Функції безпеки захищають від загроз, у тому числі загроз ідентифікації телефону та даних. Ці функції встановлюють та підтримують автентифіковані потоки зв’язку між телефоном і сервером Cisco Unified Communications Manager, а також переконайтеся, що телефон використовує лише файли з цифровим підписом.

Cisco Unified Communications Manager версії 8.5(1) і пізнішої версії включає функцію безпеки за замовчуванням, яка забезпечує такі функції безпеки для IP-телефонів Cisco без запуску клієнта CTL:

• Підписання файлів конфігурації телефону

• Шифрування файлу конфігурації телефону

• HTTPS з Tomcat та іншими вебслужбами

Реалізація безпеки в системі Cisco Unified Communications Manager запобігає крадіжці посвідчень телефону та сервера Cisco Unified Communications Manager, запобігає підробленню даних, а також запобігає підробленню сигналів викликів і медіапотоку.

Щоб пом’якшити ці загрози, мережа IP-телефонії Cisco створює та підтримує безпечні (зашифровані) потоки зв’язку між телефоном і сервером, цифрово підписує файли, перш ніж їх буде передано на телефон, а також шифрує медіапотоки та сигнали викликів між IP-телефонами Cisco.

Локально значущий сертифікат (LSC) установлюється на телефонах після виконання необхідних завдань, пов’язаних із проксі-функцією центру сертифікації (CAPF). Для налаштування LSC можна використовувати Cisco Unified Communications Manager, як описано в Посібнику з безпеки Cisco Unified Communications Manager. Крім того, можна ініціювати встановлення LSC з меню параметрів безпеки на телефоні. Це меню також дає змогу оновити або видалити LSC.

LSC не може бути використаний як сертифікат користувача для EAP-TLS з автентифікацією WLAN.

Телефони використовують профіль безпеки телефона, який визначає, чи безпечний пристрій чи безпечний. Інформацію про застосування профілю безпеки до телефону див. в документації до конкретного випуску Cisco Unified Communications Manager.

Якщо ви налаштовуєте параметри безпеки в Cisco Unified Communications Manager Administration, файл конфігурації телефону містить конфіденційну інформацію. Щоб забезпечити конфіденційність файлу конфігурації, потрібно налаштувати його для шифрування. Докладну інформацію див. в документації до конкретного випуску Cisco Unified Communications Manager.

Телефон відповідає Федеральному стандарту обробки інформації (FIPS). Для правильної роботи в режимі FIPS потрібен розмір ключа 2048 бітів або більше. Якщо сертифікат містить менше 2048 бітів, телефон не буде зареєстровано в Cisco Unified Communications Manager, а телефон не буде зареєстровано. Розмір ключа сертифіката не відповідає вимогам FIPS на телефоні.

Якщо телефон має LSC, потрібно оновити розмір ключа LSC до 2048 бітів або більше, перш ніж увімкнути FIPS.

У наступній таблиці наведено огляд функцій безпеки, які підтримуються телефонами. Щоб отримати додаткові відомості, перегляньте документацію до конкретного випуску Уніфікованого диспетчера комунікацій Cisco.

Щоб переглянути режим безпеки, натисніть Налаштування і перейдіть до розділу Мережа та служба > Налаштування безпеки.

Наступна таблиця містить повідомлення попередження та значення оновлення списку довіри. Додаткову інформацію див. в документації Cisco Unified Communications Manager.

Меню Налаштування безпеки надає інформацію про різні налаштування безпеки. Меню також надає доступ до меню списку довіри та вказує, чи встановлено на телефоні файл CTL чи ITL.

У наведеній нижче таблиці описано параметри меню Налаштування безпеки.

IP-телефони Cisco підтримують автентифікацію 802.1X.

