Функції безпеки захищають від різних загроз, зокрема загрози ідентичності телефона й даних. Ці функції встановлюють і підтримують автентифіковані комунікаційні потоки між телефоном і сервером Cisco Unified Communications Manager, а також гарантують, що телефон використовуватиме лише файли з цифровим підписом.

Cisco Unified Communications Manager 8.5(1) і пізніших версій за замовчуванням містить інструменти безпеки, які надають IP-телефону Cisco такі функції безпеки без запуску клієнта CTL:

• Підписання файлів конфігурації телефона.

• Шифрування файлів конфігурації телефона.

• HTTPS із Tomcat та іншими вебсервісами.

Упровадження інструментів безпеки в системі Cisco Unified Communications Manager запобігає крадіжці ідентичності телефона й сервера Cisco Unified Communications Manager, компрометації даних, а також втручанню в передавання сигналів викликів і медіапотоку.

Щоб знизити ці загрози, мережа IP-телефонії Cisco встановлює та підтримує захищені (зашифровані) комунікаційні потоки між телефоном і сервером, підписує файли цифровим підписом перед їх передаванням на телефон, а також шифрує медіапотоки й передавання сигналів викликів між IP-телефонами Cisco.

Локально значимий сертифікат (LSC) установлюється на телефони після виконання необхідних завдань, пов’язаних із проксі-сервером сертифікаційного центру (CAPF). Ви можете використовувати Cisco Unified Communications Manager Administration, щоб налаштувати LSC, як описано в Посібнику з безпеки Cisco Unified Communications Manager. Альтернативно, ви можете ініціювати встановлення LSC у меню налаштувань безпеки на телефоні. За допомогою цього меню також можна оновити або видалити LSC.

Телефони використовують профіль захисту телефона, який визначає, чи є пристрій захищеним. Додаткові відомості про застосування до телефона профілю захисту див. в документації до відповідного випуску Cisco Unified Communications Manager.

Якщо в Cisco Unified Communications Manager Administration налаштувати параметри безпеки, файл конфігурації телефона міститиме конфіденційну інформацію. Щоб забезпечити конфіденційність файлу конфігурації, необхідно його зашифрувати. Докладну інформацію див. в документації до відповідного випуску Cisco Unified Communications Manager.

Телефон відповідає Федеральному стандарту обробки інформації (FIPS). Для правильної роботи режиму FIPS розмір ключа має бути принаймні 2048 біт. Якщо сертифікат буде меншим за 2048 біт, телефон не зареєструється в системі Cisco Unified Communications Manager і покаже повідомлення Phone failed to register. Cert key size is not FIPS compliant (Не вдалося зареєструвати телефон. Розмір ключа сертифіката несумісний з FIPS.).

Якщо в телефона є сертифікат LSC, то перед активацією FIPS потрібно буде оновити розмір ключа LSC принаймні до 2048 біт.

У таблиці нижче наведено огляд функцій безпеки, які підтримуються телефонами. Додаткові відомості див. в документації до відповідного випуску Cisco Unified Communications Manager.

Щоб переглянути режим безпеки, натисніть Налаштування а також перейдіть у налаштування мережі та сервісу >безпеки.

У таблиці нижче наведено оповіщення про оновлення списку довіри та їх значення. Для отримання додаткової інформації дивіться документацію Cisco Unified Communications Manager.

У меню налаштування безпеки наведені відомості про різні параметри безпеки. У цьому меню також доступне меню списку довіри, де вказано, чи встановлено на телефоні файл CTL або ITL.

У таблиці нижче описано параметри, доступні в меню налаштування безпеки.

IP-телефони Cisco підтримують автентифікацію 802.1X.

Як правило, IP-телефони Cisco й комутатори Cisco Catalyst використовують протокол Cisco Discovery Protocol (CDP) для взаємної ідентифікації та визначення таких параметрів, як розподіл VLAN і вимоги до живлення через лінію. CDP не ідентифікує локально під’єднані робочі станції. IP-телефони Cisco IP Phones забезпечують механізм фільтрації EAPOL. Цей механізм дозволяє робочій станції, підключеній до IP-телефона Cisco, передавати повідомлення EAPOL автентифікатору 802.1X на комутаторі локальної мережі. Механізм фільтрації гарантує, що IP-телефон не працюватиме як комутатор локальної мережі для автентифікації кінцевої точки даних, перш ніж отримає доступ до мережі.

