Bezbednosne funkcije se štite od pretnji, uključujući pretnje identitetu telefona i podacima. Ove funkcije uspostavljaju i održavaju tokove potvrđene komunikacije između telefona i servera Cisco Unified Communications Manager i obezbeđuju da telefon koristi samo digitalno potpisane datoteke.

Cisco Unified Communications Manager izdanje 8.5(1) i kasnije podrazumevano uključuje bezbednost, koja obezbeđuje sledeće bezbednosne funkcije za Cisco IP telefone bez pokretanja CTL klijenta:

• Potpisivanje datoteka za konfiguraciju telefona

• Šifrovanje datoteke za konfiguraciju telefona

• HTTPS sa Tomcat-om i drugim veb-uslugama

Implementacija bezbednosti na Cisco Unified Communications Manager sistemu sprečava krađu identiteta telefona i servera Cisco Unified Communications Manager, sprečava smetnje podataka i sprečava signalizaciju poziva i smetnje strima medija.

Da bi se otklonile ove pretnje, Cisco IP telefonska mreža uspostavlja i održava bezbedne (šifrovane) tokove komunikacije između telefona i servera, digitalno potpisuje datoteke pre nego što se prenose na telefon i šifruje strimovanja medija i signaliziranje poziva između Cisco IP telefona.

Lokalno značajan sertifikat (LSC) instalira se na telefone nakon što obavite neophodne zadatke koji su povezani sa proxy funkcijom za izdavanje sertifikata (CAPF). Možete koristiti Cisco Unified Communications Manager administraciju za konfigurisanje LSC-a, kao što je opisano u Cisco Unified Communications Manager vodiču za bezbednost. Osim toga, možete da pokrenete instalaciju LSC-a u meniju „Bezbednosne postavke“ na telefonu. Ovaj meni vam takođe omogućava da ažurirate ili uklonite LSC.

LSC ne može da se koristi kao korisnički sertifikat za EAP-TLS sa WLAN potvrdom identiteta.

Telefoni koriste bezbednosni profil telefona kojim se određuje da li je uređaj nebezbedan ili bezbedan. Za informacije o primeni bezbednosnog profila na telefon pogledajte dokumentaciju za vaše određeno izdanje Cisco Unified Communications Manager.

Ako konfigurišete podešavanja vezana za bezbednost u Cisco Unified Communications Manager administraciji, datoteka za konfiguraciju telefona sadrži osetljive informacije. Da biste osigurali privatnost datoteke za konfiguraciju, morate je konfigurisati za šifrovanje. Za detaljne informacije, pogledajte dokumentaciju za vaše određeno izdanje Cisco Unified Communications Manager.

Telefon je usklađen sa Saveznim standardom za obradu informacija (FIPS). Da bi ispravno radio, FIPS režim zahteva veličinu ključa od 2048 bita ili veći. Ako je sertifikat manji od 2048 bita, telefon se neće registrovati na platformi Cisco Unified Communications Manager i telefon nije uspeo da se registruje. Veličina ključa cert ne ispunjava zahteve za FIPS na telefonu.

Ako telefon ima LSC, potrebno je da ažurirate veličinu LSC ključa na 2048 bitova ili veću pre nego što omogućite FIPS.

Sledeća tabela pruža pregled bezbednosnih funkcija koje telefoni podržavaju. Za više informacija, pogledajte dokumentaciju za vaše saopštenje za Cisco Unified Communications Manager.

Da biste videli Bezbednosni režim, pritisnite Podešavanja i idite do stavki Mreža i usluga > Bezbednosna podešavanja.

Sledeća tabela sadrži poruke za ažuriranje alarma i značenje za listu pouzdanosti. Za više informacija, pogledajte dokumentaciju za Cisco Unified Communications Manager.

Meni „Bezbednosno podešavanje“ pruža informacije o različitim bezbednosnim podešavanjima. Meni takođe omogućava pristup meniju liste pouzdanosti i označava da li je CTL ili ITL datoteka instalirana na telefonu.

Sledeća tabela opisuje opcije u meniju „Bezbednosno podešavanje“.

Cisco IP telefoni imaju podršku za 802.1X Potvrdu Identiteta.

