Segurança do Cisco IP Phone

Visão geral da segurança do Telefone IP Cisco

Os recursos de segurança protegem contra várias ameaças, incluindo ameaças à identidade do telefone e aos dados. Os recursos estabelecem e mantêm fluxos de comunicação autenticados entre o telefone e o servidor Cisco Unified Communications Manager, além de garantir que o telefone use apenas arquivos assinados digitalmente.

O Cisco Unified Communications Manager versão 8.5(1) e posterior inclui a opção Segurança por padrão, que fornece os seguintes recursos de segurança para Telefones IP Cisco sem executar o cliente CTL:

  • Assinatura dos arquivos de configuração do telefone

  • Criptografia dos arquivos de configuração do telefone

  • HTTPS com Tomcat e outros serviços Web


Observação

Os recursos de mídia e sinalização segura ainda exigem que você execute o cliente CTL e use eTokens físicos.

Para obter mais informações sobre os recursos de segurança, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Um LSC (Locally Significant Certificate) é instalado nos telefones depois que você executa as tarefas necessárias associadas à função de proxy de autoridade de certificação (CAPF). Você pode usar a Administração do Cisco Unified Communications Manager para configurar um LSC. Para obter mais informações, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Um LSC não pode ser usado como o certificado do usuário para EAP-TLS com autenticação WLAN.

Opcionalmente, você pode iniciar a instalação de um LSC no menu Configuração de segurança do telefone. Este menu também permite atualizar ou remover um LSC.

O Telefone IP Cisco série 7800 está em conformidade com a norma FIPS (Federal Information Processing Standard). Para funcionar corretamente, o modo FIPS requer uma chave RSA de 2048 bits ou mais. Se o certificado do servidor RSA não tiver 2048 bits ou mais, o telefone não será registrado no Cisco Unified Communications Manager e a mensagem Falha ao registrar o telefone. O tamanho da chave do certificado não é compatível com FIPS é exibida no telefone.

Você não pode usar chaves privadas (LSC ou MIC) no modo FIPS.

Se o telefone tiver uma chave LSC existente menor do que 2048 bits, você precisa atualizar o tamanho da chave LSC para 2048 bits ou mais antes de ativar FIPS.

Aprimoramentos de segurança para sua rede de telefonia

Você pode ativar o Cisco Unified Communications Manager 11.5(1) e 12.0(1) para operar em um ambiente de segurança avançada. Com esses aprimoramentos, sua rede de telefonia opera sob um conjunto de controles rígidos de gerenciamento de segurança e riscos para proteger você e seus usuários.

O Cisco Unified Communications Manager 12.5(1) não é compatível com um ambiente de segurança optimizada. Desative FIPS antes de atualizar para o Cisco Unified Communications Manager 12.5(1) ou seu TFTP e outros serviços não funcionará corretamente.

O ambiente de segurança optimizada inclui os seguintes recursos:

  • Autenticação de pesquisa de contatos.

  • O TCP como o protocolo padrão para o registro em log de auditoria remota.

  • Modo FIPS.

  • Uma política de credenciais aprimorada.

  • Suporte à família SHA-2 de hashes para assinaturas digitais.

  • Suporte para uma chave RSA de 512 e 4096 bits.

Com o Cisco Unified Communications Manager versão 14.0 e o firmware do Telefone IP Cisco versão 14.0 e posterior, os telefones suportam autenticação SIP OAuth.

O OAuth é compatível com proxy trivial File Transfer Protocol (TFTP) com Cisco Unified Communications Managerversão 14.0(1)SU1 ou posterior e Cisco IP Phone firmware versão 14.1(1). Proxy TFTP e OAuth para proxy TFTP não são compatíveis com o Mobile Remote Access (MRA).

Para obter informações adicionais sobre a segurança, consulte o seguinte:


Observação
O Telefone IP Cisco só pode armazenar um número limitado de arquivos Identity Trust List (ITL). Os arquivos ITL não podem exceder o limite de 64K no limite, por isso, limite o número de arquivos que o Cisco Unified Communications Manager envia para o telefone.

Visualizar os recursos de segurança atuais no telefone

Para obter mais informações sobre os recursos de segurança e sobre a segurança do Cisco Unified Communications Manager e do Telefone IP Cisco, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Procedimento

Etapa 1

Pressione Aplicativos .

Etapa 2

Selecione Definições do admin. > Config. de segurança.