IP-телефони Cisco також підтримують надсилання повідомлення EAPOL Logoff через проксі-сервер. Якщо локально під’єднаний ПК відключається від IP-телефона, комутатор локальної мережі не бачить збою фізичного зв’язку, тому що з’єднання між комутатором локальної мережі й IP-телефоном зберігається. Щоб уникнути порушення цілісності мережі, IP-телефон надсилає комутатору повідомлення EAPOL-Logoff від імені низхідного ПК, після чого комутатор локальної мережі видаляє запис про автентифікацію цього ПК.

Для роботи автентифікації 802.1X потрібно кілька компонентів:

• IP-телефон Cisco. Телефон ініціює запит на доступ до мережі. IP-телефони Cisco обладнано запитувачем 802.1X. За його допомогою адміністратори мережі можуть контролювати підключення IP-телефонів до портів комутатора LAN. Поточний випуск запитувача 802.1X телефона використовує для автентифікації в мережі параметри EAP-FAST та EAP-TLS.

• Сервер автентифікації: Сервер автентифікації та комутатор мають бути налаштовані на спільний секрет, який автентифікує телефон.

• Комутатор. Комутатор має підтримувати стандарт 802.1X, щоб виконувати роль автентифікатора й передавати повідомлення між телефоном і сервером автентифікації. Після завершення обміну комутатор надає або блокує телефону доступ до мережі.

Щоб налаштувати 802.1X:

• Налаштуйте решту компонентів, перш ніж вмикати автентифікацію 802.1X на телефоні.

• Налаштуйте порт ПК. Стандарт 802.1X не враховує VLAN, а тому рекомендовано автентифікувати лише один пристрій для конкретного порту комутатора. Однак деякі комутатори підтримують багатодоменну автентифікацію. Конфігурація комутатора визначає, чи можна підключити ПК до порту ПК телефона.

  • Увімкнення. Якщо ви використовуєте комутатор, який підтримує багатодоменну автентифікацію, то можете ввімкнути порт ПК та підключити до нього ПК. Для таких випадків IP-телефони Cisco підтримують надсилання EAPOL-Logoff через проксі-сервер, щоб стежити за обміном автентифікацією між комутатором і підключеним ПК.

    Додаткові відомості про підтримку стандарту IEEE 802.1X на комутаторах Cisco Catalyst див. в посібниках із конфігурації комутатора Cisco Catalyst за адресою:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Вимкнення. Якщо комутатор не підтримує на одному порту кілька пристроїв, сумісних зі стандартом 802.1X, то в разі ввімкнення автентифікації 802.1X потрібно вимикати порт ПК. Якщо ви не вимкнете цей порт, а потім спробуєте під’єднати до нього ПК, комутатор відмовить у доступі до мережі як телефону, так і ПК.

• Налаштуйте голосову VLAN. Стандарт 802.1X не враховує VLAN, а тому вам потрібно налаштовувати цей параметр залежно від підтримки комутатора.
  • Підтримується. Якщо ваш комутатор підтримує багатодоменну автентифікацію, то можете використовувати його й надалі для голосової VLAN.
  • Не підтримується. Якщо ваш комутатор не підтримує багатодоменну автентифікацію, вимкніть голосову VLAN і призначте порт нативній мережі VLAN.
• (Для Cisco Desk Phone Series 9800)

  Cisco Настільний телефон серії 9800 має інший префікс у PID, ніж у інших телефонів Cisco. Щоб дозволити телефону пройти автентифікацію 802.1X, встановіть радіус· Параметр імені користувача, щоб додати ваш Cisco Desk Phone 9800 Series.

  Наприклад, PID телефону 9841 — DP-9841; ви можете встановити радіус· Ім'я користувача починається з DP або містить DP. Ви можете встановити це в обох наступних розділах:

  • Політика > Умови > Умови бібліотеки

  • Політики > Набори політик> Політика авторизації> Правило авторизації 1

Якщо для телефона впроваджено інструменти безпеки, ви можете розпізнавати безпечні телефонні виклики за значками на екрані телефона. Ви також можете визначити, що підключений телефон є захищеним, якщо на початку виклику пролунає сигнал захисту.

Під час захищеного виклику всі передавання сигналів викликів і медіапотоки шифруються. Захищений виклик пропонує високий рівень безпеки, який гарантує цілісність і конфіденційність виклику. Коли дзвінок зашифрований, ви можете побачити іконку захищеного На лінії. Для захищеного телефону ви також можете переглянути іконку автентифікації або зашифровану іконку поруч із підключеним сервером у меню телефону (Налаштування >Про цей пристрій).

