Geliştirilmiş güvenlikli bir ortamda çalışmak için Cisco Unified Communications Manager'ı etkinleştirebilirsiniz. Bu geliştirmeler ile birlikte, telefon ağınız sizi ve kullanıcılarınızı korumak amacıyla bir dizi sıkı güvenlik ve risk yönetimi denetimleri altında çalışır.

Gelişmiş güvenlikli ortam aşağıdaki özellikleri içerir:

  • Kişi araması kimlik doğrulama.

  • Uzak denetim günlüğü için TCP'nin varsayılan protokol olması.

  • FIPS modu.

  • Gelişmiş bir kimlik bilgisi politikası.

  • Dijital imzalar için SHA-2 sağlama ailesi desteği.

  • 512 ve 4096 bit RSA anahtar boyutu desteği.

Cisco Unified Communications Manager Sürüm 14.0 ve Cisco Video Phone Üretici Yazılımı Sürümü 2.1 ve daha yeni sürümlerde, telefonlar SIP OAuth kimlik doğrulamasını destekler.

OAuth, Cisco Unified Communications Manager Sürümü 14.0(1)SU1 veya daha sonraki sürümlerinde Proxy Önemsiz Dosya Aktarım Protokolü (TFTP) için desteklenir. Proxy TFTP ve Proxy TFTP için OAuth, Mobile Remote Access (MRA) üzerinde desteklenmez.

Güvenlik hakkında daha fazla bilgi için aşağıdakilere bakın:

Telefonunuz, yalnızca sınırlı sayıda Kimlik Güven Listesi (ITL) dosyası depolayabilir. ITL dosyaları, telefonda 64K değerini aşamaz, bu nedenle Cisco Unified Communications Manager'ın telefona gönderdiği dosyaların sayısını sınırlayın.

Desteklenen güvenlik özellikleri

Güvenlik özellikleri, telefonun kimliğine ve verilere yapılan saldırılar da dahil olmak üzere birçok tehdide karşı koruma sağlar. Bu özellikler, telefon ve Cisco Unified Communications Manager sunucusu arasında kimliği doğrulanmış iletişim akışları oluşturur ve bunları sürdürür ve telefonun yalnızca dijital olarak imzalanmış dosyaları kullanmasını sağlar.

Cisco Unified Communications Manager 8.5 (1) Sürümü ve daha sonraki sürümlerde, Güvenlik varsayılan olarak bulunur; bu da Cisco IP Telefonlarında CTL istemcisini çalıştırmadan aşağıdaki güvenlik özelliklerini sağlar:

  • Telefon yapılandırma dosyalarının imzalanması

  • Telefon yapılandırma dosyasının şifrelenmesi

  • Tomcat'e sahip HTTPS ve diğer web hizmetleri

Güvenli sinyalleme ve ortam özellikleri, yine de CTL istemcisini çalıştırmanızı ve donanım elektronik belirteçlerini çalıştırmanızı gerektirir.

Cisco Unified Communications Manager sisteminde güvenlik uygulanması, telefonun ve Cisco Unified Communications Manager sunucusunun kimliğinin çalınmasını önler, veriler üzerinde oynanmasını engeller ve arama sinyali ve ortam akışı üzerinde oynanmasını önler.

Bu tehditleri bastırmak için, Cisco IP telefon ağı telefon ve sunucu arasında güvenli (şifreli) iletişim akışları oluşturur ve bunları korur, dosyaları bir telefona aktarılmadan önce dijital olarak imzalar ve Cisco IP Telefonları arasındaki ortam akışlarını ve arama sinyallerini şifreler.

Yerel Olarak Belirleyici Sertifika (LCS), Sertifika Yetkilisi Proxy İşlevi (CAPF) ile ilişkilendirilmiş gerekli görevleri yerine getirmenizi takiben telefonlara yüklenir. Bir LSC yapılandırmak için Cisco Unified Communications Manager Güvenlik Kılavuzu'nda açıklandığı gibi Cisco Unified Communications Manager Administration'ı kullanabilirsiniz. Alternatif olarak, telefondaki Güvenlik ayarları menüsünden bir LSC yüklemeyi başlatabilirsiniz. Bu menü, ayrıca bir LSC güncellemenize veya kaldırmanıza da olanak verir.

Bir LSC, WLAN kimlik doğrulamalı EAP-TLS için kullanıcı sertifikası olarak kullanılamaz.

Telefonlar, cihazın güvenli olup olmadığını tanımlayan telefon güvenliği profilini kullanır. Güvenlik profilini telefona uygulama ile ilgili bilgi için, ilgili Cisco Unified Communications Manager sürümünüze ilişkin belgelere bakın.

Cisco Unified Communications Manager Administration'da güvenlik ile ilgili ayarları yapılandırırsanız, telefon yapılandırma dosyası hassas bilgiler içerir. Bir yapılandırma dosyasının gizliliğini sağlamak için, dosyayı şifreleme için yapılandırmanız gerekir. Ayrıntılı bilgi için, ilgili Cisco Unified Communications Manager sürümünüze ilişkin belgelere bakın.

Telefon, Federal Bilgi İşleme Standardı (FIPS) ile uyumludur. FIPS modunun düzgün çalışması için, 2048 bit veya daha büyük boyutta bir anahtar gerekir. Sertifika 2048 bitten düşükse telefon Cisco Unified Communications Manager'a kayıt olmaz ve telefonda Telefon kaydı başarısız oldu. Sertifika anahtar boyutu FIPS uyumlu değil mesajı görüntülenir.

Telefonda bir LSC mevcutsa, FIPS'i etkinleştirmeden önce LSC anahtar boyutunu 2048 bit'e veya daha büyük bir değere güncellemeniz gerekir.

Aşağıdaki tabloda, telefonların desteklediği güvenlik özelliklerine genel bir bakış sunulmaktadır. Daha fazla bilgi için, ilgili Cisco Unified Communications Manager sürümünüze ilişkin belgelere bakın.

Güvenlik modunu görüntülemek için Ayarlar'a basın Ayarlar sabit tuşu Ve Ağ ve hizmet > Güvenliği ayarlarına gidin.

Tablo 1. Güvenlik özelliklerine genel bakış

Özellik

Açıklama

Görüntü kimlik doğrulaması

İmzalanan ikili dosyalar, üretici yazılımı görüntüsünün bir telefona yüklenmeden önce üzerinde oynanmasını engeller.

Görüntünün üzerinde oynanması, telefonun kimlik doğrulama sürecinde başarısız olmasına ve yeni görüntüyü reddetmesine neden olur.

Müşteri için site sertifikasının yüklenmesi

Her Cisco IP Telefonu, cihazda kimlik doğrulaması için benzersiz bir sertifika gerektirir. Telefonlarda bir fabrikada montaj sertifikası (MIC) bulunur, fakat ekstra güvenlik için Sertifika Yetkilisi Proxy İşlevi (CAPF) kullanılarak sertifika yüklemesini Cisco Unified Communications Manager Administration'da belirtebilirsiniz. Alternatif olarak, telefondaki Güvenlik Yapılandırması menüsünden bir Yerel Olarak Belirleyici Sertifika (LSC) yükleyebilirsiniz.

Aygıt kimliği doğrulama

Cisco Unified Communications Manager sunucusu ve telefon arasında, her bir varlık diğer varlığın sertifikasını kabul ettiğinde meydana gelir. Telefon ve bir Cisco Unified Communications Manager arasında güvenli bir bağlantı oluşup oluşmaması gerektiğini belirler ve gerekli durumlarda, TLS protokolünü kullanarak varlıklar arasında güvenli bir sinyalleme yolu oluşturur. Cisco Unified Communications Manager, telefonları kimliklerini doğrulayabilene kadar kayıt etmez.

Dosya kimlik doğrulaması

Telefonun indirdiği, dijital olarak imzalanmış dosyaları doğrular. Telefon, dosya oluşturulduktan sonra dosyanın üzerinde oynanmadığından emin olmak için imzayı doğrular. Kimlik doğrulaması başarısız olan dosyalar, telefondaki Flaş belleğe yazılmaz. Telefon, daha fazla ilerlemeden bu tür dosyaları reddeder.

