Možete da omogućite da Cisco Unified Communications Manager radi u okruženju sa poboljšanom bezbednošću. Uz ova poboljšanja, mreža vašeg telefona radi u skladu sa setom striktnih kontrola za bezbednost i rizik da bi zaštitili vas i vaše korisnike.

Okruženje poboljšane bezbednosti uključuje sledeće funkcije:

  • Autentifikacija pretrage kontakta.

  • TCP kao podrazumevani protokol za zapis daljinske revizije.

  • FIPS režim.

  • Poboljšani pravilnik za akreditive.

  • Podrška za SHA-2 porodicu hešova za digitalne potpise.

  • Podrška za RSA ključ veličine 512 bitova i 4096 bitova.

Sa Cisco Unified Communications Manager Release 14.0 i Cisco Video Phone Firmvare Release 2.1 i kasnije, telefoni podržavaju SIP OAuth autentifikaciju.

OAuth je podržan za Proki Trivial File Transfer Protocol (TFTP) sa Cisco Unified Communications Manager Release 14.0 (1) SU1 ili novijim. Proki TFTP i OAuth za Proki TFTP nije podržan na Mobile Remote Access (MRA).

Za dodatne informacije o bezbednosti, pogledajte:

Vaš telefon može da čuva samo ograničeni broj datoteka liste poverenja identiteta (ITL). ITL datoteke ne mogu da budu veće od 64K na telefonu tako da ograničavaju broj datoteka koje Cisco Unified Communications Manager šalje na telefon.

Podržane bezbednosne funkcije

Bezbednosne funkcije štite od pretnji, u koje spadaju pretnje za identitet za telefon i podatke. Ove funkcije uspostavljaju i održavaju autentične komunikacione nizove između telefona i Cisco Unified Communications Manager servera i osiguravaju da telefon koristi samo datoteke sa digitalnim potpisom.

Cisco Unified Communications Manager verzija 8.5(1) i kasnije uključuju bezbednost podrazumevano, što obezbeđuje praćenje bezbednosnih funkcija za Cisco IP telefone bez pokretanja CTL klijenta:

  • Prijava datoteka za konfiguraciju telefona

  • Enkripcija datoteke za konfiguraciju telefona

  • HTTPS sa Tomcat i drugim veb servisima

Osigurajte signalizaciju i funkcije medija koje su i dalje potrebne za pokretanje CTL klijenta i upotrebite hardverske eTokens.

Implementacija bezbednosti u Cisco Unified Communications Manager sistemu sprečava krađu identiteta na telefonu i Cisco Unified Communications Manager serveru, sprečava mešanje u podatke i sprečava signalizaciju za poziv i mešanje u striming medija.

Da biste umanjili ove pretnje, Cisco IP telefonska mreža uspostavlja i održava bezbedne (šifrovane) komunikacione tokove između telefona i servera, digitalno signalizira za datoteke pre nego što se prebace na telefon i šifruje medijske tokove i signaliziranje za poziv između Cisco IP telefona.

Lokalni značajni sertifikat (LSC) instalira se na telefon nakon što obavite neophodne zadatke koji su povezani sa proksi funkcijom sertifikata autoriteta (CAPF). Možete da koristite Cisco Unified Communications Manager Administration za podešavanje LSC, kao što je opisano u Vodiču za bezbednost za Cisco Unified Communications Manager. Alternativno, možete pokrenuti instalaciju LSC-a iz menija Bezbednosna podešavanja na telefonu. Ovaj meni vam takođe omogućava ažuriranje ili uklanjanje LSC.

LSC ne može da se koristi kao sertifikat korisnika za EAP-TLS uz WLAN autentifikaciju.

Telefoni koriste profil bezbednosti telefona, koji definiše da li je uređaj neobezbeđen ili obezbeđen. Za više informacija o primeni bezbednosnog profila na telefona, pogledajte dokumentaciju za vašu određenu Cisco Unified Communications Manager verziju.

Ako podesite postavke vezane za bezbednost u Cisco Unified Communications Manager Administration, datoteka za konfiguraciju telefona sadrži osetljive informacije. Da bi se osigurala privatnost datoteke za konfiguraciju, morate da je podesite za šifrovanje. Za detaljne informacije, pogledajte dokumentaciju za vašu određenu Cisco Unified Communications Manager verziju.

Telefon je u skladu sa Federalnim standardom za obradu informacija (FIPS). Za ispravno funkcionisanje, FIPS režim zahteva veličinu ključa od 2048 bita ili veću. Ako je sertifikat manji od 2048 bitova, telefon se neće registrovati sa Cisco Unified Communications Manager i telefon neće uspeti da se registruje. Veličina ključa za sertifikat nije u skladu sa FIPS se prikazuje na telefonu.

Ako telefon ima LSC, biće potrebno da ažurirate LSC veličinu ključa na 2048 bitova ili više pre omogućavanja FIPS.

Sledeća tabela obezbeđuje pregled bezbednosnih funkcija koje telefoni podržavaju. Za više informacija, pogledajte dokumentaciju za vašu određenu Cisco Unified Communications Manager verziju.

Da biste videli režim bezbednosti, pritisnite Podešavanja Podešavanja hard taster I idite na Mreža i servis> Bezbednosna podešavanja.

Tabela 1. Pregled bezbednosnih funkcija

Funkcija

Opis

Autentifikacija slike

Prijavljene binarne datoteke sprečavaju mešanje sa slikom firmvera pre nego što se slika učita na telefon.

Mešanje sa slikom dovodi do toga da postupak autentifikacije ne uspe i da se odbije nova slika.

Instalacija sertifikata za lokaciju klijenta

Svaki Cisco IP telefon zahteva jedinstveni sertifikat za autentifikaciju uređaja. Telefon uključuje proizvodnju instaliranog sertifikata (MIC), ali za dodatnu bezbednost, možete da navedete instalaciju sertifikata u Cisco Unified Communications Manager Administration korišćenjem funkcije za proksi za sertifikaciju autoriteta (CAPF). Ili, možete da instalirate lokalno značajni sertifikat (LSC) iz menija konfiguracija bezbednosti na telefonu.

Autentifikacija uređaja

Dešava se između Cisco Unified Communications Manager servera i telefona kada svaki entitet prihvati sertifikat drugog entiteta. Određuje da li bezbedna veza između telefona i Cisco Unified Communications Manager treba da se dogodi; i, ako je neophodno, kreira bezbedni put za signalizaciju između entiteta pomoću TLS protokola. Cisco Unified Communications Manager se ne registruje osim ako ne možete da obavite autentifikaciju.

Autentifikacija datoteke

Validira digitalno prijavljene datoteke koje telefon preuzima. Telefon validira potpis da bi osigurao da ne dolazi do mešanja za datoteku nakon kreiranja. Datoteke koje ne obave uspešnu autentifikaciju ne pišu se u fleš memoriju telefona. Telefon odbija takve datoteke bez dalje obrade.

