Varnostne funkcije ščitijo pred grožnjami, vključno z grožnjami identiteti telefona in podatkom. Te funkcije vzpostavijo in vzdržujejo komunikacijske tokove s preverjeno pristnostjo med telefonom in Cisco Unified Communications Manager server ter zagotavljajo, da telefon uporablja samo digitalno podpisane datoteke.

Cisco Unified Communications Manager Release 8.5 (1) in novejše vključujejo privzeto varnost, ki zagotavlja naslednje varnostne funkcije za Cisco IP Phones brez zagona odjemalca CTL:

• Podpisovanje konfiguracijskih datotek telefona

• Šifriranje datotek konfiguracije telefona

• HTTPS s storitvijo Tomcat in drugimi spletnimi storitvami

Izvajanje varnosti v Cisco Unified Communications Manager system preprečuje krajo identitete telefona in Cisco Unified Communications Manager server, preprečuje nedovoljeno spreminjanje podatkov ter preprečuje klicno signalizacijo in nedovoljeno spreminjanje medijskega toka.

Za ublažitev teh groženj telefonsko omrežje Cisco IP vzpostavi in vzdržuje varne (šifrirane) komunikacijske tokove med telefonom in strežnikom, digitalno podpiše datoteke, preden se prenesejo v telefon, ter šifrira medijske tokove in signalizacijo klicev med Cisco IP Phones.

V telefone se namesti Locally Significant Certificate (LSC), ko izvedete potrebna opravila, ki so povezana s funkcijo proxy Certificate Authority (CAPF). Z Cisco Unified Communications Manager Administration lahko konfigurirate LSC, kot je opisano v varnostnem priročniku Cisco Unified Communications Manager. Druga možnost je, da začnete namestitev LSC iz menija Varnostne nastavitve v telefonu. V tem meniju lahko posodobite ali odstranite LSC.

Telefoni uporabljajo varnostni profil telefona, ki določa, ali je naprava nevarna ali varna. Za informacije o uporabi varnostnega profila v telefonu si oglejte dokumentacijo za izdajo Cisco Unified Communications Manager.

Če v Cisco Unified Communications Manager Administration konfigurirate varnostne nastavitve, konfiguracijska datoteka telefona vsebuje občutljive podatke. Če želite zagotoviti zasebnost konfiguracijske datoteke, jo morate konfigurirati za šifriranje. Za podrobnejše informacije si oglejte dokumentacijo za izdajo Cisco Unified Communications Manager.

Telefon je skladen z Zveznim standardom za obdelavo informacij (FIPS). Za pravilno delovanje način FIPS zahteva velikost ključa 2048 bitov ali več. Če je potrdilo manjše od 2048 bitov, se telefon ne bo registriral z Cisco Unified Communications Manager in telefon se ni uspel registrirati. Velikost ključa cert ni skladna s FIPS zasloni na telefonu.

Če ima telefon LSC, morate posodobiti velikost ključa LSC na 2048 bitov ali več, preden omogočite FIPS.

V spodnji tabeli je pregled varnostnih funkcij, ki jih podpirajo telefoni. Za več informacij si oglejte dokumentacijo za izdajo Cisco Unified Communications Manager.

Če si želite ogledati varnostni način, pritisnite Nastavitve In se pomaknite do možnosti Nastavitve omrežja in storitve >varnosti.

Spodnja tabela vsebuje seznam zaupnikov, posodobitev, opozorilna sporočila in pomen. Več informacij je v dokumentaciji za Cisco Unified Communications Manager.

V meniju Varnostne nastavitve so informacije o različnih varnostnih nastavitvah. Meni omogoča tudi dostop do menija Seznam zaupanja in označuje, ali je datoteka CTL ali ITL nameščena v telefonu.

V spodnji tabeli so opisane možnosti v meniju Varnostne nastavitve.

Cisco IP Phones podpira preverjanje pristnosti 802.1X.