IP-телефони Cisco та комутатори Cisco Catalyst традиційно використовують протокол Cisco Discovery Protocol (CDP) для ідентифікації один одного та визначення таких параметрів, як розподіл VLAN та вимоги до вбудованої потужності. CDP не ідентифікує локально підключені робочі станції. IP-телефони Cisco забезпечують механізм передавання через EAPOL. Цей механізм дозволяє робочій станції, підключеній до IP-телефону Cisco, передавати повідомлення EAPOL до автентифікатора 802.1X на комутаторі локальної мережі. Механізм передавання даних гарантує, що IP-телефон не виступає як перемикач локальної мережі для автентифікації кінцевої точки даних перед доступом до мережі.

IP-телефони Cisco також забезпечують проксі-механізм EAPOL Logoff. Якщо локально підключений ПК відключиться від IP-телефону, перемикач локальної мережі не побачить фізичного зв’язку, оскільки зв’язок між перемикачем локальної мережі та IP-телефоном підтримується. Щоб уникнути загрози цілісності мережі, IP-телефон надсилає комутатору повідомлення EAPOL-Logoff від імені ПК, розташованого нижче за рангом, який запускає перемикач локальної мережі, щоб очистити запис автентифікації для ПК нижче за рангом.

Підтримка автентифікації 802.1X вимагає декількох компонентів:

• IP-телефон Cisco: Телефон ініціює запит на доступ до мережі. IP-телефони Cisco містять постачальника 802.1X. Цей постачальник дозволяє адміністраторам мережі керувати підключенням IP-телефонів до портів перемикання локальної мережі. У поточному випуску постачальника телефону 802.1X використовуються параметри EAP-FAST та EAP-TLS для автентифікації мережі.

• Сервер автентифікації: Сервер автентифікації та перемикач мають бути налаштовані зі спільним секретом, який автентифікує телефон.

• Перемикач: Комутатор повинен підтримувати 802.1X, тому він може виконувати функцію автентифікатора та передавати повідомлення між телефоном і сервером автентифікації. Після завершення обміну комутатор надає або відмовляє телефону в доступі до мережі.

Щоб налаштувати 802.1X, необхідно виконати такі дії.

• Налаштуйте інші компоненти, перш ніж увімкнути аутентифікацію 802.1X на телефоні.

• Налаштувати порт ПК: Стандарт 802.1X не враховує мережі VLAN і тому рекомендує автентифікувати лише один пристрій на конкретний порт перемикання. Однак деякі перемикачі підтримують багатодоменну автентифікацію. Конфігурація перемикача визначає, чи можна підключити комп’ютер до порту ПК телефону.

  • Увімкнено: Якщо ви використовуєте перемикач, який підтримує багатодоменну автентифікацію, ви можете ввімкнути порт ПК та підключити до нього ПК. IP-телефони Cisco підтримують проксі EAPOL-Logoff для моніторингу обміну автентифікацією між перемикачем і прикріпленим ПК.

    Додаткову інформацію про підтримку IEEE 802.1X у комутаторах Cisco Catalyst див. в посібниках із налаштування перемикачів Cisco Catalyst за адресою:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Вимкнено: Якщо перемикач не підтримує кілька пристроїв, сумісних із 802.1X, на одному порту необхідно вимкнути порт ПК, коли ввімкнено автентифікацію 802.1X. Якщо цей порт не вимкнути, а потім спробувати прикріпити до нього ПК, перемикач заборонить мережевий доступ як до телефону, так і до ПК.

• Налаштування голосової VLAN: Оскільки стандарт 802.1X не враховує мережі VLAN, цей параметр слід налаштувати на основі підтримки перемикання.
  • Увімкнено: Якщо ви використовуєте перемикач, який підтримує багатодоменну автентифікацію, ви можете продовжити його, використовуючи голосову VLAN.
  • Вимкнено: Якщо перемикач не підтримує багатодоменну автентифікацію, вимкніть голосову VLAN і розгляньте можливість призначення порту рідній VLAN.
• (Тільки для настільних телефонів Cisco серії 9800)

  Настільний телефон Cisco серії 9800 має інший префікс в PID, ніж для інших телефонів Cisco. Щоб увімкнути передавання автентифікації 802.1X на телефоні, установіть параметр Radius·User-Name , щоб включити настільний телефон Cisco серії 9800.

