certifikat (MIC), vendar lahko za dodatno varnost določite namestitev potrdila v Cisco Unified Communications Manager Administration s funkcijo Certificate Authority Proxy (CAPF). Lahko pa namestite Locally Significant Certificate (LSC) iz menija Varnostna konfiguracija v telefonu.

Preverjanje pristnosti naprave

Pojavi se med Cisco Unified Communications Manager server in telefonom, ko vsaka entiteta sprejme potrdilo druge entitete. Določa, ali naj pride do varne povezave med telefonom in Cisco Unified Communications Manager; in po potrebi ustvari varno signalno pot med entitetami z uporabo TLS protokola. Cisco Unified Communications Manager ne registrira telefonov, razen če jih lahko overi.

Preverjanje pristnosti datoteke

Potrdi digitalno podpisane datoteke, ki jih prenese telefon. Telefon potrdi podpis in se prepriča, da po ustvarjanju datoteke ni prišlo do spreminjanja datotek. Datoteke, ki ne uspejo preveriti pristnosti, se ne zapišejo v pomnilnik Flash v telefonu. Telefon takšne datoteke zavrne brez nadaljnje obdelave.

Šifriranje datotek

Šifriranje preprečuje razkrivanje občutljivih informacij med prenosom datoteke v telefon. Poleg tega telefon potrdi podpis in se prepriča, da po ustvarjanju datoteke ni prišlo do spreminjanja datotek. Datoteke, ki ne uspejo preveriti pristnosti, se ne zapišejo v pomnilnik Flash v telefonu. Telefon takšne datoteke zavrne brez nadaljnje obdelave.

Preverjanje pristnosti signalizacije

Uporablja protokol TLS za preverjanje, da med prenosom ni prišlo do nedovoljenih posegov v signalne pakete.

Proizvodno vgrajeni certifikat

Vsaka Cisco IP Phone vsebuje edinstven proizvodno nameščen certifikat (MIC), ki se uporablja za preverjanje pristnosti naprave. MIC zagotavlja trajno edinstveno dokazilo o identiteti telefona in Cisco Unified Communications Manager omogoča preverjanje pristnosti telefona.

Šifriranje medijev

Uporablja SRTP za zagotavljanje, da se medijski tokovi med podprtimi napravami izkažejo za varne ter da podatke prejme in prebere samo predvidena naprava. Vključuje ustvarjanje para primarnih ključev medijev za naprave, dostavo ključev napravam in zagotovitev dostave ključev, medtem ko so ključi v prometu.

CAPF (Certificate Authority Proxy Function)

Izvaja dele postopka generiranja certifikatov, ki so preveč procesno intenzivni za telefon, in komunicira s telefonom za generiranje ključev in namestitev certifikatov. CAPF lahko konfigurirate tako, da v imenu telefona zahteva potrdila od overiteljev digitalnih potrdil, ki jih določi stranka, ali pa ga konfigurirate tako, da ga ustvarja lokalno.

Podprti sta obe vrsti ključev EC (eliptična krivulja) in RSA. Če želite uporabiti ključ EC, se prepričajte, da je omogočen parameter »Podpora za napredne algoritme šifriranja končne točke« (iz parametra System >Enterprise).

Če želite več informacij o CAPF in povezanih konfiguracijah, glejte te dokumente:

Varnostni profil

Določa, ali telefon ni varen, overjen, šifriran ali zaščiten. Drugi vnosi v tej tabeli opisujejo varnostne funkcije.

Šifrirane konfiguracijske datoteke

Omogoča zagotavljanje zasebnosti konfiguracijskih datotek telefona.

Izbirni spletni strežnik onemogoča telefon

Iz varnostnih razlogov lahko preprečite dostop do spletnih strani za telefon (ki prikazujejo različne operativne statistične podatke za telefon) in portala za samopomoč.

Kaljenje telefona

Dodatne varnostne možnosti, ki jih nadzirate z Cisco Unified Communications Manager Administration:

  • Onemogočanje vrat PC
  • Onemogočanje brezplačnega ARP (GARP)
  • Onemogočanje dostopa PC Voice VLAN
  • Onemogočanje dostopa do menija »Nastavitve« ali omogočanje omejenega dostopa
  • Onemogočanje dostopa do spletnih strani za telefon
  • Onemogočanje vrat Bluetooth dodatne opreme
  • Omejevanje šifer TLS

Preverjanje pristnosti 802.1X

Cisco IP Phone lahko s preverjanjem pristnosti 802.1X zahteva in pridobi dostop do omrežja. Za več informacij glejte 802.1X preverjanje pristnosti .

Secure SIP Failover za SRST

Ko konfigurirate varnostno številko telefonije SRST preživelega oddaljenega mesta (Survivable Remote Site Telephony) in nato ponastavite odvisne naprave v Cisco Unified Communications Manager Administration, strežnik TFTP doda potrdilo SRST v datoteko telefona cnf.xml in pošlje datoteko telefonu. Varen telefon nato uporabi povezavo TLS za interakcijo z usmerjevalnikom, ki podpira SRST.

Šifriranje signalizacije

Zagotavlja, da so vsa signalna sporočila SIP, poslana med napravo in Cisco Unified Communications Manager server, šifrirana.

Alarm za posodobitev seznama zaupnikov

Ko se seznam zaupanja posodobi v telefonu, Cisco Unified Communications Manager prejme alarm o uspehu ali neuspehu posodobitve. Za več informacij si oglejte naslednjo tabelo.

Šifriranje AES 256

Ko so telefoni povezani s Cisco Unified Communications Manager izdajo 10.5 (2) in novejšimi, podpirajo AES 256 podporo za šifriranje za TLS in SIP za signalizacijo in šifriranje medijev. To telefonom omogoča, da vzpostavijo in podpirajo povezave TLS 1.2 z uporabo šifer, ki temeljijo na AES-256, ki ustrezajo standardom SHA-2 (Secure Hash Algorithm) in so skladne z zveznimi standardi za obdelavo informacij (FIPS). Šifre vključujejo:

  • Za TLS povezave:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Za sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Več informacij je v dokumentaciji za Cisco Unified Communications Manager.