Stikala Cisco IP Phones in Cisco Catalyst tradicionalno uporabljajo Cisco Discovery Protocol (CDP) za medsebojno identifikacijo in določanje parametrov, kot so dodelitev VLAN in zahteve za inline napajanje. CDP ne identificira lokalno priključenih delovnih postaj. Cisco IP Phones zagotoviti mehanizem prenosa EAPOL. Ta mehanizem omogoča, da delovna postaja, priključena na Cisco IP Phone, posreduje sporočila EAPOL avtentikatorju 802.1X na stikalu LAN. Mehanizem prehoda zagotavlja, da telefon IP ne deluje kot stikalo LAN za preverjanje pristnosti končne podatkovne točke pred dostopom do omrežja.

Cisco IP Phones zagotoviti tudi nadomestni mehanizem odjave EAPOL. Če lokalno priključeni računalnik prekine povezavo s telefonom IP, stikalo LAN ne vidi, da fizična povezava ne uspe, ker je povezava med stikalom LAN in telefonom IP ohranjena. Da bi se izognili ogrožanju celovitosti omrežja, telefon IP stikalu v imenu nadaljnjega računalnika pošlje sporočilo EAPOL-Logoff, ki sproži stikalo LAN, da počisti vnos preverjanja pristnosti za osebni računalnik na nižji stopnji.

Podpora za preverjanje pristnosti 802.1X zahteva več komponent:

• Cisco IP Phone: Telefon sproži zahtevo za dostop do omrežja. Cisco IP Phones vsebujejo prosilno sredstvo 802.1X. Ta priložena naprava skrbnikom omrežja omogoča nadzor nad povezljivostjo telefonov IP s stikalnimi vrati LAN. Trenutna izdaja telefona 802.1X supplicant uporablja možnosti EAP-FAST in EAP-TLS za preverjanje pristnosti omrežja.

• Strežnik za preverjanje pristnosti: strežnik za preverjanje pristnosti in stikalo morata biti konfigurirana s skupno skrivnostjo, ki preverja pristnost telefona.

• Stikalo: Stikalo mora podpirati 802.1X, tako da lahko deluje kot avtentikator in prenaša sporočila med telefonom in strežnikom za preverjanje pristnosti. Ko je izmenjava končana, stikalo dodeli ali zavrne telefonski dostop do omrežja.

Če želite konfigurirati standard 802.1X, morate izvesti naslednja dejanja.

• Konfigurirajte druge komponente, preden v telefonu omogočite preverjanje pristnosti 802.1X.

• Konfiguriraj PC-vrata: Standard 802.1X ne upošteva VLAN-ov in zato priporoča, da se na določena stikalna vrata overi samo ena naprava. Vendar pa nekatera stikala podpirajo preverjanje pristnosti z več domenami. Konfiguracija stikala določa, ali lahko računalnik priključite na vrata PC na telefonu.

  • Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko omogočite vrata PC in nanj priključite računalnik. V tem primeru Cisco IP Phones podpira proxy EAPOL-Logoff za spremljanje izmenjav preverjanja pristnosti med stikalom in priključenim računalnikom.

    Za več informacij o podpori za IEEE 802.1X na stikalih Cisco Catalyst si oglejte vodnike za konfiguracijo stikala Cisco Catalyst na:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Onemogočeno: če stikalo na istih vratih ne podpira več naprav, združljivih z standardom 802.1X, onemogočite PC-vrata, ko je omogočeno preverjanje pristnosti 802.1X. Če teh vrat ne onemogočite in nato poskusite nanj priključiti računalnik, stikalo onemogoči dostop do omrežja do telefona in računalnika.

• Konfiguriraj glas VLAN: Ker standard 802.1X ne upošteva VLAN-ov, morate to nastavitev konfigurirati glede na podporo stikala.
  • Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko nadaljujete z uporabo glasu VLAN.
  • Onemogočeno: Če stikalo ne podpira večdomenskega preverjanja pristnosti, onemogočite Voice VLAN in razmislite o dodelitvi vrat izvornemu VLAN.
• (Samo za namizni telefon Cisco serije 9800)

  Cisco Namizni telefon serije 9800 ima v PID-ju drugačno predpono kot za druge telefone Cisco. Če želite telefonu omogočiti preverjanje pristnosti 802.1X, nastavite Radij· Parameter uporabniškega imena , ki vključuje vaš Cisco namizni telefon serije 9800.