  Наприклад, PID телефону 9841 є DP-9841. Ви можете задати параметр Radius·User-Name , щоб Почати з DP або Містить DP. Його можна встановити в обох таких розділах:

  • Політика > Умови > Умови бібліотеки

  • Політика > Набори політик > Політика авторизації > Правило авторизації 1

Коли реалізовано безпеку для телефону, можна ідентифікувати безпечні телефонні виклики за допомогою значків на екрані телефону. Ви також можете визначити, чи є підключений телефон захищеним і захищеним, якщо на початку виклику відтворюється сигнал безпеки.

Під час безпечного виклику всі сигнали виклику та медіапотоки зашифровані. Безпечний виклик забезпечує високий рівень безпеки, забезпечуючи цілісність і конфіденційність виклику. Коли активний виклик зашифровано, ви можете побачити безпечний значок на лінії. Для захищеного телефону також можна переглянути автентифікований значок або зашифрований значок поруч із підключеним сервером в меню телефону (Налаштування > Про цей пристрій).

Під час безпечного виклику на початку виклику відтворюється сигнал безпеки, що вказує на те, що інший підключений телефон також отримує та передає безпечне аудіо. Якщо ваш виклик підключається до незахищеного телефону, сигнал безпеки не відтворюється.

Коли телефон налаштовано як безпечний (зашифрований і надійний) у Cisco Unified Communications Manager, йому може бути надано стан захищеного . Після цього за бажанням захищений телефон можна налаштувати на відтворення сигналу індикації на початку виклику:

• Захищений пристрій: Щоб змінити стан захищеного телефону на захищений, установіть прапорець Захищений пристрій у вікні конфігурації телефону в Cisco Unified Communications Manager Administration (Пристрій > Телефон).

• Відтворити безпечний сигнал індикації: Щоб увімкнути для захищеного телефону відтворення безпечного або небезпечного сигналу індикації, установіть для відтворення безпечного сигналу індикації значення True. За замовчуванням для відтворення безпечного сигналу вказано значення False. Цей параметр налаштовано в Cisco Unified Communications Manager Administration (Система > Параметри служби). Виберіть сервер, а потім службу Unified Communications Manager. У вікні конфігурації параметрів служби виберіть параметр у розділі «Функція — Безпечний сигнал». Значення за замовчуванням: False.

Оскільки всі пристрої WLAN, які знаходяться в межах діапазону, можуть отримувати весь інший трафік WLAN, безпека голосового зв’язку має важливе значення в WLAN. Щоб переконатися, що зловмисники не маніпулюють і не перехоплюють голосовий трафік, архітектура SAFE Security Cisco підтримує телефон. Додаткову інформацію про безпеку в мережах див. в статті http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Рішення Cisco Wireless IP-телефонії забезпечує безпеку бездротової мережі, яка запобігає несанкціонованому вході та компромісному зв’язку за допомогою таких методів автентифікації, які підтримує телефон:

• Відкрити автентифікацію: Будь-який бездротовий пристрій може запитувати автентифікацію у відкритій системі. AP, що отримує запит, може надати автентифікацію будь-якому відправнику запиту або лише відправникам запиту, знайденим у списку користувачів. Зв’язок між бездротовим пристроєм і точкою доступу (AP) може бути незашифрованим.

• Розширений протокол автентифікації — гнучка автентифікація за допомогою безпечного тунелювання (EAP-FAST): Ця архітектура безпеки клієнта-сервера шифрує транзакції EAP в тунелі Transport Level Security (TLS) між AP та сервером RADIUS, наприклад Identity Services Engine (ISE).

  Тунель TLS використовує облікові дані захищеного доступу (PAC) для автентифікації між клієнтом (телефоном) і сервером RADIUS. Сервер надсилає ідентифікатор центру (AID) клієнту (телефону), який у свою чергу вибирає відповідний PAC. Клієнт (телефон) повертає PAC-Opaque на сервер RADIUS. Сервер розшифрує PAC за допомогою первинного ключа. Обидві кінцеві пристрої тепер містять ключ PAC, і створено тунель TLS. EAP-FAST підтримує автоматичну підготовку PAC, але її потрібно ввімкнути на сервері RADIUS.