Certifikati algoritma digitalnega podpisa eliptične krivulje (ECDSA)

Kot del certificiranja skupnih meril (CC) je Cisco Unified Communications Manager; dodal certifikate ECDSA v različici 11.0. To vpliva na vse izdelke glasovnega operacijskega sistema (VOS), ki se izvajajo CUCM 11.5 in novejših različicah.

Večstrežniški (SAN) Tomcat certifikat z Cisco UCM

Telefon podpira Cisco UCM s konfiguriranimi certifikati Tomcat z več strežniki (SAN). Pravilen naslov strežnika TFTP najdete v datoteki ITL telefona za registracijo telefona.

Če želite več informacij o funkciji, glejte to:

Spodnja tabela vsebuje seznam zaupnikov, posodobitev, opozorilna sporočila in pomen. Več informacij je v dokumentaciji za Cisco Unified Communications Manager.

Preglednica 2. Alarmna sporočila o posodobitvi seznama zaupnikov
Koda in sporočilo Opis

1 - TL_SUCCESS

Prejeli novo CTL in/ali ITL

2 - CTL_INITIAL_SUCCESS

Prejeli ste nove CTL, brez obstoječega TL

3 - ITL_INITIAL_SUCCESS

Prejel novo ITL, brez obstoječega TL

4 - TL_INITIAL_SUCCESS

Prejel nov CTL in ITL, brez obstoječega TL

5 - TL_FAILED_OLD_CTL

Posodobitev na nove CTL ni uspela, vendar je imela prejšnji TL

6 - TL_FAILED_NO_TL

Posodobitev na novo TL ni uspela in nima starega TL

7 - TL_FAILED

Generična okvara

8 - TL_FAILED_OLD_ITL

Posodobitev na novo ITL ni uspela, vendar je imela prejšnji TL

9 - TL_FAILED_OLD_TL

Posodobitev na novo TL ni uspela, vendar je imela prejšnji TL

V meniju Varnostne nastavitve so informacije o različnih varnostnih nastavitvah. Meni omogoča tudi dostop do menija Seznam zaupanja in označuje, ali je datoteka CTL ali ITL nameščena v telefonu.

V spodnji tabeli so opisane možnosti v meniju Varnostne nastavitve.

Preglednica 3. Meni za nastavitev varnosti

Možnost

Opis

Spreminjanje

Varnostni način

Prikazuje varnostni način, ki je nastavljen za telefon.

V Cisco Unified Communications Manager Administration izberite Naprava > Telefon. Nastavitev je prikazana v delu Informacije, specifične za protokol, v oknu Konfiguracija telefona.

LSC

Označuje, ali je lokalno pomemben certifikat, ki se uporablja za varnostne funkcije, nameščen v telefonu (nameščen) ali ni nameščen v telefonu (Ni nameščen).

Če želite več informacij o upravljanju LSC za telefon, glejte dokumentacijo za izdajo Cisco Unified Communications Manager.

Nastavitev Locally Significant Certificate (LSC)

To opravilo velja za nastavitev LSC z metodo niza za preverjanje pristnosti.

Preden začnete

Preverite, ali so ustrezne varnostne konfiguracije Cisco Unified Communications Manager in funkcije Certificate Authority proxy (CAPF) dokončane:

  • Datoteka CTL ali ITL ima potrdilo CAPF.

  • V razdelku Cisco Unified Communications Operating System skrbništvo preverite, ali je potrdilo CAPF nameščeno.

  • CAPF se izvaja in konfigurira.

Če želite več informacij o teh nastavitvah, glejte dokumentacijo za izdajo Cisco Unified Communications Manager.

1

Pridobite CAPF kodo za preverjanje pristnosti, ki je bila nastavljena, ko je bil CAPF konfiguriran.

2

V telefonu pritisnite Nastavitve the Settings hard key.

3

Če ste pozvani, vnesite geslo za dostop do menija Nastavitve . Geslo lahko dobite pri skrbniku.

4

Pomaknite se do razdelka Omrežje in storitev > Varnostne nastavitve > LSC.

Dostop do menija »Nastavitve« lahko nadzirate s poljem »Dostop do nastavitev« v Cisco Unified Communications Manager Administration.

5

Vnesite niz za preverjanje pristnosti in izberite Pošlji.

Telefon začne nameščati, posodabljati ali odstranjevati LSC, odvisno od konfiguracije CAPF. Ko je postopek končan, se na telefonu prikaže Nameščeno ali Ni nameščeno.

Postopek namestitve, posodobitve ali odstranitve LSC lahko traja dlje časa.

Ko je postopek namestitve telefona uspešen, se prikaže sporočilo Nameščeno . Če je na zaslonu telefona prikazana možnost Ni nameščeno, je niz za preverjanje pristnosti morda napačen ali pa nadgradnja telefona morda ni omogočena. Če operacija CAPF izbriše LSC, se na zaslonu prikaže Ni nameščeno , kar pomeni, da je bila operacija uspešna. Strežnik CAPF beleži sporočila o napakah. Oglejte si dokumentacijo strežnika CAPF, da poiščete dnevnike in razumete pomen sporočil o napakah.

Omogočanje načina FIPS

1

V Cisco Unified Communications Manager Administration izberite Naprava > Telefon in poiščite telefon.

2

Pomaknite se do območja Konfiguracija posameznega izdelka.

3

Polje »Način FIPS« nastavite na Omogočeno .

4

Izberite Shrani.

5

Izberite Apply Config (Uporabi konfiguracijo).

6

Znova zaženite telefon.

Izklop zvočnika, naglavne slušalke in slušalke v telefonu

Na voljo imate možnost, da trajno izklopite zvočnik, naglavno slušalko in slušalko na telefonu za svojega uporabnika.

1

V Cisco Unified Communications Manager Administration izberite Naprava > Telefon in poiščite telefon.

2

Pomaknite se do območja Konfiguracija posameznega izdelka.

3

Potrdite eno ali več spodnjih potrditvenih polj, da izklopite zmogljivosti telefona:

  • Onemogoči zvočnik
  • Onemogoči zvočnik in naglavne slušalke
  • Onemogoči slušalko

Ta potrditvena polja privzeto niso potrjena.