  Na primer, PID telefona 9841 je DP-9841; lahko nastavite Radius· Uporabniško ime za začetek z DP ali vsebuje DP. Nastavite ga lahko v obeh spodnjih razdelkih:

  • Pravilnik > Pogoji > knjižnični pogoji

  • Nabori pravilnikov > pravilnikov > Pravilnik o avtorizaciji> Pravilo 1

Ko je za telefon uvedena varnost, lahko varne telefonske klice prepoznate po ikonah na zaslonu telefona. Ugotovite lahko tudi, ali je povezani telefon varen in zaščiten, če se na začetku klica predvaja varnostni ton.

Pri varnem klicu so vsi klicni signali in predstavnostni tokovi šifrirani. Varen klic zagotavlja visoko raven varnosti ter integriteto in zasebnost klica. Ko je opravljeni klic šifriran, lahko vidite ikono varnosti Na liniji. Za varen telefon si lahko ogledate tudi ikono s preverjeno pristnostjo Ali šifrirano ikono Poleg povezanega strežnika v meniju telefona (Nastavitve > O tej napravi).

Pri varnem klicu se na začetku klica predvaja varnostni ton, ki označuje, da tudi drugi povezani telefon sprejema in oddaja varen zvok. Če se klic poveže z nezaščitenim telefonom, se varnostni ton ne predvaja.

Ko je telefon konfiguriran kot varen (šifriran in zaupanja vreden) v Cisco Unified Communications Manager, lahko dobi Zaščitena Stanje. Po želji lahko zaščiteni telefon konfigurirate tako, da predvaja indikacijski ton na začetku klica:

• Zaščitena naprava: če želite spremeniti stanje varnega telefona za zaščito, potrdite polje Zaščitena naprava v oknu Konfiguracija telefona v Cisco Unified Communications Manager Administration (Naprava > telefon).

• Ton varnega prikazovanja za predvajanje: če želite zaščitenemu telefonu omogočiti predvajanje varnega ali nezaščitenega signalnega tona, nastavite ton varnega signala za predvajanje na True. Ton varne indikacije za predvajanje je privzeto nastavljen na False. To možnost nastavite v Cisco Unified Communications Manager Administration (Parametri sistema >storitve). Izberite strežnik in nato storitev Unified Communications Manager. V Service Parameter Configuration window izberite možnost v območju Funkcija - Varni ton. Privzeta nastavitev je False.

Ker lahko vse naprave WLAN, ki so v dosegu, sprejemajo ves preostali promet WLAN, je zaščita glasovne komunikacije ključnega pomena v omrežjih WLAN. Da vsiljivci ne manipulirajo ali prestrezajo glasovnega prometa, arhitektura Cisco SAFE Security podpira telefon. Če želite več informacij o varnosti v omrežjih, glejte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rešitev brezžične telefonije Cisco Wireless IP zagotavlja varnost brezžičnega omrežja, ki preprečuje nepooblaščeno prijavo in ogroženo komunikacijo z naslednjimi načini preverjanja pristnosti, ki jih telefon podpira:

• Odpri preverjanje pristnosti: Vsaka brezžična naprava lahko zahteva preverjanje pristnosti v odprtem sistemu. AP, ki prejme zahtevo, lahko odobri avtentikacijo kateremu koli vlagatelju zahteve ali samo vlagateljem, ki so na seznamu uporabnikov. Komunikacija med brezžično napravo in dostopno točko (AP) morda ni šifrirana.

• Prilagodljivo preverjanje pristnosti protokola razširljive avtentikacije prek varnega tuneliranja (EAP-FAST) Preverjanje pristnosti: Ta varnostna arhitektura odjemalec-strežnik šifrira EAP transakcije v tunelu Transport Level Security (TLS) med AP in strežnikom RADIUS, kot je Identity Services Engine (ISE).