  У ISE за замовчуванням термін дії PAC закінчується через один тиждень. Якщо термін дії PAC на телефоні завершився, автентифікація за допомогою сервера RADIUS займає більше часу, поки телефон отримує новий PAC. Щоб уникнути затримок під час підготовки PAC, встановіть період закінчення терміну дії PAC на 90 днів або більше на сервері ISE.

• Автентифікація розширеного протоколу автентифікації — транспортного рівня безпеки (EAP-TLS): EAP-TLS вимагає сертифіката клієнта для автентифікації та доступу до мережі. Для бездротового EAP-TLS сертифікатом клієнта може бути мікрофон, LSC або сертифікат, встановлений користувачем.

• Захищений розширений протокол автентифікації (PEAP): Власна схема взаємної автентифікації Cisco на основі пароля між клієнтом (телефоном) і RADIUS-сервером. Телефон може використовувати PEAP для автентифікації з бездротовою мережею. Підтримуються методи автентифікації PEAP-MSCHAPV2 та PEAP-GTC.

• Спільний ключ (PSK): Телефон підтримує формат ASCII. Цей формат потрібно використовувати під час налаштування спільного ключа WPA/WPA2/SAE:

  ASCII: рядок ASCII-символів довжиною від 8 до 63 символів (0–9, малих і великих літер A–Z і спеціальні символи)

  Приклад: GREG123567@9ZX&W

Такі схеми автентифікації використовують сервер RADIUS для керування ключами автентифікації:

• wpa/wpa2/wpa3: Використовує інформацію про сервер RADIUS для створення унікальних ключів для автентифікації. Оскільки ці ключі створюються на централізованому сервері RADIUS, WPA2/WPA3 забезпечує більшу безпеку, ніж попередні ключі WPA, які зберігаються в точці доступу та телефоні.

• Швидкий безпечний роумінг: Використовує сервер RADIUS і інформацію про сервер бездротового домену (WDS) для керування ключами та автентифікації. WDS створює кеш облікових даних безпеки для клієнтських пристроїв із підтримкою FT для швидкої та безпечної повторної автентифікації. Настільний телефон Cisco 9861 і 9871, а також відеотелефон Cisco 8875 підтримують 802.11r (FT). Як по повітрю, так і по DS підтримуються для швидкого безпечного роумінгу. Але ми настійно рекомендуємо використовувати метод 802.11r (FT) над повітряним методом.

У WPA/WPA2/WPA3 ключі шифрування не вводяться на телефоні, але автоматично походять між точкою доступу та телефоном. Але ім’я користувача та пароль EAP, які використовуються для автентифікації, мають бути введені на кожному телефоні.

Щоб забезпечити безпеку голосового трафіку, телефон підтримує шифрування TKIP і AES. Коли ці механізми використовуються для шифрування, між точкою доступу та телефоном шифруються пакети SIP сигналів і пакети голосового протоколу Real-Time Transport Protocol (RTP).

tkip

WPA використовує шифрування TKIP, що має кілька покращень порівняно з WEP. TKIP забезпечує шифрування ключів для кожного пакета та довші векторів ініціалізації (IV), які покращують шифрування. Крім того, перевірка цілісності повідомлення (MIC) гарантує, що зашифровані пакети не змінюються. TKIP видаляє передбачуваність WEP, що допомагає зловмисникам розшифрувати ключ WEP.

aes

Метод шифрування, який використовується для автентифікації WPA2/WPA3. Цей національний стандарт шифрування використовує симетричний алгоритм, який має той самий ключ для шифрування та дешифрування. AES використовує шифрування ланцюжка блокування шифрів (CBC) розміром 128 біт, який підтримує мінімальні розміри ключів 128 біт, 192 біт і 256 біт. Телефон підтримує розмір ключа 256 біт.