A maioria dos recursos de segurança está disponível somente se a lista de certificados confiáveis (CTL) estiver instalada no telefone.

Visualizar perfis de segurança

Todos os Telefones IP Cisco que dão suporte ao Cisco Unified Communications Manager usam um perfil de segurança, que define se o telefone é não seguro, autenticado ou criptografado. Para obter informações sobre como configurar o perfil de segurança e aplicar o perfil ao telefone, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Procedimento

Etapa 1

Na Administração do Cisco Unified Communications Manager, selecione Sistema > Segurança > Perfil de segurança do telefone.

Etapa 2

Observe a configuração Modo de segurança.

Recursos de segurança suportados

A tabela a seguir fornece uma visão geral dos recursos de segurança que são compatíveis com o Telefone IP Cisco série 7800. Para obter mais informações sobre esses recursos, o Cisco Unified Communications Manager e a segurança do Telefone IP Cisco, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Tabela 1. Visão geral dos recursos de segurança

Recurso

Descrição

Autenticação de imagem

Arquivos binários assinados (com a extensão .sbn) impedem a falsificação com a imagem do firmware antes de ela ser carregada em um telefone. A falsificação com a imagem causa falha no processo de autenticação do telefone e rejeita a nova imagem.

Instalação de certificado no site do cliente

Cada Telefone IP Cisco exige um certificado exclusivo para autenticação de dispositivo. Os telefones incluem um MIC (certificado instalado pelo fabricante), mas para segurança adicional, você pode especificar na Administração do Cisco Unified Communications Manager que um certificado seja instalado usando a CAPF (Função de proxy de autoridade de certificação). Como alternativa, é possível instalar um LSC (Certificado localmente significativo) no menu Configuração de segurança no telefone.

Autenticação do dispositivo

Ocorre entre o servidor Cisco Unified Communications Manager e o telefone quando cada entidade aceita o certificado da outra entidade. Determina se uma conexão segura entre o telefone e um Cisco Unified Communications Manager deve ocorrer; e, se necessário, cria um caminho de sinalização seguro entre as entidades usando o protocolo TLS. O Cisco Unified Communications Manager não registrará telefones, a menos que possa autenticá-los.

Autenticação de arquivo

Valida arquivos assinados digitalmente baixados pelo telefone. O telefone valida a assinatura para garantir que a falsificação de arquivo não ocorreu depois da criação do arquivo. Os arquivos que falham na autenticação não são gravados na memória Flash do telefone. O telefone rejeita tais arquivos sem outro processamento.

Autenticação de sinalização

Usa o protocolo TLS para confirmar que não houve falsificação nos pacotes de sinalização durante a transmissão.

Certificado instalado pelo fabricante

Cada Telefone IP Cisco contém um MIC (certificado instalado pelo fabricante), que é usado para autenticação do dispositivo. O MIC é uma prova de identidade exclusiva permanente do telefone e permite que o Cisco Unified Communications Manager autentique o telefone.

Referência SRST segura

Depois de configurar uma referência SRST para segurança e redefinir os dispositivos dependentes na Administração do Cisco Unified Communications Manager, o servidor TFTP adiciona o certificado SRST ao arquivo cnf.xml do telefone e envia o arquivo ao telefone. Um telefone seguro usa uma conexão TLS para interagir com o roteador habilitado para SRST.

Criptografia de mídia

Usa SRTP para garantir que os fluxos de mídia entre dispositivos compatíveis demonstrem segurança e que apenas o dispositivo programado receba e leia os dados. Inclui criação de um par de chaves primárias de mídia para os dispositivos, fornecendo as chaves aos dispositivos e protegendo a entrega das chaves enquanto são transportadas.

CAPF (Função de proxy de autoridade de certificação)

Implementa partes do procedimento de geração do certificado que consome muito processamento do telefone e interage com o telefone para geração de chave e instalação do certificado. A CAPF pode ser configurada para solicitar certificados das autoridades de certificação especificadas pelo cliente em nome do telefone ou pode ser configurada para gerar certificados localmente.

Perfis de segurança

Define se o telefone não é seguro ou está criptografado.

Arquivos de configuração criptografados

Permite que você assegure a privacidade dos arquivos de configuração do telefone.

Desativação opcional da funcionalidade do servidor Web para um telefone

Você pode impedir o acesso à página da Web de um telefone, que exibe várias estatísticas operacionais do telefone.