Cisco IP telefoni i Cisco Catalyst prekidači tradicionalno koriste Cisco Discovery Protocol (CDP) za međusobnu identifikaciju i određivanje parametara kao što su raspodela VLAN mreže i zahtevi za napajanje na liniji. CDP ne identifikuje lokalno priključene radne stanice. Cisco IP telefoni obezbeđuju EAPOL mehanizam prolaza. Ovaj mehanizam omogućava radnoj stanici priključenoj na Cisco IP telefon da prenese EAPOL poruke na 802.1X autorizator na LAN prekidaču. Mehanizam prolaza obezbeđuje da IP telefon ne reaguje kao LAN prekidač za potvrdu identiteta krajnje tačke podataka pre pristupa mreži.

Cisco IP telefoni takođe obezbeđuju mehanizam logotipa proxy EAPOL. Ako se lokalno priključeni računar prekine vezu sa IP telefonom, LAN prekidač neće videti fizičku vezu koja je neuspešna jer se održava veza između LAN prekidača i IP telefona. Da ne bi došlo do kompromitovanja integriteta mreže, IP telefon šalje EAPOL-Logoff poruku prekidaču u ime računara nizvodnog, što aktivira LAN prekidač da obriše unos za potvrdu identiteta za računar nizvodnog.

Podrška za 802.1X potvrdu identiteta zahteva nekoliko komponenti:

• Cisco IP telefon: Telefon pokreće zahtev za pristup mreži. Cisco IP telefoni sadrže pretplatnika od 802.1X. Ovaj zamenik omogućava administratorima mreže da kontrolišu mogućnosti povezivanja IP telefona sa LAN portovima za zamenu. Trenutno izdanje pretplatnika za telefon 802.1X koristi EAP-FAST i EAP-TLS opcije za potvrdu identiteta mreže.

• Server za potvrdu identiteta: Server za potvrdu identiteta i prekidač moraju oba biti konfigurisani pomoću deljene tajne koja potvrđuje identitet telefona.

• Prebaci: Prekidač mora da podržava 802.1X, tako da može da deluje kao autorizator i da prenese poruke između telefona i servera za potvrdu identiteta. Kada se razmena završi, prekidač odobrava ili sprečava pristup telefonu mreži.

Morate da izvršite sledeće radnje da biste konfigurisali 802.1X.

• Konfigurišite ostale komponente pre nego što omogućite 802.1X potvrdu identiteta na telefonu.

• Konfiguriši port PC računara: Standard 802.1X ne uzima u obzir VLAN mreže i zato preporučuje da samo jedan uređaj bude potvrđen na određenom portu prekidača. Međutim, neki prekidači podržavaju višenamensku potvrdu identiteta. Konfiguracija zamene određuje da li možete da povežete računar sa računarskim priključkom telefona.

  • Omogućeno: Ako koristite prekidač koji podržava višestruku potvrdu identiteta, možete da omogućite priključak računara i povežete računar sa njim. U ovom slučaju, Cisco IP telefoni podržavaju proxy EAPOL-logoff da bi nadgledali razmenu potvrde identiteta između prekidača i priloženog računara.

    Za više informacija o podršci za IEEE 802.1X na Cisco Catalyst prekidačima pogledajte vodiče za konfiguraciju Cisco Catalyst prekidača na:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Onemogućeno: Ako prekidač ne podržava više uređaja koji podržavaju 802.1X na istom portu, trebalo bi da onemogućite port računara kada je omogućena potvrda identiteta 802.1X. Ako ne onemogućite ovaj port i zatim pokušate da mu priložite računar, prekidač odbija pristup mreži i telefonu i računaru.

• Konfigurisanje glasovnog VLAN-a: Pošto standard 802.1X ne računa za VLAN mreže, trebalo bi da konfigurišete ovo podešavanje na osnovu podrške za zamenu.
  • Omogućeno: Ako koristite prekidač koji podržava potvrdu identiteta sa više domena, možete da ga nastavite da koristite glasovnu VLAN mrežu.
  • Onemogućeno: Ako prekidač ne podržava potvrdu identiteta sa više domena, onemogućite glasovnu VLAN mrežu i razmislite o dodeljivanju porta izvornom VLAN-u.
• (Samo za Cisco Desk telefon serije 9800)

  Cisco Desk telefon serije 9800 ima drugačiji prefiks u PID-u od onog za druge Cisco telefone. Da biste omogućili telefonu da prođe 802.1X potvrdu identiteta, podesite Radius·User-Name parametar tako da uključi vaš Cisco Desk telefon 9800 serije.

