您可以讓 Cisco Unified Communications Manager 在增強型安全性環境中運作。 有了這些增強功能,您的電話網路就會在一組嚴格的安全性與風險管理控制原則之下運作,以保護您和貴方的使用者。

增強型安全性環境包括下列功能︰

  • 聯絡人搜尋驗證。

  • TCP 當做遠端稽核記錄的預設通訊協定。

  • FIPS 模式。

  • 改善式憑證原則。

  • 支援數位簽章的 SHA-2 雜湊系列。

  • 支援 512 位元和 4096 位元的 RSA 金鑰大小。

使用 Cisco Unified Communications Manager 14.0 版和 Cisco 視訊電話韌體 2.1 版及更高版本,電話支援 SIP OAuth 身份驗證。

OAuth 支援 Cisco Unified Communications Manager 版本 14.0 (1) SU1 或更高版本的代理普通檔案傳輸協議 (TFTP)。 Mobile Remote Access (MRA) 不支援用於代理 TFTP 的代理 TFTP 和 OAuth。

對於其他安全性的相關資訊,請參閱以下內容︰

您的電話只能儲存數目有限的身分信任清單 (ITL) 檔案。 電話的 ITL 檔案大小不能超過64K,因此要限制 Cisco Unified Communications Manager 可以傳送至電話的 ITL 檔案數量。

支援的安全性功能

安全性功能可防禦不同威脅,包括對電話身分識別和資料的威脅。 這些功能可在電話與 Cisco Unified Communications Manager 伺服器之間建立和維護經過驗證的通訊串流,並確保電話僅使用數位簽署的檔案。

Cisco Unified Communications Manager 8.5(1) 版和更新版本包括預設的安全性,可在不執行 CTL 用戶端的情況下為 Cisco IP 電話提供下列安全性功能:

  • 簽署電話組態檔

  • 電話組態檔加密

  • 具有 Tomcat 和其他 Web 服務的 HTTPS

安全訊號和媒體功能仍然需要您執行 CTL 用戶端及使用硬體 eToken。

在 Cisco Unified Communications Manager 系統執行安全性,防止電話及 Cisco Unified Communications Manager 伺服器身份被盜、資料篡改,以及通話訊號和媒體串流篡改。

為減少這些威脅,Cisco IP 電話網路在電話與伺服器之間建立並保持安全(加密)通訊,先以數位方式簽署檔案再傳送至電話,以及對 Cisco IP 電話之間的媒體串流與通話訊號進行加密。

在您執行與憑證授權單位代理功能 (Certificate Authority Proxy Function, CAPF) 關聯的所需任務之後,地區重要憑證 (Locally Significant Certificate, LSC) 會安裝在電話上。 您可以如《Cisco Unified Communications Manager 安全指南》中所述,使用 Cisco Unified Communications Manager 管理來設定 LSC。 或者,您也可以從電話上的「安全性設定」功能表中初始化安裝 LSC。 此功能表也可讓您更新或移除 LSC。

LSC 無法用作具有 WLAN 驗證的 EAP-TLS 使用者憑證。

電話使用電話安全性設定檔,此設定檔定義裝置是否安全。 如需將設定檔套用至電話的資訊,請參閱特定 Cisco Unified Communications Manager 版本的說明文件。

若您在 Cisco Unified Communications Manager 管理中進行安全性相關的設定,電話組態檔案將包含敏感資訊。 為了確保組態檔案的私密性,您需設定對其進行加密。 如需詳細資訊,請參閱特定 Cisco Unified Communications Manager 版本的說明文件。

電話符合美國聯邦資訊處理標準 (FIPS)。 如果要正常運作,FIPS 模式需要 2048 位元或更大的金鑰大小。 如果憑證小於 2048 位,則電話將無法在 Cisco Unified Communications Manager 上註冊,並且電話上會顯示電話註冊失敗。 電話會顯示 憑證金鑰大小與 FIPS 不相容。

如果電話有 LSC,您需將 LSC 金鑰大小更新為 2048 位元或更大的大小,然後才能啟用 FIPS。

下表概述電話支援的安全性功能。 如需更多資訊,請參閱特定 Cisco Unified Communications Manager 版本的說明文件。

若要檢視安全性模式,請按 「設定」 設定硬鍵 ,然後導航到 網路和服務 > 安全性設置

表 1. 安全性功能概覽

功能

描述

映像檔驗證

簽署的二進位檔可在影像於電話載入之前防止竄改韌體影像。

篡改映像檔會導致電話無法進行驗證程序並拒絕新映像檔。

客戶網站憑證安裝

每個 Cisco IP 電話需要唯一憑證以進行裝置驗證。 電話包括製造安裝憑證 (MIC),但對於額外安全性,您可以在 Cisco Unified Communications Manager 管理中使用憑證授權單位代理功能 (Certificate Authority Proxy Function, CAPF) 安裝憑證。 或者,您也可以從電話上的「安全性組態」功能表中安裝地區重要憑證 (LSC)。

裝置驗證

當每個實體接受其他實體的憑證時,會在 Cisco Unified Communications Manager 伺服器與電話之間進行。 確定在電話與 Cisco Unified Communications Manager 之間是否應進行安全連線;如有必要,使用 TLS 通訊協定在實體之間建立安全訊號路徑。 Cisco Unified Communications Manager 不會註冊電話,除非可以對其驗證。