4

Izberite Shrani.

5

Izberite Apply Config (Uporabi konfiguracijo).

Preverjanje pristnosti 802.1X

Cisco IP Phones podpira preverjanje pristnosti 802.1X.

Stikala Cisco IP Phones in Cisco Catalyst običajno uporabljajo Cisco Discovery Protocol (CDP) za medsebojno identifikacijo in določanje parametrov, kot so razporeditev VLAN in zahteve glede moči v vrsti. CDP ne prepozna lokalno priključenih delovnih postaj. Cisco IP Phones zagotoviti mehanizem prenosa EAPOL. Ta mehanizem omogoča, da delovna postaja, ki je priključena na Cisco IP Phone, posreduje sporočila EAPOL avtentikatorju 802.1X pri stikalu LAN. Mehanizem prehoda zagotavlja, da telefon IP ne deluje kot stikalo LAN za preverjanje pristnosti končne podatkovne točke pred dostopom do omrežja.

Cisco IP Phones zagotoviti tudi nadomestni mehanizem odjave EAPOL. Če lokalno priključeni računalnik prekine povezavo s telefonom IP, stikalo LAN ne vidi, da fizična povezava ne uspe, ker je povezava med stikalom LAN in telefonom IP ohranjena. Da bi se izognili ogrožanju celovitosti omrežja, telefon IP stikalu v imenu nadaljnjega računalnika pošlje sporočilo EAPOL-Logoff, ki sproži stikalo LAN, da počisti vnos preverjanja pristnosti za osebni računalnik na nižji stopnji.

Podpora za preverjanje pristnosti 802.1X zahteva več komponent:

  • Cisco IP Phone: Telefon sproži zahtevo za dostop do omrežja. Cisco IP Phones vsebujejo prosilno sredstvo 802.1X. Ta priložena naprava skrbnikom omrežja omogoča nadzor nad povezljivostjo telefonov IP s stikalnimi vrati LAN. Trenutna izdaja telefona 802.1X supplicant uporablja možnosti EAP-FAST in EAP-TLS za preverjanje pristnosti omrežja.

  • Strežnik za preverjanje pristnosti: strežnik za preverjanje pristnosti in stikalo morata biti konfigurirana s skupno skrivnostjo, ki preverja pristnost telefona.

  • Stikalo: Stikalo mora podpirati 802.1X, tako da lahko deluje kot avtentikator in prenaša sporočila med telefonom in strežnikom za preverjanje pristnosti. Ko je izmenjava končana, stikalo dodeli ali zavrne telefonski dostop do omrežja.

Če želite konfigurirati standard 802.1X, morate izvesti naslednja dejanja.

  • Konfigurirajte druge komponente, preden v telefonu omogočite preverjanje pristnosti 802.1X.

  • Konfiguriraj PC-vrata: Standard 802.1X ne upošteva VLAN-ov in zato priporoča, da se na določena stikalna vrata overi samo ena naprava. Vendar pa nekatera stikala podpirajo preverjanje pristnosti z več domenami. Konfiguracija stikala določa, ali lahko računalnik priključite na vrata PC na telefonu.

    • Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko omogočite vrata PC in nanj priključite računalnik. V tem primeru Cisco IP Phones podpira proxy EAPOL-Logoff za spremljanje izmenjav preverjanja pristnosti med stikalom in priključenim računalnikom.

      Za več informacij o podpori za IEEE 802.1X na stikalih Cisco Catalyst si oglejte priročnike za konfiguracijo stikala Cisco Catalyst na:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogočeno: če stikalo na istih vratih ne podpira več naprav, združljivih z standardom 802.1X, onemogočite PC-vrata, ko je omogočeno preverjanje pristnosti 802.1X. Če teh vrat ne onemogočite in nato poskusite nanj priključiti računalnik, stikalo onemogoči dostop do omrežja do telefona in računalnika.

  • Konfiguriraj glasovni VLAN: ker standard 802.1X ne upošteva VLAN-ov, morate to nastavitev konfigurirati glede na podporo stikala.
    • Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko nadaljujete z uporabo glasovnega VLAN-a.
    • Onemogočeno: če stikalo ne podpira večdomenskega preverjanja pristnosti, onemogočite glasovni VLAN in razmislite o dodelitvi vrat izvornemu VLAN-u.
  • (Samo za Ciscov namizni telefon serije 9800)

    Cisco Desk Phone 9800 Series ima v PID-ju drugačno predpono kot drugi Ciscovi telefoni. Če želite telefonu omogočiti preverjanje pristnosti 802.1X, nastavite Radij· Parameter uporabniškega imena , ki vključuje vaš telefon serije Cisco Desk Phone 9800.

    Na primer, PID telefona 9841 je DP-9841; lahko nastavite Radius· Uporabniško ime za začetek z DP ali vsebuje DP. Nastavite ga lahko v obeh spodnjih razdelkih:

    • Pravilnik > Pogoji > knjižnični pogoji

    • Nabori pravilnikov > pravilnikov > Pravilnik o avtorizaciji> Pravilo 1

Omogočanje preverjanja pristnosti 802.1X

Preverjanje pristnosti 802.1X za svoj telefon lahko omogočite tako, da sledite tem korakom:

1

Pritisnite Nastavitve.the Settings hard key.

2

Če ste pozvani, vnesite geslo za dostop do menija Nastavitve . Geslo lahko dobite pri skrbniku.

3

Pomaknite se do razdelka Omrežne in storitvene > varnostne nastavitve > 802.1X Preverjanje pristnosti.

4

Vklopite preverjanje pristnosti IEEE 802.1X.

5

Izberite Uporabi.

Ogled informacij o varnostnih nastavitvah v telefonu

Informacije o varnostnih nastavitvah si lahko ogledate v meniju telefona. Razpoložljivost informacij je odvisna od omrežnih nastavitev v vaši organizaciji.

1

Pritisnite Nastavitve.the Settings key.

2

Pomaknite se do razdelka Nastavitve omrežja in storitve > varnosti.