Dosya şifreleme

Şifreleme, dosya telefona geçirildiği sırada hassas bilgilerin açığa çıkmasını önler. Ayrıca telefon, dosya oluşturulduktan sonra dosyanın üzerinde oynanmadığından emin olmak için imzayı doğrular. Kimlik doğrulaması başarısız olan dosyalar, telefondaki Flaş belleğe yazılmaz. Telefon, daha fazla ilerlemeden bu tür dosyaları reddeder.

Sinyalleme kimlik doğrulaması

Aktarım sırasında sinyalleme paketlerinin üzerinde oynanmadığını doğrulamak için TLS protokolünü kullanır.

Fabrikada montaj sertifikası

Her Cisco IP Telefonu, cihazda kimlik doğrulaması için kullanılan benzersiz bir fabrikada montaj sertifikası (MIC) içerir. MIC, telefon için kalıcı ve benzersiz bir kimlik belgesi sunar ve Cisco Unified Communications Manager'ın telefonun kimliğini doğrulamasına olanak verir.

Medya şifreleme

Desteklenen cihazlar arasındaki ortam akışlarının güvenli olduğundan ve yalnızca istenen cihazın verileri aldığından ve okuduğundan emin olmak için SRTP kullanır. Cihazlar için bir ortam birincil anahtar çifti oluşturmayı, anahtarları cihazlara göndermeyi ve anahtarlar aktarıldığı sırada bunların teslim edildiğini güvence altına almayı içerir.

CAPF (Sertifika Yetkilisi Proxy İşlevi)

Telefon için işlemesi çok yoğun olan sertifika oluşturma prosedürü parçalarını uygular ve anahtar oluşturma ve sertifika yükleme için telefonla etkileşime geçer. CAPF, müşteri tarafından belirtilmiş sertifika yetkilileri tarafından telefon adına sertifika talep etmek için yapılandırılabilir veya yerel olarak sertifika oluşturmak için yapılandırılabilir.

Hem EC (Eliptik Eğri) hem de RSA anahtar türleri desteklenir. EC anahtarını kullanmak için, "Uç Nokta Gelişmiş Şifreleme Algoritmaları Desteği" (Sistemden > Enterprise parametresi) parametresinin etkin olduğundan emin olun.

CAPF ve ilgili yapılandırmalar hakkında daha fazla bilgi için aşağıdaki belgelere bakın:

Güvenlik profilleri

Telefon güvenli, kimliği doğrulanmış, şifreli ya da korumalı olup olmadığını tanımlar. Bu tablodaki diğer girişler güvenlik özelliklerini açıklamaktadır.

Şifreli yapılandırma dosyaları

Telefon yapılandırma dosyalarının gizliliğinden emin olmanızı sağlar.

Bir telefon için web sunucusunu isteğe bağlı devre dışı bırakma

Güvenlik nedeniyle, bir telefona ilişkin web sayfalarına (telefon için çeşitli işletimsel istatistikleri gösteren) ve Otomatik Bakım Portalı'na erişimi engelleyebilirsiniz.

Telefon güçlendirme

Cisco Unified Communications Manager Administration'dan kontrol edebildiğiniz ek güvenlik seçenekleri:

  • Bilgisayar bağlantı noktasını devre dışı bırakma
  • Karşılıksız ARP'leri (GARP) devre dışı bırakma
  • Bilgisayar Sesli VLAN erişimini devre dışı bırakma
  • Ayar menüsüne erişimi devre dışı bırakma veya sınırlı erişim sağlama
  • Bir telefona ilişkin web sayfalarına erişimi devre dışı bırakma
  • Bluetooth Aksesuarı Bağlantı Noktasını devre dışı bırakma
  • TLS şifrelerini kısıtlama

802.1X Kimlik Doğrulama

Cisco IP Telefonu, ağa erişim talep etmek ve erişim sağlamak için 802.1X kimlik doğrulamasını kullanabilir. Daha fazla bilgi için 802.1X Kimlik Doğrulaması bölümüne bakın.

SRST için Güvenli SIP Yük Devretme

Güvenlik için bir Dayanıklı Uzak Site Telefonu (SRST) başvurusu yapılandırdıktan ve ardından, Cisco Unified Communications Manager Administration'da bağımlı cihazları sıfırladıktan sonra, TFTP sunucusu telefon cnf.xml dosyasına SRST sertifikasını ekler ve dosyayı telefona gönderir. Bu noktadan sonra, güvenli bir telefon SRST'nin etkin olduğu yönlendirici ile etkileşimde bulunmak için bir TLS bağlantısı kullanır.

Sinyalleme şifreleme

Cihaz ile Cisco Unified Communications Manager sunucusu arasında gönderilen tüm SIP sinyalleme mesajlarının şifreli olduğundan emin olur.

Güven Listesi güncelleme alarmı

Güven Listesi telefonda güncellediğinde, Cisco Unified Communications Manager güncellemenin başarılı veya başarısız olduğunu gösteren bir alarm alır. Daha fazla bilgi için aşağıdaki tabloya bakın.

AES 256 Şifrelemesi

Cisco Unified Communications Manager Sürümü 10.5(2) veya daha yeni sürümlere bağlıyken, telefon sinyalleme ve medya şifreleme amacıyla TLS ve SIP için AES 256 şifrelemesini destekler. Bu, telefonların SHA-2 (Güvenli Özetleme Algoritması) standartlarına ve Federal Bilgi İşleme Standartlarına (FIPS) uyan AES-256 tabanlı şifreler kullanarak TLS 1.2 bağlantıları başlatmasına ve bunları desteklemesine olanak verir. Şifreler aşağıdakileri içerir:

  • TLS bağlantıları için:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • sRTP için:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Daha fazla bilgi için, Cisco Unified Communications Manager belgelerine bakın.

Eliptik Eğri Dijital İmza Algoritması (ECDSA) sertifikaları

Cisco Unified Communications Manager , Ortak Kriterler (CC) sertifikasının bir parçası olarak 11.0 sürümünde ECDSA sertifikalarını eklemiştir. Bu durum, CUCM 11.5 ve sonraki sürümlerin yüklü olduğu tüm Ses İşletim Sistemi (VOS) ürünlerini etkiler.

Cisco UCM çoklu sunuculu (SAN) Tomcat Sertifikası

Telefon, yapılandırılmış Çok Sunuculu (SAN) Tomcat Sertifikaları ile Cisco UCM destekler. Doğru TFTP sunucu adresi, telefonun kaydı için telefon ITL dosyasında bulunabilir.

Özellik hakkında daha fazla bilgi için aşağıdakilere bakın:

Aşağıdaki tabloda Güven Listesi güncelleme alarmı mesajları ve anlamları içerilmektedir. Daha fazla bilgi için, Cisco Unified Communications Manager belgelerine bakın.

Tablo 2. Güven listesi alarm mesajlarını güncelleme
Kod ve mesaj Açıklama

1 - TL_SUCCESS

Yeni CTL ve/veya ITL alındı

2 - CTL_INITIAL_SUCCESS

Yeni CTL alındı, mevcut TL yok

3 - ITL_INITIAL_SUCCESS

Yeni ITL alındı, mevcut TL yok

4 - TL_INITIAL_SUCCESS

Yeni CTL ve ITL alındı, mevcut TL yok

5 - TL_FAILED_OLD_CTL

Yeni CTL'ye güncelleme başarısız fakat önceki TL mevcut

6 - TL_FAILED_NO_TL

Yeni TL'ye güncelleme başarısız ve eski TL mevcut değil

7 - TL_FAILED

Genel hata

8 - TL_FAILED_OLD_ITL

Yeni ITL'ye güncelleme başarısız fakat önceki TL mevcut

9 - TL_FAILED_OLD_TL

Yeni TL'ye güncelleme başarısız fakat önceki TL mevcut

Güvenlik Kurulumu menüsü, çeşitli güvenlik ayarları ile ilgili bilgi sağlar. Menü ayrıca Güven Listesi menüsüne erişim sağlar ve CTL veya ITL dosyasının telefona yüklenip yüklenmediğini gösterir.

