Imageauthentifizierung
|
Signierte Binärdateien (mit Dateierweiterung „.sbn“) verhindern das Manipulieren des Firmware-Images vor dem Laden auf das
Telefon.
Wenn das Image manipuliert wurde, kann das Telefon nicht authentifiziert werden und das Image wird abgelehnt.
|
Image-Verschlüsselung
|
Verschlüsselte Binärdateien (mit Dateierweiterung „.sebn“) verhindern das Manipulieren des Firmware-Images vor dem Laden auf
das Telefon.
Wenn das Image manipuliert wurde, kann das Telefon nicht authentifiziert werden und das Image wird abgelehnt.
|
Kundenseitiges Installieren von Zertifikaten
|
Jedes Cisco IP Phone erfordert ein eindeutiges Zertifikat für die Geräteauthentifizierung. Auf den Telefonen ist bereits ein
vom Hersteller installiertes Zertifikat (MIC) vorhanden, zusätzliche Sicherheit bietet jedoch die Möglichkeit, die Zertifikatinstallation
in der Cisco Unified Communications Manager-Verwaltung mithilfe von CAPF (Certificate Authority Proxy Function) festzulegen.
Sie können ein LSC (Locally Significant Certificate) auch über das Menü Sicherheitskonfiguration auf dem Telefon installieren.
|
Geräteauthentifizierung
|
Die Geräteauthentifizierung erfolgt zwischen dem Cisco Unified Communications Manager-Server und dem Telefon, wenn jede Entität
das Zertifikat der anderen Entität akzeptiert. Bestimmt, ob eine sichere Verbindung zwischen dem Telefon und Cisco Unified
Communications Manager hergestellt wird, und erstellt, falls erforderlich, mit dem TLS-Protokoll einen sicheren Signalpfad
zwischen den Entitäten. Der Cisco Unified Communications Manager registriert Telefone nur dann, wenn sie authentifiziert werden
können.
|
Dateiauthentifizierung
|
Überprüft digital signierte Dateien, die das Telefon herunterlädt. Das Telefon validiert die Signatur, um sicherzustellen,
dass die Datei nach der Erstellung nicht manipuliert wurde. Dateien, die nicht authentifiziert werden können, werden nicht
in den Flash-Speicher auf dem Telefon geschrieben. Das Telefon weist diese Dateien ohne weitere Verarbeitung zurück.
|
Dateiverschlüsselung
|
Durch Verschlüsselung wird verhindert, dass bei der Übertragung einer Datei auf das Telefon vertrauliche Informationen preisgegeben
werden. Außerdem validiert das Telefon die Signatur, um sicherzustellen, dass die Datei nach der Erstellung nicht manipuliert
wurde. Dateien, die nicht authentifiziert werden können, werden nicht in den Flash-Speicher auf dem Telefon geschrieben. Das
Telefon weist diese Dateien ohne weitere Verarbeitung zurück.
|
Signalauthentifizierung
|
Bei dieser Authentifizierung wird anhand des TLS-Protokolls überprüft, dass die Signalpakete während der Übertragung nicht
manipuliert wurden.
|
MIC (Manufacturing Installed Certificate)
|
Auf jedem Cisco IP-Telefon ist ein eindeutiges, vom Hersteller installiertes Zertifikat (Manufacturing Installed Certificate,
MIC) vorhanden, das für die Geräteauthentifizierung verwendet wird. Das MIC dient für das Telefon dauerhaft als eindeutiger
Identitätsnachweis und ermöglicht dem Cisco Unified Communications Manager das Authentifizieren des Telefons.
|
Medienverschlüsselung
|
Diese stellt mithilfe von SRTP sicher, dass Mediendatenströme zwischen unterstützten Geräten geschützt sind und nur der beabsichtigte
Empfänger die Daten erhalten und lesen kann. Erstellt ein primäres Medien-Schlüsselpaar für die Geräte, verteilt die Schlüssel
an die Geräte und schützt die Schlüssel, während diese übertragen werden.
