Ви можете забезпечити роботу Cisco Unified Communications Manager у покращеному середовищі безпеки. Завдяки цим удосконаленням ваша телефонна мережа працюватиме в системі суворого контролю безпеки й ризиків, що захистить вас і ваших користувачів.

Покращене середовище безпеки пропонує такі функції:

  • Автентифікація під час пошуку контактів.

  • TCP як стандартний протокол для віддаленого контрольного журналювання.

  • Режим FIPS.

  • Покращена політика облікових даних.

  • Підтримка сімейства хеш-функцій SHA-2 для цифрових підписів.

  • Підтримка розміру ключа RSA 512 біт і 4096 біт.

Завдяки Cisco Unified Communications Manager Release 14.0 і Cisco Video Phone Firmware Release 2.1 і пізніших версіях телефони підтримують автентифікацію SIP OAuth.

OAuth підтримується для протоколу передачі тривіальних файлів Proxy Trivial File Transfer Protocol (TFTP) з Cisco Unified Communications Manager Release 14.0(1)SU1 або пізнішої версії. Proxy TFTP та OAuth для Proxy TFTP не підтримуються в Mobile Remote Access (MRA).

Щоб отримати додаткові відомості про безпеку, ознайомтеся з такими ресурсами:

На телефоні може зберігатися лише обмежена кількість файлів Identity Trust List (ITL). Розмір файлів ITL на телефоні не може перевищувати 64 КБ, тому обмежте кількість файлів, які Cisco Unified Communications Manager надсилатиме на телефон.

Підтримувані функції безпеки

Функції безпеки захищають від різних загроз, зокрема загрози ідентичності телефона й даних. Ці функції встановлюють і підтримують автентифіковані комунікаційні потоки між телефоном і сервером Cisco Unified Communications Manager, а також гарантують, що телефон використовуватиме лише файли з цифровим підписом.

Cisco Unified Communications Manager 8.5(1) і пізніших версій за замовчуванням містить інструменти безпеки, які надають IP-телефону Cisco такі функції безпеки без запуску клієнта CTL:

  • Підписання файлів конфігурації телефона.

  • Шифрування файлів конфігурації телефона.

  • HTTPS із Tomcat та іншими вебсервісами.

Щоб застосовувати функції безпечного передавання сигналів і медіапотоку, все одно потрібно запускати клієнт CTL і використовувати апаратні ключі eToken.

Упровадження інструментів безпеки в системі Cisco Unified Communications Manager запобігає крадіжці ідентичності телефона й сервера Cisco Unified Communications Manager, компрометації даних, а також втручанню в передавання сигналів викликів і медіапотоку.

Щоб знизити ці загрози, мережа IP-телефонії Cisco встановлює та підтримує захищені (зашифровані) комунікаційні потоки між телефоном і сервером, підписує файли цифровим підписом перед їх передаванням на телефон, а також шифрує медіапотоки й передавання сигналів викликів між IP-телефонами Cisco.

Локально значимий сертифікат (LSC) установлюється на телефони після виконання необхідних завдань, пов’язаних із проксі-сервером сертифікаційного центру (CAPF). Ви можете використовувати Cisco Unified Communications Manager Administration, щоб налаштувати LSC, як описано в Посібнику з безпеки Cisco Unified Communications Manager. Крім того, ви можете ініціювати інсталяцію LSC у меню налаштувань безпеки на телефоні. За допомогою цього меню також можна оновити або видалити LSC.

LSC не можна використовувати як сертифікат користувача для EAP-TLS з автентифікацією WLAN.

Телефони використовують профіль захисту телефона, який визначає, чи є пристрій захищеним. Додаткові відомості про застосування до телефона профілю захисту див. в документації до відповідного випуску Cisco Unified Communications Manager.

Якщо в Cisco Unified Communications Manager Administration налаштувати параметри безпеки, файл конфігурації телефона міститиме конфіденційну інформацію. Щоб забезпечити конфіденційність файлу конфігурації, необхідно його зашифрувати. Докладну інформацію див. в документації до відповідного випуску Cisco Unified Communications Manager.

Телефон відповідає Федеральному стандарту обробки інформації (FIPS). Для правильної роботи режиму FIPS розмір ключа має бути принаймні 2048 біт. Якщо сертифікат буде меншим за 2048 біт, телефон не зареєструється в системі Cisco Unified Communications Manager і покаже повідомлення Phone failed to register. Cert key size is not FIPS compliant (Не вдалося зареєструвати телефон. Розмір ключа сертифіката несумісний з FIPS.).

Якщо в телефона є сертифікат LSC, то перед активацією FIPS потрібно буде оновити розмір ключа LSC принаймні до 2048 біт.

У таблиці нижче наведено огляд функцій безпеки, які підтримуються телефонами. Додаткові відомості див. в документації до відповідного випуску Cisco Unified Communications Manager.

Щоб переглянути режим охорони, натисніть Налаштування жорстка клавіша Налаштування і перейдіть до розділу Налаштування мережі та служби >Безпеки.

Таблиця 1. Огляд функцій безпеки

Функція

Опис

Автентифікація образів

Підписання бінарних файлів запобігає компрометації образу мікропрограми перед його завантаженням на телефон.

У разі компрометації образу телефон не завершує процес автентифікації та відхиляє новий образ.

Установлення сертифіката сайту клієнта

Кожному IP-телефону Cisco потрібен унікальний сертифікат для автентифікації пристрою. Телефони оснащуються встановленим виробником сертифікатом (MIC), але для додаткової безпеки ви можете задати в Cisco Unified Communications Manager Administration встановлення сертифіката за допомогою проксі-сервера сертифікаційного центру (CAPF). Крім того, ви можете встановити локально значимий сертифікат (LSC) у меню конфігурації безпеки на телефоні.

Автентифікація пристрою

Відбувається між сервером Cisco Unified Communications Manager і телефоном, коли один об’єкт приймає сертифікат іншого об’єкта. Ця функція визначає, чи має відбуватися захищене з’єднання між телефоном і Cisco Unified Communications Manager; якщо так, між об’єктами за допомогою протоколу TLS створюється захищений канал передавання сигналів. Cisco Unified Communications Manager не реєструє телефони, які не може автентифікувати.

Автентифікація файлів

Перевіряє файли з цифровим підписом, які завантажує телефон. Телефон перевіряє підпис, щоб переконатися, що після створення файл не було скомпрометовано. У флеш-пам’ять телефона записуються лише файли, які пройшли автентифікацію. Телефон відхиляє решту файлів без подальшої обробки.