Aşağıdaki tabloda Güvenlik Kurulumu menüsündeki seçenekler açıklanmaktadır.

Tablo 3. Güvenlik ayarları menüsü

Seçenek

Açıklama

Değiştirmek için

Güvenlik Modu

Telefon için ayarlanan güvenlik modunu görüntüler.

Cisco Unified Communications Manager Administration'da, Cihaz > Telefon seçeneğini işaretleyin. Ayar, Telefon Yapılandırma penceresinin Protokole Özel Bilgiler bölümünde görüntülenir.

LSC

Güvenlik özellikleri için kullanılan yerel olarak belirleyici bir sertifikanın telefona yüklenip yüklenmediğini (Yüklü değil) gösterir.

Telefonunuz için LSC'yi nasıl yöneteceğiniz ile ilgili bilgi için, ilgili Cisco Unified Communications Manager sürümünüze ilişkin belgelere bakın.

Yerel Önemli Sertifika (LCS) Ayarlama

Bu görev, kimlik doğrulama dizesi yöntemiyle bir LSC kurarken de geçerlidir.

Başlamadan önce

Uygun Cisco Unified Communications Manager ve Sertifika Yetkilisi Proxy İşlevi (CAPF) güvenlik yapılandırmalarının tamamlanmış olduğundan emin olun:

  • CTL veya ITL dosyasında bir CAPF sertifikası bulunur.

  • Cisco Unified Communications İşletim Sistemi Yönetimi'nde, CAPS sertifikasının yüklenmiş olduğunu doğrulayın.

  • CAPF çalışıyor ve yapılandırılmış.

Bu ayarlarla ilgili daha fazla bilgi için, ilgili Cisco Unified Communications Manager sürümünüze ilişkin belgelere bakın.

1

CAPF yapılandırıldığında ayarlanan CAPF kimlik doğrulama kodunu edinin.

2

Telefonda, Ayarlar'a basın the Settings hard key.

3

İstenirse, Ayarlar menüsüne erişmek için parolayı girin. Parolayı yöneticinizden alabilirsiniz.

4

Ağ ve Hizmet > Güvenlik ayarları >LSC na gidin.

Cisco Unified Communications Manager Yönetimi'nde Ayarlara Erişim alanını kullanarak Ayarlar menüsüne erişimi kontrol edebilirsiniz.

5

Kimlik doğrulama dizesini girin ve Gönder'i seçin.

Telefon, CAPF'ın nasıl yapılandırıldığına bağlı olarak LSC'yi yüklemeye, güncellemeye veya kaldırmaya başlar. Prosedür tamamlandığında, telefonda Yüklendi veya Yüklenmedi yazısı görüntülenir.

LSC yükleme, güncelleme veya kaldırma işleminin tamamlanması uzun sürebilir.

Telefon yükleme prosedürü başarılı olduğunda, Yüklendi mesajı görüntülenir. Telefonda Yüklenmedi mesajı görüntülenirse, kimlik doğrulama dizesi hatalı olabilir veya telefon yükseltmesi etkinleştirilmemiş olabilir. CAPF işlemi LSC'yi silerse, telefonda işlemin başarılı olduğunu gösteren Yüklenmedi mesajı görüntülenir. CAPF sunucusu, hata mesajlarını günlüğe kaydeder. Günlüklerin yerini bulmak ve hata mesajlarının anlamlarını öğrenmek için CAPF sunucusu belgelerine bakın.

FIPS modunu etkinleştirme

1

Cisco Unified Communications Manager Yönetimi'nde, Cihaz > Telefon seçeneğini belirleyin ve telefonun yerini tespit edin.

2

Ürüne Özel Yapılandırma alanına gidin.

3

FIPS Modu alanını Etkin olarak ayarlayın.

4

Kaydet öğesini seçin.

5

Yapılandırmayı Uygula'yı seçin.

6

Telefonu yeniden başlatın.

Telefonda hoparlörü, kulaklığı ve ahizeyi kapatma

Kullanıcınız için bir telefondaki hoparlörü, kulaklığı ve ahizeyi kalıcı olarak kapatma seçenekleriniz vardır.

1

Cisco Unified Communications Manager Yönetimi'nde, Cihaz > Telefon seçeneğini belirleyin ve telefonun yerini tespit edin.

2

Ürüne Özel Yapılandırma alanına gidin.

3

Telefonun özelliklerini kapatmak için aşağıdaki onay kutularından birini veya birkaçını işaretleyin:

  • Hoparlörlü Telefonu Devre Dışı Bırak
  • Hoparlörlü Telefonu ve Kulaklığı Devre Dışı Bırak
  • Ahizeyi Devre Dışı Bırakma

Varsayılan olarak bu onay kutularının işareti kaldırılır.

4

Kaydet öğesini seçin.

5

Yapılandırmayı Uygula'yı seçin.

802.1X Kimlik Doğrulama

Cisco IP Telefonları, 802.1X Kimlik Doğrulamasını destekler.

Cisco IP Telefonları ve Cisco Catalyst anahtarları, birbirlerini tanımlamak ve VLAN tahsisi ve hat içi güç gereksinimleri gibi parametreleri belirlemek için geleneksel olarak Cisco Keşif Protokolü'nü (CDP) kullanır. CDP, yerel olarak bağlanan iş istasyonları tanımlamaz. Cisco IP Telefonları, bir EAPOL düz geçiş mekanizması sağlar. Bu mekanizma, Cisco IP Telefonuna bağlanmış bir iş istasyonunun EAPOL mesajlarını, LAN anahtarındaki 802.1X kimlik doğrulayıcısına geçirmesine olanak verir. Düz geçiş mekanizması, IP Telefonunun ağa erişmeden önce bir veri uç noktasının kimliğini doğrulamak için LAN anahtarı işlevini görmediğini garantiye alır.

Cisco IP Telefonları, ayrıca bir proxy EAPOL Oturum Kapatma mekanizması sağlar. Yerel olarak bağlı bilgisayarın IP Telefonu ile bağlantısının kesilmesi durumunda, LAN anahtarı, kendisi ile IP Telefonu arasındaki bağlantı sürdürüldüğü için fiziksel bağlantının başarısız olduğunu görmez. Ağ bütünlüğünün tehlikeye atılmasını önlemek için IP Telefonu aşağı akış bilgisayarı adına anahtara bir EAPOL-Oturum Kapatma mesajı göndererek LAN anahtarının aşağı akış bilgisayarına ilişkin kimlik doğrulama girişini temizlemesini tetikler.

802.1X kimlik doğrulaması desteği, çeşitli bileşenler gerektirir:

  • Cisco IP Telefonu: Telefon, ağa erişme talebini başlatır. Cisco IP Telefonları, bir 802.1 talepçisi içerir. Bu talepçi, ağ yöneticilerinin IP Telefonların LAN anahtar bağlantı noktaları ile arasındaki bağlantıyı kontrol etmelerine olanak verir. Telefon 802.1X talepçisinin geçerli sürümü, ağ kimlik doğrulaması için EAP-FAST ve EAP-TLS seçeneklerini kullanır.

  • Kimlik doğrulama sunucusu: Kimlik doğrulama sunucusu ve anahtarın her ikisi de telefonun kimliğini doğrulayan paylaşılan bir sırla yapılandırılmalıdır.

  • Anahtar: 802.1X'i desteklemesi gereken bir LAN anahtarı, kimlik doğrulayıcı görevi görür ve telefon ile kimlik doğrulama sunucusu arasında mesaj iletimi yapar. Alışveriş tamamlandıktan sonra, anahtar telefonun ağa erişimini sağlar veya reddeder.

802.1X'i yapılandırmak için aşağıdaki eylemleri gerçekleştirmeniz gerekir.

  • Telefonda 802.1X Kimlik Doğrulamasını etkinleştirmeden önce diğer bileşenleri yapılandırın.

