Säkerhetsfunktionerna skyddar mot hot, inklusive hot mot telefonens identitet och data. Dessa funktioner upprättar och upprätthåller autentiserade kommunikationsströmmar mellan telefonen och Cisco Unified Communications Manager-servern och säkerställer att telefonen endast använder digitalt signerade filer.

Cisco Unified Communications Manager version 8.5 (1) och senare inkluderar säkerhet som standard, vilket ger följande säkerhetsfunktioner för Cisco IP-telefon utan att CTL-klienten körs:

• Signera telefonkonfigurationsfilerna

• Kryptering av telefonkonfigurationsfil

• HTTPS med Tomcat och andra webbtjänster

Implementering av säkerhet i Cisco Unified Communications Manager-systemet förhindrar identitetsstöld av telefonen och Cisco Unified Communications Manager-servern, manipulering av data samt samtalssignalering och medieströmning.

För att minska dessa hot upprättar och upprätthåller Cisco IP-telefoninätverket säkra (krypterade) kommunikationsströmmar mellan en telefon och servern, signerar filer digitalt innan de överförs till en telefon och krypterar medieströmmar och samtalssignalering mellan Cisco IP-telefoner.

Ett LSC (Locally Significant Certificate) installeras på telefoner när du utför de nödvändiga uppgifterna som är kopplade till CAPF (Certificate Authority Proxy Function). Du kan använda Cisco Unified Communications Manager Administration för att konfigurera en LSC enligt beskrivningen i Cisco Unified Communications Manager Security Guide. Alternativt kan du starta installationen av en LSC från menyn Säkerhetsinställningar på telefonen. På den här menyn kan du även uppdatera eller ta bort en LSC.

En LSC kan inte användas som användarcertifikat för EAP-TLS med WLAN-autentisering.

Telefonerna använder telefonens säkerhetsprofil, som anger om enheten är osäker eller säker. Mer information om hur du tillämpar säkerhetsprofilen på telefonen finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.

Om du konfigurerar säkerhetsrelaterade inställningar i Cisco Unified Communications Manager Administration innehåller telefonens konfigurationsfil känslig information. För att säkerställa sekretessen för en konfigurationsfil måste du konfigurera den för kryptering. Mer information finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.

Telefonen uppfyller FIPS (Federal Information Processing Standard). För att fungera korrekt kräver FIPS-läget en nyckelstorlek på 2048 bitar eller mer. Om certifikatet är mindre än 2048 bitar registreras inte telefonen i Cisco Unified Communications Manager och telefonen kunde inte registreras. Cert-nyckelstorleken är inte FIPS-kompatibel visas på telefonen.

Om telefonen har en LSC måste du uppdatera LSC-nyckelstorleken till 2048 bitar eller mer innan du aktiverar FIPS.

Följande tabell ger en översikt över de säkerhetsfunktioner som telefonerna stöder. Mer information finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.

Om du vill visa säkerhetsläget trycker du på Inställningar och navigerar till Nätverk och tjänst > Säkerhetsinställningar.

Följande tabell innehåller uppdateringsmeddelanden och betydelse för listan över betrodda adresser. Mer information finns i dokumentationen till Cisco Unified Communications Manager.

Menyn Säkerhetsinställning innehåller information om olika säkerhetsinställningar. Menyn ger även åtkomst till menyn Lista över betrodda adresser och anger om CTL- eller ITL-filen är installerad på telefonen.

Följande tabell beskriver alternativen i menyn Säkerhetsinställning.

Cisco IP-telefon har stöd för 802.1X-autentisering.

Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Cisco Discovery Protocol (CDP) för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömkrav. CDP identifierar inte lokalt anslutna arbetsstationer. Cisco IP-telefon tillhandahåller en EAPOL-överföringsmekanism. Med den här mekanismen kan en arbetsstation som är ansluten till en Cisco IP-telefon överföra EAPOL-meddelanden till 802.1X-autentiseraren på LAN-växeln. Överföringsmekanismen säkerställer att IP-telefonen inte fungerar som LAN-växel för att autentisera en dataslutpunkt innan den ansluter till nätverket.