На початку захищеного виклику лунає сигнал захисту, який вказує на те, що інший підключений телефон також приймає та передає захищені аудіодані. Сигнал захисту не пролунає, якщо ваш виклик з’єднається з незахищеним телефоном.

Коли телефон налаштований як захищений (зашифрований і довірений) у Cisco Unified Communications Manager, йому можна задати Охороняється Статус. Після цього за потреби можна налаштувати, щоб на початку виклику захищений телефон відтворював сигнал індикації.

• Захищений пристрій. Щоб задати захищений стан для захищеного телефона, установіть прапорець поруч із пунктом Protected Device (Захищений пристрій) у вікні конфігурації телефона в Cisco Unified Communications Manager Administration. Для цього перейдіть у розділ Device (Пристрій) > Phone (Телефон).

• Відтворення сигналу індикації захисту. Щоб захищений телефон відтворював сигнали індикації захищеності або незахищеності, установіть для параметра Play Secure Indication Tone (Відтворювати сигнал індикації захисту) значення True. За замовчуванням для цього параметра встановлено значення False. Це можна зробити в Cisco Unified Communications Manager Administration у розділі System (Система) > Service Parameters (Службові параметри). Виберіть сервер, а потім службу Unified Communications Manager. У вікні налаштування параметрів служби виберіть зазначений вище параметр у розділі Feature (Функція) > Secure Tone (Сигнал захисту). За замовчуванням встановлено значення False.

Оскільки всі пристрої WLAN у межах досяжності можуть приймати будь-який інший трафік WLAN, захист голосового зв’язку у WLAN має вирішальне значення. Щоб гарантувати, що зловмисники не маніпулюють і не перехоплюють голосовий трафік, архітектура Cisco SAFE Security підтримує цей телефон. Додаткові відомості про безпеку в мережах див. на сторінці http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Телефонне рішення Cisco Wireless IP забезпечує безпеку бездротової мережі, яка запобігає несанкціонованим входам і компрометам комунікації, використовуючи такі методи автентифікації, які підтримує телефон:

• Відкрита автентифікація. Будь-який бездротовий пристрій може подати запит на автентифікацію у відкритій системі. Точка доступу, яка отримує запит, може надавати автентифікацію будь-якому запитувачу або тільки запитувачам зі списку користувачів. Зв'язок між бездротовим пристроєм і точкою доступу (AP) міг бути незашифрованим.

• Розширений протокол автентифікації — гнучка автентифікація через безпечне тунелювання (EAP-FAST): Ця клієнт-серверна архітектура безпеки шифрує EAP транзакції в тунелі безпеки транспортного рівня (TLS) між точкою доступу та сервером RADIUS, наприклад, Identity Services Engine (ISE).

  Тунель TLS використовує захищені облікові дані доступу (PAC) для автентифікації між клієнтом (телефоном) і сервером RADIUS. Сервер надсилає клієнту (телефону) ідентифікатор центру сертифікації (AID), який у свою чергу вибирає відповідні облікові дані PAC. Клієнт (телефон) повертає на сервер RADIUS повідомлення PAC-Opaque. Сервер розшифровує PAC за допомогою головного ключа. Обидва кінцеві пристрої тепер містять ключ PAC. Також створюється тунель TLS. EAP-FAST підтримує автоматичне надсилання PAC, але цю функцію потрібно ввімкнути на сервері RADIUS.

  У ISE за замовчуванням PAC закінчується через тиждень. Якщо на телефоні закінчився термін дії PAC, автентифікація на сервері RADIUS займатиме більше часу, доки телефон не отримає нові облікові дані PAC. Щоб уникнути затримок у надсиланні даних PAC, установіть на сервері ISE або RADIUS термін дії PAC принаймні 90 днів.

• Розширюваний протокол автентифікації з протоколом безпеки транспортного рівня (EAP-TLS). Для автентифікації та доступу до мережі за допомогою EAP-TLS потрібен сертифікат клієнта. Для бездротового EAP-TLS клієнтський сертифікат може бути MIC, LSC, або сертифікат, встановлений користувачем.

• Захищений розширюваний протокол автентифікації (PEAP). Розроблена Cisco схема взаємної автентифікації на основі пароля між клієнтом (телефоном) і сервером RADIUS. Телефон може використовувати PEAP для автентифікації через бездротову мережу. Підтримуються обидва методи автентифікації – PEAP-MSCHAPV2 й PEAP-GTC.