  • Bilgisayar Bağlantı Noktasını Yapılandırın: 802.1X standardı, VLAN'ları hesaba katmaz ve bu nedenle yalnızca tek bir cihazın belirli bir anahtar bağlantı noktasında kimliğinin doğrulanmasını önerir. Fakat, bazı anahtarlar çok etki alanlı kimlik doğrulamasını destekler. Anahtar yapılandırması, bir bilgisayarı telefonun bilgisayar bağlantı noktasına bağlayıp bağlayamayacağınızı belirler.

    • Etkin: Çok etki alanlı kimlik doğrulamasını destekleyen bir anahtar kullanıyorsanız, bilgisayar bağlantı noktasını etkinleştirebilir ve buraya bir bilgisayar bağlayabilirsiniz. Bu durumda, Cisco IP Telefonları anahtar ve bağlı bilgisayar arasındaki kimlik doğrulama alışverişlerini izlemek için proxy EAPOL- Oturum Kapatma özelliğini destekler.

      Cisco Catalyst anahtarlarda IEEE 802.1X desteği ile ilgili daha fazla bilgi için, aşağıdaki adresten Cisco Catalyst anahtar yapılandırmasına bakın:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Devre Dışı: Anahtar aynı bağlantı noktasında birden çok 802.1X uyumlu cihazı desteklemiyorsa, 802.1X kimlik doğrulaması etkinleştirildiğinde Bilgisayar Bağlantı Noktasını devre dışı bırakmanız gerekir. Bu bağlantı noktasını devre dışı bırakmaz ve ardından buraya bir bilgisayar bağlamaya çalışırsanız, anahtar hem telefonun hem de bilgisayarın ağa erişimini reddeder.

  • Ses VLAN'ını yapılandırın: 802.1X standardı VLAN'ları hesaba katmadığı için bu ayarı anahtar desteğini temel alarak yapılandırmanız gerekir.
    • Etkin: Çok etki alanlı kimlik doğrulamasını destekleyen bir anahtar kullanıyorsanız ses VLAN'ını kullanmaya devam edebilirsiniz.
    • Devre Dışı: Anahtar çok etki alanlı kimlik doğrulamasını desteklemiyorsa Ses VLAN'ını devre dışı bırakın ve bağlantı noktasını yerel VLAN'a atayın.
  • (Yalnızca Cisco Masa Telefonu 9800 Serisi için)

    Cisco Masa Telefonu 9800 Serisi, PID'de diğer Cisco telefonları için olandan farklı bir önek içerir. Telefonunuzun 802.1X kimlik doğrulamasını geçirmesini sağlamak için, Radius· Cisco Masa Telefonu 9800 Serisini eklemek için Kullanıcı Adı parametresi.

    Örneğin, 9841 telefonunun PID'i, YAPıMıNDA YANIT-9841'dir; Radius· ayarlayabilirsiniz ISTE ile Başlanması gereken Kullanıcı Adı veya YANIT içerir. Aşağıdaki bölümlerin her ikisinde de ayarlayabilirsiniz:

    • İlke >Uyuşturmalar >Kimliği Koşulları

    • İlke >Policy Setleri > Authorization Policy > Authorization Rule 1

802.1X kimlik doğrulamasını etkinleştirme

Şu adımları uygulayarak telefonunuz için 802.1X kimlik doğrulamasını etkinleştirebilirsiniz:

1

Ayarlar'a basınthe Settings hard key.

2

İstenirse, Ayarlar menüsüne erişmek için parolayı girin. Parolayı yöneticinizden alabilirsiniz.

3

Ağ ve hizmet > Güvenlik ayarları > 802.1X Kimlik Doğrulaması'na gidin.

4

IEEE 802.1X kimlik doğrulamayı açın.

5

Uygula'yı seçin.

Telefondaki güvenlik ayarları ile ilgili bilgileri görüntüleme

Telefon menüsündeki güvenlik ayarlarıyla ilgili bilgileri görüntüleyebilirsiniz. Bilgilerin kullanılabilirliği, kuruluşunuzdaki ağ ayarlarına bağlıdır.

1

Ayarlar'a basınthe Settings key.

2

Ağ ve hizmet > Güvenliği ayarlarına gidin.

3

Güvenlik ayarlarında, aşağıdaki bilgileri görüntüleyin.

Tablo 4. Güvenlik ayarları için parametreler

Parametreler

Açıklama

Güvenlik Modu

Telefon için ayarlanan güvenlik modunu görüntüler.

LSC

Güvenlik özellikleri için kullanılan bir yerel olarak belirleyici sertifikanın telefona yüklenip (Evet) yüklenmediğini (Hayır) gösterir.

Güven Listesi

Güven Listesi CTL, ITL ve İmzalanan Yapılandırma dosyaları için alt menüler sağlar.

CTL Dosyası alt menüsü CTL dosyasının içeriğini görüntüler. ITL Dosyası alt menüsü ITL dosyasının içeriğini görüntüler.

Güven Listesi menüsünde aşağıdaki bilgiler de görüntülenir:

  • CTL İmzası: CTL dosyasının SHA1 sağlaması
  • Unified CM/TFTP Sunucusu: telefonun kullandığı Cisco Unified Communications Manager ve TFTP sunucusunun adı. Bu sunucu için sertifika yüklenmişse, bir sertifika simgesi gösterir.
  • CAPF Sunucusu: telefonun kullandığı CAPF sunucusunun adı. Bu sunucu için sertifika yüklenmişse, bir sertifika simgesi gösterir.
  • SRST Yönlendiricisi: telefonun kullanabileceği güvenli SRST yönlendiricisinin IP adresi. Bu sunucu için sertifika yüklenmişse, bir sertifika simgesi gösterir.

Telefon araması güvenliği

Bir telefon için güvenlik uygulandığında, telefon ekranındaki simgeler sayesinde güvenli telefon aramalarını tanımlayabilirsiniz. Ayrıca, aramanın başında bir güvenlik sesi çıkıp çıkmamasına bağlı olarak, bağlanan telefonun güvenli ve korumalı olup olmadığını belirleyebilirsiniz.

Güvenli bir aramada, tüm arama sinyallemeleri ve medya akışları şifrelidir. Güvenli bir arama, yüksek düzeyde güvenlik sunarak aramanın bütünlüğünü ve gizliliğini sağlar. Bir devam eden çağrı şifreliyse, güvenli simgesini görebilirsiniz Güvenli arama için kilit simgesi Hatta beklemede. Güvenli bir telefon için, kimliği doğrulanmış simgesini de görüntüleyebilirsiniz Veya şifrelenmiş simge Telefon menüsünde bağlı sunucunun yanında (Ayarlar > Bu aygıtta hakkında).

Arama, örneğin PSTN gibi IP dışı çağrı bacakları aracılığıyla yönlendirilirse, IP ağı içerisinde şifreli olsa ve ilişkili bir kilitleme simgesine sahip olsa dahi güvenli olmayabilir.

Güvenli bir aramada, bağlı olan diğer telefonun da güvenli ses aldığının ve ilettiğinin gösterilmesi için aramanın başında bir güvenlik sesi duyulur. Aramanız güvenli olmayan bir telefona bağlanırsa, güvenlik sesi duyulmaz.

Güvenli arama, yalnızca iki telefon arasındaki bağlantılarda desteklenir. Konferans araması ve paylaşımlı hatlar gibi bazı özellikler, güvenli arama yapılandırıldığında kullanılamaz.

Bir telefon Cisco Unified Communications Manager güvenli (şifreli ve güvenilir) olarak yapılandırıldığında, korunmuş durum. Bu noktadan sonra, istenildiği takdirde, korumalı telefon bir aramanın başlangıcında bir bildirim sesi çıkaracak şekilde yapılandırılabilir:

  • Korumalı Cihaz: Güvenli bir telefonun durumunu korumalı olarak değiştirmek için, Cisco Unified Communications Manager Administration'daki Telefon Yapılandırma penceresinde bulunan Korumalı Cihaz onay kutusunu işaretleyin (Cihaz > Telefon).