3

V varnostnih nastavitvah si oglejte naslednje informacije.

Preglednica 4. Parametri za varnostne nastavitve

Parametri

Opis

Varnostni način

Prikazuje varnostni način, ki je nastavljen za telefon.

LSC

Označuje, ali je lokalno pomembno potrdilo, ki se uporablja za varnostne funkcije, nameščeno v telefonu (Da) ali ni nameščeno v telefonu (Ne).

Seznam zaupnikov

Seznam zaupanja ponuja podmenije za datoteke CTL, ITL in podpisane konfiguracije.

V podmeniju CTL datoteka je prikazana vsebina datoteke CTL. Podmeni ITL File prikazuje vsebino datoteke ITL.

V meniju Seznam zaupanja so prikazane tudi te informacije:

  • CTL Podpis: razpršitev SHA1 datoteke CTL
  • Unified CM/TFTP strežnik: ime strežnika Cisco Unified Communications Manager in strežnika TFTP, ki ga uporablja telefon. Prikaže ikono potrdila, če je certifikat nameščen za ta strežnik.
  • CAPF strežnik: ime strežnika CAPF, ki ga uporablja telefon. Prikaže ikono potrdila, če je certifikat nameščen za ta strežnik.
  • SRST Router: IP naslov zaupanja vrednega usmerjevalnika SRST, ki ga telefon lahko uporablja. Prikaže ikono potrdila, če je certifikat nameščen za ta strežnik.

Varnost telefonskih klicev

Ko je za telefon uvedena varnost, lahko varne telefonske klice prepoznate po ikonah na zaslonu telefona. Ugotovite lahko tudi, ali je povezani telefon varen in zaščiten, če se na začetku klica predvaja varnostni ton.

Pri varnem klicu so vsi klicni signali in predstavnostni tokovi šifrirani. Varen klic zagotavlja visoko raven varnosti ter integriteto in zasebnost klica. Ko je opravljeni klic šifriran, lahko vidite ikono varnosti Ikona ključavnice za varen klic Na liniji. Za varen telefon si lahko ogledate tudi ikono s preverjeno pristnostjo Ali šifrirano ikono Poleg povezanega strežnika v meniju telefona (Nastavitve > O tej napravi).

Če je klic preusmerjen prek etap klicev, ki ne podpirajo protokola IP, na primer prek omrežja PSTN, klic morda ni varen, čeprav je šifriran v omrežju IP in je z njim povezana ikona ključavnice.

Pri varnem klicu se na začetku klica predvaja varnostni ton, ki označuje, da tudi drugi povezani telefon sprejema in oddaja varen zvok. Če se klic poveže z nezaščitenim telefonom, se varnostni ton ne predvaja.

Varno klicanje je podprto samo za povezave med dvema telefonoma. Nekatere funkcije, kot so konferenčni klici in skupne linije, niso na voljo, če je konfigurirano varno klicanje.

Če je telefon konfiguriran kot varen (šifriran in zaupanja vreden) v Cisco Unified Communications Manager, lahko dobi Zaščitena Stanje. Po želji lahko zaščiteni telefon konfigurirate tako, da predvaja indikacijski ton na začetku klica:

  • Zaščitena naprava: če želite spremeniti stanje varnega telefona za zaščito, potrdite polje Zaščitena naprava v oknu Konfiguracija telefona v Cisco Unified Communications Manager Administration (Naprava > telefon).

  • Ton varnega prikazovanja za predvajanje: če želite zaščitenemu telefonu omogočiti predvajanje varnega ali nezaščitenega signalnega tona, nastavite ton varnega signala za predvajanje na True. Ton varne indikacije za predvajanje je privzeto nastavljen na False. To možnost nastavite v Cisco Unified Communications Manager Administration (Parametri sistema >storitve). Izberite strežnik in nato storitev Unified Communications Manager. V Service Parameter Configuration window izberite možnost v območju Funkcija - Varni ton. Privzeta nastavitev je False.

Varna identifikacija konferenčnega klica

Začnete lahko varen konferenčni klic in spremljate raven varnosti udeležencev. Varen konferenčni klic se vzpostavi s tem postopkom:

  1. Uporabnik sproži konferenco z varnega telefona.

  2. Cisco Unified Communications Manager klicu dodeli varen konferenčni most.

  3. Ko so udeleženci dodani, Cisco Unified Communications Manager preveri varnostni način vsakega telefona in ohrani varno raven konference.

  4. Telefon prikazuje raven varnosti konferenčnega klica. Varna konferenca prikaže ikono varnosti Ikona ključavnice za varen klic.

Varno klicanje je podprto med dvema telefonoma. Pri zaščitenih telefonih nekatere funkcije, kot so konferenčni klici, skupne linije in Extension Mobility, niso na voljo, ko je konfigurirano varno klicanje.

V spodnji tabeli so informacije o spremembah ravni varnosti konference, ki so odvisne od ravni varnosti telefona pobudnika, ravni varnosti udeležencev in razpoložljivosti varnih konferenčnih mostov.

Preglednica 5. Varnostne omejitve pri konferenčnih klicih

Raven varnosti telefona pobudnika

Uporabljena funkcija

Raven varnosti udeležencev

Rezultati ukrepov

Ni varno

Konferenca

Varno

Nezavarovan konferenčni most

Nezaščitena konferenca

Varno

Konferenca

Vsaj en član ni varen.

Varen konferenčni most

Nezaščitena konferenca

Varno

Konferenca

Varno

Varen konferenčni most

Varna konferenca šifrirane ravni

Ni varno

SrečajMe

Najnižja raven varnosti je šifrirana.

Pobudnik prejme sporočilo Ne ustreza ravni varnosti, klic zavrnjen.

Varno

SrečajMe

Najnižja raven varnosti ni varna.

Varen konferenčni most

Konferenca sprejme vse klice.

Varna identifikacija telefonskega klica

Varen klic se vzpostavi, ko sta telefon in telefon na drugi strani konfigurirana za varno klicanje. Drugi telefon je lahko v istem omrežju Cisco IP ali v omrežju zunaj omrežja IP. Varne klice je mogoče opravljati samo med dvema telefonoma. Konferenčni klici morajo podpirati varen klic po vzpostavitvi varnega konferenčnega mostu.