  Na primer, PID telefona 9841 je DP-9841; možete da podesite Radius·User-Name da počne sa DP -om ili Sadrži DP. Možete da ga podesite u oba odeljka:

  • Politika > Uslovi > Uslovi biblioteke

  • Smernice > Skupovi smernica > Smernice za autorizaciju > Pravilo za autorizaciju 1

Kada se za telefon primeni bezbednost, možete da identifikujete bezbedne telefonske pozive po ikonama na ekranu telefona. Takođe možete da odredite da li je povezani telefon bezbedan i zaštićen ako se na početku poziva reprodukuje bezbednosni ton.

U bezbednom pozivu sva signalizacija poziva i strimovanja medija su šifrovani. Bezbedan poziv nudi visok nivo bezbednosti i obezbeđuje integritet i privatnost poziva. Kada je poziv u toku šifrovan, na liniji možete da vidite bezbednu ikonu. Za bezbedan telefon možete da vidite i ikonu potvrđenog identiteta ili šifrovanu ikonu pored povezanog servera u meniju telefona (Postavke > O ovom uređaju).

U bezbednom pozivu, na početku poziva se reprodukuje bezbednosni ton kako bi ukazao na to da drugi povezani telefon takođe prima i prenosi bezbedan zvuk. Ako se vaš poziv poveže sa nebezbednim telefonom, ton bezbednosti se ne reprodukuje.

Kada se telefon konfiguriše kao bezbedan (šifrovan i pouzdan) u Cisco Unified Communications Manager-u, može mu se dati zaštićeni status. Nakon toga, ako je to potrebno, zaštićeni telefon može da se konfiguriše tako da na početku poziva reprodukuje ton indikatora:

• Zaštićen uređaj: Da biste promenili status bezbednog telefona u zaštićeni, proverite polje za potvrdu Zaštićeni uređaj u prozoru za konfiguraciju telefona u Cisco Unified Communications Manager Administration (Uređaj > Telefon).

• Reprodukuj Bezbedni Ton Indikatora: Da biste omogućili da zaštićen telefon reprodukuje bezbedan ili nebezbedan ton u indikaciji, podesite podešavanje Reprodukuj bezbedni ton indikacije na True. Po podrazumevanim postavkama, reprodukcija bezbednog tona je podešena na netačno. Ovu opciju ste podesili u Cisco Unified Communications Manager administraciji (Sistem > Parametri usluge). Izaberite server, a zatim uslugu Unified Communications Manager. U prozoru za konfiguraciju parametra usluge izaberite opciju u oblasti „Funkcija – bezbedni ton“. Podrazumevana vrednost je False.

Pošto su svi WLAN uređaji u dometu mogu da prime sav drugi WLAN saobraćaj, obezbeđivanje glasovne komunikacije je od kritične važnosti za WLAN mreže. Da bi se uverila da ulagači ne manipulišu niti presreću glasovni saobraćaj, Cisco arhitektura BEZBEDNE Bezbednosti podržava telefon. Za više informacija o bezbednosti u mrežama pogledajte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rešenje Cisco Wireless IP telefonije pruža bezbednost bežične mreže koja sprečava neovlašćeno prijavljivanje i ugroženu komunikaciju koristeći sledeće načine potvrde identiteta koje telefon podržava:

• Otvori potvrdu identiteta: Svaki bežični uređaj može da zahteva potvrdu identiteta u otvorenom sistemu. AP koji primi zahtev može odobriti potvrdu identiteta bilo kom podnosiocu zahteva ili samo podnosiocima zahteva koji se nalaze na listi korisnika. Komunikacija između bežičnog uređaja i pristupne tačke (AP) može da bude nešifrovana.

• Proširivi protokol za potvrdu identiteta-fleksibilna potvrda identiteta putem bezbednog tunela (EAP-FAST) potvrde identiteta: Ova bezbednosna arhitektura klijentskog servera šifruje EAP transakcije u okviru tunela bezbednosti nivoa transporta (TLS) između AP-a i RADIUS servera, kao što je Identity Services Engine (ISE).

  TLS tunel koristi zaštićene akreditive za pristup (PAC-s) za potvrdu identiteta između klijenta (telefona) i RADIUS servera. Server šalje klijentu ID autoriteta (AID), koji zatim bira odgovarajući PAC. Klijent (telefon) vraća PAC-Neprozirni na RADIUS server. Server dešifruje PAC primarnim ključem. Obe krajnje tačke sada sadrže PAC ključ i kreiran je TLS tunel. EAP-FAST podržava automatsko dodeljivanje PAC privilegija, ali morate da ga omogućite na RADIUS serveru.