Cisco IP-telefon tillhandahåller även en proxy-EAPOL-logoff-mekanism. Om den lokalt anslutna datorn kopplar från IP-telefonen ser inte LAN-växeln den fysiska länken misslyckas eftersom länken mellan LAN-växeln och IP-telefonen bibehålls. För att undvika att äventyra nätverksintegriteten skickar IP-telefonen ett EAPOL-Logoff-meddelande till växeln på uppdrag av datorn nedströms, vilket utlöser LAN-växeln för att rensa autentiseringsposten för datorn nedströms.

Stöd för 802.1X-autentisering kräver flera komponenter:

• Cisco IP-telefon: Telefonen initierar begäran om åtkomst till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Denna supplikant gör det möjligt för nätverksadministratörer att styra anslutningen av IP-telefoner till LAN-växelportarna. Den aktuella versionen av telefonens 802.1X-supplikant använder alternativen EAP-FAST och EAP-TLS för nätverksautentisering.

• Autentiseringsserver: Autentiseringsservern och växeln måste båda konfigureras med en delad hemlighet som autentiserar telefonen.

• Strömbrytare: Växeln måste ha stöd för 802.1X så att den kan fungera som autentiserare och överföra meddelanden mellan telefonen och autentiseringsservern. När utbytet är klart beviljar eller nekar växeln åtkomst till nätverket för telefonen.

Du måste utföra följande åtgärder för att konfigurera 802.1X.

• Konfigurera de andra komponenterna innan du aktiverar 802.1X-autentisering på telefonen.

• Konfigurera PC-port: 802.1X-standarden tar inte hänsyn till VLAN:er och rekommenderar därför att endast en enhet ska autentiseras till en specifik växelport. Vissa växlar har dock stöd för multidomänautentisering. Växlingskonfigurationen avgör om du kan ansluta en dator till PC-porten på telefonen.

  • Aktiverad: Om du använder en växel som stöder multidomänautentisering kan du aktivera PC-porten och ansluta en dator till den. I det här fallet stöder Cisco IP-telefoner proxy EAPOL-Logoff för att övervaka autentiseringsutbytet mellan växeln och den anslutna datorn.

    Mer information om stöd för IEEE 802.1X på Cisco Catalyst-växlar finns i konfigurationsguiderna för Cisco Catalyst-växlar på:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Inaktiverad: Om växeln inte har stöd för flera 802.1X-kompatibla enheter i samma port bör du inaktivera PC-porten när 802.1X-autentisering är aktiverad. Om du inte inaktiverar den här porten och sedan försöker bifoga en dator till den nekar växeln nätverksåtkomst till både telefonen och datorn.

• Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN:er bör du konfigurera den här inställningen baserat på växelstödet.
  • Aktiverad: Om du använder en växel som stöder multidomänautentisering kan du fortsätta att använda röst-VLAN.
  • Inaktiverad: Om växeln inte har stöd för multidomänautentisering inaktiverar du röst-VLAN och överväg att tilldela porten till det inbyggda VLAN.
• (Endast för Cisco Desk Phone 9800-serien)

  Cisco Desk Phone 9800-serien har ett annat prefix i PID än för andra Cisco-telefoner. Om du vill att telefonen ska skicka 802.1X-autentisering ställer du in parametern Radius·Användarnamn så att den inkluderar din Cisco Desk Phone 9800-serien.

  PID för telefon 9841 är till exempel DP-9841. Du kan ställa in Radius·Användarnamn till Starta med DP eller Innehåller DP. Du kan ställa in det i båda följande avsnitt:

  • Policy > Villkor > Villkor för bibliotek

  • Policy > Policyuppsättningar > Behörighetspolicy > Auktoriseringsregel 1

När säkerhet har implementerats för en telefon kan du identifiera säkra telefonsamtal med hjälp av ikoner på telefonskärmen. Du kan även avgöra om den anslutna telefonen är säker och skyddad om en säkerhetston spelas upp i början av samtalet.

