Autenticação de imagem
|
Arquivos binários assinados (com a extensão .sbn) impedem a falsificação com a imagem do firmware antes de ela ser carregada
em um telefone. A falsificação com a imagem causa falha no processo de autenticação do telefone e rejeita a nova imagem.
|
Instalação de certificado no site do cliente
|
Cada Telefone IP Cisco exige um certificado exclusivo para autenticação de dispositivo. Os telefones incluem um MIC (certificado
instalado pelo fabricante), mas para segurança adicional, você pode especificar na Administração do Cisco Unified Communications
Manager que um certificado seja instalado usando a CAPF (Função de proxy de autoridade de certificação). Como alternativa,
é possível instalar um LSC (Certificado localmente significativo) no menu Configuração de segurança no telefone.
|
Autenticação do dispositivo
|
Ocorre entre o servidor Cisco Unified Communications Manager e o telefone quando cada entidade aceita o certificado da outra
entidade. Determina se uma conexão segura entre o telefone e um Cisco Unified Communications Manager deve ocorrer; e, se necessário,
cria um caminho de sinalização seguro entre as entidades usando o protocolo TLS. O Cisco Unified Communications Manager não
registrará telefones, a menos que possa autenticá-los.
|
Autenticação de arquivo
|
Valida arquivos assinados digitalmente baixados pelo telefone. O telefone valida a assinatura para garantir que a falsificação
de arquivo não ocorreu depois da criação do arquivo. Os arquivos que falham na autenticação não são gravados na memória Flash
do telefone. O telefone rejeita tais arquivos sem outro processamento.
|
Autenticação de sinalização
|
Usa o protocolo TLS para confirmar que não houve falsificação nos pacotes de sinalização durante a transmissão.
|
Certificado instalado pelo fabricante
|
Cada Telefone IP Cisco contém um MIC (certificado instalado pelo fabricante), que é usado para autenticação do dispositivo.
O MIC é uma prova de identidade exclusiva permanente do telefone e permite que o Cisco Unified Communications Manager autentique
o telefone.
|
Referência SRST segura
|
Depois de configurar uma referência SRST para segurança e redefinir os dispositivos dependentes na Administração do Cisco
Unified Communications Manager, o servidor TFTP adiciona o certificado SRST ao arquivo cnf.xml do telefone e envia o arquivo
ao telefone. Um telefone seguro usa uma conexão TLS para interagir com o roteador habilitado para SRST.
|
Criptografia de mídia
|
Usa SRTP para garantir que os fluxos de mídia entre dispositivos compatíveis demonstrem segurança e que apenas o dispositivo
programado receba e leia os dados. Inclui criação de um par de chaves primárias de mídia para os dispositivos, fornecendo
as chaves aos dispositivos e protegendo a entrega das chaves enquanto são transportadas.
|
CAPF (Função de proxy de autoridade de certificação)
|
Implementa partes do procedimento de geração do certificado que consome muito processamento do telefone e interage com o telefone
para geração de chave e instalação do certificado. A CAPF pode ser configurada para solicitar certificados das autoridades
de certificação especificadas pelo cliente em nome do telefone ou pode ser configurada para gerar certificados localmente.
|
Perfis de segurança
|
Define se o telefone não é seguro ou está criptografado.
|
Arquivos de configuração criptografados
|
Permite que você assegure a privacidade dos arquivos de configuração do telefone.
|
Desativação opcional da funcionalidade do servidor Web para um telefone
|
Você pode impedir o acesso à página da Web de um telefone, que exibe várias estatísticas operacionais do telefone.
|
Proteção do telefone
|
Opções de segurança adicionais, que você controla na Administração do Cisco Unified Communications Manager:
- Desativar porta do PC
- Desativar acesso à VLAN de voz do PC
- Desativar acesso a páginas da Web de um telefone
Observação
|
Você pode visualizar configurações atuais das opções Desabilitado para porta do PC, Habilitado para GARP e habilitado para
VLAN de voz observando o menu Configuração do telefone.
|
|
Autenticação 802.1X
|
O Telefone IP Cisco pode usar autenticação 802.1X para solicitar e obter acesso à rede.
|
Criptografia AES 256
|
Quando conectados ao Cisco Unified Communications Manager versão 10.5(2) e posteriores, os telefones aceitam a criptografia
AES 256 para TLS e SIP para sinalização e criptografia de mídia. Isso permite que os telefones iniciem e permitam conexões
TLS 1.2 usando cifras baseadas em AES-256 em conformidade com os padrões SHA-2 (Secure Hash Algorithm) e compatíveis com o
padrão FIPS (Federal Information Processing Standards). As novas cifras são:
- Para conexões TLS:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Para sRTP:
- AEAD_AES_256_GCM
- AEAD_AES_128_GCM
Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager.
|
Certificados Elliptic Curve Digital Signature Algorithm (ECDSA)
|
Como parte da certificação Common Criteria (CC), o Cisco Unified Communications Manager adicionou certificados ECDSA na versão
11.0. Isso afeta todos os produtos de Voice Operating System (VOS) da versão de CUCM 11.5 e posterior.
|