|
CAPF (Certificate Authority Proxy Function)
|
Implementiert Teile des Prozesses für die Zertifikatsgenerierung, die für das Telefon zu verarbeitungsintensiv sind, und interagiert
mit dem Telefon bei der Schlüsselgenerierung und Zertifikatsinstallation. CAPF kann konfiguriert werden, um Zertifikate im
Auftrag des Telefons von kundenspezifischen Zertifizierungsstellen anzufordern oder Zertifikate lokal zu generieren.
|
Sicherheitsprofil
|
Definiert, ob das Telefon nicht sicher, authentifiziert, verschlüsselt oder geschützt ist. Die weiteren Einträge in dieser
Tabelle erläutern Sicherheitsfunktionen.
|
Verschlüsselte Konfigurationsdateien
|
Ermöglicht Ihnen, den Datenschutz für Telefonkonfigurationsdateien sicherzustellen.
|
Optionale Webserver-Deaktivierung für Telefone
|
Aus Sicherheitsgründen können Sie für ein Telefon den Zugriff auf die Webseiten (diese zeigen verschiedenste Betriebsstatistiken
des Telefons an) und das Selbsthilfe-Portal verhindern.
|
Telefonhärtung
|
Weitere Sicherheitsoptionen, die in der Cisco Unified Communications Manager-Verwaltung festgelegt werden:
|
802.1X-Authentifizierung
|
Cisco IP-Telefon kann die 802.1X-Authentifizierung zur Anfrage und Ausführung des Netzwerkzugriffs verwenden. Weitere Informationen
finden Sie unter 802.1X-Authentifizierung.
|
Sicheres SIP-Failover für SRST
|
Nachdem Sie eine SRST-Sicherheitsreferenz konfiguriert und anschließend die abhängigen Geräte in der Cisco Unified Communications
Manager-Verwaltung zurückgesetzt haben, fügt der TFTP-Server das Zertifikat des SRST-fähigen Gateways zur Datei „cnf.xml“
hinzu und sendet diese an das Telefon. Ein sicheres Telefon verwendet eine TLS-Verbindung, um mit dem SRST-fähigen Router
zu kommunizieren.
|
Verschlüsselung des Signalisierungsverkehrs
|
Durch diese Verschlüsselung wird gewährleistet, dass alle zwischen dem Gerät und dem Cisco Unified Communications Manager-Server
ausgetauschten SIP-Signalisierungsnachrichten verschlüsselt werden.
|
Warnung bei Aktualisierung der Vertrauensliste
|
Wenn die auf dem Telefon vorhandene Vertrauensliste aktualisiert wird, erhält der Cisco Unified Communications Manager eine
Warnmeldung, die angibt, ob die Aktualisierung erfolgreich war oder nicht. Weitere Informationen finden Sie in der nachstehenden
Tabelle.
|
AES 256-Verschlüsselung
|
Telefone, die mit Cisco Unified Communications Manager Version 10.5(2) oder höher verbunden sind, unterstützen die AES 256-Verschlüsselung
für TLS und SIP für die Signalisierung und Medienverschlüsselung. Diese Telefone können TLS 1.2-Verbindungen mit AES-256-basierten
Schlüsseln, die mit SHA-2 (Secure Hash Algorithm) und FIPS (Federal Information Processing Standards) konform sind, initiieren
und unterstützen. Die Schlüssel enthalten:
- Für TLS-Verbindungen:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Für sRTP:
- AEAD_AES_256_GCM
- AEAD_AES_128_GCM
Weitere Informationen finden Sie in der Dokumentation zu Cisco Unified Communications Manager.
|
Elliptic Curve Digital Signature Algorithm (ECDSA)-Zertifikate
|
Als Teil der Common Criteria(CC-)Zertifizierung hat Cisco Unified Communications Manager ECDSA-Zertifikate in Version 11.0
hinzugefügt. Dies betrifft alle Voice Operating System-(VOS-)Produkte ab Version CUCM 11.5 und höher.
|