I ett säkert samtal krypteras alla samtalssignaleringar och medieströmmar. Ett säkert samtal ger en hög säkerhetsnivå som ger integritet och integritet till samtalet. När ett pågående samtal är krypterat kan du se den säkra ikonen på linjen. För en säker telefon kan du även visa den autentiserade ikonen eller den krypterade ikonen bredvid den anslutna servern i telefonmenyn (Inställningar > Om den här enheten).

I ett säkert samtal spelas en säkerhetston upp i början av ett samtal för att indikera att den andra anslutna telefonen även tar emot och sänder säkert ljud. Om ditt samtal ansluter till en osäker telefon spelas inte säkerhetstonen upp.

När en telefon är konfigurerad som säker (krypterad och betrodd) i Cisco Unified Communications Manager kan den få en skyddad status. Därefter kan den skyddade telefonen, om så önskas, konfigureras för att spela upp en indikeringston i början av ett samtal:

• Skyddad enhet: Om du vill ändra status för en säker telefon till skyddad markerar du kryssrutan Skyddad enhet i fönstret Telefonkonfiguration i Cisco Unified Communications Manager Administration (Enhet > Telefon).

• Spela upp säkerhetsindikeringston: Om du vill att den skyddade telefonen ska spela upp en indikeringston för säker eller osäker anger du inställningen Spela upp säkerhetsindikeringston som Sant. Som standard är Spela upp säker indikeringston inställd på Falskt. Du ställer in det här alternativet i Cisco Unified Communications Manager Administration (System > Tjänstparametrar). Välj servern och sedan tjänsten Unified Communications Manager. I fönstret Konfiguration av tjänsteparametrar väljer du alternativet i området Funktion – Säker ton. Standardvärdet är Falskt.

Eftersom alla WLAN-enheter som är inom räckhåll kan ta emot all annan WLAN-trafik är det viktigt att säkra röstkommunikation i WLAN. För att säkerställa att inkräktare inte manipulerar eller stoppar rösttrafik har Cisco SAFE Security-arkitekturen stöd för telefonen. Mer information om säkerhet i nätverk finns i http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Ciscos lösning för trådlös IP-telefoni ger säkerhet för trådlösa nätverk som förhindrar obehöriga inloggningar och komprometterad kommunikation genom att använda följande autentiseringsmetoder som telefonen stöder:

• Öppna autentisering: Alla trådlösa enheter kan begära autentisering i ett öppet system. Åtkomstpunkten som tar emot begäran kan bevilja autentisering till alla begäranden eller endast till begäranden som finns på en lista över användare. Kommunikationen mellan den trådlösa enheten och åtkomstpunkten (AP) kan vara okrypterad.

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Den här klientserversäkerhetsarkitekturen krypterar EAP-transaktioner inom en TLS-tunnel (Transport Level Security) mellan åtkomstpunkten och RADIUS-servern, till exempel Identity Services Engine (ISE).

  TLS-tunneln använder PAC (Protected Access Credentials) för autentisering mellan klienten (telefonen) och RADIUS-servern. Servern skickar ett Authority-ID (AID) till klienten (telefon), som i sin tur väljer lämplig PAC. Klienten (telefonen) returnerar en PAC-ogenomskinlig till RADIUS-servern. Servern dekrypterar PAC med den primära nyckeln. Båda slutpunkterna innehåller nu PAC-nyckeln och en TLS-tunnel skapas. EAP-FAST har stöd för automatisk PAC-etablering, men du måste aktivera det på RADIUS-servern.