• Попередній спільний ключ (PSK): Телефон підтримує формат ASCII. Ви повинні використовувати цей формат при налаштуванні ключа WPA/WPA2/SAE Pre-shared key:

  ASCII. Рядок ASCII-символів довжиною від 8 до 63 символів (цифри від 0 до 9, малі та великі літери від A до Z і спеціальні символи).

  Приклад: GREG123567@9ZX&W

Нижче наведено схеми автентифікації, які використовують керування ключами автентифікації сервер RADIUS.

• WPA/WPA2/WPA3: Використовує інформацію сервера RADIUS для генерації унікальних ключів для автентифікації. Ці ключі створюються на централізованому сервері RADIUS, тому WPA2/WPA3 забезпечує кращий захист, ніж заздалегідь установлені ключі WPA, які зберігаються в AP й на телефоні.

• Швидкий безпечний роумінг – використовує інформацію про сервер RADIUS і сервер бездротового домену (WDS) для контролю та автентифікації ключів. WDS створює кеш облікових даних безпеки для клієнтських пристроїв з підтримкою FT для швидкої та безпечної повторної автентифікації. Cisco настільний телефон 9861 і 9871 та Cisco відеотелефон 8875 підтримують 802.11r (FT). Підтримуються як по ефіру, так і через DS для швидкого безпечного роумінгу. Однак ми наполегливо рекомендуємо використовувати 802.11r (FT) замість методу оновлення "через повітря".

З WPA/WPA2/WPA3 ключі шифрування не вводяться на телефоні, а автоматично отримуються між точкою доступу та телефоном. Однак ім’я користувача й пароль EAP, які використовуються для автентифікації, потрібно ввести на кожному з телефонів.

Щоб забезпечити безпеку голосового трафіку, телефон підтримує TKIP і AES для шифрування. Коли ці механізми використовуються для шифрування, як пакети сигналізації SIP, так і голосові пакети Протоколу Реального Часу Транспорту (RTP) шифруються між точкою доступу та телефоном.

TKIP

WPA використовує шифрування TKIP, яке має кілька покращень порівняно з WEP. TKIP забезпечує шифрування ключа окремо для кожного пакета й довші вектори ініціалізації (ВІ), які посилюють шифрування. Крім того, перевірка цілісності повідомлень гарантує, що зашифровані пакети не буде змінено. TKIP усуває передбачуваність WEP, яка допомагає зловмисникам розшифрувати WEP-ключ.

AES

Метод шифрування, що використовується для автентифікації WPA2/WPA3. Цей національний стандарт шифрування використовує симетричний алгоритм, який має однаковий ключ для шифрування та дешифрування. AES використовує зчеплення шифроблоків (CBC) розміром 128 біт, яке підтримує мінімальні розміри ключів 128 біт, 192 біта й 256 біт. Телефон підтримує розмір ключа 256 біт.

Схеми автентифікації та шифрування налаштовуються в межах бездротової локальної мережі. Мережі VLAN налаштовуються в мережі й точках доступу, задаючи різні комбінації автентифікації та шифрування. SSID прив’язується до VLAN й особливої схеми автентифікації та шифрування. Для успішної автентифікації бездротових клієнтських пристроїв необхідно налаштувати ті ж SSID з їхніми схемами автентифікації та шифрування на точках доступу та телефоні.

Деякі схеми автентифікації вимагають конкретних типів шифрування.

Схеми автентифікації та шифрування у наступній таблиці показують опції конфігурації мережі для телефону, що відповідає конфігурації точки доступу.

Assured Services SIP(AS-SIP) — це збірка функцій і протоколів, які забезпечують високобезпечний потік дзвінків для телефонів Cisco IP Phones та сторонніх пристроїв. Наступні особливості відомі разом як AS-SIP:

• Багаторівнева пріоритетність і перевага (MLPP)
• Точка коду диференційованих сервісів (DSCP)
• Безпека транспортного рівня (TLS) та Протокол безпеки в реальному часі (SRTP)
• Інтернет-протокол версії 6 (IPv6)

AS-SIP часто використовується з багаторівневою пріоритетністю та преемпією (MLPP) для пріоритетності дзвінків під час надзвичайної ситуації. З MLPP ви призначаєте рівень пріоритету своїм вихідним дзвінкам — від рівня 1 (низький) до рівня 5 (високий). Коли ви отримуєте дзвінок, на телефоні з'являється іконка рівня пріоритету дзвінка.