Шифрування файлів

Шифрування запобігає розкриттю конфіденційної інформації під час передавання файлу на телефон. Крім того, телефон перевіряє підпис, щоб переконатися, що після створення файл не було скомпрометовано. У флеш-пам’ять телефона записуються лише файли, які пройшли автентифікацію. Телефон відхиляє решту файлів без подальшої обробки.

Автентифікація передавання сигналів

За допомогою протоколу TLS перевіряється, чи не було скомпрометовано сигнальні пакети під час передавання.

Установлений виробником сертифікат

Кожен IP-телефон Cisco має унікальний установлений виробником сертифікат (MIC), який використовується для автентифікації пристрою. MIC забезпечує постійне унікальне підтвердження ідентифікації телефона й дає Cisco Unified Communications Manager змогу автентифікувати телефон.

Шифрування медіапотоку

Використовує протокол SRTP, щоб забезпечувати захищеність медіапотоків між підтримуваними пристроями, а також отримання та зчитування даних лише потрібним пристроєм. Ця функція передбачає створення для пристроїв пари головних ключів медіапотоку, передавання ключів на пристрої та забезпечення доставки ключів під час транспортування.

Проксі-сервер сертифікаційного центру (CAPF)

Частинами впроваджує процедури створення сертифікатів, які є занадто інтенсивними для обробки телефоном, а також взаємодіє з телефоном для створення ключів і встановлення сертифіката. Ви можете налаштувати, щоб CAPF створював сертифікати локально або запитував сертифікати в заданих клієнтом центрах сертифікації від імені телефона.

Підтримуються обидва типи ключів EC (еліптична крива) і RSA. Щоб використовувати ключ EC, переконайтеся, що включений параметр "Підтримка алгоритмів розширеного шифрування кінцевих точок" (з параметра System >Enterprise).

Для отримання додаткової інформації про CAPF та пов'язані з ним конфігурації дивіться наступні документи:

Профіль безпеки

Визначає, чи телефон є незахищеним, автентифікованим, зашифрованим або захищеним. Решта записів в цій таблиці описують функції безпеки.

Зашифровані файли конфігурації

Дає змогу забезпечити конфіденційність файлів конфігурації телефона.

Додаткове відключення вебсервера для телефона

З міркувань безпеки можна заборонити телефону доступ до порталу самообслуговування та вебсторінок, на яких відображаються різноманітні статистичні дані про роботу телефона.

Посилення захисту телефона

Додаткові параметри безпеки, якими можна керувати в Cisco Unified Communications Manager Administration, а саме:

  • відключення порту ПК;
  • відключення добровільного запиту ARP (GARP);
  • відключення доступу до голосової VLAN на ПК;
  • відключення або надання обмеженого доступу до меню налаштувань;
  • відключення доступу до вебсторінок для телефона;
  • відключення порту для аксесуарів Bluetooth;
  • обмеження шифрів TLS.

Автентифікація 802.1X

IP-телефон Cisco може використовувати автентифікацію 802.1X для запиту й отримання доступу до мережі. Додаткові відомості див. в розділі Автентифікація 802.1X.

Захищене аварійне перемикання SIP для SRST

Коли ви налаштуєте посилання на відмовостійку телефонію для віддалених офісів (SRST) для функцій безпеки, а потім перезавантажите залежні пристрої в Cisco Unified Communications Manager Administration, сервер TFTP додасть сертифікат SRST до файлу cnf.xml телефона й надішле файл на телефон. Після цього захищений телефон використовуватиме з’єднання з TLS для взаємодії з маршрутизатором, який підтримує SRST.

Шифрування передавання сигналів

Забезпечує шифрування всіх сигнальних повідомлень SIP, які передаються між пристроєм і сервером Cisco Unified Communications Manager.

Оповіщення про оновлення списку довіри

Коли список довіри оновлюється на телефоні, Cisco Unified Communications Manager отримує оповіщення про успішне або невдале оновлення. Додаткові відомості див. в наведеній нижче таблиці.

Шифрування AES 256

У разі підключення до Cisco Unified Communications Manager 10.5(2) і пізніших версій телефони підтримують шифрування AES 256 для TLS і SIP, щоб шифрувати передавання сигналів і медіапотоку. Завдяки цьому телефони можуть ініціювати й підтримувати з’єднання TLS 1.2 за рахунок шифрів на основі AES-256, які відповідають стандартам SHA-2 (алгоритм безпечного хешування) і FIPS (федеральні стандарти обробки інформації). Нижче наведено відповідні шифри.

  • Для з’єднань TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Для sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Для отримання додаткової інформації дивіться документацію Cisco Unified Communications Manager.

Сертифікати алгоритму цифрового підпису з використанням еліптичної кривої (ECDSA)

У рамках сертифікації за загальними критеріями (CC) у Cisco Unified Communications Manager версії 11.0 було додано сертифікати ECDSA. Це стосується всіх продуктів голосової операційної системи (VOS), які працюють у CUCM 11.5 і пізніших версій.

Мультисерверний (SAN) сертифікат Tomcat з Cisco UCM

Телефон підтримує Cisco UCM з налаштованими мультисерверними (SAN) сертифікатами Tomcat. Правильну адресу сервера TFTP можна знайти в ITL-файлі телефону для реєстрації телефону.

Щоб дізнатися більше про цю функцію, перегляньте наведену нижче статтю.

У таблиці нижче наведено оповіщення про оновлення списку довіри та їх значення. Для отримання додаткової інформації дивіться документацію Cisco Unified Communications Manager.

Таблиця 2. Оповіщення про оновлення списку довіри
Код і повідомлення Опис

1. TL_SUCCESS

Отримано новий список CTL та/або ITL.

2. CTL_INITIAL_SUCCESS

Отримано новий список CTL. Інших списків довіри немає.

3. ITL_INITIAL_SUCCESS

Отримано новий список ITL. Інших списків довіри немає.

4. TL_INITIAL_SUCCESS

Отримано нові списки CTL та ITL. Інших списків довіри немає.

5. TL_FAILED_OLD_CTL

Помилка переходу на новий список CTL. Є старий список довіри.

6. TL_FAILED_NO_TL

Помилка переходу на новий список довіри. Старих списків довіри немає.

7. TL_FAILED

Загальна помилка.

8. TL_FAILED_OLD_ITL

Помилка переходу на новий список ITL. Є старий список довіри.

9. TL_FAILED_OLD_TL

Помилка переходу на новий список довіри. Є старий список довіри.

У меню налаштування безпеки наведені відомості про різні параметри безпеки. У цьому меню також доступне меню списку довіри, де вказано, чи встановлено на телефоні файл CTL або ITL.