  I ISE upphör PAC som standard om en vecka. Om telefonen har en utgången PAC tar det längre tid att autentisera med RADIUS-servern medan telefonen får en ny PAC. För att undvika fördröjningar av PAC-etablering kan du ställa in PAC-utgångsperioden till 90 dagar eller längre på ISE- eller RADIUS-servern.

• EAP-TLS-autentisering (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kräver ett klientcertifikat för autentisering och nätverksåtkomst. För trådlös EAP-TLS kan klientcertifikatet vara MIC, LSC eller användarinstallerat certifikat.

• Protected Extensible Authentication Protocol (PEAP): Ciscos egenutvecklad lösenordsbaserad ömsesidig autentisering mellan klienten (telefonen) och en RADIUS-server. Telefonen kan använda PEAP för autentisering med det trådlösa nätverket. Både PEAP-MSCHAPV2- och PEAP-GTC-autentiseringsmetoder stöds.

• I förväg delad nyckel (PSK): Telefonen har stöd för ASCII-format. Du måste använda det här formatet när du konfigurerar en i förväg delad nyckel för WPA/WPA2/SAE:

  ASCII: en ASCII-sträng med 8 till 63 tecken (0-9, gemener och versaler A-Z samt specialtecken)

  Exempel: GREG123567@9ZX&W

Följande autentiseringsscheman använder RADIUS-servern för att hantera autentiseringsnycklar:

• WPA/WPA2/WPA3: Använder RADIUS-serverinformation för att generera unika nycklar för autentisering. Eftersom dessa nycklar genereras på den centraliserade RADIUS-servern ger WPA2/WPA3 mer säkerhet än i förväg delade WPA-nycklar som lagras på åtkomstpunkten och telefonen.

• Snabb och säker roaming: Använder RADIUS-server och information om en trådlös domänserver (WDS) för att hantera och autentisera nycklar. WDS skapar en cache med säkerhetsuppgifter för FT-aktiverade klientenheter för snabb och säker omautentisering. Cisco Desk Phone 9861 och 9871 och Cisco Video Phone 8875 har stöd för 802.11r (FT). Både över luften och över DS stöds för att möjliggöra snabb och säker roaming. Men vi rekommenderar starkt att du använder 802.11r (FT) över luftmetoden.

Med WPA/WPA2/WPA3 anges inte krypteringsnycklarna på telefonen, utan härleds automatiskt mellan åtkomstpunkten och telefonen. Men EAP-användarnamn och lösenord som används för autentisering måste anges på varje telefon.

För att säkerställa att rösttrafiken är säker har telefonen stöd för TKIP och AES för kryptering. När dessa mekanismer används för kryptering krypteras både signalerings-SIP-paket och RTP-paket (Real-Time Transport Protocol) mellan åtkomstpunkten och telefonen.

tkip

WPA använder TKIP-kryptering som har flera förbättringar jämfört med WEP. TKIP tillhandahåller nyckelchiffrering per paket och längre initieringsvektorer (IV:er) som stärker kryptering. Dessutom säkerställer en kontroll av meddelandeintegriteten (MIC) att krypterade paket inte ändras. TKIP tar bort förutsägbarheten för WEP som hjälper inkräktare att dechiffrera WEP-nyckeln.

aes

En krypteringsmetod som används för WPA2-/WPA3-autentisering. Denna nationella standard för kryptering använder en symmetrisk algoritm som har samma nyckel för kryptering och dekryptering. AES använder CBC (Cipher Blocking Chain) kryptering på 128 bitar, som stöder nyckelstorlekar på minst 128 bitar, 192 bitar och 256 bitar. Telefonen stöder en nyckelstorlek på 256 bitar.

Autentiserings- och krypteringsscheman konfigureras i det trådlösa nätverket. VLAN konfigureras i nätverket och på åtkomstpunkterna och anger olika kombinationer av autentisering och kryptering. Ett SSID associeras med ett VLAN och det specifika autentiserings- och krypteringsschemat. För att trådlösa klientenheter ska kunna autentiseras måste du konfigurera samma SSID:er med deras autentiserings- och krypteringsscheman på åtkomstpunkterna och på telefonen.