Щоб налаштувати AS-SIP, виконайте наступні завдання на Cisco Unified Communications Manager:

• Налаштуйте користувача дайджесту — налаштуйте кінцевого користувача для використання аутентифікації дайджесту для запитів SIP.
• Налаштуйте SIP Phone Secure Port — Cisco Unified Communications Manager використовує цей порт для прослуховування SIP телефонів для реєстрації SIP ліній через TLS.
• Перезапуск сервісів — після налаштування захищеного порту перезапустіть сервіси Cisco Unified Communications Manager та Cisco CTL Provider. Налаштуйте профіль SIP для AS-SIP-Налаштуйте профіль SIP з налаштуваннями SIP для ваших AS-SIP кінцевих точок і для SIP транків. Параметри, специфічні для телефону, не завантажуються на сторонній телефон AS-SIP. Їх використовує лише менеджер Cisco Unified. Сторонні телефони повинні локально налаштовувати ті ж налаштування.
• Налаштуйте профіль безпеки телефону для AS-SIP — Ви можете використовувати профіль безпеки телефону для призначення налаштувань безпеки, таких як TLS, SRTP,, та обробки автентифікації.
• Налаштуйте AS-SIP Endpoint — Налаштуйте Cisco IP Phone або сторонній кінцевий пристрій із підтримкою AS-SIP.
• Асоціюйте пристрій із кінцевим користувачем — асоціюйте кінцеву точку з користувачем.
• Налаштуйте профіль безпеки SIP Trunk Security Profile для AS-SIP — Ви можете використовувати профіль безпеки SIP для призначення функцій безпеки, таких як TLS, або для аутентифікації для SIP транку.
• Налаштувати SIP Trunk для AS-SIP—Налаштувати SIP trunk з підтримкою AS-SIP.
• Налаштуйте AS-SIP Функції — Налаштуйте додаткові AS-SIP функції, такі як MLPP, TLS, V.150 та IPv6.

Детальну інформацію про налаштування AS-SIP дивіться розділ «Configure AS-SIP Endpoints» у Feature Configuration Guide для Cisco Unified Communications Manager.

Коли на телефоні налаштовуються Коди примусової авторизації (FAC) або коди Client Matter (CMC), або обидва, користувачі повинні ввести необхідні паролі для набору номера.

Для отримання додаткової інформації про налаштування FAC та CMC у Cisco Unified Communications Manager дивіться розділ «Коди для клієнта та коди примусової авторизації» у Посібнику з налаштування функцій для Cisco Unified Communications Manager, випуску 12.5 (1) або пізніше.

Функція Cisco VPN допомагає зберегти мережеву безпеку, водночас надаючи користувачам безпечний і надійний спосіб підключення до вашої корпоративної мережі. Використовуйте цю функцію, коли:

• Телефон розташований поза довіреною мережею
• Мережевий трафік між телефоном і Cisco Unified Communications Manager перетинає недовірену мережу

З VPN існує три поширені підходи до автентифікації клієнта:

• Цифрові сертифікати
• Паролі
• Ім’я користувача й пароль

Кожен метод має свої переваги. Але якщо ваша корпоративна політика безпеки це дозволяє, ми рекомендуємо підхід на основі сертифікатів, оскільки сертифікати дозволяють безшовний вхід без втручання користувача. Підтримуються як сертифікати LSC, так і MIC.

Щоб налаштувати будь-яку з функцій VPN, спочатку налаштуйте пристрій локально, а потім можете розгорнути пристрій поза локацією.

Для отримання додаткової інформації про автентифікацію сертифікації та роботу з мережею VPN див. Конфігурація AnyConnect VPN Телефон із автентифікацією сертифікатів на ASA.

За допомогою підходу з паролем або іменем користувача та паролем користувача запитують ввести облікові дані для входу. Встановіть облікові дані для входу користувача відповідно до політики безпеки вашої компанії. Ви також можете налаштувати налаштування Enable Password Persistence так, щоб пароль користувача зберігався на телефоні. Пароль користувача зберігається до того моменту, поки не станеться невдала спроба входу, користувач вручну очистить пароль або телефон не скине або не втратить живлення.

Ще одним корисним інструментом є налаштування Увімкнути автоматичне виявлення мережі. Коли ви увімкнете цю галочку, клієнт VPN може запускатися лише тоді, коли виявляє, що знаходиться поза корпоративною мережею. Це налаштування за замовчуванням вимкнене.

Ваш телефон Cisco підтримує Cisco SVC IPPhone Client v1.0 як тип клієнта.

Для отримання додаткової інформації про налаштування VPN на Unified CM дивіться Посібник з налаштування функцій для Cisco Unified Communications Manager.

Функція Cisco VPN використовує рівень Secure Sockets Layer (SSL) для збереження безпеки мережі.