Šifrovanje datoteke

Šifrovanje sprečava osetljive informacije od otkrivanja dok je datoteka u tranzitu na telefonu. Pored toga, telefon validira potpis da bi osigurao da se mešanje sa datotekom ne događa nakon kreiranja datoteke. Datoteke koje ne obave uspešnu autentifikaciju ne pišu se u fleš memoriju telefona. Telefon odbija takve datoteke bez dalje obrade.

Autentifikacija signala

Koristi TLS protokol za validaciju da nije došlo do mešanja u signalne pakete tokom prenosa.

Proizvodnja instaliranog sertifikata

Svaki Cisco IP telefon sadrži jedinstveni proizvodni instalirani sertifikat (MIC), koji se koristi za autentifikaciju uređaja. MIC obezbeđuje trajni jedinstveni dokaz identiteta za telefon i dozvoljava da Cisco Unified Communications Manager obavi autentifikaciju telefona.

Šifrovanje medija

Koristi SRTP da osigura da strimovanje medija između podržanih uređaja dokažu bezbednost i da samo namenjeni uređaj dobije i pročita podatke. Uključuje kreiranje medijskog primarnog para ključa za uređaje, dostavljanjem ključeva za uređaje i osiguravanje dostave ključeva dok su ključevi u transportu.

CAPF (Funkcija sertifikata proksija autoriteta)

Implementira delove procedure kreiranja sertifikata koje se previše intenzivno obrađuju za telefon i obavlja interakciju sa telefonom za generaciju ključa i instalaciju sertifikata. CAPF može da se podesi da zahteva sertifikate od drugih organa za sertifikate navedenih od strane korisnika ili se može podesiti za lokalno kreiranje sertifikata.

Podržani su i tipovi ključeva EC (eliptična kriva) i RSA. Da biste koristili taster EC, uverite se da je omogućen parametar "Endpoint Advanced Encryption Algorithms Support" (iz parametra Sistem >Enterprise).

Za više informacija o CAPF-u i srodnim konfiguracijama, pogledajte sledeće dokumente:

Bezbednosni profil

Definiše da li telefon nije bezbedan, potvrđen, šifrovan ili zaštićen. Drugi unosi u ovoj tabeli opisuju bezbednosne funkcije.

Šifrovane konfiguracione datoteke

Daju vam mogućnost da osigurate privatnost konfiguracionih datoteka telefona.

Opcionalni veb server onemogućen za telefon

Iz bezbednosnih razloga, možete da sprečite pristup na veb stranice za telefon (koji prikazuje različite operativne statistike za telefon) i Self Care Portal.

Ojačavanje telefona

Dodatne bezbednosne opcije, koje kontrolišete preko Cisco Unified Communications Manager Administration:

  • Onemogućavanje PC porta
  • Onemogućavanje besplatnog ARP (GARP)
  • Onemogućavanje PC Voice VLAN pristupa
  • Onemogućavanje pristupa u meniju Postavke ili obezbeđivanje ograničenog pristupa
  • Onemogućavanje pristupa na veb stranice za telefon
  • Onemogućavanje Bluetooth priključka za dodatke
  • Ograničavanje TLS šifrovanja

802.1X autentifikacija

Cisco IP telefon može da koristi 802.1X autentifikaciju zazahtev i dobijanje pristupa na mrežu. Pogledajte 802.1X autentifikacija za više informacija.

Osiguravanje SIP pokretanja u slučaju neispravnosti SRST

Nakon što podesite održivu daljinsku telefoniju na lokaciji (SRST) kao referencu za bezbednost a zatim ponovo pokrenite zavisne uređaje u Cisco Unified Communications Manager Administration, TFTP server dodaje SRST sertifikate na cnf.xml datoteku telefona i šalje datoteku na telefon. Bezbedni telefon zatim koristi TLS konekciju za interakciju sa SRST omogućenim ruterom.

Signalno šifrovanje

Osigurava da su sve SIP signalne poruke koje se šalju između uređaja i Cisco Unified Communications Manager servera šifrovane.

Alarm za ažuriranje liste poverenja

Kada se lista poverenja ažurira na telefonu, Cisco Unified Communications Manager dobija alarm za indikaciju uspešnosti ili neuspešnosti ažuriranja. Pogledajte sledeću tabelu za više informacija za pomoć.

AES 256 šifrovanje

Kada se poveže na Cisco Unified Communications Manager verziju 10.5(2) i novije, telefoni podržavaju AES 256 podršku za šifrovanje za TLS i SIP za šifrovanje signala i medija. Ovo omogućava telefonima da pokrenu i podrže TLS 1.2 konekciju pomoću AES-256 zasnovanih šifara koje su u skladu sa SHA-2 (Bezbedan heš algoritam) standardima i u skladu su sa saveznim standardima za obradu informacija (FIPS). U šifre spadaju:

  • Za TLS konekcije:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Za sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Za više informacija, pogledajte dokumentaciju za Cisco Unified Communications Manager.

Sertifikati za eliptični digitalni potpis algoritma (ECDSA)

Kao deo sertifikata za zajednički kriterijum (CC), Cisco Unified Communications Manager; dodati ECDSA sertifikati u verziji 11.0. Ovo utiče na sve proizvode za govorni operativni sistem (VOS) koji rade na CUCM 11.5 i novijim verzijama.

Multi-server (SAN) Tomcat sertifikat sa Cisco UCM-om

Telefon podržava Cisco UCM sa konfigurisanim Tomcat sertifikatima sa više servera (SAN). Tačna adresa TFTP servera može se naći u ITL datoteci telefona za registraciju telefona.

Za više informacija o ovoj funkciji, pogledajte sledeće:

Sledeća tabela sadrži poruke alarma za ažuriranje liste poverenja i značenje. Za više informacija, pogledajte dokumentaciju za Cisco Unified Communications Manager.

Tabela 2. Poruke za ažuriranje alarma liste poverenja
Kod i poruka Opis

1 - TL_SUCCESS

Dobijen novi CTL i/ili ITL

2 - CTL_INITIAL_SUCCESS

Dobijen novi CTL, ne postoji TL

3 - ITL_INITIAL_SUCCESS

Dobijen novi ITL, ne postoji TL

4 - TL_INITIAL_SUCCESS

Dobijen novi CTL i ITL, ne postoji TL

5 - TL_FAILED_OLD_CTL

Ažuriranje na novi CTL nije uspelo, ali postoji prethodni TL

6 - TL_FAILED_NO_TL

Ažuriranje na novi TL nije uspelo i nema starog TL

7 - TL_FAILED

Generički neuspeh

8 - TL_FAILED_OLD_ITL

Ažuriranje na novi ITL nije uspelo, ali postoji prethodni TL

9 - TL_FAILED_OLD_TL

Ažuriranje na novi TL nije uspelo, ali postoji prethodni TL

Meni Bezbednosno podešavanje obezbeđuje informacije o različitim bezbednosnim postavkama. Meni takođe obezbeđuje pristup na meni Lista poverenja i označava da li su CTL ili ITL datoteke instalirane na telefonu.