У таблиці нижче описано параметри, доступні в меню налаштування безпеки.

Таблиця 3. Меню налаштування безпеки

Параметр

Опис

Внесення змін

Режим безпеки

Відображає встановлений для телефона режим безпеки.

У Cisco Unified Communications Manager Administration виберіть Device (Пристрій) > Phone (Телефон). Цей параметр відображається у вікні Phone Configuration (Конфігурація телефона) у розділі Protocol Specific Information (Інформація про протокол).

LSC

Указує, чи встановлено на телефоні локально значущий сертифікат, який використовується для функцій безпеки (Інстальовано) чи не встановлено на телефоні (Не встановлено).

Інформацію про керування LSC для телефона див. в документації до відповідного випуску Cisco Unified Communications Manager.

Налаштування локально значимого сертифіката (LSC)

Ця інструкція стосується налаштування LSC за методом рядка автентифікації.

Перш ніж почати

Перевірте, чи завершено відповідне налаштування безпеки Cisco Unified Communications Manager і проксі-сервера сертифікаційного центру (CAPF), а саме:

  • чи є у файла CTL або ITL сертифікат CAPF;

  • чи встановлено сертифікат CAPF (це можна перевірити в Cisco Unified Communications Operating System Administration);

  • чи запущено й налаштовано проксі-сервер CAPF.

Додаткові відомості про ці налаштування див. в документації до відповідного випуску Cisco Unified Communications Manager.

1

Отримайте код автентифікації CAPF, який було встановлено під час налаштування CAPF.

2

На телефоні натисніть Налаштування the Settings hard key.

3

Якщо з'явиться відповідний запит, введіть пароль, щоб отримати доступ до меню Налаштування . Пароль можна отримати у адміністратора.

4

Перейдіть до розділу Мережа та служба > Налаштування безпеки> LSC.

Керувати доступом до меню налаштувань можна за допомогою поля Settings Access (Налаштування доступу) у Cisco Unified Communications Manager Administration.

5

Введіть рядок автентифікації та виберіть Надіслати.

Залежно від налаштувань CAPF телефон розпочинає встановлення, оновлення або видалення LSC. Після завершення процедури на телефоні відображається напис Installed (Установлено) або Not Installed (Не встановлено).

Процес установлення, оновлення або видалення LSC може зайняти багато часу.

Після завершення процедури встановлення телефона відобразиться повідомлення Installed (Установлено). Якщо на телефоні відображається напис Not Installed (Не встановлено), можливо, рядок авторизації виявився неправильним або оновлення телефона не було ввімкнено. Якщо CAPF видалить LSC, на телефоні відобразиться напис Not Installed (Не встановлено), що вказує на успішність операції. Сервер CAPF записує повідомлення про помилки. Перегляньте документацію до сервера CAPF, щоб знайти журнали та дізнатися про значення повідомлень про помилки.

Увімкнення режиму FIPS

1

У Cisco Unified Communications Manager Administration виберіть Device (Пристрій) > Phone (Телефон) і знайдіть потрібний телефон.

2

Перейдіть до розділу Product Specific Configuration (Конфігурація залежно від продукту).

3

Установіть для поля FIPS Mode (Режим FIPS) значення Enabled (Увімкнено).

4

Виберіть Зберегти.

5

Виберіть Apply Config (Застосувати конфігурацію).

6

Перезапустіть телефон.

Вимкніть гучний зв'язок, гарнітуру та слухавку на телефоні

У вас є можливість назавжди вимкнути гучний зв'язок, гарнітуру та слухавку на телефоні для вашого користувача.

1

У Cisco Unified Communications Manager Administration виберіть Device (Пристрій) > Phone (Телефон) і знайдіть потрібний телефон.

2

Перейдіть до розділу Product Specific Configuration (Конфігурація залежно від продукту).

3

Установіть один або кілька з наведених нижче пунктів, щоб вимкнути можливості телефону:

  • Вимкніть гучний зв'язок
  • Вимкнення спікерфона й гарнітури
  • Вимкнення слухавки

За замовчуванням ці прапорці не встановлені.

4

Виберіть Зберегти.

5

Виберіть Apply Config (Застосувати конфігурацію).

Автентифікація 802.1X

IP-телефони Cisco підтримують автентифікацію 802.1X.

Як правило, IP-телефони Cisco й комутатори Cisco Catalyst використовують протокол Cisco Discovery Protocol (CDP) для взаємної ідентифікації та визначення таких параметрів, як розподіл VLAN і вимоги до живлення через лінію. CDP не ідентифікує локально під’єднані робочі станції. IP-телефони Cisco IP Phones забезпечують механізм фільтрації EAPOL. Цей механізм дозволяє робочій станції, підключеній до IP-телефона Cisco, передавати повідомлення EAPOL автентифікатору 802.1X на комутаторі локальної мережі. Механізм фільтрації гарантує, що IP-телефон не працюватиме як комутатор локальної мережі для автентифікації кінцевої точки даних, перш ніж отримає доступ до мережі.

IP-телефони Cisco також підтримують надсилання повідомлення EAPOL Logoff через проксі-сервер. Якщо локально під’єднаний ПК відключається від IP-телефона, комутатор локальної мережі не бачить збою фізичного зв’язку, тому що з’єднання між комутатором локальної мережі й IP-телефоном зберігається. Щоб уникнути порушення цілісності мережі, IP-телефон надсилає комутатору повідомлення EAPOL-Logoff від імені низхідного ПК, після чого комутатор локальної мережі видаляє запис про автентифікацію цього ПК.

Для роботи автентифікації 802.1X потрібно кілька компонентів:

  • IP-телефон Cisco. Телефон ініціює запит на доступ до мережі. IP-телефони Cisco обладнано запитувачем 802.1X. За його допомогою адміністратори мережі можуть контролювати підключення IP-телефонів до портів комутатора LAN. Поточний випуск запитувача 802.1X телефона використовує для автентифікації в мережі параметри EAP-FAST та EAP-TLS.

  • Сервер автентифікації: сервер автентифікації та комутатор мають бути налаштовані зі спільним секретом, який автентифікує телефон.

  • Комутатор. Комутатор має підтримувати стандарт 802.1X, щоб виконувати роль автентифікатора й передавати повідомлення між телефоном і сервером автентифікації. Після завершення обміну комутатор надає або блокує телефону доступ до мережі.

Щоб налаштувати 802.1X:

  • Налаштуйте решту компонентів, перш ніж вмикати автентифікацію 802.1X на телефоні.