  • Güvenli Bildirim Sesini Çalma: Korumalı telefonun güvenli veya güvenli değil bildirim sesini çalmasına olanak vermek için, Güvenli Bildirim Sesini Çalma ayarını True olarak ayarlayın. Güvenli Bildirim Sesini Çalma, varsayılan olarak False değerine ayarlanır. Bu seçeneği Cisco Unified Communications Manager Administration'dan ayarlarsınız (Sistem > Hizmet Parametreleri). Sunucuyu ve ardından Unified Communications Manager hizmetini seçin. Hizmet Parametresi Yapılandırma penceresinde, Özellik - Güvenli Sesi alanındaki seçeneği işaretleyin. Varsayılan False'tur.

Güvenli Konferans Araması Kimliği

Güvenli bir konferans araması başlatabilir ve katılımcıların güvenlik düzeyini izleyebilirsiniz. Güvenli bir konferans araması, aşağıdaki süreç kullanılarak oluşturulur:

  1. Bir kullanıcı, güvenli bir telefondan konferansı başlatır.

  2. Cisco Unified Communications Manager, aramaya güvenli bir konferans köprüsü atar.

  3. Katılımcılar eklendikçe, Cisco Unified Communications Manager her bir telefonun güvenlik modunu doğrular ve konferansa ilişkin güvenlik düzeyini muhafaza eder.

  4. Telefon, konferans aramasının güvenlik düzeyini gösterir. Güvenli bir konferansta güvenli simgesi görüntülenir Güvenli arama için kilit simgesi.

Güvenli arama, iki telefon arasında desteklenir. Korumalı telefonlar için, konferans araması, paylaşımlı hatlar ve Extension Mobility gibi bazı özellikler güvenli arama yapılandırıldığında kullanılamaz.

Aşağıdaki tabloda, başlatıcının telefon güvenliği düzeyine, katılımcıların güvenlik düzeylerine ve güvenli konferans köprülerinin kullanılabilirliğine bağlı olarak konferans güvenlik düzeylerindeki değişikliklere ilişkin bilgiler verilmektedir.

Tablo 5. Konferans aramalarında güvenlik sınırlamaları

Başlatıcının Telefon Güvenliği Düzeyi

Kullanılan Özellik

Katılımcıların Güvenlik Düzeyi

Eylemin Sonuçları

Güvenli değil

Konferans

Güvenli

Güvenli olmayan konferans köprüsü

Güvenli olmayan konferans

Güvenli

Konferans

En az bir üye güvenli değil.

Güvenli konferans köprüsü

Güvenli olmayan konferans

Güvenli

Konferans

Güvenli

Güvenli konferans köprüsü

Güvenli, şifreli düzeyde konferans

Güvenli değil

Meet Me

Minimum güvenlik düzeyi şifrelidir.

Başlatıcı Güvenlik Düzeyini karşılamıyor, arama reddedildi mesajını alır.

Güvenli

Meet Me

Minimum güvenlik düzeyi güvenli değildir.

Güvenli konferans köprüsü

Konferans tüm aramaları alır.

Güvenli telefon araması kimliği

Güvenli arama, telefonunuz ve diğer uçtaki telefon güvenli arama için yapılandırıldığı takdirde oluşur. Diğer telefon, aynı Cisco IP ağında veya IP ağının dışındaki bir ağda olabilir. Güvenli aramalar, yalnızca iki telefon arasında yapılabilir. Konferans aramaları, güvenli konferans köprüsünün ayarlanması sonrasında güvenli aramayı destekler.

Güvenli arama, aşağıdaki süreç kullanılarak oluşturulur:

  1. Bir kullanıcı, güvenli bir telefondan aramayı başlatır (güvenli güvenlik modu).

  2. Telefonda güvenli simgesi görüntülenir Güvenli arama için kilit simgesi 'i seçin. Bu simge, telefonun güvenli aramalar için yapılandırıldığını gösterir; fakat bu, bağlanan diğer telefonun da güvenli olduğu anlamına gelmez.

  3. Arama başka bir güvenli telefona bağlanırsa kullanıcı, konuşmanın iki ucunun da şifreli ve güvenli olduğu anlamına gelen bir güvenlik sesi duyar. Arama, güvenli olmayan bir telefona bağlanırsa, kullanıcı güvenlik sesini duymaz.

Güvenli arama, iki telefon arasında desteklenir. Korumalı telefonlar için, konferans araması, paylaşımlı hatlar ve Extension Mobility gibi bazı özellikler güvenli arama yapılandırıldığında kullanılamaz.

Yalnızca korumalı telefonlar, bu güvenli veya güvenli değil seslerini çıkarır. Korumalı olmayan telefonlar asla bu sesleri çıkarmaz. Arama sırasında tüm aramanın durumu değişirse, bildirim sesi değişir ve korumalı telefon uygun sesi çıkarır.

Korumalı bir telefonun bir ses çıkarıp çıkarmaması aşağıdaki koşullara bağlıdır:

  • Güvenli Bildirim Sesi Çıkar seçeneği etkinleştirilmişse:

    • Uçtan uca güvenli medya kurulmuş ve arama durumu güvenliyse, telefon güvenlik bildirim sesini çıkarır (duraksamalarla birlikte üç adet uzun bip sesi).

    • Uçtan uca güvenli medya kurulmuşsa ve arama durumu güvenli değilse telefon güvenli değil bildirim sesini çıkarır (kısa duraksamalarla birlikte altı adet kısa bip sesi).

Güvenli Bildirim Sesi Çıkar seçeneği devre dışı bırakılmışsa, hiçbir ses çıkmaz.

Katılma için şifreleme sağlar

Cisco Unified Communications Manager, konferanslar oluşturulduğunda telefon güvenlik durumunu denetler ve konferansa ilişkin güvenlik göstergesini değiştirir veya çağrının sistemdeki bütünlüğünü ve güvenliğini korumak için çağrının tamamlanmasını engeller.

Bir kullanıcı, katılmak için kullanılan telefon şifrelenme için yapılandırılmamışsa şifreli bir çağrıya katılamaz. Katılma özelliği bu durumda başarısız olursa telefonda katılmanın başlatıldığını haber veren bir yeniden düzenleme (hızlı meşgul) sesi çalar.

Başlatıcı telefon şifreleme için yapılandırılmışsa, katılmayı başlatan taraf şifreli bir telefondan güvenli olmayan bir çağrıya katılabilir. Katılma gerçekleştikten sonra, Cisco Unified Communications Manager aramayı güvenli değil olarak sınıflandırır.

Başlatıcı telefon şifreleme için yapılandırılmışsa, katılmayı başlatan taraf şifreli bir aramaya katılabilir ve telefon aramanın şifreli olduğunu gösterir.

WLAN güvenliği

Bu bölüm yalnızca Wi-Fi özellikli telefon modelleri için geçerlidir.

WLAN güvenliği

Kapsam dahilindeki tüm WLAN cihazları diğer WLAN trafiğinin hepsini alabildiği için, sesli iletişimlerin güvenliği sağlamak WLAN'lar için önemlidir. Davetsiz misafirlerin ses trafiğini değiştirmemelerini veya araya girmemelerini sağlamak için, Cisco SAFE Security mimarisi telefonu destekler. Ağlarda güvenlikle ilgili daha fazla bilgi için, bkz. http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco Wireless IP telefon çözümü, telefonun desteklediği aşağıdaki kimlik doğrulama yöntemlerini kullanarak yetkisiz oturum açmaları ve tehlikeye atılan iletişimleri engelleyen kablosuz ağ güvenliği sağlar:

  • Açık Kimlik Doğrulama: Herhangi bir kablosuz cihaz, açık bir sistemde kimlik doğrulama isteyebilir. İsteği alan AP, istemde bulunan herkese veya istemde bulunan ve bir kullanıcı listesinde yer alan kişilere kimlik doğrulama verebilir. Kablosuz cihaz ve Erişim Noktası (AP) arasındaki iletişim şifrelenmeyebilir.