Sledeća tabela opisuje dostupnost opcija u meniju bezbednosno podešavanje.

Tabela 3. Meni Podešavanje bezbednosti

Opcija

Opis

Za promenu

Režim bezbednosti

Prikazuje bezbednosni režim koji se podešava za telefon.

Iz Cisco Unified Communications Manager Administration, izaberite opciju Uređaj > Telefon. Podešavanje se pojavljuje u odeljku Specifične informacije za protokol u prozoru konfiguracija telefona.

LSC

Označava da li je lokalno značajan sertifikat koji se koristi za bezbednosne funkcije instaliran na telefonu (instaliran) ili nije instaliran na telefonu (nije instaliran).

Za više informacija o upravljanju LSC na vašem telefonu, pogledajte dokumentaciju za vašu određenu Cisco Unified Communications Manager verziju.

Podešavanje lokalno značajnog sertifikata (LSC)

Ovaj zadatak se primenjuje na LSC uz metod autentifikacije niza.

Pre nego što počnete

Osigurajte da su odgovarajuće Cisco Unified Communications Manager i Certificate Authority Proxy Function (CAPF) bezbednosne konfiguracije kompletirane:

  • CTL ili ITL datoteka imaju CAPF sertifikat.

  • Iz Cisco Unified Communications Operating System Administration, potvrdite da li je CAPF sertifikat instaliran.

  • CAPF je podešen i radi.

Za više informacija o ovim postavkama, pogledajte dokumentaciju za vašu određenu Cisco Unified Communications Manager verziju.

1

Preuzmite CAPF autentifikacioni kod koji je podešen kada je podešen CAPF.

2

Na telefonu pritisnite Podešavanja the Settings hard key.

3

Ako se to od vas zatraži, unesite lozinku za pristup meniju Podešavanja . Lozinku možete dobiti od svog administratora.

4

Idite na Mreža i servis > Bezbednosna podešavanja > LSC.

Možete da kontrolišete pristup na meni Postavke korišćenjem polja Pristup za postavke u Cisco Unified Communications Manager Administration.

5

Unesite string za proveru identiteta i izaberite Pošalji.

Telefon počinje da instalira ažuriranje, ili da uklanja LSC, u zavisnosti od konfiguracije CAPF. Kada se procedura kompletira, na telefonu se prikazuje Instalirano ili Nije instalirano.

Instalacija LSC, ažuriranje ili postupak uklanjanja mogu da potraju dugo dok se ne kompletiraju.

Kada je procedura instalacije telefona uspešna, pojavljuje se poruka Instalirano. Ako telefon prikaže Nije instalirano, tada niz za autorizaciju možda nije tačan ili nadogradnja telefona možda nije omogućena. Ako CAPF operacija obriše LSC, telefon prikazuje Nije instalirano što označava da je operacija uspešna. CAPF server beleži poruke grešaka. Pogledajte dokumentaciju CAPF servera da biste locirali zapise i da shvatite značenje poruka grešaka.

Omogući FIPS režim

1

Iz Cisco Unified Communications Manager Administration, izaberite opciju Uređaj > Telefon i locirajte telefon.

2

Idite do oblasti Konfiguracija specifičnog proizvoda.

3

Podesite polje FIPS režim na Omogućeno.

4

Izaberite Sačuvaj.

5

Izaberite Primeni konfiguraciju.

6

Restartuj telefon.

Isključite spikerfon, slušalice i slušalicu na telefonu

Imate opcije da trajno isključite spikerfon, slušalice i slušalicu na telefonu za vašeg korisnika.

1

Iz Cisco Unified Communications Manager Administration, izaberite opciju Uređaj > Telefon i locirajte telefon.

2

Idite do oblasti Konfiguracija specifičnog proizvoda.

3

Označite jedno ili više sledećih polja za potvrdu da biste isključili mogućnosti telefona:

  • Onemogućavanje spikerfonu
  • Onemogućite spikerfon i slušalice
  • Onemogućavanje slušalice

Po defaultu, ova polja za potvrdu su neoznačena.

4

Izaberite Sačuvaj.

5

Izaberite Primeni konfiguraciju.

802.1X autentifikacija

Cisco IP telefoni podržavaju 802.1X autentifikaciju.

Cisco IP telefoni i Cisco Catalyst svičevi tradicionalno koriste Cisco Discovery Protocol (CDP) za međusobnu identifikaciju i određivanje parametara kao što je VLAN alokacija i zahtevi za dovodno napajanje. CDP ne identifikuje lokalno priključene radne stanice. Cisco IP telefoni obezbeđuju EAPOL prolazni mehanizam. Ovaj mehanizam omogućava da radna stanica zakačena na Cisco IP telefon prosledi EAPOL poruke na 802.1X autentifikator na LAN sviču. Prolazni mehanizam osigurava da IP telefon ne deluje kao LAN svič za autentifikaciju podataka na krajnjoj tački pre pristupa mreži.

Cisco IP telefoni takođe obezbeđuju proksi za EAPOL mehanizam za odjavu. Ako se lokalno priključen računar isključi sa IP telefona, LAN svič ne vidi neispravnost fizičke veze jer se veza između LAN sviča i IP telefona održava. Da biste izbegli ugrožavanje integriteta mreže, IP telefon šalje EAPOL poruku za odjavu na svič u ime računara u donjem toku, što aktivira LAN svič da ukloni unos za autentifikaciju za računar u donjem toku.

Podrška za 802.1X autentifikaciju zahteva nekoliko komponenti:

  • Cisco IP telefon: Telefon pokreće zahtev za pristup na mrežu. Cisco IP telefoni sadrže 802.1X dodatak. Ovaj dodatak omogućava administratoru mreže da kontroliše konektivnost IP telefona na LAN portove sviča. Trenutno izdanje za dodatak za telefon 802.1X koristi EAP-FAST i EAP-TLS opcije za autentifikaciju mreže.

  • Server za autentifikaciju: Server za autentifikaciju i prekidač moraju biti konfigurisani sa zajedničkom tajnom koja potvrđuje autentičnost telefona.

  • Svič: Svič mora da podržava 802.1X, tako da može da deluje kao autentifikator i prosledi poruke između telefona i servera za autentifikaciju. Nakon završetka razmene, svič odobrava ili odbija pristup telefona na mrežu.

Morate da obavite sledeće postupke da biste podesili 802.1X.

  • Podesite druge komponente pre nego što omogućite 802.1X autentifikaciju na telefonu.

  • Podešavanje porta računara: Standard 802.1X ne razmatra VLAN-ove i zbog toga je preporučeno da samo jedan uređaj treba da se potvrdi za određeni port sviča. Ipak, neki svičevi podržavaju autentifikaciju za više domena. Konfiguracija sviča određuje da li možete da povežete računar na port za računar na telefonu.