Zavarovani klic se vzpostavi po tem postopku:

  1. Uporabnik sproži klic iz zavarovanega telefona (varni varnostni način).

  2. Telefon prikaže ikono varnosti Ikona ključavnice za varen klic Na zaslonu telefona. Ta ikona označuje, da je telefon konfiguriran za varne klice, vendar to ne pomeni, da je zavarovan tudi drugi povezani telefon.

  3. Če se klic poveže z drugim zavarovanim telefonom, uporabnik zasliši varnostni ton, kar pomeni, da sta oba konca pogovora šifrirana in zavarovana. Če se klic poveže z nezavarovanim telefonom, uporabnik ne sliši varnostnega tona.

Varno klicanje je podprto med dvema telefonoma. Pri zaščitenih telefonih nekatere funkcije, kot so konferenčni klici, skupne linije in Extension Mobility, niso na voljo, ko je konfigurirano varno klicanje.

Samo zaščiteni telefoni predvajajo te varne ali nezaščitene signalne tone. Nezaščiteni telefoni nikoli ne predvajajo tonov. Če se splošno stanje klica med klicem spremeni, se signal signala spremeni in zaščiteni telefon predvaja ustrezen ton.

Zaščiten telefon predvaja zvok ali ne v teh okoliščinah:

  • Ko je možnost Ton varnega prikaza za predvajanje omogočena:

    • Ko je vzpostavljena varna predstavnost od konca do konca in je stanje klica varno, telefon predvaja ton varne indikacije (trije dolgi piski s premori).

    • Ko se vzpostavijo nezaščiteni mediji od konca do konca in stanje klica ni varno, telefon predvaja nezaščiten signalni ton (šest kratkih piskov s kratkimi premori).

Če je možnost Ton varnega signala za predvajanje onemogočena, se ton ne predvaja.

Zagotovite šifriranje za baržo

Cisco Unified Communications Manager preveri varnostno stanje telefona ob vzpostavitvi konferenc in spremeni varnostni znak za konferenco ali blokira dokončanje klica, da ohrani integriteto in varnost v sistemu.

Uporabnik se ne more vključiti v šifriran klic, če telefon, ki se uporablja za vkrcanje, ni konfiguriran za šifriranje. Ko vlačilec v tem primeru ne uspe, se na telefonu predvaja ton preurejanja (hitro zaseden) barže.

Če je telefon pobudnika konfiguriran za šifriranje, se lahko sprožilec barže vključi v nezaščiten klic iz šifriranega telefona. Ko pride do vključevanja, Cisco Unified Communications Manager klic razvrsti kot nevaren.

Če je začetni telefon konfiguriran za šifriranje, se lahko sprožilec barke vključi v šifriran klic, telefon pa sporoči, da je klic šifriran.

Varnost WLAN

Ta razdelek velja samo za modele telefonov z možnostjo Wi-Fi.

Varnost WLAN

Ker lahko vse WLAN naprave v dosegu sprejemajo vse druge WLAN prometa, je zaščita glasovne komunikacije v omrežjih WLAN ključnega pomena. Da vsiljivci ne bi manipulirali ali prestregli glasovnega prometa, arhitektura Cisco SAFE Security podpira telefon. Če želite več informacij o varnosti v omrežjih, glejte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rešitev za brezžično telefonijo Cisco Wireless IP zagotavlja varnost brezžičnega omrežja, ki preprečuje nepooblaščeno prijavo in ogroženo komunikacijo z naslednjimi načini preverjanja pristnosti, ki jih telefon podpira:

  • Odpri preverjanje pristnosti: Vsaka brezžična naprava lahko zahteva preverjanje pristnosti v odprtem sistemu. AP, ki prejme zahtevo, lahko odobri avtentikacijo kateremu koli vlagatelju zahteve ali samo vlagateljem, ki so na seznamu uporabnikov. Komunikacija med brezžično napravo in dostopno točko (AP) morda ni šifrirana.

  • Prilagodljivo preverjanje pristnosti s protokolom razširljive avtentikacije s preverjanjem pristnosti prek varnega tuneliranja (EAP-FAST) Preverjanje pristnosti: Ta varnostna arhitektura odjemalec-strežnik šifrira EAP transakcije v tunelu Transport Level Security (TLS) med AP in strežnikom RADIUS, kot je Identity Services Engine (ISE).

    Tunel TLS uporablja poverilnice za zaščiteni dostop (PAC) za preverjanje pristnosti med odjemalcem (telefonom) in strežnikom RADIUS. Strežnik pošlje ID organa (AID) odjemalcu (telefonu), ta pa nato izbere ustrezen PAC. Odjemalec (telefon) vrne PAC-Opaque strežniku RADIUS. Strežnik dešifrira PAC s primarnim ključem. Obe končni točki zdaj vsebujeta ključ PAC in ustvarjen je TLS tunel. EAP-FAST podpira samodejno omogočanje PAC, vendar ga morate omogočiti v strežniku RADIUS.

    V ISE PAC privzeto poteče v enem tednu. Če ima telefon potekel PAC, preverjanje pristnosti s strežnikom RADIUS traja dlje, medtem ko telefon dobi nov PAC. Če se želite izogniti zamudam pri zagotavljanju PAC, nastavite obdobje poteka PAC na 90 dni ali več v strežniku ISE ali RADIUS.

  • Preverjanje pristnosti razširljivega protokola preverjanja pristnosti – varnost na prenosni plasti (EAP-TLS): EAP-TLS zahteva potrdilo odjemalca za preverjanje pristnosti in omrežni dostop. Pri brezžičnem EAP-TLS je potrdilo odjemalca lahko MIC, LSC ali uporabniško nameščeno potrdilo.

  • Protected Extensible Authentication Protocol (PEAP): Ciscova shema vzajemnega preverjanja pristnosti na podlagi gesla med odjemalcem (telefonom) in strežnikom RADIUS. Telefon lahko uporablja PEAP za preverjanje pristnosti z brezžičnim omrežjem. Podprta sta načina preverjanja pristnosti PEAP-MSCHAPV2 in PEAP-GTC.