  • Налаштуйте порт ПК. Стандарт 802.1X не враховує VLAN, а тому рекомендовано автентифікувати лише один пристрій для конкретного порту комутатора. Однак деякі комутатори підтримують багатодоменну автентифікацію. Конфігурація комутатора визначає, чи можна підключити ПК до порту ПК телефона.

    • Увімкнення. Якщо ви використовуєте комутатор, який підтримує багатодоменну автентифікацію, то можете ввімкнути порт ПК та підключити до нього ПК. Для таких випадків IP-телефони Cisco підтримують надсилання EAPOL-Logoff через проксі-сервер, щоб стежити за обміном автентифікацією між комутатором і підключеним ПК.

      Додаткові відомості про підтримку стандарту IEEE 802.1X на комутаторах Cisco Catalyst див. в посібниках із конфігурації комутатора Cisco Catalyst за адресою:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Вимкнення. Якщо комутатор не підтримує на одному порту кілька пристроїв, сумісних зі стандартом 802.1X, то в разі ввімкнення автентифікації 802.1X потрібно вимикати порт ПК. Якщо ви не вимкнете цей порт, а потім спробуєте під’єднати до нього ПК, комутатор відмовить у доступі до мережі як телефону, так і ПК.

  • Налаштуйте голосову VLAN. Стандарт 802.1X не враховує VLAN, а тому вам потрібно налаштовувати цей параметр залежно від підтримки комутатора.
    • Підтримується. Якщо ваш комутатор підтримує багатодоменну автентифікацію, то можете використовувати його й надалі для голосової VLAN.
    • Не підтримується. Якщо ваш комутатор не підтримує багатодоменну автентифікацію, вимкніть голосову VLAN і призначте порт нативній мережі VLAN.
  • (Лише для настільних телефонів Cisco серії 9800)

    Cisco Desk Phone серії 9800 має інший префікс у PID, ніж для інших телефонів Cisco. Щоб ваш телефон пройшов автентифікацію 802.1X, встановіть радіус · User-Name , щоб включити ваш настільний телефон Cisco серії 9800.

    Наприклад, PID телефону 9841 – DP-9841; ви можете встановити Радіус· ім'я користувача для початку з DP або містить DP. Ви можете встановити його в обох наступних розділах:

    • Політика > Умови > Умови бібліотеки

    • Політика > Набори політик> Політика авторизації> Правило авторизації 1

Увімкнення автентифікації 802.1X

Щоб увімкнути для свого телефона автентифікацію 802.1X:

1

Натисніть Settings (Налаштування).the Settings hard key.

2

Якщо з'явиться відповідний запит, введіть пароль, щоб отримати доступ до меню Налаштування . Пароль можна отримати у адміністратора.

3

Перейдіть до розділу Мережа та служба > Налаштування безпеки> Аутентифікація 802.1X.

4

Увімкніть автентифікацію IEEE 802.1X.

5

Виберіть Застосувати.

Перегляд інформації про настройки безпеки на телефоні

Інформацію про налаштування безпеки можна переглянути в меню телефону. Доступність інформації залежить від настройок мережі у вашій організації.

1

Натисніть Settings (Налаштування).the Settings key.

2

Перейдіть до розділу Налаштування мережі та служби > Безпека.

3

У налаштуваннях безпеки перегляньте наведену нижче інформацію.

Таблиця 4. Параметри для налаштувань безпеки

параметри;

Опис

Режим безпеки

Відображає встановлений для телефона режим безпеки.

LSC

Указує, чи встановлено на телефоні локально значущий сертифікат, який використовується для функцій безпеки (Так), чи не встановлено на телефоні (Ні).

Список довіри

Список довіри містить підменю для файлів CTL, ITL та підписаних файлів конфігурації.

У підменю «Файл CTL» відображається вміст файлу CTL. У підменю «Файл ITL» відображається вміст файлу ITL.

У меню «Список довіри» також відображається така інформація:

  • CTL Signature: хеш SHA1 файлу CTL
  • Unified CM/TFTP Server: ім'я Cisco Unified Communications Manager і TFTP Server, які використовує телефон. Відображає піктограму сертифіката, якщо сертифікат встановлено для цього сервера.
  • CAPF Server: ім'я сервера CAPF, який використовує телефон. Відображає піктограму сертифіката, якщо сертифікат встановлено для цього сервера.
  • Маршрутизатор SRST: IP-адреса довіреного маршрутизатора SRST, який може використовувати телефон. Відображає піктограму сертифіката, якщо сертифікат встановлено для цього сервера.

Безпека телефонних викликів

Якщо для телефона впроваджено інструменти безпеки, ви можете розпізнавати безпечні телефонні виклики за значками на екрані телефона. Ви також можете визначити, що підключений телефон є захищеним, якщо на початку виклику пролунає сигнал захисту.

Під час захищеного виклику всі передавання сигналів викликів і медіапотоки шифруються. Захищений виклик пропонує високий рівень безпеки, який гарантує цілісність і конфіденційність виклику. Коли дзвінок, що виконується, зашифровано, ви можете побачити значок безпеки Значок замка для безпечного дзвінка на лінії. На захищеному телефоні також можна переглянути значок автентифікації або зашифрований значок поруч із підключеним сервером у меню телефону (Налаштування > Про цей пристрій).

Виклик, маршрутизований через гілки викликів, які не належать до IP-мережі, наприклад ТМЗК, може бути незахищеним, навіть якщо він зашифрований в IP-мережі й показує пов’язаний із ним значок замка.

На початку захищеного виклику лунає сигнал захисту, який вказує на те, що інший підключений телефон також приймає та передає захищені аудіодані. Сигнал захисту не пролунає, якщо ваш виклик з’єднається з незахищеним телефоном.

Захищені виклики підтримують лише з’єднання між двома телефонами. Коли ввімкнено захищені виклики, деякі функції, як-от конференц-виклики та спільні лінії, недоступні.

Коли телефон налаштовано як захищений (зашифрований і довірений) у Cisco Unified Communications Manager, йому може бути надано Захищені статус. Після цього за потреби можна налаштувати, щоб на початку виклику захищений телефон відтворював сигнал індикації.

  • Захищений пристрій. Щоб задати захищений стан для захищеного телефона, установіть прапорець поруч із пунктом Protected Device (Захищений пристрій) у вікні конфігурації телефона в Cisco Unified Communications Manager Administration. Для цього перейдіть у розділ Device (Пристрій) > Phone (Телефон).