    • Omogućeno: Ako koristite svič koji podržava autentifikaciju preko više domena, možete da omogućite port za računar i da povežete računar na njega. U ovom slučaju, Cisco IP telefoni podržavaju proksi EAPOL odjavu za nadzor razmena za autentifikaciju između sviča i priključenog računara.

      Za više informacija o IEEE 802.1X podršci na Cisco Catalyst svičevima, pogledajte vodič za konfiguraciju Cisco Catalyst sviča na:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogućeno: Ako svič ne podržava više uređaja usklađenih sa 802.1X na istom portu, treba da onemogućite port računara kada je omogućena 802.1X autentifikacija. Ako ne onemogućite ovaj port i zatim pokušate da priključite računar na njega, svič odbija pristup na mrežu za telefon i računar.

  • Podešavanje govornog VLAN: Pošto se 802.1X standard ne računa za VLAN-ove, potrebno je da podesite ovu postavku na osnovu podrške za svič.
    • Omogućeno: Ako koristite svič koji podržava autentifikaciju preko više domena, možete da nastavite da koristite govorni VLAN.
    • Onemogućeno: Ako svič ne podržava autentifikaciju za više uređaja, onemogućite govorni VLAN i razmislite da dodelite port na prirodni VLAN.
  • (Samo za Cisco Desk Phone 9800 seriju)

    Cisco Desk Phone KSNUMKS serija ima drugačiji prefiks u PID-u od onog za druge Cisco telefone. Da biste omogućili svom telefonu da prođe 802.1X autentifikaciju, podesite Radius· Parametar korisničkog imena koji uključuje vaš Cisco Desk Phone KSNUMKS seriju.

    Na primer, PID telefona 9841 je DP-9841; možete podesiti Radius· Korisničko ime za početak sa DP ili sadrži DP. Možete ga podesiti u oba sledeća odeljka:

    • Politika > uslovi > Uslovi biblioteke

    • Politika > Skupovi politika > Politika ovlašćenja> Pravilo ovlašćenja 1

Omogući 802.1X autentifikaciju

Možete da omogućite 802.1X autentifikaciju za svoj telefon prateći ove korake:

1

Podešavanja štampe the Settings hard key.

2

Ako se to od vas zatraži, unesite lozinku za pristup meniju Podešavanja . Lozinku možete dobiti od svog administratora.

3

Idite na Mreža i servis> Bezbednosna podešavanja > 802.1Ks Autentifikacija.

4

Uključite IEEE 802.1Ks autentifikaciju.

5

Izaberite Appli.

Pogledaj informacije o bezbednosnim podešavanjima na telefonu

Možete da vidite informacije o bezbednosnim podešavanjima u meniju telefona. Dostupnost informacija zavisi od mrežnih postavki u vašoj organizaciji.

1

Podešavanja štampe the Settings key.

2

Idite na Mreža i servis> Bezbednosna podešavanja.

3

U bezbednosnim podešavanjima pogledajte sledeće informacije.

Tabela 4. Parametri za bezbednosne postavke

Parametri

Opis

Režim bezbednosti

Prikazuje bezbednosni režim koji se podešava za telefon.

LSC

Označava da li je lokalno značajan sertifikat koji se koristi za sigurnosne funkcije instaliran na telefonu (Da) ili nije instaliran na telefonu (Ne).

Lista poverenja

Lista poverenja obezbeđuje podmenije za CTL, ITL i Signed Configuration datoteke.

Podmeni CTL fajl prikazuje sadržaj CTL datoteke. Podmeni ITL File prikazuje sadržaj ITL datoteke.

Meni Trust List takođe prikazuje sledeće informacije:

  • CTL Potpis: SHA1 hash CTL datoteke
  • Unified CM / TFTP Server: ime Cisco Unified Communications Manager i TFTP Server koji telefon koristi. Prikazuje ikonu sertifikata ako je sertifikat instaliran za ovaj server.
  • CAPF Server: ime CAPF servera koji telefon koristi. Prikazuje ikonu sertifikata ako je sertifikat instaliran za ovaj server.
  • SRST ruter: IP adresa pouzdanog SRST rutera koji telefon može koristiti. Prikazuje ikonu sertifikata ako je sertifikat instaliran za ovaj server.

Bezbednost za telefonski poziv

Kada je bezbednost implementirana za telefon, možete da identifikujete bezbedne telefonske pozive preko ikona na ekranu telefona. Takođe možete da odredite da lije povezan telefon bezbedan i zaštićen ako se bezbednosni ton reprodukuje na početku poziva.

U bezbednom pozivu, sve signalizacije za poziv i tokovi medija su šifrovani. Bezbedan poziv nudi visok nivo bezbednosti, pružajući integritet i privatnost za poziv. Kada je poziv u toku šifrovan, možete videti ikonu bezbednosti Ikona zaključavanja za siguran poziv Na liniji. Za siguran telefon, takođe možete da vidite ikonu autentifikovane Ili šifrovana ikona Pored povezanog servera u meniju telefona (Podešavanja > O ovom uređaju).

Ako je poziv preusmeren preko etapa poziva koji nisu IP etape, na primer, PSTN, poziv možda nije bezbedan čak iako je šifrovan u okviru IP mreže i ima ikonu za zaključavanje koja je povezana sa njim.

U bezbednom pozivu, bezbedni ton se reprodukuje na početku poziva kao indikacija da drugi povezani telefon takođe dobija i šalje bezbedni zvuk. Ako se vaš poziv poveže na telefon koji nije bezbedan bezbednosni ton se ne reprodukuje.

Bezbedno pozivanje podržano je za konekcije samo između dva telefona. Neke funkcije, kao što je konferencijsko pozivanje i zajedničke linije, nije dostupno kada se bezbedno pozivanje podesi.

Kada je telefon konfigurisan kao siguran (šifrovan i pouzdan) u Cisco Unified Communications Manager, može se dati Zaštićeni Status. Nakon toga, ako želite, zaštićeni telefon može da se podesi za reprodukciju tona za indikaciju na početku poziva:

  • Zaštićeni uređaj: Za promenu statusa bezbednog telefona u zaštićeni, obeležite okvir za potvrdu Zaštićeni uređaj u prozoru Konfiguracija telefona u Cisco Unified Communications Manager Administration (Uređaj > Telefon).

  • Reprodukcija tona za indikaciju bezbednosti: Da biste omogućili da zaštićeni telefon reprodukuje ton za indikaciju za bezbednost ili nebezbednost, podesite postavku za reprodukuj ton za indikaciju bezbednosti na Tačno. Podrazumevano, opcija reprodukcija tona za indikaciju bezbednosti je podešena na netačno. Ovu opciju podešavate u Cisco Unified Communications Manager Administration (Sistem > Parametri usluge). Izaberite server i zatim uslugu Unified Communications Manager. U prozoru konfiguracija servisnih parametara, izaberite opciju u oblasti Funkcija - Bezbedni ton. Podrazumevano je Netačno.