  • Ključ v vnaprejšnji skupni rabi (PSK): telefon podpira ASCII obliko zapisa. To obliko zapisa morate uporabiti pri nastavljanju ključa v vnaprejšnji skupni rabi WPA/WPA2/SAE:

    ASCII: niz znakov ASCII z dolžino od 8 do 63 znakov (0–9, male in velike črke A–Z ter posebni znaki)

    Primer: GREG123567@9ZX&W

Naslednje sheme preverjanja pristnosti uporabljajo strežnik RADIUS za upravljanje ključev za preverjanje pristnosti:

  • WPA/WPA2/WPA3: uporablja informacije o strežniku RADIUS za ustvarjanje enoličnih ključev za preverjanje pristnosti. Ker so ti ključi ustvarjeni v centraliziranem strežniku RADIUS, WPA2/WPA3 zagotavlja večjo varnost kot WPA ključi v vnaprejšnji skupni rabi, ki so shranjeni v AP in telefonu.

  • Hitro varno gostovanje: uporablja informacije strežnika RADIUS in strežnika brezžične domene (WDS) za upravljanje in preverjanje pristnosti ključev. WDS ustvari predpomnilnik varnostnih poverilnic za odjemalske naprave, ki podpirajo FT, za hitro in varno ponovno preverjanje pristnosti. Namizni telefoni Cisco 9861 in 9871 ter Ciscov video telefon 8875 podpirajo 802.11r (FT). Tako po zraku kot nad vozilom DS je podprto, kar omogoča hitro in varno gostovanje. Vendar močno priporočamo uporabo metode 802.11r (FT) nad zrakom.

Pri WPA/WPA2/WPA3 šifrirni ključi niso vneseni v telefon, temveč se samodejno izpeljejo med AP in telefonom. Toda EAP uporabniško ime in geslo, ki se uporabljata za preverjanje pristnosti, je treba vnesti na vsakem telefonu.

Za zagotovitev varnosti glasovnega prometa telefon podpira TKIP in AES za šifriranje. Kadar se ti mehanizmi uporabljajo za šifriranje, so signalni paketi SIP in glasovni paketi Real-Time Transport Protocol (RTP) šifrirani med AP in telefonom.

TKIP

WPA uporablja šifriranje TKIP, ki ima več izboljšav v primerjavi z WEP. TKIP zagotavlja šifriranje ključev na paket in daljše vektorje inicializacije (IV), ki krepijo šifriranje. Poleg tega preverjanje celovitosti sporočila (MIC) zagotavlja, da se šifrirani paketi ne spreminjajo. TKIP odpravlja predvidljivost WEP, ki vsiljivcem pomaga dešifrirati ključ WEP.

AES

Način šifriranja, ki se uporablja za preverjanje pristnosti WPA2/WPA3. Ta nacionalni standard za šifriranje uporablja simetrični algoritem, ki ima isti ključ za šifriranje in dešifriranje. AES uporablja šifriranje verige blokiranja šifer (CBC) velikosti 128 bitov, ki podpira vsaj velikosti ključev 128 bitov, 192 bitov in 256 bitov. Telefon podpira velikost ključa 256 bitov.

Ciscova namizna telefona 9861 in 9871 ter Ciscov video telefon 8875 ne podpirajo protokola Cisco Key Integrity Protocol (CKIP) s CMIC.

Sheme za preverjanje pristnosti in šifriranje so vzpostavljene znotraj brezžičnega omrežja LAN. VLAN-i so konfigurirani v omrežju in na AP-jih ter določajo različne kombinacije preverjanja pristnosti in šifriranja. SSID se poveže z VLAN in posebno shemo preverjanja pristnosti in šifriranja. Če želite, da brezžične odjemalske naprave uspešno preverijo pristnost, morate konfigurirati iste SSID-je z njihovimi shemami preverjanja pristnosti in šifriranja v AP-jih in telefonu.

Nekatere sheme preverjanja pristnosti zahtevajo posebne vrste šifriranja.

  • Če uporabljate ključ WPA vnaprejšnji skupni rabi, ključ v vnaprejšnji skupni rabi WPA2 ali SAE, mora biti ključ v vnaprejšnji skupni rabi statično nastavljen v telefonu. Ti ključi se morajo ujemati s tipkami na AP.

  • Telefon podpira samodejno pogajanje EAP za FAST ali PEAP, ne pa tudi za TLS. Za EAP-TLS način ga morate določiti.

Sheme preverjanja pristnosti in šifriranja v spodnji tabeli prikazujejo možnosti konfiguracije omrežja za telefon, ki ustrezajo konfiguraciji AP.

Preglednica 6. Sheme preverjanja pristnosti in šifriranja
Vrsta FSRPreverjanje pristnostiUpravljanje ključevŠifriranjeZaščiteni okvir upravljanja (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESda
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda

Konfiguracija profila brezžičnega omrežja LAN

Profil brezžičnega omrežja lahko upravljate tako, da konfigurirate poverilnice, frekvenčni pas, način preverjanja pristnosti itd.

Preden konfigurirate profil WLAN, upoštevajte naslednje opombe:

  • Uporabniško ime in geslo

    • Če vaše omrežje za preverjanje pristnosti uporabnikov uporablja EAP-FAST in PEAP, morate konfigurirati uporabniško ime in geslo, če je to potrebno v storitvi klicnega uporabnika oddaljene avtentikacije (RADIUS) in telefonu.

    • Poverilnice, ki jih vnesete v profil brezžičnega omrežja LAN, morajo biti enake poverilnicam, ki ste jih konfigurirali v strežniku RADIUS.

    • Če uporabljate domene v omrežju, morate vnesti uporabniško ime z imenom domene v obliki:domena\ uporabniško ime.