Proteção do telefone

Opções de segurança adicionais, que você controla na Administração do Cisco Unified Communications Manager:

  • Desativar porta do PC
  • Desativar acesso à VLAN de voz do PC
  • Desativar acesso a páginas da Web de um telefone

Observação

 

Você pode visualizar configurações atuais das opções Desabilitado para porta do PC, Habilitado para GARP e habilitado para VLAN de voz observando o menu Configuração do telefone.

Autenticação 802.1X

O Telefone IP Cisco pode usar autenticação 802.1X para solicitar e obter acesso à rede.

Criptografia AES 256

Quando conectados ao Cisco Unified Communications Manager versão 10.5(2) e posteriores, os telefones aceitam a criptografia AES 256 para TLS e SIP para sinalização e criptografia de mídia. Isso permite que os telefones iniciem e permitam conexões TLS 1.2 usando cifras baseadas em AES-256 em conformidade com os padrões SHA-2 (Secure Hash Algorithm) e compatíveis com o padrão FIPS (Federal Information Processing Standards). As novas cifras são:

  • Para conexões TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Para sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager.

Certificados Elliptic Curve Digital Signature Algorithm (ECDSA)

Como parte da certificação Common Criteria (CC), o Cisco Unified Communications Manager adicionou certificados ECDSA na versão 11.0. Isso afeta todos os produtos de Voice Operating System (VOS) da versão de CUCM 11.5 e posterior.

Configurar um certificado localmente significativo

Essa tarefa se aplica à configuração de um LSC com o método de cadeia de autenticação.

Antes de Iniciar

Verifique se configurações de segurança apropriadas do Cisco Unified Communications Manager e da CAPF (Função de proxy de autoridade de certificação) foram concluídas:

  • O arquivo CTL ou ITL tem um certificado CAPF.

  • Na Administração do sistema operacional do Cisco Unified Communications, verifique se o certificado CAPF está instalado.

  • A CAPF está em execução e foi configurada.

Para obter mais informações sobre essas configurações, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Procedimento

Etapa 1

Obtenha o código de autenticação da CAPF que foi definido quando a CAPF foi configurada.

Etapa 2

No telefone, pressione Aplicativos .

Etapa 3

Selecione Configurações do administrador > Configurações de segurança.

Observação

 

Você pode controlar o acesso ao menu Configurações usando o campo Acesso às configurações na janela Configuração do telefone da Administração do Cisco Unified Communications Manager.

Etapa 4

Escolha LSC e pressione Selecionar ou Atualizar.

O telefone solicita uma string de autenticação.

Etapa 5

Insira o código de autenticação e pressione Enviar.

O telefone começa a instalar, atualizar ou remover o LSC, dependendo de como a CAPF foi configurada. Durante o procedimento, uma série de mensagens aparecerá no campo Opção de LSC no menu Configuração de segurança para que você possa monitorar o andamento. Quando o procedimento estiver concluído, será exibida a mensagem Instalado ou Não instalado no telefone.

O processo de instalação, atualização ou remoção do LSC pode demorar bastante para ser concluído.

Quando o procedimento de instalação do telefone for bem-sucedido, a mensagem Instalado será exibida. Se o telefone exibir Não instalado, a string de autorização pode estar incorreta ou a atualização do telefone pode não estar ativada. Se a operação de CAPF excluir o LSC, o telefone exibirá Não instalado para indicar que a operação foi bem-sucedida. O servidor CAPF registra em log as mensagens de erro. Consulte a documentação do servidor CAPF para localizar os logs e entender o significado das mensagens de erro.

Ativar modo FIPS

Procedimento

Etapa 1

Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Telefone e localize o telefone.

Etapa 2

Navegue até a área Configuração específica do produto.

Etapa 3

Defina o campo Modo FIPS como Ativado.

Etapa 4

Selecione Aplicar config.

Etapa 5

Selecione Salvar.

Etapa 6

Reinicie o telefone.

Segurança da chamada telefônica

Quando a segurança é implementada para um telefone, você pode identificar chamadas telefônicas seguras por ícones na tela do telefone. Também será possível determinar se o telefone conectado está seguro e protegido se um tom de segurança for tocado no início da chamada.

Em uma chamada segura, todos os fluxos de mídia e sinalização de chamada são criptografados. Uma chamada segura oferece um alto nível de segurança, fornecendo integridade e privacidade à chamada. Quando uma chamada em andamento é criptografada, o ícone de andamento da chamada à direita do temporizador de duração da chamada na tela do telefone muda para o seguinte ícone:


Observação

Se a chamada for roteada por meio de segmentos de chamada não IP, por exemplo, o PSTN, ela poderá não ser segura, mesmo que esteja criptografada na rede IP e tenha um ícone de cadeado associado a ela.