Схеми автентифікації та шифрування налаштовуються в бездротовій локальній мережі. Мережі VLAN налаштовуються в мережі та на AP і вказують різні комбінації автентифікації та шифрування. SSID пов’язаний із VLAN і певною схемою автентифікації та шифрування. Для успішної автентифікації бездротових клієнтських пристроїв потрібно налаштувати ті самі SSID із їхніми схемами автентифікації та шифрування на точках доступу й на телефоні.

Деякі схеми автентифікації потребують певних типів шифрування.

У схемах автентифікації та шифрування, наведених у наведеній нижче таблиці, показано параметри конфігурації мережі для телефону, які відповідають конфігурації точки доступу.

Гарантовані служби SIP(AS-SIP) — це набір функцій і протоколів, що забезпечують дуже безпечний потік викликів для IP-телефонів Cisco й сторонніх телефонів. Такі функції колективно називаються AS-SIP:

• Багаторівневий пріоритет і перерва в обслуговуванні (MLPP)
• Кодова точка диференційованих служб (DSCP)
• Протокол безпеки транспортного рівня (TLS) і безпечний протокол транспортування в реальному часі (SRTP)
• Інтернет-протокол версії 6 (IPv6)

AS-SIP часто використовується з багаторівневим пріоритетом і запобіганням (MLPP) для пріоритету викликів під час екстреної ситуації. ЗА ДОПОМОГОЮ MLPP ви призначаєте рівень пріоритету вихідним викликам — від рівня 1 (низький) до рівня 5 (високий). Коли ви отримуєте виклик, на телефоні відображається значок рівня пріоритету виклику.

Щоб налаштувати AS-SIP, виконайте такі завдання в Cisco Unified Communications Manager:

• Налаштуйте користувача дайджест-налаштуйте кінцевого користувача, щоб використовувати автентифікацію дайджест для запитів SIP.
• Налаштуйте безпечний порт SIP-телефона. Cisco Unified Communications Manager використовує цей порт для прослуховування SIP-телефонів під час реєстрації SIP-ліній через TLS.
• Перезапустіть служби. Після налаштування безпечного порту перезапустіть Cisco Unified Communications Manager і служби постачальника Cisco CTL. Налаштуйте профіль SIP для AS-SIP-Налаштуйте профіль SIP з параметрами SIP для кінцевих точок AS-SIP та SIP-транків. Параметри, специфічні для телефону, не завантажені на сторонній телефон AS-SIP. Вони використовуються лише Cisco Unified Manager. Сторонні телефони повинні налаштувати ті самі налаштування на локальній основі.
• Налаштуйте профіль безпеки телефону для AS-SIP. Профіль безпеки телефону можна використовувати для призначення налаштувань безпеки, як-от TLS, SRTP та автентифікація дайджест.
• Налаштуйте AS-SIP-термінал — налаштуйте IP-телефон Cisco або сторонній кінцевий пристрій із підтримкою AS-SIP.
• Зв’яжіть пристрій із кінцевим користувачем — зв’яжіть кінцевий пристрій із користувачем.
• Налаштуйте профіль безпеки SIP-транка для AS-SIP. Профіль безпеки SIP-транка можна використовувати, щоб призначити функції безпеки, наприклад TLS або автентифікацію дайджест-транку SIP.
• Налаштуйте SIP-транк для AS-SIP—налаштуйте SIP-транк з підтримкою AS-SIP.
• Налаштуйте функції AS-SIP—Налаштуйте додаткові функції AS-SIP, наприклад MLPP, TLS, V.150 і IPv6.

"Докладну інформацію про налаштування AS-SIP див. в розділі ""Налаштування кінцевих точок AS-SIP"" в Посібнику з налаштування функцій для Cisco Unified Communications Manager."

Коли коди примусової авторизації (FAC) або коди справ клієнта (CMC) або обидва налаштовані на телефоні, користувачі повинні ввести необхідні паролі, щоб набрати номер.

"Додаткову інформацію про те, як налаштувати FAC і CMC у Cisco Unified Communications Manager, див. в розділі ""Коди клієнтських питань і коди примусової авторизації""" в Посібнику з налаштування функцій для Cisco Unified Communications Manager, випуск 12.5(1) або пізнішої версії."