  • Z naslednjimi dejanji lahko izbrišete obstoječe geslo Wi-Fi:

    • Vnos neveljavnega uporabniškega imena ali gesla
    • Namestitev neveljavnega ali poteklega korenskega CA, ko je vrsta EAP nastavljena na PEAP-MSCHAPV2 ali PEAP-GTC
    • Onemogočanje vrste EAP v uporabi na strežniku RADIUS, preden telefon preklopite na novo vrsto EAP
  • Če želite spremeniti vrsto EAP, najprej omogočite novo vrsto EAP na strežniku RADIUS, nato pa telefon preklopite na vrsto EAP. Ko so vsi telefoni spremenjeni v novo vrsto EAP, lahko po želji onemogočite prejšnjo vrsto EAP.
1

V Cisco Unified Communications Manager Administration izberite Nastavitve naprave > naprave> Profil brezžičnega omrežja LAN.

2

Izberite omrežni profil, ki ga želite konfigurirati.

3

Nastavite parametre.

4

Kliknite Shrani.

Ročna namestitev certifikata strežnika za preverjanje pristnosti

Certifikat strežnika za preverjanje pristnosti lahko v telefon namestite ročno, če protokol SCEP (Simple Certificate Enrollment Protocol) ni na voljo.

Korensko potrdilo CA, ki je izdalo certifikat strežnika RADIUS, mora biti nameščeno za EAP-TLS.

Preden začnete

Preden lahko certifikat namestite v telefon, morate imeti v računalniku shranjeno potrdilo strežnika za preverjanje pristnosti. Potrdilo mora biti kodirano v PEM (Base-64) ali DER.

1

Na spletni strani skrbništva telefona izberite Potrdila.

2

Poiščite polje Overi strežnika za preverjanje pristnosti in kliknite Namesti.

3

Poiščite potrdilo v računalniku.

4

Kliknite Naloži.

5

Ko je prenos končan, znova zaženite telefon.

Če znova namestite več potrdil, bo uporabljeno le zadnje nameščeno potrdilo.

Ročna namestitev uporabniškega certifikata

Uporabniški certifikat lahko v telefon namestite ročno, če protokol SCEP (Simple Certificate Enrollment Protocol) ni na voljo.

Vnaprej nameščeni proizvodno nameščeni certifikat (MIC) lahko uporabite kot uporabniški certifikat za EAP-TLS.

Ko se uporabniško potrdilo namesti, ga dodajte na seznam zaupanja strežnika RADIUS.

Preden začnete

Preden lahko namestite uporabniško potrdilo za telefon, morate imeti:

  • Uporabniško potrdilo, shranjeno v računalniku. Certifikat mora biti v formatu PKCS #12.

  • Geslo za ekstrahiranje potrdila.

    To geslo je lahko dolgo največ 16 znakov.

1

Na spletni strani skrbništva telefona izberite Potrdila.

2

Poiščite polje Uporabniško nameščeno in kliknite Namesti.

3

Poiščite potrdilo v računalniku.

4

V polje Izpisi geslo vnesite izvleček gesla potrdila.

5

Kliknite Naloži.

6

Ko je prenos končan, znova zaženite telefon.

Ročno odstranjevanje varnostnega potrdila

Varnostno potrdilo lahko ročno odstranite iz telefona, če protokol SCEP (Simple Certificate Enrollment Protocol) ni na voljo.

1

Na spletni strani skrbništva telefona izberite Potrdila.

2

Poiščite potrdilo na strani Potrdila .

3

Kliknite Izbriši.

4

Po končanem postopku brisanja znova zaženite telefon.

Konfigurirajte parametre SCEP

Protokol preprostega vpisa potrdila (SCEP) je standard za samodejno dodeljevanje in obnovo potrdil. Strežnik SCEP lahko samodejno vzdržuje vaše uporabniške in strežniške certifikate.

Na spletni strani telefona morate konfigurirati naslednje parametre SCEP

  • Naslov IP RA

  • SHA-1 ali SHA-256 prstni odtis korenskega certifikata CA za strežnik SCEP

Organ za registracijo Cisco IOS (RA) služi kot približek strežniku SCEP. Odjemalec SCEP v telefonu uporablja parametre, ki jih prenese iz storitve Cisco Unified Communication Manager. Ko konfigurirate parametre, telefon pošlje zahtevo SCEP getcs RA in korenski certifikat CA se potrdi z definiranim prstnim odtisom.

Preden začnete

V strežniku SCEP konfigurirajte registracijskega agenta SCEP (RA) tako, da:

  • Delujte kot točka zaupanja PKI
  • Delujte kot PKI RA
  • Izvajanje preverjanja pristnosti naprave s strežnikom RADIUS

Za več informacij glejte dokumentacijo strežnika SCEP.

1

V Cisco Unified Communications Manager Administration izberite Naprava > Telefon.

2

Poiščite telefon.

3

Pomaknite se do območja postavitve Konfiguracija posameznega izdelka.

4

Potrdite polje WLAN SCEP Server , da aktivirate parameter SCEP.

5

Potrdite polje WLAN Root CA Fingerprint (SHA256 ali SHA1), da aktivirate parameter SCEP QED.

Nastavitev podprtih različic TLS

Nastavite lahko najmanjšo različico TLS, ki je potrebna za odjemalca oziroma strežnika.

Privzeto je minimalna TLS različica strežnika in odjemalca 1.2. Nastavitev vpliva na naslednje funkcije:

  • Povezava s spletnim dostopom HTTPS
  • Uvajanje za telefon na mestu uporabe
  • Uvajanje za mobilne naprave in Remote Access (MRA)
  • Storitve HTTPS, kot so imeniške storitve
  • Varnost na prenosni plasti Datagram (DTLS)
  • Entiteta dostopa do vrat (PAE)
  • Protokol razširljive avtentikacije – varnost na prenosni plasti (EAP-TLS)

Če želite več informacij o združljivosti TLS 1.3 za Cisco IP Phones, glejte TLS 1.3 Matrika združljivosti za izdelke Cisco Collaboration Products.

1

Prijavite se v program Cisco Unified Communications Manager Administration kot skrbnik.

2

Pomaknite se v eno od naslednjih oken:

  • Konfiguracija telefona sistemskega > poslovnega podjetja
  • Nastavitve naprave > naprave> splošni profil telefona
  • Konfiguracija naprave > telefona > telefona
3

Nastavitev TLS polja »Različica najmanjše različice odjemalca«:

Možnost »TLS 1.3« je na voljo v Cisco Unified CM 15SU2 ali novejši.
  • TLS 1.1: Odjemalec TLS podpira različice TLS od 1.1 do 1.3.