  U ISE, PAC podrazumevano ističe za jednu nedelju. Ako je na telefonu istekao PAC, potvrda identiteta kod servera RADIUS traje duže dok telefon dobije novi PAC. Da biste izbegli kašnjenja PAC obezbeđivanja, podesite period isteka PAC-a na 90 dana ili više na ISE ili RADIUS serveru.

• Proširena potvrda identiteta protokola-transporta (EAP-TLS), potvrda identiteta: EAP-TLS zahteva sertifikat klijenta za potvrdu identiteta i pristup mreži. Za bežični EAP-TLS, sertifikat klijenta može da bude MIC, LSC ili sertifikat koji je instalirao korisnik.

• Zaštićeni protokol za potvrdu identiteta (PEAP): Šema međusobne potvrde identiteta zasnovane na Cisco vlasničkim lozinkama između klijenta (telefon) i RADIUS servera. Telefon može da koristi PEAP za potvrdu identiteta pomoću bežične mreže. Podržani su i metodi za potvrdu identiteta PEAP-MSCHAPV2 i PEAP-GTC.

• Unapred deljeni ključ (PSK): Telefon podržava ASCII format. Morate da koristite ovaj format kada podesite unapred deljeni ključ WPA/WPA2/SAE:

  ASCII: ASCII-znamenkasta niska sa 8 do 63 znaka (0–9, malo i veliko A–Z, i specijalne znakove)

  Primer: GREG123567@9ZX&W

Sledeće šeme za potvrdu identiteta koriste RADIUS server za upravljanje ključevima za potvrdu identiteta:

• wpa/wpa2/wpa3: Koristi informacije o RADIUS serveru za generisanje jedinstvenih ključeva za potvrdu identiteta. Pošto se ovi ključevi generišu na centralizovanom RADIUS serveru, WPA2/WPA3 pruža više bezbednosti od WPA blokiranih ključeva koji se čuvaju na AP i telefonu.

• Brzo bezbedno roaming: Koristi informacije o RADIUS serveru i bežičnom domenu (WDS) za upravljanje ključevima i potvrdu identiteta. WDS kreira keš bezbednosnih akreditiva za klijentske uređaje sa omogućenim FT-om radi brze i bezbedne potvrde identiteta. Cisco Desk telefon 9861 i 9871 i Cisco Video Phone 8875 podržavaju 802.11r (FT). Kako preko vazduha tako i preko DS-a podržani su kako bi se omogućilo brzo bezbedno rođenje. Međutim, toplo preporučujemo upotrebu 802.11r (FT) preko metoda vazduha.

Sa WPA/WPA2/WPA3 ključevima za šifrovanje se ne unose na telefonu, ali se automatski izvode između AP i telefona. Ali EAP korisničko ime i lozinka koje se koriste za potvrdu identiteta moraju da se unesu na svakom telefonu.

Da bi se uverio da je glasovni saobraćaj bezbedan, telefon podržava TKIP i AES za šifrovanje. Kada se ovi mehanizmi koriste za šifrovanje, i signalizacioni SIP paketi i glasovni Real-Time Transport Protocol (RTP) paketi su šifrovani između AP i telefona.

бити

WPA koristi TKIP šifrovanje koje ima nekoliko poboljšanja preko WEP-a. TKIP obezbeđuje šifrovanje ključeva po paketu i duži vektori inicijalizacije (IV-ovi) koji jačaju šifrovanje. Pored toga, provera integriteta poruke (MIC) osigurava da se šifrovani paketi ne menjaju. TKIP uklanja predvidljivost WEP-a koja pomaže ulaznicima da dešifruju ključ WEP-a.

успех

Metoda za šifrovanje koji se koristi za WPA2/WPA3 potvrdu identiteta. Ovaj nacionalni standard za šifrovanje koristi simetrični algoritam koji ima isti ključ za šifrovanje i dešifrovanje. AES koristi šifrovanje lanca blokiranja (CBC) veličine 128 bita, koje podržava veličine ključeva od 128 bita, 192 bita i 256 bita, kao minimalno. Telefon ima podršku za veličinu ključa od 256-bitnih.