檔案驗證

驗證電話下載的數位簽署檔案。 電話驗證簽章,以確保在建立檔案之後不會竄改檔案。 無法驗證的檔案不會寫入電話上的快閃記憶體。 電話會拒絕此類檔案而不進一步處理。

檔案加密

加密可防止機敏資訊在傳送至電話時被洩露。 此外,電話會驗證簽章,以確保在建立檔案之後不會篡改檔案。 無法驗證的檔案不會寫入電話上的快閃記憶體。 電話會拒絕此類檔案而不進一步處理。

訊號驗證

使用 TLS 通訊協定驗證在傳輸期間訊號封包未發生竄改。

製造安裝憑證

每個 Cisco IP 電話包含用於裝置驗證的唯一製造安裝憑證 (MIC)。 MIC 為電話提供永久唯一身分識別證明,且可讓 Cisco Unified Communications Manager 驗證電話。

媒體加密

使用 SRTP 確保受支援裝置之間的媒體串流證明是安全的,且僅預期的裝置接收和讀取資料。 包括為裝置建立媒體主要的密鑰對,將密鑰傳送至裝置,以及密鑰在傳輸中時保護密鑰傳送的安全。

CAPF(憑證授權單位代理功能)

執行對於電話來說處理太密集的部分憑證產生程序,及與電話互動以產生金鑰和安裝憑證。 CAPF 可以設定為代表電話從客戶指定的憑證授權單位請求憑證,或可以設定為本地產生憑證。

支援 EC (橢圓曲線) 和 RSA 鍵類型。 若要使用 EC 密鑰,請確保已啟用參數「終結點高級加密演演演算法支援」(來自 System > Enterprise 參數) 。

有關 CAPF 和相關配置的詳細資訊,請參閱以下文檔:

安全設定檔

定義電話是否非安全、已驗證、已加密或受保護。 此表中的其他項目說明安全性功能。

加密的組態檔

可讓您確保電話組態檔的私密。

選擇性停用電話的 Web 伺服器

出於安全性考量,您可以禁止存取電話網頁 (此網頁顯示電話的各種作業統計資料) 與自助入口網站。

電話強化

其他安全性選項,您可以從 Cisco Unified Communications Manager 管理進行控制:

  • 停用 PC 連接埠
  • 停用Gratuitous ARP (GARP)
  • 停用 PC 語音 VLAN 存取
  • 停用對「設定」選單的存取或提供受限存取權限
  • 停用電話網頁存取
  • 停用藍牙配件連接埠
  • 限制 TLS 加密

802.1X 驗證

Cisco IP 電話可以使用 802.1X 驗證來請求及存取網路。 如需詳細資訊請參閱802.1X 驗證

SRST 的安全 SIP 容錯轉移

在您配置安全可存活性遠端位址電話技術 (SRST) 的參照組態而在 Cisco Unified Communications Manager 管理中重設相依裝置之後,TFTP 伺服器會將 SRST 憑證新增至電話 cnf.xml 檔案並將檔案傳送至電話。 然後,安全電話使用 TLS 連線與啟用 SRST 的路由器互動。

訊號加密

確定裝置與 Cisco Unified Communications Manager 伺服器之間的所有 SIP 訊號訊息皆經過加密。

信任清單更新警報

在電話上更新信任清單時,Cisco Unified Communications Manager 會收到警報,指示更新成功或失敗。 如需詳細資訊,請參閱下表。

AES 256 加密

連線至 Cisco Unified Communications Manager 10.5(2) 版和更新版本時,電話支援 TLS 和 SIP 的 AES 256 加密支援以進行訊號和媒體加密。 這可讓電話使用 AES-256 型加密初始化和支援 TLS 1.2 連線,AES-256 型加密符合 SHA-2(安全雜湊演算法)標準且與聯邦資訊處理標準 (FIPS) 相容。 加密包括:

  • 對於 TLS 連線:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 對於 sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

如需詳細資訊,請參閱 Cisco Unified Communications Manager 文件。

橢圓曲線數位簽名演算法 (ECDSA) 憑證

作為憑證一般條件 (CC) 的一部分,Cisco Unified Communications Manager  在 11.0 版中新增 ECDSA 憑證。 這會影響執行 CUCM 11.5 版及更新版本的所有語音作業系統 (VOS) 產品。

包含 Cisco UCM 的多伺服器 (SAN) Tomcat 憑證

電話支援設定多伺服器 (SAN) Tomcat 憑證的 Cisco UCM。 正確的 TFTP 伺服器位址可以在電話註冊的電話 ITL 檔中找到。

有關該功能的詳細資訊,請參閱以下內容:

下表包含信任清單更新警報訊息及含義。 如需詳細資訊,請參閱 Cisco Unified Communications Manager 文件。

表 2. 信任清單更新警報訊息
代碼及訊息 描述

1 - TL_SUCCESS

接收到新 CTL 及/或 ITL

2 - CTL_INITIAL_SUCCESS

接收到新 CTL,目前沒有 TL

3 - ITL_INITIAL_SUCCESS

接收到新 ITL,目前沒有 TL

4 - TL_INITIAL_SUCCESS

接收到新 CTL 及 ITL,目前沒有 TL

5 - TL_FAILED_OLD_CTL

更新至新 CTL 失敗,但之前有 TL

6 - TL_FAILED_NO_TL

更新至新 CTL 失敗,且沒有舊 TL

7 - TL_FAILED

一般故障

8 - TL_FAILED_OLD_ITL

更新至新 ITL 失敗,但之前有 TL

9 - TL_FAILED_OLD_TL

更新至新 TL 失敗,但之前有 TL

「安全性設定」功能表提供各種安全性設定的相關資訊。 還可使用此功能表存取「信任清單」功能表,指示電話上是否安裝 CTL 或 ITL 檔案。

下表說明「安全性設定」功能表中的選項。

表 3. 安全性設定選單

選項

描述

若要變更

安全性模式

顯示為電話設定的安全性模式。

在 Cisco Unified Communications Manager 管理中選取裝置 > 電話。 設定顯示在「電話組態」視窗的「通訊協定特定資訊」部分。

LSC

指示用於安全性功能的本地重要憑證是安裝在電話上 (已安裝) 還是未安裝在電話上 (未安裝)。

如需如何管理電話 LSC 的相關資訊,請參閱特定 Cisco Unified Communications Manager 版本的說明文件。

設定本地重要憑證 (LSC)

此工作適用於使用驗證字串方法設定 LSC。

開始之前

確定適當的 Cisco Unified Communications Manager 與憑證授權單位代理功能 (CAPF) 安全性組態均為完整︰

  • CTL 或 ITL 檔案具有 CAPF 憑證。

  • 在 Cisco Unified Communications Operating System 管理中,確認已安裝 CAPF 憑證。

  • CAPF 正在執行中且已設定。

如需關於這些設定的詳細資訊,請參閱特定 Cisco Unified Communications Manager 版本的說明文件。

1

取得在設定 CAPF 時設定的 CAPF 驗證碼。

2

在電話上,按 “設置” the Settings hard key.

3

如有提示,請輸入密碼以存取「 設定 」功能表。 您可以從管理員處取得密碼。

4

導航到 網路和服務> 安全性設置 > LSC

您可以使用 Cisco Unified Communications Manager 的設定存取權限欄位,控制對「設定」選單的存取權限。

5

輸入身份驗證字串,然後選擇“ 提交”

電話開始安裝、更新或移除 LSC,視 CAPF 的設定方式而定。 程序完成後,「已安裝」或「未安裝」會顯示在電話上。

完成 LSC 的安裝、更新或移除程序可能需要較長時間。

電話安裝程序成功完成後,已安裝訊息會隨即顯示。 若電話顯示未安裝,則表示驗證字串可能不正確,或者可能未啟用電話升級。 若 CAPF 操作刪除 LSC,則電話會顯示未安裝來指示操作成功。 CAPF 伺服器將記錄錯誤訊息。 請參閱 CAPF 伺服器說明文件,尋找記錄並瞭解錯誤訊息的含義。

啟用 FIPS 模式

1

在 Cisco Unified Communications Manager 管理中,依次序選擇裝置 > 電話,然後找出相應的電話。

2

導覽至產品專屬組態區域。

3

FIPS 模式欄位設定為啟用

4

選取儲存

5

選取套用組態

6

重新啟動電話。

關閉電話上的免持通話、耳機與話筒

您可以選擇為使用者永久關閉電話上的免持通話、耳機與話筒。

1

在 Cisco Unified Communications Manager 管理中,依次序選擇裝置 > 電話,然後找出相應的電話。

2

導覽至產品專屬組態區域。

3

選取下列一個或多個方塊可關閉電話的功能:

  • 停用免持通話
  • 停用免持通話與耳機
  • 停用話筒

預設不會選取這些方塊。

4

選取儲存

5

選取套用組態

802.1X 驗證

Cisco IP 電話支援 802.1X 驗證。

Cisco IP 電話與 Cisco Catalyst 交換器通常使用 Cisco Discovery Protocol (CDP) 來相互識別及確定各項參數,例如 VLAN 分配與線內電源要求。 CDP 不會識別本機連接的工作站。 Cisco IP 電話提供 EAPOL 傳遞機制。 此機制允許工作站連接至 Cisco IP 電話,以便將 EAPOL 訊息傳遞至 LAN 交換器上的 802.1X 驗證器。 傳遞機制確保 IP 電話在存取網路之前,不會作為 LAN 交換器來驗證資料端點。

Cisco IP 電話還提供代理 EAPOL 登出機制。 如本機連接的 PC 與 IP 電話中斷連接,LAN 交換器不會發現實體連結失敗,因為 LAN 交換器與 IP 電話之間仍保持連結。 為避免影響網路完整性,IP 電話代表下游 PC 將 EAPOL 登出訊息傳送至交換器,這會觸發 LAN 交換器清除下游 PC 的驗證項目。

支援 802.1X 驗證需要若干元件︰

  • Cisco IP 電話︰電話發起存取網路的請求。 Cisco IP 電話包含 802.1X 要求。 此要求允許網路管理員控制 IP 電話與 LAN 交換器連接埠的連接。 最新版電話 802.1X 要求使用 EAP-FAST 與 EAP-TLS 選項進行網路驗證。

  • 驗證伺服器:必須為驗證伺服器和交換器設定一個可用於驗證電話的共用密碼。

  • 交換器:交換器必須支援 802.1X,以便其用作驗證器並在電話與驗證伺服器之間傳遞訊息。 交換完成後,交換器同意或拒絕電話存取網路。

您需執行下列動作來設定 802.1X。

  • 設定其他元件,然後在電話上啟用 802.1X 驗證。

  • 設定 PC 連接埠:802.1X 標準不考慮 VLAN,因此建議對特定交換器通訊埠只驗證單一裝置。 不過,部份交換器支援多網域驗證。 交換器組態確定是否可將 PC 連線至電話的 PC 通訊埠。