Identifikacija bezbednog konferencijskog poziva

Možete da pokrenete bezbedni konferencijski poziv i da nadgledate nivo učesnika. Bezbedan konferencijski poziv se uspostavlja korišćenjem ovog procesa:

  1. Korisnik pokreće konferenciju preko bezbednog telefona.

  2. Cisco Unified Communications Manager dodeljuje bezbedan konferencijski most na poziv.

  3. Dok se učesnici dodaju, Cisco Unified Communications Manager potvrđuje režim bezbednosti za svaki telefon i održava bezbedan nivo za konferenciju.

  4. Telefon prikazuje nivo bezbednosti za konferencijski poziv. Sigurna konferencija prikazuje sigurnu ikonu Ikona zaključavanja za siguran poziv.

Bezbedno pozivanje podržano je za konekcije između dva telefona. Za zaštićene telefone, neke funkcije, kao što je konferencijsko pozivanje, zajedničke linije i mobilnost lokala, nisu dostupne kada se podesi bezbedno pozivanje.

Sledeća tabela obezbeđuje informacije o promenama nivoa konferencijske bezbednosti na nivou bezbednosti za telefon koji pokreće poziv, nivoe bezbednosti učenika i dostupnost bezbednih konferencijskih mostova.

Tabela 5. Bezbednosna ograničenja za konferencijske pozive

Bezbednosni nivo telefona koji pokreće poziv

Korišćenja funkcija

Nivo bezbednosti učesnika

Rezultati akcije

Nebezbedno

Konferencija

Bezbedno

Nebezbedan konferencijski most

Nebezbedna konferencija

Bezbedno

Konferencija

Bar jedan član nije bezbedan.

Bezbedan konferencijski most

Nebezbedna konferencija

Bezbedno

Konferencija

Bezbedno

Bezbedan konferencijski most

Bezbedan šifrovani nivo konferencije

Nebezbedno

Meet Me

Minimalni nivo bezbednosti je šifrovano.

Pokretač dobija poruku Ne ispunjava nivo bezbednosti, poziv odbijen.

Bezbedno

Meet Me

Minimalni nivo bezbednosti je nebezbedno.

Bezbedan konferencijski most

Konferencija prihvata sve pozive.

Identifikacija poziva za bezbedan telefon

Bezbedan poziv je uspostavljen kada vaš telefon i telefon na drugoj strani bude podešen za bezbedno pozivanje. Drugi telefon može da bude isto u Cisco IP mreži ili na mreži van IP mreže. Bezbedni pozivi mogu da se obave samo između dva telefona. Konferencijski pozivi treba da podržavaju bezbedan poziv nakon što se bezbedni konferencijski most postavi.

Bezbedan poziv se uspostavlja korišćenjem ovog procesa:

  1. Korisnik pokreće poziv preko bezbednog telefona (osiguran režim bezbednosti).

  2. Telefon prikazuje sigurnu ikonu Ikona zaključavanja za siguran poziv Na ekranu telefona. Ova ikona označava da je telefon podešen za bezbedne pozive ali to ne znači da je drugi povezan telefon takođe osiguran.

  3. Korisnik čuje bezbednosni ton ako se poziv poveže na drugi bezbedan telefon, što označava da su oba kraja konverzacije šifrovana i osigurana. Ako se poziv poveže na nebezbedan telefon, korisnik ne čuje bezbednosni ton.

Bezbedno pozivanje podržano je za konekcije između dva telefona. Za zaštićene telefone, neke funkcije, kao što je konferencijsko pozivanje, zajedničke linije i mobilnost lokala, nisu dostupne kada se podesi bezbedno pozivanje.

Samo zaštićeni telefoni reprodukuju tonove za indikaciju bezbednog i nebezbednog. Nezaštićeni telefoni nikad ne reprodukuju tonove. Ako se ukupni status poziva promeni tokom poziva, ton za indikaciju se menja i zaštićeni telefon reprodukkuje odgovarajući ton.

Zaštićeni telefon reprodukuje ton ili ne pod sledećim okolnostima:

  • Kada je opcija reprodukcija tona za indikaciju bezbednosti omogućena:

    • Kada je kompletna bezbednost medija uspostavljena i status poziva je obezbeđen, telefon reprodukuje ton za indikaciju bezbednosti (tri duga bipa sa pauzama).

    • Kada je kompletna nebezbednost medija uspostavljena i status poziva nije obezbeđen, telefon reprodukuje ton za indikaciju nebezbednosti (šest kratkih bipova sa kratkim pauzama).

Ako je opcija za reprodukciju tona za indikaciju bezbednosti onemogućena, nema reprodukcije tona.

Obezbedite enkripciju za baržu

Cisco Unified Communications Manager proverava bezbednosni status telefona kada se uspostave konferencije i menja bezbednosnu indikaciju za konferenciju ili blokira završetak poziva kako bi se održao integritet i sigurnost u sistemu.

Korisnik ne može da upadne u šifrovani poziv ako telefon koji se koristi za barge nije konfigurisan za šifrovanje. Kada barža ne uspe u ovom slučaju, reorder (brzo zauzet) ton svira na telefonu da je barža pokrenuta.

Ako je telefon inicijatora konfigurisan za šifrovanje, inicijator barže može da upadne u nesiguran poziv sa šifrovanog telefona. Nakon što dođe do barže, Cisco Unified Communications Manager klasifikuje poziv kao nesiguran.

Ako je telefon inicijatora konfigurisan za enkripciju, inicijator barže može da upadne u šifrovani poziv, a telefon pokazuje da je poziv šifrovan.

WLAN bezbednost

Ovaj odeljak se primenjuje samo na modele telefona sa Wi-Fi mogućnošću.

WLAN bezbednost

Pošto svi WLAN uređaji koji su u okviru opsega mogu da primaju drugi WLAN saobraćaj, osiguravanje glasovne komunikacije je od presudnog značaja za WLAN-ove. Da bi se osiguralo da uljezi ne manipulišu niti presreću glasovni saobraćaj, Cisco SAFE Securiti arhitektura podržava telefon. Za više informacija o bezbednosti na mrežama, pogledajte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco bežična IP telefonija rešenje obezbeđuje bezbednost bežične mreže koja sprečava neovlašćene prijave i kompromitovane komunikacije pomoću sledećih metoda autentifikacije koje telefon podržava:

  • Otvorena autentifikacija: Bilo koji bežični uređaj može da zahteva autentifikaciju u otvorenom sistemu. AP koji dobija zahtev može da odobri autentifikaciju za bilo kog podnosioca zahteva ili samo za podnosioce zahteva koji se nalaze na listi korisnika. Komunikacija između bežičnog uređaja i pristupne tačke (AP) može biti nešifrovana.