  • Відтворення сигналу індикації захисту. Щоб захищений телефон відтворював сигнали індикації захищеності або незахищеності, установіть для параметра Play Secure Indication Tone (Відтворювати сигнал індикації захисту) значення True. За замовчуванням для цього параметра встановлено значення False. Це можна зробити в Cisco Unified Communications Manager Administration у розділі System (Система) > Service Parameters (Службові параметри). Виберіть сервер, а потім службу Unified Communications Manager. У вікні налаштування параметрів служби виберіть зазначений вище параметр у розділі Feature (Функція) > Secure Tone (Сигнал захисту). За замовчуванням встановлено значення False.

Ідентифікація захищеного конференц-виклику

Ви можете ініціювати захищений конференц-виклик і контролювати рівень захисту учасників. Захищений конференц-виклик налаштовується таким чином:

  1. Користувач ініціює конференцію на захищеному телефоні.

  2. Cisco Unified Communications Manager призначає виклику захищений конференц-міст.

  3. Коли до виклику додаються учасники, Cisco Unified Communications Manager перевіряє режим безпеки кожного телефона й підтримує рівень захисту конференції.

  4. На телефоні відображається рівень захисту конференц-виклику. На захищеній конференції відображається піктограма безпеки Значок замка для безпечного дзвінка.

Захищений виклик підтримується між двома телефонами. Коли налаштовано захищені виклики, деякі функції телефона, як-от конференц-зв’язок, спільні лінії та Extension Mobility, недоступні.

У таблиці нижче наведено інформацію про зміни рівнів захисту конференції залежно від рівня захисту телефона ініціатора виклику, рівня захисту учасників і наявності захищених конференц-мостів.

Таблиця 5. Обмеження безпеки під час проведення конференц-викликів

Рівень захисту телефона ініціатора виклику

Використовувана функція

Рівень захисту учасників

Результати дії

Незахищений

Проведення конференцій

Захищений

Незахищений конференц-міст

Незахищена конференція

Захищений

Проведення конференцій

Щонайменше один учасник незахищений.

Захищений конференц-міст

Незахищена конференція

Захищений

Проведення конференцій

Захищений

Захищений конференц-міст

Захищена шифруванням конференція

Незахищений

Meet Me

Мінімальний рівень захисту встановлено на значення Encrypted (Зашифрований)

Ініціатор виклику отримує повідомлення Does not meet Security Level, call rejected (Відхилено: виклик не відповідає рівню захисту).

Захищений

Meet Me

Мінімальний рівень захисту встановлено на значення Non Secure (Незахищений)

Захищений конференц-міст

Конференція приймає всі виклики

Ідентифікація захищеного телефонного виклику

Захищений виклик здійснюється, коли ваш телефон і телефон на іншому кінці налаштовуються на захищений виклик. Інший телефон може перебувати в тій самій IP-мережі Cisco або в мережі за її межами. Захищені виклики можна здійснювати лише між двома телефонами. Конференц-виклики мають підтримувати захищені виклики після того, як буде налаштовано захищений конференц-міст.

Захищений виклик налаштовується таким чином:

  1. Користувач ініціює виклик на захищеному телефоні (режим безпеки – захищений).

  2. На телефоні відображається значок безпеки Значок замка для безпечного дзвінка на екрані телефону. Цей значок вказує на те, що ваш телефон налаштований на захищені виклики, що, однак, не гарантує захищеність іншого підключеного телефона.

  3. Якщо виклик з’єднується з іншим захищеним телефоном, користувач почує сигнал захисту, який вказує на те, що обидва кінці розмови зашифровані й захищені. Якщо виклик з’єднується з незахищеним телефоном, користувач не почує сигналу захисту.

Захищений виклик підтримується між двома телефонами. Коли налаштовано захищені виклики, деякі функції телефона, як-от конференц-зв’язок, спільні лінії та Extension Mobility, недоступні.

Лише захищені телефони відтворюють ці сигнали індикації захищеності або незахищеності. Незахищені телефони ніколи не відтворюють сигнали. У разі зміни загального стану поточного виклику сигнал індикації зміниться та відтвориться на захищеному телефоні.

Нижче описано умови відтворення або невідтворення сигналу захисту.

  • Якщо параметр Play Secure Indication Tone (Відтворювати сигнал індикації захисту) увімкнено:

    • Якщо медіапотік з обох кінців захищено та стан виклику – захищений, телефон відтворює сигнал індикації захищеності (три довгих гудка з паузами).

    • Якщо медіапотік з обох кінців захищено та стан виклику – незахищений, телефон відтворює сигнал індикації незахищеності (шість довгих гудків із короткими паузами).

Якщо параметр Play Secure Indication Tone не ввімкнено, сигнал не буде відтворено.

Забезпечте шифрування для баржі

Cisco Unified Communications Manager перевіряє стан безпеки телефону при встановленні конференцій і змінює індикацію безпеки для конференції або блокує завершення дзвінка для підтримки цілісності і безпеки в системі.

Користувач не може втрутитися в зашифрований дзвінок, якщо телефон, який використовується для баржі, не налаштований на шифрування. Коли баржа виходить з ладу в цьому випадку, на телефоні грає сигнал перезамовлення (швидке зайнятня) про те, що баржа була ініційована.

Якщо телефон ініціатора налаштований на шифрування, ініціатор баржі може влаштувати незахищений дзвінок із зашифрованого телефону. Після того, як баржа відбулася, Cisco Unified Communications Manager класифікує дзвінок як небезпечний.

Якщо на телефоні ініціатора налаштовано шифрування, ініціатор баржі може влаштувати зашифрований дзвінок, і телефон покаже, що дзвінок зашифровано.

Безпека WLAN

Цей розділ стосується лише моделей телефонів з підтримкою Wi-Fi.

Безпека WLAN

Оскільки всі пристрої WLAN у межах досяжності можуть приймати будь-який інший трафік WLAN, захист голосового зв’язку у WLAN має вирішальне значення. Щоб зловмисники не маніпулювали і не перехоплювали голосовий трафік, телефон підтримує архітектура Cisco SAFE Security. Додаткові відомості про безпеку в мережах див. на сторінці http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Рішення для бездротової IP-телефонії Cisco забезпечує безпеку бездротової мережі, яка запобігає несанкціонованому входу та скомпрометованому зв'язку за допомогою таких методів автентифікації, які підтримує телефон:

  • Відкрита автентифікація. Будь-який бездротовий пристрій може подати запит на автентифікацію у відкритій системі. Точка доступу, яка отримує запит, може надавати автентифікацію будь-якому запитувачу або тільки запитувачам зі списку користувачів. Зв'язок між безпроводовим пристроєм і точкою доступу (AP) може бути незашифрованим.

  • Розширюваний протокол автентифікації – гнучка автентифікація за допомогою безпечного тунелювання (EAP-FAST): ця клієнт-серверна архітектура безпеки шифрує транзакції EAP у тунелі Transport Level Security (TLS) між точкою доступу та сервером RADIUS, наприклад Identity Services Engine (ISE).