Em uma chamada segura, um tom de segurança é tocado no início para indicar que o outro telefone conectado também está recebendo e transmitindo áudio seguro. Se a chamada se conectar a um telefone não seguro, o tom de segurança não será tocado.


Observação

A chamada segura é permitida entre dois telefones. A conferência segura, o Cisco Extension Mobility e as linhas compartilhadas podem ser configurados por um recurso de conferência seguro.

Quando um telefone é configurado como seguro (criptografado e confiável) no Cisco Unified Communications Manager, ele pode receber o status de "protegido". Depois disso, se desejado, o telefone protegido pode ser configurado para tocar um tom indicativo no início de uma chamada:

  • Dispositivo protegido: para alterar o status de um telefone seguro para protegido, marque a caixa de seleção Dispositivo protegido na janela Configuração do telefone na Administração do Cisco Unified Communications Manager (Dispositivo > Telefone).

  • Tocar tom indicativo de seguro: para permitir que o telefone protegido toque um tom indicativo de seguro ou não seguro, defina a configuração Play Secure Indication Tone (Tocar tom indicativo de seguro) como Verdadeiro. Por padrão, a opção Tocar tom indicativo de seguro é definida como Falso. Você define essa opção na Administração do Cisco Unified Communications Manager (Sistema > Parâmetros de serviço). Selecione o servidor e, em seguida, o serviço do Unified Communications Manager. Na janela Configuração de parâmetro de serviço, selecione a opção na área Recurso - Tom de seguro. O padrão é Falso.

Identificação de chamada de conferência segura

Você pode iniciar uma chamada de conferência segura e monitorar o nível de segurança dos participantes. Uma chamada de conferência segura é estabelecida por este processo:

  1. Um usuário inicia a conferência de um telefone seguro.

  2. O Cisco Unified Communications Manager atribui um recurso de conferência seguro à chamada.

  3. Conforme os participantes são adicionados, o Cisco Unified Communications Manager verifica o modo de segurança de cada telefone e mantém o nível seguro para a conferência.

  4. O telefone exibe o nível de segurança da chamada de conferência. Uma conferência segura exibe o ícone de proteção à direita da Conferência na tela do telefone.


Observação

A chamada segura é permitida entre dois telefones. Em telefones protegidos, alguns recursos, como a chamada de conferência, as linhas compartilhadas e o Extension Mobility, não estão disponíveis quando a chamada segura é configurada.

A tabela a seguir fornece informações sobre alterações nos níveis de segurança da conferência, de acordo com o nível de segurança do telefone do iniciador, os níveis de segurança dos participantes e a disponibilidade dos recursos de conferência seguros.

Tabela 2. Restrições de segurança com chamadas de conferência

Nível de segurança do telefone do iniciador

Recurso usado

Nível de segurança dos participantes

Resultados da ação

Não seguro

Conferência

Seguro

Recurso de conferência não seguro

Conferência não segura

Seguro

Conferência

Pelo menos um membro não seguro.

Recurso de conferência seguro

Conferência não segura

Seguro

Conferência

Seguro

Recurso de conferência seguro

Conferência de nível criptografado seguro

Não seguro

Meet Me

Nível mínimo de segurança é criptografado.

O iniciador recebe a mensagem Does not meet Security Level, call rejected (Não atende ao Nível de segurança, chamada rejeitada).

Seguro

Meet Me

Nível mínimo de segurança é não seguro.

Recurso de conferência seguro

A conferência aceita todas as chamadas.

Identificação de chamada telefônica segura

Uma chamada segura é estabelecida quando seu telefone, assim como o telefone na outra ponta, é configurado para chamada segura. O outro telefone pode estar na mesma rede IP Cisco ou em uma rede fora da rede IP. As chamadas seguras podem ser feitas apenas entre dois telefones. As chamadas de conferência devem dar suporte à chamada segura após a configuração do recurso de conferência protegida.

Uma chamada segura é estabelecida usando este processo:

  1. Um usuário inicia a chamada de um telefone seguro (modo de segurança protegido).

  2. O ícone de proteção é exibido na tela do telefone. Esse ícone indica que o telefone está configurado para chamadas seguras, mas isso não significa que o outro telefone conectado também está protegido.