    • 已啟用:如果使用支援多網域驗證的交換器,您可以啟用 PC 連接埠並將 PC 連接至該連接埠。 在此情況下,Cisco IP 電話支援 proxy EAPOL 登出,以監控交換器與連接的 PC 之間的驗證交換。

      如需關於 Cisco Catalyst 交換器支援 IEEE 802.1X 的詳細資訊,請參閱《Cisco Catalyst 交換器組態指南》,網址︰

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 已停用:若交換器不在同一連接埠上支援多部 802.1X 相容裝置,則應在啟用 802.1X 驗證時停用 PC 連接埠。 若不停用此連接埠,且隨後嘗試連接 PC 與該連接埠,交換器會拒絕在電話與 PC 上進行網路存取。

  • 設定語音 VLAN:由於 802.1X 標準不考慮 VLAN,您應根據交換器支援情況來進行此設定。
    • 已啟用:如果是使用支援多網域驗證的交換器,您可以繼續使用語音 VLAN。
    • 已停用:若交換器不支援多網域驗證,則停用語音 VLAN,並考慮將通訊埠指定到原生 VLAN。
  • (僅適用於 Cisco Desk Phone 9800 系列)

    Cisco 桌上型電話 9800 系列在 PID 中的前綴與其他 Cisco 電話的前綴不同。 若要讓您的電話透過 802.1X 驗證,請設定 Radius·使用者名稱 參數以包含 Cisco Desk Phone 9800 系列。

    例如,電話 9841 的 PID 為 DP-9841;您可以設定 半徑· 使用者名以 DP 開頭或 包含 DP。 您可以在以下兩個部分中進行設定:

    • 原則 > 條件 > 庫條件

    • 原則 > 原則集 > 授權原則 > 授權規則 1

啟用 802.1X 驗證

您可以按照以下步驟為電話啟用 802.1 X 驗證:

1

設定 the Settings hard key.

2

如有提示,請輸入密碼以存取「 設定 」功能表。 您可以從管理員處取得密碼。

3

導航到 網路和服務> 安全性設置 > 802.1X 身份驗證

4

打開 IEEE 802.1X 身份驗證。

5

選取套用

檢視電話安全性設定的相關資訊

您可以在電話功能表中檢視安全性設定的相關資訊。 資訊的可用性取決於組織中的網路設置。

1

設定 the Settings key.

2

導航到 「網路和服務> 安全設置」。

3

在「安全設置 中,查看以下資訊。

表 4. 安全設定參數

參數

描述

安全模式

顯示為電話設定的安全性模式。

LSC

指示電話上是否安裝地區重要憑證(用於安全性功能)。

信任清單

「信任清單」提供 CTL、ITL 及簽署的組態檔案子功能表。

「CTL 檔案」子功能表顯示 CTL 檔案的內容。 「ITL 檔案」子功能表顯示 ITL 檔案的內容。

「信任清單」功能表還會顯示下列資訊︰

  • CTL 簽章︰CTL 檔案的 SHA1 雜湊。
  • Unified CM/TFTP 伺服器︰電話使用的 Cisco Unified Communications Manager 和 TFTP 伺服器的名稱。 若此伺服器安裝憑證,則會顯示憑證圖示。
  • CAPF 伺服器︰電話使用的 CAPF 伺服器的名稱。 若此伺服器安裝憑證,則會顯示憑證圖示。
  • SRST 路由器︰電話可使用的受信任 SRST 路由器的 IP 位址。 若此伺服器安裝憑證,則會顯示憑證圖示。

電話通話安全性

電話執行安全性通話時,您可以透過電話螢幕上的圖示來識別安全通話。 您還可以透過通話開始時是否播放安全音,來確定連線電話是否安全且受到保護。

在安全通話中,所有通話訊號及媒體串聯皆經過加密。 安全通話提供較高級別的安全性,為通話提供完整性與私密性。 進行中的通話經過加密後,您會看到安全圖示 安全通話的鎖定圖示 在線上。 對於安全電話,您還可以查看「已驗證」圖示 或加密圖示 在電話功能表中(設置 > 關於此設備)中連接的伺服器旁邊。

若通話路由至非 IP 通話線路,例如 PSTN,雖然通話在 IP 網路中經過加密,且具有與之關聯的鎖定圖示,但通話可能不安全。

在安全通話中,通話開始時會播放安全音,表示其他連線電話也會接收及傳送安全音訊。 若通話接通的對象不是安全電話,即不會播放安全音。

僅對兩部電話之間的連線支援安全通話。 設定安全通話時,部分功能將無法使用,如電話會議及共用線路。

在 Cisco Unified Communications Manager 中將電話設定為安全 (加密與可信任) 時,可以為其指定 受保護 地位。 之後,如有需要,可設定受保護的電話在通話開始時播放指示音︰

  • 受保護裝置︰若要將安全電話的狀態變更為受保護,請在 Cisco Unified Communications Manager 管理的「電話組態」視窗中勾選「受保護的裝置」方塊 (裝置 > 電話)。

  • 播放安全指示音︰若要使受保護電話播放安全或不安全指示音,將「播放安全指示音」設定設為「True」。 預設會將「播放安全指示音」設為「False」。 在 Cisco Unified Communications Manager 管理中設定此選項 (系統 > 服務參數)。 選取伺服器,然後選取 Unified Communications Manager 服務。 在「服務參數組態」視窗中,選取「功能 - 安全音」區域中的選項。 預設為「False」。

安全電話會議識別

您可起始安全電話會議,並監控出席者的安全級別。 使用下列程序建立安全電話會議︰

  1. 使用者自安全電話起始會議。

  2. Cisco Unified Communications Manager 將安全會議橋接器指定到通話。

  3. 新增出席者時,Cisco Unified Communications Manager 將驗證每部電話的安全性模式,並保持會議的安全性級別。

  4. 電話上將顯示電話會議的安全性級別。 安全會議會顯示安全圖示 安全通話的鎖定圖示.