  • Güvenli Tünel Açma (EAP-FAST) Kimlik Doğrulaması ile Genişletilebilir Kimlik Doğrulama Protokolü-Esnek Kimlik Doğrulama: Bu istemci-sunucu güvenlik mimarisi, AP ile RADIUS sunucusu arasındaki bir Aktarım Düzeyi Güvenliği (TLS) tüneli içindeki kimlik hizmetleri motoru (ISE) gibi EAP işlemleri şifreler.

    TLS tüneli, istemci (telefon) ve RADIUS sunucusu arasındaki kimlik doğrulama işlemi için Korumalı Erişim Kimlik Bilgileri (PAC'ler) kullanır. Sunucu istemciye (telefon) bir Yetki Kimliği gönderir de istemci de uygun PAC'i seçer. İstemci (telefon) RADIUS sunucusuna Genel Olmayan bir PAC döndürür. Sunucu, birincil anahtar ile PAC şifrelemesini çözer. İki uç noktasının da artık PAC anahtarı bulunur ve bir TLS tüneli oluşturulur. EAP-FAST, otomatik PAC sağlamasını destekler ancak bunu RADIUS sunucusunda etkinleştirmeniz gerekir.

    ISE'de, varsayılan olarak, PAC'in süresi bir hafta içinde sona erer. Telefonda süresi dolmuş bir PAC varsa, telefon yeni bir PAC alırken RADIUS sunucusu ile kimlik doğrulama daha uzun sürer. PAC sağlamasında gecikmeleri önlemek için, ISE veya RADIUS sunucusunda PAC'ın sona erme süresini 90 gün veya daha fazla olarak ayarlayın.

  • Genişletilebilir Kimlik Doğrulama Protokolü Taşıma Katmanı Güvenliği (EAP-TLS) Kimlik Doğrulama: EAP-TLS, kimlik doğrulama ve ağ erişimi için istemci sertifikası gerektirir. Kablosuz EAP-TLS için istemci sertifikası MIC, LSC veya kullanıcı tarafından yüklenen sertifika olabilir.

  • Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP): İstemci (telefon) ve bir RADIUS sunucusu arasında, Cisco'ya özel, parola tabanlı karşılıklı kimlik doğrulama düzeni. Telefon, kablosuz ağ ile kimlik doğrulama için PEAP kullanabilir. Hem PEAP-MSCHAPV2 hem de PEAP-GTC kimlik doğrulama yöntemleri desteklenir.

  • Önceden Paylaşılan Anahtar (PSK): Telefon ASCII biçimini destekler. Önceden paylaşılan bir WPA/WPA2/SAE anahtarı ayarlarken bu biçimi kullanmalısınız:

    ASCII: 8 ila 63 karakter uzunluğunda bir ASCII karakter dizisi (0-9, küçük ve büyük A-Z harfleri ve özel karakterler)

    Örnek: GREG123567@9ZX&W

Aşağıdaki kimlik doğrulama düzenleri, kimlik doğrulama anahtarlarını yönetmek için RADIUS sunucusunu kullanır:

  • WPA/WPA2/WPA3: Kimlik doğrulaması için benzersiz anahtarlar oluşturmak için RADIUS sunucu bilgilerini kullanır. Bu anahtarlar merkezi RADIUS sunucusunda oluşturulduğu için, WPA2/WPA3 AP ve telefonda depolanan WPA önceden paylaşılan anahtarlardan daha fazla güvenlik sağlar.

  • Hızlı Güvenli Dolaşım: Anahtarları yönetmek ve kimliklerini doğrulamak için RADIUS sunucusu ve bir kablosuz etki alanı sunucusu (WDS) bilgilerini kullanır. WDS, hızlı ve güvenli yeniden kimlik doğrulaması için FT-etkin istemci aygıtları için güvenlik kimlik bilgileri önbelleği oluşturur. Cisco Masa Telefonu 9861 ve 9871 ve Cisco Video Phone 8875, 802.11r'i (FT) destekler. Hızlı güvenli dolaşıma izin vermek için hem havada hem de DS üzerinden desteklenir. Ancak 802.11r (FT) kablosuz yönteminin kullanılmasını tavsiye ederiz.

WPA/WPA2/WPA3 ile, şifreleme anahtarları telefona girilir değil, ancak AP ile telefon arasında otomatik olarak türetilir. Ancak kimlik doğrulama için kullanılan EAP kullanıcı adı ve parolası, her telefona girilmelidir.

Ses trafiğinin güvenli olmasını sağlamak için, telefon TKIP'yi ve şifreleme için AES destekler. Bu mekanizmalar şifreleme için kullanıldığında, HEM sinyalleme SIP paketleri hem de sesli Gerçek Zamanlı Aktarım Protokolü (RTP) paketleri AP ile telefon arasında şifrelenir.

TKIP

WPA, WEP üzerinde birkaç geliştirmesi olan TKIP şifrelemesi kullanır. TKIP, paket başına anahtar şifreleme ve şifrelemeyi güçlendiren daha uzun başlatma vektörleri (IV'ler) sağlar. Buna ek olarak, mesaj bütünlük kontrolü (MIC) şifreli paketlerin değiştirilmediğinden emin olur. TKIP, davetsiz misafirlerin WEP anahtarının şifresini çözmesine yardım olan WEP öngörülebilirliğini azaltır.

AES

WPA2/WPA3 kimlik doğrulaması için kullanılan bir şifreleme yöntemi. Şifreleme için mevcut bu ulusal standart, şifreleme ve şifre çözme için aynı anahtara sahip olan simetrik bir algoritma kullanır. AES, 128, 192 ve 256 bitlik anahtar boyutlarını destekleyen ve minimum boyutu 128 bit olan Şifre Bloğu Zincirleme (CBC) şifrelemesi kullanır. Telefon 256 bit anahtar boyutunu destekler.

Cisco Masa Telefonu 9861 ve 9871 ve Cisco Video Phone 8875, CMIC ile Cisco Anahtar Bütünlüğünü Protokolü'nü (CKIP) desteklemez.

Kimlik doğrulama ve şifreleme düzenleri, kablosuz LAN içerisinde ayarlanır. VLAN'lar ağda ve AP'lerde yapılandırılır ve kimlik doğrulama ile şifrelemenin farklı kombinasyonlarını belirtir. Bir SSID bir VLAN ile ve özel kimlik doğrulama ile şifreleme düzeniyle ilişkilendirilir. Kablosuz istemci cihazlarının kimliğinin başarıyla doğrulanabilmesi için, AP'lerde ve telefonda kimlik doğrulama ve şifreleme düzenleriyle aynı SSID'leri yapılandırmanız gerekir.

Bazı kimlik doğrulama düzenleri, özel türlerde şifrelemeler gerektirir.

  • Önceden paylaşılan WPA tuş, WPA2 önceden paylaşılan anahtar veya SAE kullandığınızda, önceden paylaşılan anahtar statik olarak telefonda ayarlanmalıdır. Bu anahtarlar, AP üzerindeki anahtarlarla eşleşmelidir.

  • Telefon, FAST veya PEAP için otomatik EAP uzlaşını destekler, ancak TLS için desteklemez. EAP-TLS modu için bunu belirtmeniz gerekir.

Aşağıdaki tabloda yer alan kimlik doğrulama ve şifreleme düzenleri, AP yapılandırmasına karşılık gelen telefona ilişkin ağ yapılandırma seçeneklerini göstermektedir.

Tablo 6. Kimlik doğrulama ve şifreleme düzenleri
FSR TürüKimlik doğrulamaAnahtar YönetimiŞifrelemeKorumalı Yönetim Çerçevesi (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESHayır
802.11r (FT)WPA3

SAE

FT-SAE

AESEvet
802.11r (FT)EAP-TLS

EAP-WPA

FT-EAP

AESHayır
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESEvet
802.11r (FT)EAP-FAST

EAP-WPA

FT-EAP

AESHayır
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESEvet
802.11r (FT)EAP-PEAP

EAP-WPA

FT-EAP

AESHayır
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESEvet

Kablosuz LAN profilini yapılandırma

Kimlik bilgilerini, frekans bandını, kimlik doğrulama yöntemini vb. yapılandırarak kablosuz ağ profilinizi yönetebilirsiniz.