    Тунель TLS використовує захищені облікові дані доступу (PAC) для автентифікації між клієнтом (телефоном) і сервером RADIUS. Сервер надсилає клієнту (телефону) ідентифікатор центру сертифікації (AID), який у свою чергу вибирає відповідні облікові дані PAC. Клієнт (телефон) повертає на сервер RADIUS повідомлення PAC-Opaque. Сервер розшифровує PAC за допомогою головного ключа. Обидва кінцеві пристрої тепер містять ключ PAC. Також створюється тунель TLS. EAP-FAST підтримує автоматичне надсилання PAC, але цю функцію потрібно ввімкнути на сервері RADIUS.

    У ISE, за замовчуванням, термін дії PAC закінчується через один тиждень. Якщо на телефоні закінчився термін дії PAC, автентифікація на сервері RADIUS займатиме більше часу, доки телефон не отримає нові облікові дані PAC. Щоб уникнути затримок у надсиланні даних PAC, установіть на сервері ISE або RADIUS термін дії PAC принаймні 90 днів.

  • Розширюваний протокол автентифікації з протоколом безпеки транспортного рівня (EAP-TLS). Для автентифікації та доступу до мережі за допомогою EAP-TLS потрібен сертифікат клієнта. Для бездротового EAP-TLS сертифікатом клієнта може бути MIC, LSC або встановлений користувачем сертифікат.

  • Захищений розширюваний протокол автентифікації (PEAP). Розроблена Cisco схема взаємної автентифікації на основі пароля між клієнтом (телефоном) і сервером RADIUS. Телефон може використовувати PEAP для автентифікації в бездротовій мережі. Підтримуються обидва методи автентифікації – PEAP-MSCHAPV2 й PEAP-GTC.

  • Попередній спільний ключ (PSK): телефон підтримує формат ASCII. Під час налаштування спільного ключа WPA/WPA2/SAE потрібно використовувати такий формат:

    ASCII. Рядок ASCII-символів довжиною від 8 до 63 символів (цифри від 0 до 9, малі та великі літери від A до Z і спеціальні символи).

    Приклад: GREG123567@9ZX&Б

Нижче наведено схеми автентифікації, які використовують керування ключами автентифікації сервер RADIUS.

  • WPA/WPA2/WPA3: використовує інформацію про сервер RADIUS для генерації унікальних ключів для автентифікації. Ці ключі створюються на централізованому сервері RADIUS, тому WPA2/WPA3 забезпечує кращий захист, ніж заздалегідь установлені ключі WPA, які зберігаються в AP й на телефоні.

  • Швидкий безпечний роумінг – використовує інформацію про сервер RADIUS і сервер бездротового домену (WDS) для контролю та автентифікації ключів. WDS створює кеш облікових даних безпеки для клієнтських пристроїв з підтримкою FT для швидкої та безпечної повторної автентифікації. Cisco Desk Phone 9861 і 9871 і Cisco Video Phone 8875 підтримують стандарт 802.11r (FT). Підтримуються як по повітрю, так і по DS, що забезпечує швидкий безпечний роумінг. Однак ми наполегливо рекомендуємо використовувати 802.11r (FT) замість методу оновлення "через повітря".

У WPA/WPA2/WPA3 ключі шифрування не вводяться на телефоні, а автоматично виводяться між точкою доступу та телефоном. Однак ім’я користувача й пароль EAP, які використовуються для автентифікації, потрібно ввести на кожному з телефонів.

Щоб забезпечити безпеку голосового трафіку, телефон підтримує шифрування TKIP і AES. Коли ці механізми використовуються для шифрування, як сигнальні SIP-пакети, так і голосові пакети Real-Time Transport Protocol (RTP) шифруються між точкою доступу та телефоном.

TKIP

WPA використовує шифрування TKIP, яке має кілька вдосконалень у порівнянні з WEP. TKIP забезпечує шифрування ключа окремо для кожного пакета й довші вектори ініціалізації (ВІ), які посилюють шифрування. Крім того, перевірка цілісності повідомлень гарантує, що зашифровані пакети не буде змінено. TKIP усуває передбачуваність WEP, яка допомагає зловмисникам розшифрувати WEP-ключ.

AES

Метод шифрування, який використовується для автентифікації WPA2/WPA3. Цей національний стандарт шифрування використовує симетричний алгоритм, який має однаковий ключ для шифрування та дешифрування. AES використовує зчеплення шифроблоків (CBC) розміром 128 біт, яке підтримує мінімальні розміри ключів 128 біт, 192 біта й 256 біт. Телефон підтримує розмір ключа 256 біт.

Cisco Desk Phone 9861 і 9871 і Cisco Video Phone 8875 не підтримують протокол цілісності ключів Cisco (CKIP) із CMIC.

Схеми автентифікації та шифрування налаштовуються в межах бездротової локальної мережі. Мережі VLAN налаштовуються в мережі й точках доступу, задаючи різні комбінації автентифікації та шифрування. SSID прив’язується до VLAN й особливої схеми автентифікації та шифрування. Для успішної автентифікації бездротових клієнтських пристроїв необхідно налаштувати однакові SSID з їхніми схемами автентифікації та шифрування на точках доступу та на телефоні.

Деякі схеми автентифікації вимагають конкретних типів шифрування.

  • Якщо використовується спільний ключ WPA, спільний ключ WPA2 або SAE, спільний ключ має бути статично встановлено на телефоні. Ці ключі мають відповідати ключам в AP.

  • Телефон підтримує автоматичне узгодження EAP для FAST або PEAP, але не для TLS. Для режиму EAP-TLS його потрібно вказати.

Схеми автентифікації та шифрування в наступній таблиці показують параметри конфігурації мережі для телефону, що відповідає конфігурації точки доступу.

Таблиця 6. Схеми автентифікації та шифрування
Тип FSRАвтентифікаціяКерування ключамиШифруванняЗахищена рамка керування (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

УНТ-ПСК

AESНі
802.11r (FT)WPA3

ДАЕ

FT-SAE

AESТак
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESНі
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESТак
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESНі
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESТак
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESНі
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESТак

Налаштування профілю бездротової локальної мережі

Ви можете керувати профілем бездротової мережі, налаштовуючи облікові дані, частотний діапазон, метод автентифікації тощо.

Перш ніж налаштовувати профіль WLAN, пам’ятайте про таке:

  • Ім’я користувача й пароль

    • Коли для автентифікації користувачів ваша мережа використовує EAP-FAST й PEAP, ви повинні зареєструвати ім’я користувача й пароль, якщо це вимагається на сервері RADIUS і телефоні.