Autentifikacija i šeme šifrovanja podešene su unutar bežične LAN mreže. VLAN mreže su konfigurisane na mreži i na AP-ovima i navode različite kombinacije potvrde identiteta i šifrovanja. SSID se povezuje sa VLAN mrežom i određenom šemom potvrde identiteta i šifrovanja. Da bi uređaji bežičnog klijenta bili uspešno potvrđeni, iste SSID-ove morate da konfigurišete sa njihovom potvrdom identiteta i šablonima šifrovanja na AP-ovima i na telefonu.

Neke šeme za potvrdu identiteta zahtevaju određene tipove šifrovanja.

Šeme za potvrdu identiteta i šifrovanje u sledećoj tabeli prikazuju opcije konfiguracije mreže za telefon koje odgovaraju AP konfiguraciji.

Assured Services SIP (AS-SIP) je skup funkcija i protokola koji nude veoma bezbedan tok poziva za Cisco IP telefone i telefone treće strane. Sledeće funkcije su kolektivno poznate kao AS-SIP:

• Preimućstvo i prednost na više nivoa (MLPP)
• Diferencirana tačka koda za usluge (DSCP)
• Bezbednost sloja transporta (TLS) i bezbedan protokol prenosa u realnom vremenu (SRTP)
• Verzija internet protokola 6 (IPv6)

AS-SIP se često koristi sa „Preimućstvo i prednost na više nivoa“ (MLPP) za određivanje prioriteta poziva tokom vanrednog stanja. Pomoću MLPP-a dodeljujete nivo prioriteta odlaznim pozivima, od nivoa 1 (nizak) do nivoa 5 (visok). Kada primite poziv, na telefonu se prikazuje ikona nivoa preimućstva koja prikazuje prioritet poziva.

Da biste konfigurisali AS-SIP, izvršite sledeće zadatke na Cisco Unified Communications Manager:

• Konfigurišite korisnika biranja – konfigurišite krajnjeg korisnika tako da koristi potvrdu identiteta biranja za SIP zahteve.
• Konfigurisanje SIP telefona za bezbedan port – Cisco Unified Communications Manager koristi ovaj port za slušanje SIP telefona za registracije SIP linija preko TLS protokola.
• Ponovo pokrenite usluge – nakon konfigurisanja bezbednog porta, ponovo pokrenite Cisco Unified Communications Manager i Cisco CTL usluge pružaoca usluga. Konfigurišite SIP profil za AS-SIP-Konfigurišite SIP profil sa SIP podešavanjima za AS-SIP krajnje tačke i za SIP magistrale. Parametri specifični za telefon ne preuzimaju se na AS-SIP telefon treće strane. Njih koristi samo Cisco Unified Manager. Telefoni treće strane moraju lokalno da konfigurišu ista podešavanja.
• Konfigurisanje bezbednosnog profila telefona za AS-SIP – bezbednosni profil telefona možete da koristite za dodeljivanje bezbednosnih podešavanja kao što su TLS, SRTP i sažetak potvrde identiteta.
• Konfigurisanje AS-SIP krajnje tačke – konfigurisanje Cisco IP telefona ili krajnje tačke treće strane sa podrškom za AS-SIP.
• Povežite uređaj sa krajnjim korisnikom—Povežite krajnju tačku sa korisnikom.
• Konfigurišite profil bezbednosti SIP prtljažnika za AS-SIP – možete da koristite bezbednosni profil sip prtljažnika za dodeljivanje bezbednosnih funkcija kao što su TLS ili potvrdu identiteta za SIP prtljažnik.
• Konfigurisanje SIP prenosnika za AS-SIP – konfigurisanje SIP prenosnika sa podrškom za AS-SIP.
• Konfigurišite AS-SIP funkcije – konfigurišite dodatne AS-SIP funkcije kao što su MLPP, TLS, V.150 i IPv6.

Detaljne informacije o konfigurisanju AS-SIP-a potražite u poglavlju „Konfigurisanje AS-SIP krajnjih tačaka“ u Vodiču za konfiguraciju funkcije za Cisco Unified Communications Manager.

Kada su kodovi za nametnutu autorizaciju (FAC) ili kodovi za pitanje klijenta (CMC) ili kada su oba konfigurisana na telefonu, korisnici moraju da unesu potrebne lozinke za biranje broja.

Više informacija za podešavanje FAC i CMC u Cisco Unified Communications Manager potražite u poglavlju „Kodovi materije klijenta i kodovi nametnute autorizacije“ u Vodiču za konfiguraciju funkcija za Cisco Unified Communications Manager, izdanje 12.5(1) ili novije.