  • Proširivi protokol za autentifikaciju-Fleksibilan autentifikacija putem sigurnog tuneliranja (EAP-FAST) Autentifikacija: Ova sigurnosna arhitektura klijent-server šifrira EAP transakcije unutar tunela Transport Level Securiti (TLS) između AP-a i RADIUS servera, kao što je Identiti Services Engine (ISE).

    TLS tunel koristi akreditive za zaštićeni pristup (PAC-ovi) za autentifikaciju između klijenta (telefon) i RADIUS servera. Server šalje ID autoriteta (AID) za klijenta (telefon) koji zauzvrat bira odgovarajući PAC. Klijent (telefon) donosi PAC-Opaque na RADIUS server. Server dešifruje PAC uz primarni ključ. Obe krajnje tačke sada sadrže PAC ključ i kreira se TLS tunel. EAP-FAST podrža automatsko obezbeđivanje PAC, ali to morate da omogućite na RADIUS server.

    U ISE-u, po defaultu, PAC ističe za nedelju dana. Ako telefon ima istekli PAC, autentifikacija preko RADIUS servera traje duže dok telefon dobije novi PAC. Da biste izbegli kašnjenja za dobijanje PAC, podesite period za istek PAC-a na 90 dana ili duže na ISE ili RADIUS serveru.

  • Protokol za autentifikaciju lokala-Autentifikacija transportnog sloja bezbednosti (EAP-TLS): EAP-TLS zahteva sertifikat klijenta za autentifikaciju i mrežni pristup. Za bežični EAP-TLS, sertifikat klijenta može biti MIC, LSC ili korisnički instaliran sertifikat.

  • Zaštićeni protokol autntifikacije lokala (PEAP): Cisco šema za zajedničku autentifikaciju zasnovana na lozinci između klijenta (telefon) i RADIUS servera. Telefon može da koristi PEAP za proveru identiteta sa bežične mreže. Oba metoda autentifikacije, PEAP-MSCHAPV2 i PEAP-GTC, su podržani.

  • Pre-Shared Kei (PSK): Telefon podržava ASCII format. Morate koristiti ovaj format prilikom postavljanja WPA / VPA2 / SAE unapred podeljenog ključa:

    ASCII: niz ASCII karaktera sa 8 do 63 karaktera dužine (0-9, mala i velika slova A-Z i specijalni znaci)

    Primer : GREG123567@9ZX&V

Sledeće šeme za autentifikaciju koriste RADIUS server za upravljanje autentifikacionim ključevima:

  • WPA / VPA2 / VPA3: Koristi informacije o RADIUS serveru za generisanje jedinstvenih ključeva za autentifikaciju. Pošto se ovi ključevi generišu na centralizovanom RADIUS serveru, WPA2/WPA3 pruža više bezbednosti od WPA unapred podeljenih ključeva koji su sačuvani na AP i telefonu.

  • Brzi bezbedni roming: Koristi informacije za RADIUS server i server bežičnog domena (WDS) za upravljanje i autentifikaciji ključeva. VDS stvara keš bezbednosnih akreditiva za FT-omogućene klijentske uređaje za brzu i sigurnu ponovnu autentifikaciju. Cisco Desk Phone 9861 i 9871 i Cisco Video Phone 8875 podrška 802.11r (FT). I preko vazduha i preko DS-a su podržani kako bi se omogućilo brzo i sigurno roming. Ali snažno preporučujemo korišćenje 802.11r (FT) metode za emitovanje.

Sa WPA / VPA2 / VPA3, ključevi za šifrovanje se ne unose na telefon, već se automatski izvode između AP i telefona. Ali EAP korisničko ime i lozinka koji se koriste za autentifikaciju moraju da se unesu na svaki telefon.

Da bi se osiguralo da je glasovni saobraćaj siguran, telefon podržava TKIP i AES za šifrovanje. Kada se ovi mehanizmi koriste za enkripciju, i signalni SIP paketi i glasovni Real-Time Transport Protocol (RTP) paketi su šifrovani između AP-a i telefona.

TKIP

WPA koristi TKIP enkripciju koja ima nekoliko poboljšanja u odnosu na WEP. TKIP pruža šifrovanje ključa po paketu i dužu inicijalizaciju vektora (IV-ovi) koji ojačavaju šifrovanje. Pored toga, provera integriteta poruke (MIC) osigurava da šifrovani paketi nisu izmenjeni. TKIP uklanja prediktabilnost za WEP koja omaže uljezima da dešifruju WEP ključ.

AES

Metod šifrovanja koji se koristi za VPA2 / VPA3 autentifikaciju. Nacionalni standardi za šifrovanje koriste simetrični algoritam koji ima isti ključ zta šifrovanje i dešifrovanje. AES koristi šifrovanje lanca za blok šifrovanje (CBC) veličine od 128 bitova, koji podržavaju veličine ključa od 128 bitova, 192 bita i 256 bitova, kao minimum. Telefon podržava veličinu ključa od 256 bita.

Cisco Desk Phone 9861 i 9871 i Cisco Video Phone 8875 ne podržavaju Cisco Kei Integrity Protocol (CKIP) sa CMIC-om.

Šeme za autentifikaciju i šifrovanje podešavaju se u okviru bežičnog LAN. VLAN-ovi se podešavaju na mreži i na AP-ovima i navode različite kombinacije za autentifikaciju i šifrovanje. SSID se pridružuje sa VLAN i određenoj autentifikaciji i šemi šifrovanja. Da bi se bežični klijentski uređaji uspešno autentifikovali, morate konfigurisati iste SSID-ove sa njihovim šemama autentifikacije i šifrovanja na AP-ovima i na telefonu.

Iste šeme za autentifikaciju zahtevaju specifične tipove šifrovanja.

  • Kada koristite WPA unapred deljeni ključ, VPA2 unapred deljeni ključ ili SAE, unapred deljeni ključ mora biti statički postavljen na telefonu. Ovi ključevi moraju da odgovaraju ključevima koji su na AP.

  • Telefon podržava automatsko EAP pregovaranje za FAST ili PEAP, ali ne i za TLS. Za EAP-TLS režim, morate ga odrediti.

Šeme za autentifikaciju i šifrovanje u sledećoj tabeli prikazuju opcije konfiguracije mreže za telefon koji odgovara AP konfiguraciji.