  Tunel TLS uporablja poverilnice za zaščiteni dostop (PAC) za preverjanje pristnosti med odjemalcem (telefonom) in strežnikom RADIUS. Strežnik pošlje ID organa (AID) odjemalcu (telefonu), ki v TURN izbere ustrezen PAC. Odjemalec (telefon) vrne PAC-Opaque strežniku RADIUS. Strežnik dešifrira PAC s primarnim ključem. Obe končni točki zdaj vsebujeta ključ PAC in ustvarjen je tunel TLS. EAP-FAST podpira samodejno omogočanje PAC, vendar ga morate omogočiti na strežniku RADIUS.

  V ISE PAC privzeto poteče v enem tednu. Če ima telefon potekel PAC, preverjanje pristnosti s strežnikom RADIUS traja dlje, medtem ko telefon dobi nov PAC. Če se želite izogniti zamudam pri zagotavljanju PAC, nastavite obdobje poteka PAC na 90 dni ali več v strežniku ISE ali RADIUS.

• Preverjanje pristnosti razširljivega protokola preverjanja pristnosti – varnost na prenosni plasti (EAP-TLS): EAP-TLS zahteva potrdilo odjemalca za preverjanje pristnosti in dostop do omrežja. Za brezžično EAP-TLS je potrdilo odjemalca lahko MIC, LSC, ali uporabniško nameščeno potrdilo.

• Protected Extensible Authentication Protocol (PEAP): Cisco lastniška shema vzajemnega preverjanja pristnosti na podlagi gesla med odjemalcem (telefonom) in strežnikom RADIUS. Telefon lahko uporablja PEAP za preverjanje pristnosti z brezžičnim omrežjem. Podprta sta načina preverjanja pristnosti PEAP-MSCHAPV2 in PEAP-GTC.

• Ključ v skupni rabi (PSK): Telefon podpira format ASCII. To obliko zapisa morate uporabiti, ko nastavljate ključ v vnaprejšnji skupni rabi WPA/WPA2/SAE:

  ASCII: niz znakov ASCII z dolžino od 8 do 63 znakov (0–9, male in velike črke A–Z ter posebni znaki)

  Primer: GREG123567@9ZX&W

Naslednje sheme preverjanja pristnosti uporabljajo strežnik RADIUS za upravljanje ključev za preverjanje pristnosti:

• WPA/WPA2/WPA3: Uporablja informacije o strežniku RADIUS za ustvarjanje edinstvenih ključev za preverjanje pristnosti. Ker so ti ključi ustvarjeni na centraliziranem strežniku RADIUS, WPA2/WPA3 zagotavlja večjo varnost kot WPA ključi v vnaprejšnji skupni rabi, ki so shranjeni v AP in telefonu.

• Hitro varno gostovanje: uporablja informacije strežnika RADIUS in strežnika brezžične domene (WDS) za upravljanje in preverjanje pristnosti ključev. WDS ustvari predpomnilnik varnostnih poverilnic za odjemalske naprave, ki podpirajo FT, za hitro in varno ponovno preverjanje pristnosti. Cisco namizni telefon 9861 in 9871 ter Cisco Video telefon 8875 podpira 802.11r (FT). Tako po zraku kot nad vozilom DS je podprto, kar omogoča hitro in varno gostovanje. Vendar močno priporočamo uporabo metode 802.11r (FT) nad zrakom.

Pri WPA/WPA2/WPA3 šifrirni ključi niso vneseni v telefon, temveč se samodejno izpeljejo med AP in telefonom. Toda uporabniško ime in geslo EAP, ki se uporabljata za preverjanje pristnosti, je treba vnesti na vsakem telefonu.

Da bi zagotovili varnost glasovnega prometa, telefon podpira TKIP in AES za šifriranje. Ko se ti mehanizmi uporabljajo za šifriranje, so med AP in telefonom šifrirani tako signalni paketi SIP kot glasovni paketi Real-Time Transport Protocol (RTP).