兩部電話之間支援安全通話。 對於受保護電話,設定安全通話時,部分功能將無法使用,如電話會議、共用線路及 Extension Mobility。

下表提供視乎起始者電話的安全性級別、出席者的安全性級別以及安全會議橋接器的可用性,而變更會議安全性級別的相關資訊。

表 5. 電話會議的安全性限制

起始者電話安全性級別

所用功能

出席者的安全性級別

動作結果

不安全

會議

安全

不安全的會議橋接器

不安全的會議

安全

會議

至少一位成員不安全。

安全的會議橋接器

不安全的會議

安全

會議

安全

安全的會議橋接器

安全加密級別會議

不安全

Meet Me

最低安全性級別為加密。

起始者收到「不符合安全性級別,通話被拒」訊息。

安全

Meet Me

最低安全性級別為不安全。

安全的會議橋接器

會議接受所有通話。

安全電話通話識別

您的電話與另一端的電話設定進行安全通話後,即建立安全通話。 對方電話可以在同一 Cisco IP 網路,或 IP 網路之外的網路。 只可在兩部電話之間設定安全通話。 在設定安全會議橋接器之後,電話會議應該支援安全通話。

使用下列程序建立安全通話︰

  1. 使用者從安全電話(安全的安全性模式)發起通話。

  2. 電話會顯示安全圖示 安全通話的鎖定圖示 在電話螢幕上。 此圖示表示電話已設定安全通話,但這並不意味著對方連線電話也安全。

  3. 若通話連線至另一部安全電話,使用者可聽到安全音,這表示對話雙方均經過加密,是安全的。 若通話接通的對象不是安全電話,使用者不會聽到安全音。

兩部電話之間支援安全通話。 對於受保護電話,設定安全通話時,部分功能將無法使用,如電話會議、共用線路及 Extension Mobility。

僅受保護的電話會播放這些安全或非安全指示音。 未受保護的電話不會播放任何指示音。 若整個通話狀態在通話期間發生變更,指示音會變更,且受保護的電話將播放適當的指示音。

在下列情況下,受保護的電話播放或不播放指示音:

  • 「播放安全指示音」選項啟用後︰

    • 在端到端安全媒體建立並且通話狀態為安全時,電話將會播放安全指示音(三聲有停頓的長嗶聲)。

    • 在端到端非安全媒體建立,而通話狀態為不安全時,電話將會播放非安全指示音 (六聲有短暫停頓的短嗶聲)。

若停用「播放安全指示音」選項,則不會播放指示音。

提供插話加密

建立會議,以及變更會議的安全性指示,或封鎖通話完成時,Cisco Unified Communications Manager 會檢查電話安全性狀態,以保障系統的完整性與安全性。

若用於插話的電話未設定加密功能,使用者將無法插入加密的通話。 在此情況下插話失敗後,起始插話的電話會播放重新排序(快速忙線音)提示音。

若起始的電話設定了加密功能,插話起始者可從加密電話中插入不安全通話。 插話後,Cisco Unified Communications Manager 會將該通電話分類為不安全通話。

若起始者電話設定了加密功能,插話起始者可插入加密通話,電話將顯示該通通話已加密。

WLAN 安全性

本節僅適用於具有 Wi-Fi 功能的電話機型。

WLAN 安全性

由於範圍內的所有 WLAN 裝置都可以接收所有其他 WLAN 流量,因此在 WLAN 中安全的語音通訊很重要。 為確保入侵者不會操縱或攔截語音流量,Cisco SAFE 安全性架構支援電話。 如需網路中安全性的詳細資訊,請參閱 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

Cisco Wireless IP 電話解決方案透過使用電話支援的下列驗證方法,提供無線網路安全性,防止未經授權的登入與通訊遭到破壞:

  • 開放驗證:任何無線裝置都可以在開放系統中請求驗證。 接收請求的 AP 可以將驗證授予任何請求者或僅授予使用者清單上的請求者。 無線設備和接入點 (AP) 之間的通信可能是非加密的。

  • 可擴展身份驗證協定 - 通過安全隧道 (EAP-FAST) 身份驗證的靈活身份驗證:此用戶端 - 伺服器安全體系結構對 AP 和 RADIUS 伺服器 (如身份服務引擎 (ISE)) 之間的傳輸級別安全性 (TLS) 隧道中的 EAP 事務進行加密。

    TLS 通道使用受保護存取認證 (PAC) 在用戶端(電話)與 RADIUS 伺服器之間驗證。 伺服器將授權單位 ID (AID) 傳送至用戶端(電話),進而選取適當的 PAC。 用戶端(電話)將 PAC-Opaque 返回至 RADIUS 伺服器。 伺服器使用主密鑰解密 PAC 。 這兩個端點即包含 PAC 金鑰並建立 TLS 通道。 EAP-FAST 支援自動 PAC 佈建,但您需在 RADIUS 伺服器上啟用它。