Tabela 6. Šeme za autentifikaciju i šifrovanje
FSR TipPotvrdu identitetaMenadžment ključevaŠifrovanjeZaštićeni okvir za upravljanje (PMF)
802.11r (FT)PSK

Srpskohrvatski / srpskohrvatski

WPA-PSK-SHA256

Srpskohrvatski / srpskohrvatski

AESNe
802.11r (FT)WPA3

SAE

Srpskohrvatski / srpskohrvatski

AESDa
802.11r (FT)EAP-TLS

WPA-EAP

Srpskohrvatski / srpskohrvatski

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

Srpskohrvatski / srpskohrvatski

AESDa
802.11r (FT)EAP-FAST

WPA-EAP

Srpskohrvatski / srpskohrvatski

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

Srpskohrvatski / srpskohrvatski

AESDa
802.11r (FT)EAP-PEAP

WPA-EAP

Srpskohrvatski / srpskohrvatski

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

Srpskohrvatski / srpskohrvatski

AESDa

Podešavanje bežičnog LAN profila

Svojim profilom bežične mreže možete da upravljate tako što ćete konfigurisati akreditive, frekvencijski opseg, metod autentifikacije itd.

Imajte na umu sledeće napomene pre nego što konfigurišete WLAN profil:

  • Korisničko ime i lozinka

    • Kada vaša mreža koristi EAP-FAST i PEAP za autentifikaciju korisnika, morate da konfigurišete i korisničko ime i lozinku ako je potrebno na korisničkom servisu za daljinsku autentifikaciju (RADIUS) i na telefonu.

    • Akreditivi koje unosite u profil bežične LAN mreže moraju biti identični sa akreditivima koje ste konfigurisali na RADIUS serveru.

    • Ako koristite domene u okviru svoje mreže, morate uneti korisničko ime sa imenom domena, u formatu: domen\korisničko ime.

  • Sledeće radnje mogu dovesti do brisanja postojeće Wi-Fi lozinke:

    • Unošenje pogrešnog korisničkog id ili lozinke
    • Instalacija pogrešnog ili isteklog korenskog CA kada se EAP tip podesi na PEAP-MSCHAPV2 ili PEAP-GTC
    • Onemogućavanje tokom upotrebe za EAP tip na RADIUS serveru pre promene telefona na novi EAP tip
  • Da biste promenili EAP tip, osigurajte da ste prvo omogućili novi EAP tip na RADIUS serveru, a zatim promenite telefon na EAP tip. Kada se svi telefoni promene na novi EAP tip, možete da omogućite prethodni EAP tip ako želite.
1

Iz Cisco Unified Communications Manager Administration, izaberite opciju Uređaj > Postavke uređaja > Bežični LAN profil.

2

Izaberite mrežni profil koji želite da konfigurišete.

3

Postavite parametre.

4

Kliknite na dugme Sačuvaj.

Ručna instalacija sertifikata za autentifikaciju servera

Možete ručno da instalirate sertifikat servera za autentifikaciju na telefon ako jednostavan protokol za registraciju sertifikata (SCEP) nije dostupan.

Root CA sertifikat koji je izdao sertifikat RADIUS servera mora biti instaliran za EAP-TLS.

Pre nego što počnete

Pre nego što možete da instalirate sertifikat na telefon, morate da imate sertifikat servera za autentifikaciju sačuvan na računaru. Sertifikat mora da bude kodiran u PEM (Base-64) ili DER.

1

Na administracionoj veb stranici telefona, izaberite opciju Sertifikati.

2

Locirajte polje Autentifikacioni server CA i kliknite na Instalacija.

3

Dođite do sertifikata na računaru.

4

Kliknite da biste otpremili.

5

Ponovo pokrenite telefon nakon što se otpremanje završi.

Ako ponovo instalirate više od jednog sertifikata, koristiće se samo poslednji instalirani.

Ručna instalacija sertifikata korisnika

Možete ručno da instalirate sertifikat korisnika na telefon ako jednostavan protokol za registraciju sertifikata (SCEP) nije dostupan.

Unapred instalirani sertifikat o proizvodnji (MIC) može se koristiti kao korisnički sertifikat za EAP-TLS.

Nakon instalacija sertifikata korisnika, dodjate ga na listu poverenja RADIUS servera.

Pre nego što počnete

Pre nego što možete da instalirate sertifikat korisnika za telefon, morate da imate:

  • Sertifikat korisnika sačubvan na vašem računaru. Sertifikat mora da bude u formatu PKCS #12.

  • Lozinka za ekstrakciju sertifikata.

    Ova lozinka može biti dugačka do 16 znakova.

1

Na administracionoj veb stranici telefona, izaberite opciju Sertifikati.

2

Locirajte polje Instalirano od strane korisnika i kliknite na Instalacija.

3

Dođite do sertifikata na računaru.

4

U polju Ekstrakcija lozinke unesite lozinku za ekstrakciju sertifikata.

5

Kliknite da biste otpremili.

6

Ponovo pokrenite telefon nakon što se otpremanje završi.

Ručno uklanjanje sertifikata za bezbednost

Možete ručno da uklonite sertifikat za bezbednost sa telefona ako jednostavan protokol za registraciju sertifikata (SCEP) nije dostupan.

1

Na administracionoj veb stranici telefona, izaberite opciju Sertifikati.

2

Pronađite sertifikat na stranici Sertifikati.

3

Kliknite na dugme Obriši.

4

Ponovo pokrenite telefon nakon obavljanja postupka brisanja.

Podešavanje SCEP parametara

SCEP (Simple Certificate Enrollment Protocol) je standard za automatsko obezbeđivanje i obnavljanje certifikata. SCEP server može da automatski održava vaše sertifikate za korisnika i server.

Morate da podesite sledeće SCEP parametre na veb stranici vašeg telefona

  • RA IP adresa

  • SHA-1 ili SHA-256 otisak prsta korenskog CA sertifikata za SCEP server

Cisco IOS registracioni organ (RA) služi kao proksi za SCEP server. SCEP klijent na telefonu koristi parametre koji su preuzeti sa Cisco Unified Communication Manager. Nakon što konfigurišete parametre, telefon šalje zahtev SCEP getcs na RA, a root CA sertifikat se potvrđuje pomoću definisanog otiska prsta.

Pre nego što počnete

Na SCEP serveru, podesite SCEP registracionog agenta (RA) na:

  • Deluje kao PKI tačka poverenja
  • Deluje kao PKI RA
  • Obavite autentifikaciju uređaja korišćenjem RADIUS servera

Za više informacija, pogledajte dokumentaciju SCEP servera.

1

Iz stavke Cisco Unified Communications Manager Administration, izaberite opciju Uređaj > Telefon.

2

Lociranje telefona.

3

Listajte do oblasti Raspored konfiguracije specifičnog proizvoda.

4

Označite WLAN SCEP Server polje za potvrdu da biste aktivirali SCEP parametar.

5

Obeležite okvir za potvrdu WLAN Root CA Fingerprint(SHA256 or SHA1) da biste aktivirali SCEP QED parametar.

Podesite podržane verzije TLS-a

Možete podesiti minimalnu verziju TLS-a koja je potrebna za klijenta i server.