TKIP

WPA uporablja šifriranje TKIP, ki ima več izboljšav v primerjavi z WEP. TKIP zagotavlja šifriranje ključev na paket in daljše vektorje inicializacije (IV), ki krepijo šifriranje. Poleg tega preverjanje celovitosti sporočila (MIC) zagotavlja, da šifrirani paketi niso spremenjeni. TKIP odstrani predvidljivost WEP, ki vsiljivcem pomaga dešifrirati ključ WEP.

AES

Način šifriranja, ki se uporablja za preverjanje pristnosti WPA2/WPA3. Ta nacionalni standard za šifriranje uporablja simetrični algoritem, ki ima isti ključ za šifriranje in dešifriranje. AES uporablja šifriranje verige blokiranja šifer (CBC) velikosti 128 bitov, ki podpira najmanj 128 bitov, 192 bitov in 256 bitov. Telefon podpira velikost ključa 256 bitov.

Sheme za preverjanje pristnosti in šifriranje so vzpostavljene znotraj brezžičnega omrežja LAN. VLAN-i so konfigurirani v omrežju in na AP-jih ter določajo različne kombinacije preverjanja pristnosti in šifriranja. SSID se povezuje z VLAN in določeno shemo preverjanja pristnosti in šifriranja. Če želite, da brezžične odjemalske naprave uspešno preverijo pristnost, morate konfigurirati iste SSID-je z njihovimi shemami preverjanja pristnosti in šifriranja v AP-jih in telefonu.

Nekatere sheme preverjanja pristnosti zahtevajo posebne vrste šifriranja.

Sheme preverjanja pristnosti in šifriranja v spodnji tabeli prikazujejo možnosti konfiguracije omrežja za telefon, ki ustrezajo konfiguraciji AP.

Assured Services SIP(AS-SIP) je zbirka funkcij in protokolov, ki ponujajo zelo varen pretok klicev za telefone Cisco IP Phones in telefone tretjih oseb. Naslednje funkcije so skupaj znane kot AS-SIP:

• Prednost in prevzem na več ravneh (MLPP)
• Kodna točka diferenciranih storitev (DSCP)
• Varnost na prenosni plasti (TLS) in protokol varnega prenosa v realnem času (SRTP)
• Različica internetnega protokola 6 (IPv6)

AS-SIP se pogosto uporablja z večstopenjsko prednostjo in prevzemom (MLPP) za prednostno razvrščanje klicev v nujnih primerih. Z MLPP odhodnim klicem dodelite prioritetno raven, in sicer od 1. stopnje (nizka) do 5. stopnje (visoka). Ko prejmete klic, se na telefonu prikaže ikona prednostne ravni s prioriteto klica.

Če želite konfigurirati AS-SIP, na Cisco Unified Communications Manager opravite naslednja opravila:

• Konfiguriraj uporabnika Digest – konfigurirajte končnega uporabnika tako, da bo za zahteve SIP uporabljal preverjanje pristnosti izvlečka.
• Konfigurirajte SIP Phone Secure Port - Cisco Unified Communications Manager uporablja ta vrata za poslušanje telefonov SIP za registracijo linije SIP nad TLS.
• Znova zaženite storitve – ko konfigurirate varna vrata, znova zaženite storitvi Cisco Unified Communications Manager in Cisco CTL Provider. Konfigurirajte profil SIP za AS-SIP-Konfigurirajte profil SIP z nastavitvami SIP za končne točke AS-SIP in za združene linije SIP. Parametri, specifični za telefon, se ne prenesejo v telefon AS-SIP drugega proizvajalca. Uporablja jih samo Cisco Unified Manager. Telefoni drugih proizvajalcev morajo iste nastavitve konfigurirati lokalno.
• Konfiguriraj varnostni profil telefona za AS-SIP – Varnostni profil telefona lahko uporabite za dodelitev varnostnih nastavitev, kot sta TLS, SRTP, in preverjanje pristnosti s povzetkom.
• Konfigurirajte AS-SIP Endpoint – s podporo AS-SIP konfigurirajte končno točko Cisco IP Phone ali tretjo osebo.
• Poveži napravo s končnim uporabnikom – končno točko povežite z uporabnikom.
• Konfiguriraj varnostni profil SIP Trunk za AS-SIP – Varnostni profil združene linije SIP lahko uporabite za dodelitev varnostnih funkcij, kot sta TLS ali preverjanje pristnosti izvlečka, združenemu telefonu SIP.
• Konfigurirajte SIP Trunk za AS-SIP – Konfigurirajte združnik SIP s podporo AS-SIP.
• Konfigurirajte funkcije AS-SIP – konfigurirajte dodatne funkcije AS-SIP, kot sta MLPP, TLS, V.150 in IPv6.