  3. O usuário ouve um tom de segurança se a chamada se conectar a outro telefone protegido, indicando que ambas as extremidades da conversa estão criptografadas e protegidas. Se a chamada se conectar a um telefone não seguro, o usuário não ouvirá o tom de segurança.


Observação

A chamada segura é permitida entre dois telefones. Em telefones protegidos, alguns recursos, como a chamada de conferência, as linhas compartilhadas e o Extension Mobility, não estão disponíveis quando a chamada segura é configurada.

Somente os telefones protegidos tocam esses tons indicativos de telefones seguros ou não seguros. Os telefones não protegidos nunca tocam tons. Se o status geral da chamada mudar durante a chamada, o tom indicativo também mudará e o telefone protegido tocará o tom apropriado.

Um telefone protegido toca um tom ou não sob estas circunstâncias:

  • Quando a opção Play Secure Indication Tone (Tocar tom indicativo de seguro) estiver ativada:

    • Quando uma mídia segura de ponta a ponta for estabelecida e o status da chamada for seguro, o telefone tocará o tom indicativo seguro (três bipes longos com pausas).

    • Quando uma mídia não segura de ponta a ponta for estabelecida e o status da chamada for não seguro, o telefone tocará o tom indicativo não seguro (seis bipes curtos com pausas rápidas).

Se a opção Play Secure Indication Tone (Tocar tom indicativo de seguro) estiver desativada, nenhum tom será tocado.

Autenticação 802.1x

Os Telefones IP Cisco são compatíveis com a Autenticação 802.1X.

Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de potência embutida. O CDP não identifica estações de trabalho conectadas localmente. Os Telefones IP Cisco fornecem um mecanismo de passagem EAPOL. Esse mecanismo permite que uma estação de trabalho conectada ao Telefone IP Cisco passe mensagens EAPOL ao autenticador 802.1X no switch da LAN. O mecanismo de passagem garante que o telefone IP não atue como o switch da LAN para autenticar um dispositivo de dados antes de acessar a rede.

Os Telefones IP Cisco também fornecem um mecanismo de encerramento do EAPOL por proxy. No caso de desconexão do PC localmente conectado do telefone IP, o switch da LAN não vê a falha do link físico, pois o link entre o switch da LAN e o telefone IP é mantido. Para evitar o comprometimento da integridade da rede, o telefone IP envia uma mensagem de encerramento do EAPOL para o switch em nome do PC de downstream, que dispara o switch da LAN para limpar a entrada de autenticação do PC de downstream.

O suporte à autenticação 802.1X exige vários componentes:

  • Telefone IP Cisco: o telefone inicia a solicitação para acessar a rede. Os telefones contêm um suplicante 802.1X. Esse suplicante permite aos administradores de rede controlar a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.

  • Switch do Cisco Catalyst (ou outro switch de terceiros): o switch deve ser compatível com 802.1X para que possa atuar como o autenticador e passar as mensagens entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.

Você deve executar as ações a seguir para configurar a 802.1X.

  • Configure os outros componentes antes de ativar a Autenticação 802.1X no telefone.

  • Configure a porta do PC — O padrão 802.1X não considera VLANs e, assim, recomenda que apenas um único dispositivo seja autenticado para uma porta de switch específica. No entanto, alguns switches (incluindo switches do Cisco Catalyst) aceitam a autenticação de vários domínios. A configuração do switch determina se você pode conectar um PC à porta do PC do telefone.

    • Ativado — Se estiver usando um switch que aceita a autenticação de vários domínios, você poderá ativar a porta do PC e conectar um PC a ela. Nesse caso, os Telefones IP Cisco aceitam o encerramento do EAPOL por proxy para monitorar a troca de autenticação entre o switch e o PC conectado. Para obter mais informações sobre o suporte do IEEE 802.1X em switches do Cisco Catalyst, consulte os guias de configuração de switch do Cisco Catalyst em:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Desativado — Se o switch não oferecer suporte a vários dispositivos compatíveis com 802.1X na mesma porta, você deverá desativar a porta do PC quando a autenticação 802.1X for ativada. Se você não desativar essa porta e em seguida tentar conectar um PC a ela, o switch negará o acesso à rede tanto para o telefone quanto para o PC.

  • Configure a VLAN de voz — Como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.

    • Ativado — Se você estiver usando um switch que aceita a autenticação de vários domínios, você poderá continuar usando a VLAN de voz.

    • Desativado — Se o switch não aceitar a autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.