Podrazumevano, minimalna TLS verzija servera i klijenta je i KSNUMKS. Postavka utiče na sledeće funkcije:

  • HTTPS veb pristupna veza
  • Uključivanje telefona u prostorijama
  • Uključivanje za mobilni i Remote Access (MRA)
  • HTTPS usluge, kao što su usluge direktorijuma
  • Datagram Transport Laier Securiti (DTLS)
  • Entitet pristupa lukama (PAE)
  • Proširivi protokol za autentifikaciju-bezbednost transportnog sloja (EAP-TLS)

Za više informacija o TLS KSNUMKS kompatibilnosti za Cisco IP Phones, pogledajteTLS KSNUMKS Matrica kompatibilnosti za Cisco proizvode za saradnju.

1

Prijavite se u Cisco Unified Communications Manager Administration kao administrator.

2

Idite na jedan od sledećih prozora:

  • Sistem > Konfiguracija telefona za preduzeće
  • Podešavanja uređaja > uređaja> zajednički profil telefona
  • Konfiguracija uređaja > telefona > telefona
3

Podesite polje TLS klijenta Min Version :

Opcija "TLS 1.3" je dostupna na Cisco Unified CM 15SU2 ili kasnije.
  • TLS 1.1: TLS klijent podržava verzije TLS-a od 1.1 do 1.3.

    Ako je TLS verzija na serveru niža od 1.1, na primer, 1.0, onda se veza ne može uspostaviti.

  • TLS 1.2 (podrazumevano): TLS klijent podržava TLS 1.2 i 1.3.

    Ako je TLS verzija na serveru niža od 1.2, na primer, 1.1 ili 1.0, onda se veza ne može uspostaviti.

  • TLS 1.3: TLS klijent podržava samo TLS 1.3.

    Ako je TLS verzija na serveru niža od 1.3, na primer, 1.2, 1.1 ili 1.0, onda se veza ne može uspostaviti.

4

Podesite polje TLS Server Min Version :

  • TLS 1.1: TLS server podržava verzije TLS-a od 1.1 do 1.3.

    Ako je TLS verzija u klijentu niža od 1.1, na primer, 1.0, onda se veza ne može uspostaviti.

  • TLS 1.2 (podrazumevano): TLS server podržava TLS 1.2 i 1.3.

    Ako je TLS verzija u klijentu niža od 1.2, na primer, 1.1 ili 1.0, onda se veza ne može uspostaviti.

  • TLS 1.3: TLS server podržava samo TLS 1.3.

    Ako je TLS verzija u klijentu niža od 1.3, na primer, 1.2, 1.1 ili 1.0, onda se veza ne može uspostaviti.

Od izdanja PhoneOS 3.2, podešavanje polja "Onemogući TLS 1.0 i TLS 1.1 za Veb pristup" ne utiče na telefone.
5

Kliknite na dugme Sačuvaj.

6

Kliknite na dugme Primeni Config.

7

Ponovo pokrenite telefone.

Osigurane usluge SIP

Osigurane usluge SIP (AS-SIP) je zbirka funkcija i protokola koji nude visoko siguran protok poziva za Cisco IP Phones i telefone nezavisnih proizvođača. Sledeće karakteristike su kolektivno poznate kao AS-SIP:

  • Višeslojni prvenstvo i preemptija (MLPP)
  • Kodna tačka diferenciranih usluga (DSCP)
  • Bezbednost transportnog sloja (TLS) i Secure Real-time Transport Protocol (SRTP)
  • Internet protokol verzija 6 (IPv6)

AS-SIP se često koristi sa Multilevel Precedence and Preemption (MLPP) za određivanje prioriteta poziva tokom vanrednog stanja. Sa MLPP-om, dodeljujete nivo prioriteta svojim odlaznim pozivima, od nivoa 1 (nizak) do nivoa 5 (visok). Kada primite poziv, na telefonu se prikazuje ikona nivoa prvenstva koja prikazuje prioritet poziva.

Da biste konfigurisali AS-SIP, završite sledeće zadatke na Cisco Unified Communications Manager:

  • Konfigurišite Digest korisnika – Konfigurišite krajnjeg korisnika da koristi digest autentifikaciju za SIP zahteve.
  • Konfigurišite SIP Phone Secure Port - Cisco Unified Communications Manager koristi ovaj port za slušanje SIP telefona za registraciju SIP linija preko TLS-a.
  • Restart Services – Nakon konfigurisanja sigurnog porta, ponovo pokrenite Cisco Unified Communications Manager i Cisco CTL Provider usluge. Konfigurišite SIP profil za AS-SIP - Konfigurišite SIP profil sa SIP postavkama za vaše AS-SIP krajnje tačke i za vaše SIP debla. Parametri specifični za telefon se ne preuzimaju na AS-SIP telefon treće strane. Koristi ih samo Cisco Unified Manager. Telefoni nezavisnih proizvođača moraju lokalno konfigurisati iste postavke.
  • Konfigurišite bezbednosni profil telefona za AS-SIP – možete koristiti sigurnosni profil telefona za dodeljivanje bezbednosnih postavki kao što su TLS, SRTP i provera autentičnosti.
  • Konfigurišite AS-SIP Endpoint—Konfigurišite Cisco IP Phone ili krajnju tačku treće strane sa AS-SIP podrškom.
  • Poveži uređaj sa krajnjim korisnikom—Poveži krajnju tačku sa korisnikom.
  • Konfigurišite SIP Aktuelni profil za AS-SIP - Bezbednosni profil SIP prtljažnika možete koristiti za dodeljivanje bezbednosnih funkcija kao što je TLS ili digest autentifikacija SIP prtljažniku.
  • Konfigurišite SIP prtljažnik za AS-SIP - Konfigurišite SIP prtljažnik sa AS-SIP podrškom.
  • Konfigurišite AS-SIP funkcije – Konfigurišite dodatne AS-SIP funkcije kao što su MLPP, TLS, V.150 i IPv6.

Za detaljne informacije o konfigurisanju AS-SIP-a, pogledajte poglavlje "Konfigurišite AS-SIP krajnje tačke" u Vodič za konfiguraciju funkcija za Cisco Unified Communications Manager.

Višeslojni prvenstvo i preemptija

Multilevel Precedence and Preemption (MLPP) vam omogućava da odredite prioritete poziva tokom vanrednih situacija ili drugih kriznih situacija. Vi dodeljujete prioritet svojim odlaznim pozivima koji se kreću od 1 do 5. Dolazni pozivi prikazuju ikonu i prioritet poziva. Autentifikovani korisnici mogu preduhitriti pozive ili na ciljane stanice ili preko potpuno pretplaćenih TDM trunks.

Ova sposobnost obezbeđuje visoko rangirano osoblje komunikacije sa kritičnim organizacijama i osobljem.

MLPP se često koristi sa osiguranim uslugama SIP (AS-SIP). Za detaljne informacije o konfigurisanju MLPP-a, pogledajte poglavlje Konfigurisanje višeslojnog prvenstva i prevencije u Vodič za konfiguraciju funkcija za Cisco Unified Communications Manager.