    Če je različica TLS v strežniku nižja od 1.1, na primer 1.0, povezave ni mogoče vzpostaviti.

  • TLS 1.2 (privzeto): TLS odjemalec podpira TLS 1.2 in 1.3.

    Če je različica TLS v strežniku nižja od 1,2, na primer 1.1 ali 1.0, povezave ni mogoče vzpostaviti.

  • TLS 1.3: Odjemalec TLS podpira samo TLS 1.3.

    Če je različica TLS v strežniku nižja od 1,3, na primer 1.2, 1.1 ali 1.0, povezave ni mogoče vzpostaviti.

4

Nastavite TLS polje »Različica strežnika Min«:

  • TLS 1.1: Strežnik TLS podpira različice TLS od 1.1 do 1.3.

    Če je različica TLS v odjemalcu nižja od 1.1, na primer 1.0, povezave ni mogoče vzpostaviti.

  • TLS 1.2 (privzeto): strežnik TLS podpira TLS 1.2 in 1.3.

    Če je različica TLS v odjemalcu nižja od 1,2, na primer 1,1 ali 1,0, povezave ni mogoče vzpostaviti.

  • TLS 1.3: strežnik TLS podpira samo TLS 1.3.

    Če je različica TLS v odjemalcu nižja od 1,3, na primer 1,2, 1,1 ali 1,0, povezave ni mogoče vzpostaviti.

Od izdaje PhoneOS 3.2 nastavitev polja »Onemogoči TLS 1.0 in TLS 1.1 za spletni dostop« ne vpliva na telefone.
5

Kliknite Shrani.

6

Kliknite Apply Config (Uporabi konfiguracijo).

7

Znova zaženite telefone.

Zagotovljene storitve SIP

Zagotovljene storitve SIP (AS-SIP) je zbirka funkcij in protokolov, ki ponujajo zelo varen pretok klicev za telefone Cisco IP Phones in telefone tretjih oseb. Naslednje funkcije se skupaj imenujejo AS-SIP:

  • Prednost in prevzem na več ravneh (MLPP)
  • Kodna točka diferenciranih storitev (DSCP)
  • Varnost na prenosni plasti (TLS) in protokol varnega prenosa v realnem času (SRTP)
  • Različica internetnega protokola 6 (IPv6)

AS-SIP se pogosto uporablja z večstopenjsko prednostjo in prevzemom (MLPP) za prednostno razvrščanje klicev v nujnih primerih. S funkcijo MLPP odhodnim klicem dodelite prioritetno raven, in sicer od 1. stopnje (nizka) do 5. stopnje (visoka). Ko prejmete klic, se na telefonu prikaže ikona prednostne ravni s prioriteto klica.

Če želite konfigurirati AS-SIP, v Cisco Unified Communications Manager dokončajte naslednja opravila:

  • Konfiguriraj uporabnika izvlečka – konfigurirajte končnega uporabnika tako, da bo za zahteve SIP uporabljal preverjanje pristnosti izvlečka.
  • Konfigurirajte SIP Phone Secure Port – Cisco Unified Communications Manager uporablja ta vrata za poslušanje telefonov SIP za registracijo linije SIP v TLS.
  • Storitve znova zaženite – ko konfigurirate varna vrata, znova zaženite storitve Cisco Unified Communications Manager in Cisco CTL Provider. Konfigurirajte profil SIP za AS-SIP-Konfigurirajte profil SIP z nastavitvami SIP za končne točke AS-SIP in združene linije SIP. Parametri, specifični za telefon, se ne prenesejo v telefon AS-SIP drugega proizvajalca. Uporablja jih samo Cisco Unified Manager. Telefoni drugih proizvajalcev morajo iste nastavitve konfigurirati lokalno.
  • Konfiguriraj varnostni profil telefona za AS-SIP – z varnostnim profilom telefona lahko dodelite varnostne nastavitve, kot so preverjanje pristnosti TLS, SRTP in povzetka.
  • Konfigurirajte končno točko AS-SIP – konfigurirajte Cisco IP Phone ali končno točko drugega proizvajalca s podporo za AS-SIP.
  • Poveži napravo s končnim uporabnikom – končno točko povežite z uporabnikom.
  • Konfiguriraj varnostni profil združene linije SIP za AS-SIP – varnostni profil združene linije SIP lahko uporabite za dodelitev varnostnih funkcij, kot sta preverjanje pristnosti TLS ali povzetka izvlečkov, združenemu omrežju SIP.
  • Konfiguriraj združeno linijo SIP za AS-SIP – konfigurirajte združeno linijo SIP s podporo za AS-SIP.
  • Konfigurirajte funkcije AS-SIP – konfigurirajte dodatne funkcije AS-SIP, kot so MLPP, TLS, V.150 in IPv6.

Za podrobnejše informacije o konfiguraciji AS-SIP glejte poglavje »Konfiguriraj končne točke AS-SIP« v vodniku za konfiguracijo funkcij za Cisco Unified Communications Manager.

Prednost in predkupnost na več ravneh

Prednost in prevzem na več ravneh (MLPP) vam omogoča, da določite prednostne klice v nujnih primerih ali drugih kriznih situacijah. Odhodnim klicem, ki segajo od 1 do 5, dodelite prioriteto. Dohodni klici prikažejo ikono in prioriteto klica. Uporabniki s preverjeno pristnostjo lahko preprečijo klice na ciljne postaje ali prek popolnoma naročenih priključkov TDM.

Ta zmogljivost zagotavlja visoko uvrščeno osebje za komunikacijo s kritičnimi organizacijami in osebjem.

MLPP se pogosto uporablja z zagotovljenimi storitvami SIP (AS-SIP). Če želite podrobnejše informacije o konfiguraciji MLPP, glejte poglavje Konfiguracija večstopenjske prednosti in prevzema v vodniku za konfiguracijo funkcij za Cisco Unified Communications Manager.