WLAN profilini yapılandırmadan önce şu notları aklınızda bulundurun:

  • Kullanıcı adı ve parola

    • Ağınızın kullanıcı kimlik doğrulaması için EAP-FAST ve PEAP kullanması durumunda, Remote Authentication Dial-In User Service (RADIUS) ve telefonda gerekiyorsa hem kullanıcı adını hem de şifreyi yapılandırmanız gerekir.

    • Kablosuz LAN profiline girdiğiniz kimlik bilgileri, RADIUS sunucusunda yapılandırdığınız kimlik bilgileriyle aynı olmalıdır.

    • Ağınızda etki alanları kullanıyorsanız, kullanıcı adını etki alanı adı ile birlikte şu biçimde girmeniz gerekir: etki alanı\kullanıcı adı.

  • Aşağıdaki eylemler mevcut Wi-Fi parolasının temizlenmesine neden olabilir:

    • Geçersiz bir kullanıcı kimliği ve parola girmek
    • EAP türü PEAP-MSCHAPV2 veya PEAP-GTC olarak ayarlanmışken geçersiz ya da süresi dolmuş bir Kök CA yüklemek
    • Telefonu yeni EAP türüne geçirmeden önce kullanımdaki RADIUS sunucusunda EAP türünü devre dışı bırakmak
  • EAP türünü değiştirmek için önce RADIUS sunucusunda yeni EAP türünü etkinleştirdiğinizden emin olun ve sonra telefonu EAP türüne geçirin. Tüm telefonlar yeni EAP türüne değiştirildiğinde, istiyorsanız önceki EAP türünü devre dışı bırakabilirsiniz.
1

Cisco Unified Communications Manager Yönetimi'nde, Cihaz > Cihaz Ayarları > LAN Profili seçeneğini belirleyin.

2

Yapılandırmak istediğiniz ağ profilini seçin.

3

Parametreleri ayarlayın.

4

Kaydet'e tıklayın.

Kimlik doğrulama sunucusu sertifikasını manuel olarak yükleme

Basit Sertifika Kayıt Protokolü (SCEP) kullanılamıyorsa, telefona manuel olarak bir Kimlik Doğrulama Sunucusu sertifikası yükleyebilirsiniz.

EAP-TLS için, RADIUS sunucusunun sertifikasını yayınlamış kök CA sertifikası yüklenmelidir.

Başlamadan önce

Bir telefona bir sertifika yükleyebilmeniz için, öncelikle bilgisayarınızda kayıtlı bir Kimlik Doğrulama Sunucusu Sertifikası bulunmalıdır. Sertifika PEM (Base-64) veya DER biçiminde kodlanmalıdır.

1

Telefon yönetimi web sayfasından Sertifikalar'ı seçin.

2

Kimlik doğrulama sunucusu CA alanını bulun ve Kurulum'a tıklayın.

3

Bilgisayarınızda sertifikaya göz atın.

4

Yükle'ye tıklayın.

5

Karşıya yükleme tamamlandıktan sonra telefonu yeniden başlatın.

Birden fazla sertifikayı yeniden yüklerseniz, yalnızca en son yüklenen sertifika kullanılır.

Kullanıcı sertifikalarını manuel olarak yükleme

Basit Sertifika Kayıt Protokolü (SCEP) kullanılamıyorsa, telefona manuel olarak bir kullanıcı sertifikası yükleyebilirsiniz.

Önceden yüklenmiş Fabrikada Montaj Sertifikası (MIC), EAP-TLS için Kullanıcı Sertifikası olarak kullanılabilir.

Kullanıcı Sertifikası yüklendikten sonra, bunu RADIUS sunucusu güven listesine ekleyin.

Başlamadan önce

Bir telefon için bir Kullanıcı Sertifikası yükleyebilmeniz için, aşağıdakilere sahip olmanız gerekir:

  • Bilgisayarınıza kayıtlı bir Kullanıcı Sertifikası. Sertifika, PKCS #12 biçiminde olmalıdır.

  • Sertifikanın ayıklanması için kullanılacak parola.

    Bu parola en çok 16 karakter uzunluğunda olabilir.

1

Telefon yönetimi web sayfasından Sertifikalar'ı seçin.

2

Kullanıcı tarafından yüklenen alanını bulun ve Kurulum'a tıklayın.

3

Bilgisayarınızda sertifikaya göz atın.

4

Ayıklama parolası alanında, sertifika ayıklama parolasını girin.

5

Yükle'ye tıklayın.

6

Karşıya yükleme tamamlandıktan sonra telefonu yeniden başlatın.

Güvenlik sertifikalarını manuel olarak kaldırma

Basit Sertifika Kayıt Protokolü (SCEP) kullanılamıyorsa, bir telefondan manuel olarak bir güvenlik sertifikasını kaldırabilirsiniz.

1

Telefon yönetimi web sayfasından Sertifikalar'ı seçin.

2

Sertifikalar sayfasında sertifikanın yerini tespit edin.

3

Sil'e tıklayın.

4

Silme işlemini tamamladıktan sonra telefonu yeniden başlatın.

SCEP parametrelerini yapılandırma

Basit Sertifika Kayıt Protokolü (SCEP), sertifikaların otomatik olarak sağlanması ve yenilenmesine yönelik bir standarttır. SCEP sunucusu kullanıcı ve sunucu sertifikalarınızı otomatik olarak koruyabilir.

Aşağıdaki SCEP parametrelerini telefonunuzun web sayfasında yapılandırmanız gerekir

  • RA IP adresi

  • SCEP sunucusu için kök CA sertifikasının SHA-1 veya SHA-256 parmak izi

Cisco IOS Kayıt Yetkilisi (RA) SCEP sunucusu için bir proxy işlevi görür. Telefondaki SCEP istemcisi Cisco Unified Communications Manager'dan indirilen parametreleri kullanır. Parametreler yapılandırıldıktan sonra, telefon RA'ya bir SCEP getcs talebi gönderir ve kök CA sertifikası tanımlanan parmak izi kullanılarak doğrulanır.

Başlamadan önce

SCEP sunucusunda, SCEP Kayıt Temsilcisini (RA) aşağıdaki şekillerde yapılandırın:

  • Bir PKI güven noktası işlevi gösterecek şekilde
  • Bir PKI RA işlevi gösterecek şekilde
  • Bir RADIUS sunucusu kullanarak cihaz kimlik doğrulamasını gerçekleştirecek şekilde

Daha fazla bilgi için SCEP sunucunuza ilişkin belgelere bakın.

1

Cisco Unified Communications Manager Yönetimi'nde, Cihaz > Telefon seçeneğini belirleyin.

2

Telefonun yerini tespit edin.

3

Ürüne Özel Yapılandırma Yerleşimi alanına gidin.

4

SCEP parametresini etkinleştirmek için WLAN SCEP Sunucusu onay kutusunu işaretleyin.

5

SCEP QED parametresini etkinleştirmek için WLAN Kök CA Parmak İzi (SHA256 veya SHA1) onay kutusunu işaretleyin.

Desteklenen TLS sürümlerini ayarlama

İstemci ve sunucu için gereken en düşük TLS sürümünü sırasıyla ayarlayabilirsiniz.

Varsayılan olarak, sunucunun ve istemcinin en düşük TLS sürümü 1,2'dir. Ayarın aşağıdaki işlevler üzerinde etkileri vardır:

  • HTTPS web erişimi bağlantısı
  • Tesis içi telefon için oturum açma
  • Mobil ve Remote Access (MRA) için Açılma
  • Dizin hizmetleri gibi HTTPS hizmetleri
  • Datagram Aktarım Katmanı Güvenliği (DTLS)
  • Bağlantı Noktası Erişim Varlığı (PAE)
  • Genişletilebilir Kimlik Doğrulama Protokolü-Aktarım Katmanı Güvenliği (EAP-TLS)

Cisco IP Phones için TLS 1.3 uyumluluğu hakkında daha fazla bilgi için bkz.TLS Cisco İşbirliği Ürünleri için Uyumluluk Matrisi.