    • Облікові дані, введені в профілі бездротової локальної мережі, мають збігатися з обліковими даними, зареєстрованими на сервері RADIUS.

    • Якщо ви використовуєте домени в межах своєї мережі, то введіть ім’я користувача й домену у форматі: домен\ім’я_користувача.

  • Нижче наведено дії, які можуть призвести до видалення наявного пароля Wi-Fi.

    • Введення неприпустимого ідентифікатора користувача або пароля.
    • Установлення неприпустимого або недійсного кореневого сертифіката ЦС, коли для типу EAP задано значення PEAP-MSCHAPV2 або PEAP-GTC
    • Відключення на сервері RADIUS поточного типу EAP без попереднього перемикання телефона на новий тип EAP.
  • Щоб змінити тип EAP, спершу переконайтеся, що ви ввімкнули новий тип EAP на сервері RADIUS, а потім переключіть на нього телефон. Коли всі телефони буде переведено на новий тип EAP, ви зможете за бажанням вимкнути старий тип EAP.
1

У Cisco Unified Communications Manager Administration виберіть Device (Пристрій) > Device Settings (Налаштування пристрою) > Wireless LAN Profile (Профіль бездротової локальної мережі).

2

Виберіть потрібний профіль мережі.

3

Налаштуйте параметри.

4

Натисніть Зберегти.

Установлення сертифіката сервера автентифікації вручну

Якщо простий протокол реєстрації сертифікатів (SCEP) недоступний, сертифікат сервера автентифікації можна встановити на телефон вручну.

Кореневий сертифікат ЦС, який видав сертифікат сервера RADIUS, має бути інстальовано для EAP-TLS.

Перш ніж почати

Перш ніж установити сертифікат на телефоні, ви маєте зберегти на ПК сертифікат сервера автентифікації. Сертифікат має бути закодовано згідно з PEM (Base-64) або DER.

1

На вебсторінці адміністрування телефона виберіть Certificates (Сертифікати).

2

Знайдіть поле Authentication server CA (ЦС сервера автентифікації) і натисніть Install (Установити).

3

Перейдіть до сертифіката на ПК.

4

Натисніть Upload (Завантажити).

5

Перезапустіть телефон після завантаження.

Якщо ви повторно інсталюєте кілька сертифікатів, використовуватиметься лише останній інстальований сертифікат.

Установлення сертифіката користувача вручну

Якщо простий протокол реєстрації сертифікатів (SCEP) недоступний, сертифікат користувача можна встановити на телефон вручну.

Попередньо встановлений сертифікат виробничої установки (MIC) можна використовувати як сертифікат користувача для EAP-TLS.

Після встановлення додайте сертифікат користувача до списку довіри сервера RADIUS.

Перш ніж почати

Щоб установити сертифікат користувача на телефон, у вас має бути:

  • Збережений на ПК сертифікат користувача у форматі PKCS#12.

  • Пароль для розпакування сертифіката.

    Цей пароль може містити до 16 символів.

1

На вебсторінці адміністрування телефона виберіть Certificates (Сертифікати).

2

Знайдіть поле User installed (Установлені користувачем) і натисніть Install (Установити).

3

Перейдіть до сертифіката на ПК.

4

У полі Extract password (Пароль для розпакування) введіть пароль для розпакування сертифіката.

5

Натисніть Upload (Завантажити).

6

Перезапустіть телефон після завантаження.

Видалення сертифіката безпеки вручну

Якщо простий протокол реєстрації сертифікатів (SCEP) недоступний, сертифікат безпеки можна видалити з телефона вручну.

1

На вебсторінці адміністрування телефона виберіть Certificates (Сертифікати).

2

Знайдіть на сторінці Certificates (Сертифікати) потрібний сертифікат.

3

Натисніть Видалити.

4

Перезапустіть телефон після завершення видалення.

Налаштування параметрів SCEP

Simple Certificate Enrollment Protocol (SCEP) є стандартом для автоматичного надання та поновлення сертифікатів. Сервер SCEP може автоматично підтримувати сертифікати користувача й сервера.

На вебсторінці телефона потрібно налаштувати такі параметри SCEP:

  • RA IP адреса

  • Відбиток кореневого сертифіката ЦС за SHA-1 або SHA-256 для сервера SCEP.

Центр реєстрації Cisco IOS слугує проксі-сервером для SCEP. SCEP-клієнт на телефоні використовує параметри, які завантажуються із Cisco Unified Communication Manager. Після того, як ви налаштуєте параметри, телефон надсилає запит SCEP getcs до RA, і кореневий сертифікат ЦС перевіряється за допомогою визначеного відбитка.

Перш ніж почати

Налаштуйте центр реєстрації SCEP на сервері SCEP, щоб він:

  • Виконував роль ключа довіри PKI.
  • Виконував роль центру реєстрації PKI.
  • Виконував автентифікацію пристрою за допомогою сервера RADIUS.

Додаткові відомості див. в документації до сервера SCEP.

1

У Cisco Unified Communications Manager Administration виберіть Device (Пристрій) > Phone (Телефон).

2

Знайдіть потрібний телефон.

3

Прокрутіть до розділу Product Specific Configuration Layout (Схема конфігурації залежно від продукту).

4

Установіть прапорець у WLAN SCEP Server , щоб активувати параметр SCEP.

5

Установіть прапорець поруч із пунктом WLAN Root CA FingerPrint (SHA256 або SHA1) (Відбит. корен. ЦС WLAN (SHA-256 або SHA-1)), щоб активувати параметр SCEP QED.

Налаштуйте підтримувані версії TLS

Ви можете налаштувати мінімальну версію TLS, необхідну для клієнта та сервера відповідно.

За замовчуванням мінімальна версія TLS сервера та клієнта становить 1.2. Цей параметр впливає на такі функції:

  • З'єднання веб-доступу HTTPS
  • Реєстрація на локальному телефоні
  • Онбординг для мобільних пристроїв і Remote Access (MRA)
  • служби HTTPS, такі як служби Directory
  • Безпека транспортного рівня дейтаграм (DTLS)
  • Сутність доступу до порту (PAE)
  • Розширюваний протокол автентифікації – безпека транспортного рівня (EAP-TLS)

Для отримання додаткових відомостей про сумісність TLS 1.3 для Cisco IP Phones див TLS 1.3 Матриця сумісності для продуктів для спільної роботи Cisco.

1

Увійдіть у Cisco Unified Communications Manager Administration як адміністратор.