Vissa autentiseringsscheman kräver specifika typer av kryptering.

Autentiserings- och krypteringsscheman i följande tabell visar alternativen för nätverkskonfiguration för telefonen som motsvarar åtkomstpunktskonfigurationen.

AS-SIP (Assured Services SIP) är en samling funktioner och protokoll som erbjuder ett mycket säkert samtalsflöde för Cisco IP-telefoner och tredjepartstelefoner. Följande funktioner kallas gemensamt för AS-SIP:

• Prioritet och förtur på flera nivåer (MLPP)
• Differentierad tjänstkodpunkt (DSCP)
• TLS (Transport Layer Security) och SRTP (Secure Real-time Transport Protocol)
• Internetprotokollversion 6 (IPv6)

AS-SIP används ofta med MLPP (Multilevel Precedence and Preemption) för att prioritera samtal under en nödsituation. Med MLPP tilldelar du en prioritetsnivå till utgående samtal, från nivå 1 (låg) till nivå 5 (hög). När du får ett samtal visas en ikon för prioritetsnivå på telefonen som visar samtalsprioriteten.

Om du vill konfigurera AS-SIP utför du följande uppgifter i Cisco Unified Communications Manager:

• Konfigurera en sammanfattningsanvändare – konfigurera slutanvändaren att använda sammanfattningsautentisering för SIP-förfrågningar.
• Konfigurera säker port för SIP-telefon – Cisco Unified Communications Manager använder den här porten för att lyssna på SIP-telefoner för SIP-linjeregistreringar över TLS.
• Starta om tjänster – när den säkra porten har konfigurerats startar du om tjänsterna Cisco Unified Communications Manager och Cisco CTL-leverantör. Konfigurera SIP-profil för AS-SIP-konfigurera en SIP-profil med SIP-inställningar för dina AS-SIP-slutpunkter och för dina SIP-trunkar. De telefonspecifika parametrarna hämtas inte till en AS-SIP-telefon från tredje part. De används endast av Cisco Unified Manager. Telefoner från tredje part måste lokalt konfigurera samma inställningar.
• Konfigurera telefonens säkerhetsprofil för AS-SIP – du kan använda telefonens säkerhetsprofil för att tilldela säkerhetsinställningar som TLS, SRTP och digest-autentisering.
• Konfigurera AS-SIP-slutpunkt – konfigurera en Cisco IP-telefon eller en slutpunkt från tredje part med AS-SIP-stöd.
• Associera enheten med slutanvändare – koppla slutpunkten till en användare.
• Konfigurera säkerhetsprofilen för SIP-trunk för AS-SIP – du kan använda säkerhetsprofilen för SIP-trunk för att tilldela säkerhetsfunktioner som TLS eller digest-autentisering till en SIP-trunk.
• Konfigurera SIP-trunk för AS-SIP – konfigurera en SIP-trunk med AS-SIP-stöd.
• Konfigurera AS-SIP-funktioner – konfigurera ytterligare AS-SIP-funktioner som MLPP, TLS, V.150 och IPv6.

Mer information om hur du konfigurerar AS-SIP finns i kapitlet ”Konfigurera AS-SIP-slutpunkter” i Funktionskonfigurationsguide för Cisco Unified Communications Manager.

När tvångsbehörighetskoderna (FAC) eller ärendekoderna (CMC) eller båda har konfigurerats på telefonen måste användarna ange de lösenord som krävs för att ringa ut ett nummer.

Mer information om hur du konfigurerar FAC och CMC i Cisco Unified Communications Manager finns i kapitlet ”Ärendekoder och obligatoriska behörighetskoder” i Funktionskonfigurationsguide för Cisco Unified Communications Manager, version 12.5 (1) eller senare.