    在 ISE 中,預設情況下,PAC 將在一周後過期。 如果電話具有過期的 PAC,電話取得新的 PAC 時,向 RADIUS 伺服器驗證需要更長時間。 若要避免 PAC 佈建延遲,請在 ISE 或 RADIUS 伺服器上將 PAC 到期期間設定為 90 天或更長時間。

  • 可延伸驗證通訊協定—傳輸層安全性 (EAP-TLS) 的驗證:EAP-TLS 需要用戶端憑證才能進行驗證與網路存取。 對於無線 EAP-TLS,用戶端證書可以是 MIC、LSC 或使用者安裝證書。

  • 受保護的可延伸驗證通訊協定 (PEAP):用戶端 (電話) 與 RADIUS 伺服器之間的 Cisco 專屬密碼型相互驗證架構。 電話可以使用 PEAP 與無線網路進行驗證。 同時支援 PEAP-MSCHAPV2 和 PEAP-GTC 驗證方法。

  • 預共用金鑰 (PSK):電話支援 ASCII 格式。 設定 WPA/WPA2/SAE 預共用金鑰時,您需使用此格式:

    ASCII:長度為 8 至 63 個字元的 ASCII 字元字串 (0-9、小寫和大寫 A-Z 以及特殊字元)

    範例:GREG123567@9ZX 和 W

下列驗證方案使用 RADIUS 伺服器管理驗證金鑰:

  • WPA/WPA2/WPA3:使用 RADIUS 伺服器資訊生成用於身份驗證的唯一金鑰。 由於這些金鑰是在集中式 RADIUS 伺服器上生成,因此 WPA2/WPA3 提供比儲存在 AP 和電話上的 WPA 預共用金鑰更高的安全性。

  • 快速安全漫遊︰使用 RADIUS 伺服器和無線網域伺服器 (WDS) 資訊來管理和驗證金鑰。 WDS 為啟用了 FT 的用戶端設備創建安全憑據緩存,以實現快速安全的重新身份驗證。 Cisco Desk Phone 9861 及 9871 及 Cisco 視訊電話 8875 支援 802.11r (FT)。 支援無線和 DS,以實現快速安全漫遊。 但是,我們極力建議利用無線 802.11r (FT)。

使用 WPA/WPA2/WPA3,加密金鑰不會輸入在電話上,但會自動在 AP 與電話之間衍生。 但是,需在每部電話上輸入用於驗證的 EAP 使用者名稱和密碼。

為確保語音流量是安全的,電話支援 TKIP 和 AES 進行加密。 這些機制用於加密時,會在 AP 與電話之間同時對訊號 SIP 封包和語音即時傳輸通訊協定 (RTP) 封包加密。

TKIP

WPA 使用 TKIP 加密,此加密相對於 WEP 有數項改善。 TKIP 提供了封包性的可加強加密的金鑰加密及較長的初始向量 (IV)。 此外,訊息完整性檢查 (MIC) 可確保不會變更加密的封包。 TKIP 可移除有助於入侵者破解 WEP 金鑰的 WEP 之預測性。

AES

用於 WPA2/WPA3 驗證的加密方法。 此國家加密標準使用的對稱演算法具有相同的加密和解密金鑰。 AES 使用大小為 128 位元 (作為最低要求) 的加密封鎖鏈 (CBC) 加密,此加密支援 128 位元、192 位元和 256 位元的金鑰。 電話支援 256 位元的金鑰。

Cisco Desk Phone 9861 和 9871 及 Cisco 視訊電話 8875 不支援 Cisco Key Integrity Protocol (CKIP) 與 CMIC。

在無線 LAN 內設定驗證和加密架構。 在網路中和 AP 上設定 VLAN,並指定不同的驗證和加密的組合。 SSID 與 VLAN 和特定驗證及加密架構關聯。 要使無線用戶端設備成功進行身份驗證,您必須在 AP 和電話上使用其身份驗證和加密方案配置相同的 SSID。

部分驗證架構需要特定的加密類型。

  • WPA 使用預先共用金鑰、WPA2 預先共用金鑰或 SAE 時,必須在電話上靜態設定預先共用金鑰。 這些金鑰需與 AP 上的金鑰相符。

  • 電話支援 FAST 或 PEAP 的自動 EAP 交涉,但不支援 TLS。 對於 EAP-TLS 模式,必須指定它。

下表中的驗證和加密架構顯示對應於 AP 組態的電話的網路組態選項。

表 6. 驗證和加密方案
FSR 類型授權金鑰管理加密受保護的管理框架 (PMF)
802.11r (英尺)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AES
802.11r (英尺)WPA3

汽車工程學會

FT-SAE

AES
802.11r (英尺)EAP-TLS

WPA-EAP

FT-EAP

AES
802.11r (英尺)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (英尺)EAP-FAST

WPA-EAP

FT-EAP

AES
802.11r (英尺)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (英尺)EAP-PEAP

WPA-EAP

FT-EAP

AES
802.11r (英尺)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AES

設定無線 LAN 設定檔

您可以透過設定憑證、頻帶、驗證方法等來管理您的無線網路設定檔。

在設定 WLAN 設定檔之前,請緊記以下注意事項:

  • 使用者名稱與密碼

    • 網路使用 EAP-FAST 和 PEAP 進行使用者驗證時,您需在遠端驗證撥號使用者服務與電話上設定使用者名稱與密碼(如有需要)。

    • 在無線 LAN 設定檔中輸入的憑證必須與在 RADIUS 伺服器上設定的憑證相同。

    • 若您使用網路內的網域,需輸入帶有網域名稱的使用者名稱,格式為︰domain\username

  • 以下動作可能會導致現有的 Wi-Fi 密碼遭到清除︰

    • 輸入無效的使用者 ID 或密碼
    • 當 EAP 類型設定為 PEAP-MSCHAPV2 或 PEAP-GTC 時,安裝無效或過期的根 CA
    • 在將電話切換為新的 EAP 類型之前,停用電話 RADIUS 伺服器上所用的 EAP 類型
  • 要更改 EAP 類型,請確保首先在 RADIUS 伺服器上啟用新的 EAP 類型,然後再將電話切換到 EAP 類型。 當所有電話都已變更為新的 EAP 類型之後,您可以視需要來停用之前的 EAP 類型。
1

在 Cisco Unified Communications Manager 管理中選取裝置 > 裝置設定 > 無線 LAN 設定檔

2

選擇您要設定的網路設定檔。

3

設定參數。

4

按一下儲存

手動安裝驗證伺服器憑證

若簡單憑證註冊通訊協定 (SCEP) 無法使用,您可以手動在電話上安裝驗證伺服器憑證。

需針對 EAP-TLS 來安裝發出 RADIUS 伺服器憑證的根 CA 憑證。

開始之前

在您可於電話上安裝憑證之前,您需先擁有儲存於 PC 上的驗證伺服器憑證。 此憑證需以 PEM (Base-64) 或 DER 編碼。

1

從電話管理網頁中,選取憑證

2

尋找驗證伺服器 CA 欄位,然後按一下安裝

3

瀏覽至 PC 上的憑證。

4

按一下上載

5

當上載完成後,請重新啟動電話。

如果重新安裝多個證書,則僅使用上次安裝的證書。

手動安裝使用者憑證

若簡單憑證註冊通訊協定 (SCEP) 無法使用,您可以手動在電話上安裝使用者憑證。

預先安裝的製造安裝憑證 (MIC) 可以當做 EAP-TLS 的使用者憑證使用。

在使用者憑證安裝之後,請將其新增至 RADIUS 伺服器信任清單。

開始之前

在您可以為電話安裝使用者憑證之前,您需具備以下︰

  • 儲存在您的 PC 上的使用者憑證。 此憑證需為 PKCS #12 格式。

  • 用以提取憑證的密碼。

    此密碼最長為 16 個字元。

1

從電話管理網頁中,選取憑證

2

找出已安裝的使用者欄位,然後按一下安裝

3

瀏覽至 PC 上的憑證。

4

擷取密碼欄位中,輸入憑證的擷取密碼。

5

按一下上載

6

當上載完成後,請重新啟動電話。

手動剛除安全憑證

若簡單憑證註冊通訊協定 (SCEP) 無法使用,您可以手動從電話中移除安全憑證。

1

從電話管理網頁中,選取憑證

2

憑證頁面上找出憑證。

3

按一下刪除

4

刪除程序完成後,請重新啟動電話。

設定 SCEP 參數

簡單憑證註冊通訊協定 (SCEP) 是一項用於自動提供和更新憑證的標準。 SCEP 伺服器可以自動維護您的使用者和伺服器憑證。

您需在電話網頁上設定下列 SCEP 參數

  • RA IP 位址

  • SCEP 伺服器根 CA 憑證的 SHA-1 或 SHA-256 指紋

Cisco IOS 登錄授權單位 (RA) 會被當做 SCEP 伺服器的代理運作。 電話上的 SCEP 用戶端會使用從 Cisco Unified Communication Manager 下載的參數。 當您設定參數後,電話會傳送 SCEP getcs 要求給 RA,並使用定義的指紋驗證根 CA 憑證。

開始之前

在 SCEP 伺服器上設定 SCEP 註冊代理 (RA) 可達成以下目的:

  • 當做 PKI 信任點
  • 當做 PKI RA
  • 使用 RADIUS 伺服器執行裝置驗證

如需詳細資訊,請參閱您的 SCEP 伺服器文件。

1

在 Cisco Unified Communications Manager 管理中選取裝置 > 電話

2

尋找電話。

3

捲動至產品專屬組態版面配置區域。

4

勾選 WLAN SCEP 伺服器選取方塊來啟用 SCEP 參數。

5

勾選 無線 LAN 根 CA 指紋(SHA256 或 SHA1)勾選方塊來啟用 SCEP QED 參數。

設定支援的 TLS 版本

您可以分別設定客戶端和伺服器所需的最低 TLS 版本。

默認情況下,伺服器和用戶端的最低 TLS 版本均為 1.2。 此設定對下列功能有影響:

  • HTTPS Web 存取連線
  • 本地電話的載入
  • 行動裝置和 Remote Access (MRA) 入門
  • HTTPS 服務,例如目錄服務
  • 資料包傳輸層安全性 (DTLS)
  • 連接埠存取實體 (PAE)
  • 可延伸驗證通訊協定 - 傳輸層安全性 (EAP-TLS)

有關 Cisco IP Phones 的 TLS 1.3 相容性的詳細資訊,請參閱 TLS 思科協作產品的 1.3 相容性矩陣

1

以系統管理員身分登入 Cisco Unified Communications Manager 管理。

2

瀏覽至下列一個視窗:

  • 系統 > 企業電話組態
  • 裝置 > 裝置設定 > 常用電話設定檔
  • 裝置 > 電話 > 電話組態
3

設定 TLS 用戶端最小版本 “欄位:

“TLS 1.3”選項在 Cisco Unified CM 15SU2 或更高版本上可用。
  • TLS 1.1:TLS 用戶端支援從 1.1 到 1.3 的 TLS 版本。

    如果伺服器中的 TLS 版本低於 1.1,例如 1.0,則無法建立連接。

  • TLS 1.2 (預設):TLS 用戶端支援 TLS 1.2 和 1.3。

    如果伺服器中的 TLS 版本低於 1.2 (例如 1.1 或 1.0),則無法建立連接。

  • TLS 1.3:TLS 用戶端僅支援 TLS 1.3。

    如果伺服器中的 TLS 版本低於 1.3,例如 1.2、1.1 或 1.0,則無法建立連接。

4

設定 TLS 伺服器最低版本」 欄位:

  • TLS 1.1:TLS 伺服器支援從 1.1 到 1.3 的 TLS 版本。

    如果用戶端中的 TLS 版本低於 1.1 (例如 1.0),則無法建立連接。

  • TLS 1.2 (預設):TLS 伺服器支援 TLS 1.2 和 1.3。

    如果用戶端中的 TLS 版本低於 1.2 (例如 1.1 或 1.0),則無法建立連接。

  • TLS 1.3:TLS 伺服器僅支援 TLS 1.3。

    如果用戶端中的 TLS 版本低於 1.3,例如 1.2、1.1 或 1.0,則無法建立連接。

從 PhoneOS 3.2 版開始,「停用 TLS 1.0 和 TLS 1.1 進行 Web 存取」欄位的設定不會在電話上生效。
5

按一下儲存

6

按一下套用組態

7

重新啟動電話。

確保的服務 SIP

確保服務 SIP(AS-SIP) 是一系列功能和通訊協定,為 Cisco IP 電話與第三方電話提供高度安全的通話流。 下列功能統稱為 AS-SIP︰

  • 多級優先與佔先 (MLPP)
  • 區分服務代碼點 (DSCP)
  • 傳輸層安全性 (TLS) 和安全即時傳輸通訊協定 (SRTP)
  • 網際網路通訊協定第 6 版 (IPv6)

AS-SIP 通常與多層級優先與佔先 (MLPP) 一起用於在緊急時優先處理通話。 使用 MLPP,您可以為傳出通話指定優先順序層級,從層級 1(低)到層級 5(高)。 當您接到電話時,電話上會顯示通話的優先等級別的圖示。

若要設定 AS-SIP,在 Cisco Unified Communications Manager 上完成下列工作︰

  • 設定摘要使用者 — 設定一般使用者用於請求 SIP 的摘要驗證。
  • 設定 SIP 電話安全連接埠 — Cisco Unified Communications Manager 使用此連接埠透過 TLS 聽取 SIP 電話進行 SIP 線路註冊。
  • 重新啟動服務 — 設定安全連接埠後,重新啟動 Cisco Unified Communications Manager 與 Cisco CTL 供應商服務。 為 AS-SIP 設定 SIP 設定檔 — 為 AS-SIP 端點以及 SIP trunk 設定具有 SIP 設定的 SIP 設定檔。 無法下載至第三方 AS-SIP 電話的電話專屬的參數。 它們僅由 Cisco Unified Manager 使用。 第三方電話需在本地配置相同的設定。
  • 為 AS-SIP 設定電話安全設定檔 — 您可以使用電話安全性設定檔指定如 TLS、SRTP、摘要驗證等安全性設定。
  • 設定 AS-SIP 端點 — 設定具有 AS-SIP 支援的 Cisco IP 電話或第三方端點。
  • 裝置與一般使用者關聯—將端點與使用者關聯。
  • 為 AS-SIP 設定 SIP trunk 安全性設定檔 — 您可以使用 sip trunk 安全性設定檔指定如 TLS、或摘要驗證等安全性功能為 SIP trunk。
  • 為 AS-SIP 設定 SIP trunk — 設定具有 AS-SIP 支援的 SIP trunk。
  • 設定 AS-SIP 功能 — 設定 MLPP、TLS、V.150,IPv6 等的其他 AS-SIP 功能。

有關配置 AS-SIP 的詳細資訊,請參閱適用於 Cisco Unified Communications Manager 的功能配置指南中的“配置 AS-SIP 端點”一章。

多級優先與佔先

多層級優先與佔先 (MLPP) 允許您在緊急或其他危機情況下優先處理通話。 您為傳出通話指定優先順序,範圍介於 1 至 5。來電會顯示圖示及通話優先順序。 經過驗證的使用者可以將通話佔先至目標站或透過完全訂閱的 TDM trunk。

此功能可確保高級人員與重要組織和人員的通訊。

MLPP 通常與保證服務 SIP(AS-SIP) 一起使用。 有關配置 MLPP 的詳細資訊,請參閱《Cisco Unified Communications Manager 功能配置指南》中的 “配置多級優先和搶佔 ”一章

設定 FAC 與 CMC

在電話上設定強制授權代碼 (FAC) 或使用者端事件代碼 (CMC) 或兩者時,使用者必須輸入所需的密碼才能撥出號碼。

有關如何在 Cisco Unified Communications Manager 中設置 FAC 和 CMC 的詳細資訊,請參閱《功能配置指南》中的“用戶端事件代碼和強制授權代碼”Cisco Unified Communications Manager 、版本 12.5 (1) 或更高版本。