Za podrobnejše informacije o konfiguraciji AS-SIP glejte poglavje »Konfiguriraj AS-SIP končne točke« v vodniku za konfiguracijo funkcij za Cisco Unified Communications Manager.

Ko so v telefonu konfigurirane kode za prisilno avtorizacijo (FAC) ali kode za uporabniške vsebine (CMC) ali oboje, morajo uporabniki vnesti zahtevana gesla za klic številke.

Če želite več informacij o nastavitvi FAC in CMC v Cisco Unified Communications Manager, glejte poglavje »Kode za uporabniške vsebine in kode za prisilno avtorizacijo« vPriročniku za konfiguracijo funkcij za Cisco Unified Communications Manager, izdajo 12.5 (1) ali novejšo različico.

Funkcija Cisco VPN vam pomaga ohranjati varnost omrežja, uporabnikom pa zagotavlja varen in zanesljiv način za vzpostavljanje povezave z omrežjem podjetja. To funkcijo uporabite, ko:

• Telefon je zunaj zaupanja vrednega omrežja
• Omrežni promet med telefonom in Cisco Unified Communications Manager prečka omrežje, ki ni zaupanja vredno

Z VPN obstajajo trije skupni pristopi k preverjanju pristnosti odjemalca:

• Digitalna potrdila
• Gesla
• Uporabniško ime in geslo

Vsaka metoda ima svoje prednosti. Če pa vaš pravilnik o varnosti podjetja to dovoljuje, priporočamo pristop, ki temelji na potrdilu, saj potrdila omogočajo nemoteno prijavo brez posredovanja uporabnika. Podprta sta certifikata LSC in MIC.

Če želite konfigurirati katero koli funkcijo VPN, najprej omogočite uporabo naprave na mestu uporabe, nato pa jo uvedite zunaj lokalnega poslovanja.

Če želite več informacij o preverjanju pristnosti certifikata in delu z omrežjem VPN, glejte Konfiguracija AnyConnect VPN telefona s preverjanjem pristnosti certifikata v ASA.

S pristopom gesla ali uporabniškega imena in gesla je uporabnik pozvan k vnosu poverilnic za prijavo. Nastavite poverilnice za vpis uporabnika v skladu z varnostnim pravilnikom podjetja. Prav tako lahko konfigurirate nastavitev Omogoči vztrajanje pri geslih, tako da je uporabniško geslo shranjeno v telefonu. Uporabniško geslo se shrani, dokler ne pride do neuspelega poskusa prijave, dokler uporabnik ročno ne počisti gesla ali dokler telefon ne ponastavi ali izgubi napajanja.

Drugo uporabno orodje je nastavitev Omogoči samodejno zaznavanje omrežja. Ko potrdite to polje, se odjemalec VPN lahko zažene le, če zazna, da je zunaj omrežja podjetja. Ta nastavitev je privzeto onemogočena.

Vaš telefon Cisco kot vrsto odjemalca podpira Cisco SVC IPPhone Client v1.0.

Če želite več informacij o konfiguraciji VPN na Unified CM, glejte Vodnik za konfiguracijo funkcij za Cisco Unified Communications Manager.

Funkcija Cisco VPN za ohranjanje varnosti omrežja uporablja sloj varnih vtičnic (SSL).