2

Перейдіть до одного з наступних вікон:

  • System (Система) > Enterprise Phone Configuration (Конфігурація корпоративного телефона)
  • Налаштування пристрою > пристрою> Загальний профіль телефону
  • Конфігурація пристрою > телефону > телефону
3

Налаштуйте полеTLS Client Min Version :

Опція «TLS 1.3» доступна на Cisco Unified CM 15SU2 або пізнішої версії.
  • TLS 1.1: Клієнт TLS підтримує версії TLS від 1.1 до 1.3.

    Якщо версія TLS на сервері нижча за 1.1, наприклад, 1.0, то з'єднання не може бути встановлене.

  • TLS 1.2 (за замовчуванням): клієнт TLS підтримує TLS 1.2 і 1.3.

    Якщо версія TLS на сервері нижча за 1.2, наприклад, 1.1 або 1.0, то з'єднання не може бути встановлене.

  • TLS 1.3: клієнт TLS підтримує лише TLS 1.3.

    Якщо версія TLS на сервері нижча за 1.3, наприклад, 1.2, 1.1 або 1.0, то з'єднання не може бути встановлене.

4

Налаштуйте поле «Мінімальна версія сервера TLS»:

  • TLS 1.1: Сервер TLS підтримує версії TLS від 1.1 до 1.3.

    Якщо версія TLS у клієнті нижча за 1.1, наприклад, 1.0, то з'єднання не може бути встановлене.

  • TLS 1.2 (за замовчуванням): Сервер TLS підтримує TLS 1.2 і 1.3.

    Якщо версія TLS у клієнті нижча за 1.2, наприклад, 1.1 або 1.0, то з'єднання не можна встановити.

  • TLS 1.3: Сервер TLS підтримує лише TLS 1.3.

    Якщо версія TLS у клієнті нижча за 1.3, наприклад, 1.2, 1.1 або 1.0, то з'єднання не можна встановити.

Починаючи з релізу PhoneOS 3.2, налаштування поля "Вимкнути TLS 1.0 та TLS 1.1 для веб-доступу" не впливає на телефони.
5

Натисніть Зберегти.

6

Натисніть Apply Config (Застосувати конфігурацію).

7

Перезавантажте телефони.

Гарантовані послуги SIP

Гарантовані послуги SIP(AS-SIP) – це набір функцій і протоколів, які забезпечують високобезпечний потік дзвінків для Cisco IP Phones та сторонніх телефонів. Наступні функції разом відомі як AS-SIP:

  • Багаторівневий пріоритет і випередження (MLPP)
  • Кодова точка диференційованих послуг (DSCP)
  • Безпека транспортного рівня (TLS) і безпечний транспортний протокол реального часу (SRTP)
  • Інтернет-протокол версії 6 (IPv6)

AS-SIP часто використовується з багаторівневим пріоритетом і випередженням (MLPP) для визначення пріоритетності дзвінків під час надзвичайної ситуації. За допомогою MLPP ви призначаєте рівень пріоритету вихідним дзвінкам, від рівня 1 (низький) до рівня 5 (високий). Коли ви отримуєте дзвінок, на телефоні відображається піктограма рівня пріоритету, яка показує пріоритет виклику.

Щоб налаштувати AS-SIP, виконайте такі завдання на Cisco Unified Communications Manager:

  • Налаштуйте користувача дайджесту: налаштуйте кінцевого користувача на використання автентифікації дайджесту для SIP-запитів.
  • Налаштування захищеного порту SIP-телефону: Cisco Unified Communications Manager використовує цей порт для прослуховування телефонів SIP для реєстрації на лінії SIP протягом TLS.
  • Перезапустіть служби: після налаштування захищеного порту перезапустіть служби Cisco Unified Communications Manager і Cisco CTL Provider. Налаштуйте SIP-профіль для AS-SIP-профілю з налаштуваннями SIP для ваших кінцевих точок AS-SIP і для ваших SIP-транків. Параметри, характерні для телефону, не завантажуються на сторонній телефон AS-SIP. Вони використовуються тільки в Cisco Unified Manager. Сторонні телефони повинні локально налаштовувати такі ж параметри.
  • Налаштування профілю безпеки телефону для AS-SIP: ви можете використовувати профіль безпеки телефону для призначення параметрів безпеки, таких як TLS, SRTP і дайджест автентифікації.
  • Налаштуйте кінцеву точку AS-SIP—налаштуйте IP-телефон Cisco IP або кінцеву точку третьої сторони з підтримкою AS-SIP.
  • Пов'язати пристрій із кінцевим користувачем: зв'яжіть кінцеву точку з користувачем.
  • Налаштування профілю безпеки SIP Trunk для AS-SIP: ви можете використовувати профіль безпеки sip trunk для призначення функцій безпеки, таких як TLS або дайджест автентифікації для SIP-транк.
  • Налаштування SIP Trunk для AS-SIP—Налаштуйте SIP-транк із підтримкою AS-SIP.
  • Налаштування функцій AS-SIP: налаштуйте додаткові функції AS-SIP, такі як MLPP, TLS, V.150 і IPv6.

Для отримання детальної інформації про налаштування AS-SIP перегляньте розділ «Налаштування кінцевих точок AS-SIP» у Посібнику з конфігурації функцій для Cisco Unified Communications Manager.

Багаторівневий пріоритет і переважне право

Multilevel Precedence and Preemption (MLPP) дозволяє пріоритезувати дзвінки під час екстрених або інших кризових ситуацій. Ви призначаєте пріоритет вихідним дзвінкам у діапазоні від 1 до 5. Для вхідних дзвінків відображається значок і пріоритет виклику. Автентифіковані користувачі можуть здійснювати дзвінки або на цільові станції, або через повністю підписані транки TDM.

Ця можливість забезпечує високопоставленому персоналу зв'язок з критично важливими організаціями та персоналом.

MLPP часто використовується з гарантованими послугами SIP(AS-SIP). Докладні відомості про налаштування MLPP наведено в розділі Налаштування багаторівневого пріоритету та витіснення в посібнику з конфігурації функцій для Cisco Unified Communications Manager.

Налаштування FAC та CMC

Коли на телефоні налаштовано коди примусової авторизації (FAC) або коди клієнтських справ (CMC), або обидва, користувачі повинні ввести необхідні паролі для набору номера.

Для отримання додаткової інформації про те, як налаштувати FAC і CMC у Cisco Unified Communications Manager, перегляньте розділ «Коди клієнтських справ і коди примусової авторизації» в Посібнику з конфігурації функцій для Cisco Unified Communications Manager, Реліз 12.5 (1) або пізнішої версії.