1

Cisco Unified Communications Manager Administration'da yönetici olarak oturum açın.

2

Aşağıdaki pencerelerden birine gidin:

  • Sistem > Kurumsal Telefon Yapılandırması
  • Cihaz > Ayrıları > Komal Telefon Profili
  • Cihaz > Phone > Phone Yapılandırması
3

İstemci Min Sürüm alanını ayarlayın TLS:

"TLS 1.3" seçeneği Cisco Unified CM 15SU2 veya daha sonraki bir sürümü kullanılabilir.
  • TLS 1.1: TLS istemcisi, 1.1 ile 1.3 TLS sürümlerini destekler.

    Sunucudaki TLS sürümü 1,1'den düşükse, örneğin 1,0 ise, bağlantı oluşturulamaz.

  • TLS 1.2 (varsayılan): TLS istemcisi 1.2 ve 1.3 TLS destekler.

    Sunucudaki TLS sürümü 1.2'nin altındaysa (örneğin, 1.1 veya 1.0) bağlantı kurulaamaz.

  • TLS 1.3: TLS istemcisi yalnızca TLS 1.3'i destekler.

    Sunucudaki TLS sürümü 1,3'ün altındaysa (örneğin, 1,2, 1,1 veya 1,0) bağlantı kurulanamazsınız.

4

TLS Sunucu Min Sürümü alanını ayarlayın :

  • TLS 1.1: TLS sunucusu, 1.1 ile 1.3 TLS sürümlerini destekler.

    İstemcideki TLS sürümü 1,1'den düşükse, örneğin 1,0 ise, bağlantı oluşturulamaz.

  • TLS 1.2 (varsayılan): TLS sunucusu 1.2 ve 1.3 TLS destekler.

    İstemcideki TLS sürümü 1,2'nin altındaysa (örneğin, 1,1 veya 1,0), bağlantı kurulanamazsınız.

  • TLS 1.3: TLS sunucusu yalnızca TLS 1.3'i destekler.

    İstemcideki TLS sürümü 1,3'ün altındaysa (örneğin, 1,2, 1,1 veya 1,0), bağlantı kurulanamazsınız.

PhoneOS 3.2 sürümünden, "Web Erişimi için TLS 1.0 ve TLS 1.1'i devre dışı bırak" alanının ayarı telefonlarda etkilenmez.
5

Kaydet'e tıklayın.

6

Yapılandırmayı Uygula'ya tıklayın.

7

Telefonları yeniden başlatın.

Garantili Hizmetler SIP

Garantili Hizmetler SIP(AS-SIP), Cisco IP Telefonları ve üçüncü taraf telefonlar için yüksek güvenlikli çağrı akışı sunan özelliklerin ve protokollerin bir derlemesidir. Aşağıdaki özellikler topluca AS-SIP olarak bilinir:

  • Çoklu Seviyeli Öncelik ve Arama Üstünlüğü (MLPP)
  • Farklılaştırılmış Hizmetler Kod Noktası (DSCP)
  • Taşıma Katmanı Güvenliği (TLS) ve Güvenli Gerçek Zamanlı Aktarım Protokolü (SRTP)
  • İnternet Protokolü sürüm 6 (IPv6)

AS-SIP, genellikle, acil bir durumda çağrıları önceliklendirmek için Çoklu Seviyeli Öncelik ve Arama Üstünlüğü (MLPP) ile birlikte kullanılır. MLPP ile, giden çağrılara 1'den (düşük) 5'e (yüksek) kadar bir öncelik seviyesi atayabilirsiniz. Bir çağrı aldığınızda, telefonda çağrı önceliğini gösteren öncelik düzeyi simgesi görüntülenir.

AS-SIP'yi yapılandırmak için Cisco Unified Communications Manager'da aşağıdaki görevleri tamamlayın:

  • Son Kullanıcı Yapılandırma—SIP istekleri için özet kimlik doğrulamasını kullanacak son kullanıcıyı yapılandırın.
  • SIP Telefon Güvenli Bağlantı Noktası Yapılandırma—Cisco Unified Communications Manager bu bağlantı noktasını SIP telefonları, TLS üzerinden SIP hat kayıtları için dinlemek üzere kullanır.
  • Hizmetleri Yeniden Başlatma—Güvenli bağlantı noktasını yapılandırdıktan sonra Cisco Unified Communications Manager'ı ve Cisco CTL Sağlayıcısı hizmetlerini yeniden başlatın. AS-SIP için SIP Profili Yapılandırma—AS-SIP uç noktaları ve SIP hatları için SIP ayarlarıyla bir SIP profili yapılandırın. Telefona özel parametreler üçüncü taraf AS-SIP telefona yüklenmez. Bunlar yalnızca Cisco Unified Manager tarafından kullanılır. Üçüncü taraf telefonlarda aynı ayarlar yerel olarak yapılandırılmalıdır.
  • AS-SIP için Telefon Güvenlik Profilini Yapılandırma—Telefon güvenlik profilini; TLS, SRTP ve özet kimlik doğrulama gibi güvenlik ayarlarını atamak için kullanabilirsiniz.
  • AS-SIP Uç Noktasını Yapılandırma—AS-SIP desteği bulunan bir Cisco IP Telefonu'nu veya üçüncü taraf bir uç noktayı yapılandırın.
  • Aygıtı Son Kullanıcı ile İlişkile—Uç noktayı bir kullanıcıyla ilişkilendirin.
  • AS-SIP için SIP Hattı Güvenlik Profili Yapılandırma—SIP hattı güvenlik profilini, bir SIP hattına TLS veya özet kimlik doğrulama gibi güvenlik özellikleri atamak için kullanabilirsiniz.
  • AS-SIP için SIP Hattı Yapılandırma—AS-SIP desteği bulunan bir SIP hattı yapılandırın.
  • AS-SIP Özelliklerini Yapılandırma—MLPP, TLS, V.150 ve IPv6 gibi ek AS-SIP özellikleri yapılandırın.

AS-SIP'i yapılandırma hakkında ayrıntılı bilgi için, Cisco Unified Communications Manager için Özellik Yapılandırma Kılavuzu'ndaki"AS-SIP Uç Noktalarını Yapılandırma" bölümüne bakın.

Çoklu Seviyeli Öncelik ve Arama Üstünlüğü

Çoklu Seviyeli Öncelik ve Arama Üstünlüğü (MLPP), acil durumlarda veya diğer kriz durumlarında çağrıları önceliklendirmenize olanak tanır. Giden çağrılarınıza 1 ile 5 arasında bir öncelik atarsınız. Gelen aramalarda bir simge ve çağrı önceliği görüntülenir. Kimliği doğrulanmış kullanıcılar hedeflenen istasyonlara giden veya tamamen abone olunmuş TDM hatları üzerinden yapılan çağrılara öncelik verebilirler.

Bu özellik, üst düzey personele kritik kuruluşlar ve personel ile iletişim güvencesi sağlar.

MLPP genellikle Garantili Hizmetler SIP (AS-SIP) ile birlikte kullanılır. MLPP yapılandırma hakkında ayrıntılı bilgi için, Cisco Unified Communications Manager için Özellik Yapılandırma Kılavuzu'ndaki Çok Seviyeli Önceliği ve Arama Üstünlüğü yapılandırma bölümüne bakın.

FAC ve CMC Ayarlama

Zorunlu Yetkilendirme Kodları (FAC) veya İstemci Konusu Kodları (CMC) veya her ikisi de telefonda yapılandırıldığında, kullanıcıların bir numarayı çevirmek için gerekli parolaları girmesi gerekir.

Cisco Unified Communications Manager FAC ve CMC ayarlama hakkında daha fazla bilgi için, Cisco Unified Communications Manager İçin Özellik Yapılandırma Kılavuzu'ndaki"İstemci Konusu Kodları ve Zorunlu Yetkilendirme Kodları " bölümüne bakın., 12.5 (1) veya sonraki sürümünü bırakın.