Autenticação de imagem
|
Arquivos binários assinados (com a extensão .sbn) impedem a adulteração da imagem do firmware antes que ela seja carregada
em um telefone.
A adulteração da imagem causa falha no processo de autenticação do telefone e rejeita a nova imagem.
|
Criptografia de imagens
|
Arquivos binários criptografados (com a extensão .sebn) impedem a adulteração da imagem do firmware antes que ela seja carregada
em um telefone.
A adulteração da imagem causa falha no processo de autenticação do telefone e rejeita a nova imagem.
|
Instalação de certificado no site do cliente
|
Cada Telefone IP Cisco exige um certificado exclusivo para autenticação de dispositivo. Os telefones incluem um Certificado
instalado pelo fabricante (MIC), mas, para segurança adicional, você pode especificar a instalação do certificado na Administração
do Cisco Unified Communications Manager usando a CAPF (Função de proxy de autoridade de certificação). Como alternativa, é
possível instalar um LSC (Certificado localmente significativo) no menu Configuração de segurança no telefone.
|
Autenticação do dispositivo
|
Ocorre entre o servidor Cisco Unified Communications Manager e o telefone quando cada entidade aceita o certificado da outra
entidade. Determina se uma conexão segura entre o telefone e um Cisco Unified Communications Manager deve ocorrer; e, se necessário,
cria um caminho de sinalização seguro entre as entidades usando o protocolo TLS. O Cisco Unified Communications Manager não
registra os telefones a menos que possa autenticá-los.
|
Autenticação de arquivo
|
Valida arquivos assinados digitalmente baixados pelo telefone. O telefone valida a assinatura para garantir que não tenha
havido adulteração do arquivo após sua criação. Os arquivos que falham na autenticação não são gravados na memória Flash
do telefone. O telefone rejeita tais arquivos sem outro processamento.
|
Criptografia de arquivos
|
A criptografia impede que informações confidenciais sejam reveladas enquanto o arquivo estiver em trânsito para o telefone.
Além disso, o telefone valida a assinatura para garantir que não tenha havido adulteração do arquivo após sua criação. Os
arquivos que falham na autenticação não são gravados na memória Flash do telefone. O telefone rejeita tais arquivos sem outro
processamento.
|
Autenticação de sinalização
|
Usa o protocolo TLS para confirmar que não tenha havido adulteração dos pacotes de sinalização durante a transmissão.
|
Certificado instalado pelo fabricante
|
Cada Telefone IP Cisco contém um MIC (certificado instalado pelo fabricante), que é usado para autenticação do dispositivo.
O MIC fornece uma prova de identidade exclusiva e permanente para o telefone e permite que o Cisco Unified Communications
Manager autentique o telefone.
|
Criptografia de mídia
|
Usa o SRTP para garantir que os fluxos de mídia entre dispositivos suportados comprovem segurança e que apenas o dispositivo
programado receba e leia os dados. Inclui criação de um par de chaves mestra de mídia para os dispositivos, fornecendo as
chaves aos dispositivos e protegendo a entrega das chaves enquanto são transportadas.
|
CAPF (Função de proxy de autoridade de certificação)
|
Implementa partes do procedimento de geração do certificado que consome muito processamento do telefone e interage com o telefone
para geração de chave e instalação do certificado. A CAPF pode ser configurada para solicitar certificados das autoridades
de certificação especificadas pelo cliente em nome do telefone ou pode ser configurada para gerar certificados localmente.
|
Perfil de segurança
|
Define se o telefone não é seguro e se está autenticado, criptografado ou protegido. Outras entradas nesta tabela descrevem
os recursos de segurança.
|
Arquivos de configuração criptografados
|
Permite que você assegure a privacidade dos arquivos de configuração do telefone.
|
Desativação do servidor Web opcional para um telefone
|
Para fins de segurança, você pode impedir o acesso às páginas da Web para um telefone (que exibem uma variedade de estatísticas
operacionais para o telefone) e ao Portal de Ajuda.
|
Proteção do telefone
|
Opções de segurança adicionais, que você controla na Administração do Cisco Unified Communications Manager:
|
Autenticação 802.1X
|
O Telefone IP Cisco pode usar autenticação 802.1X para solicitar e obter acesso à rede. Consulte Autenticação 802.1X para obter mais informações.
|
Failover de SIP seguro para SRST
|
Depois de configurar uma referência SRST (Survivable Remote Site Telephony) para segurança e redefinir os dispositivos dependentes
na Administração do Cisco Unified Communications Manager, o servidor TFTP adiciona o certificado SRST ao arquivo cnf.xml do
telefone e envia o arquivo ao telefone. Um telefone seguro usa uma conexão TLS para interagir com o roteador habilitado para
SRST.
|
Criptografia de sinalização
|
Garante que todas as mensagens de sinalização SIP que são enviadas entre o dispositivo e o servidor Cisco Unified Communications
Manager sejam criptografadas.
|
Alarme de atualização da lista de confiança
|
Quando a lista de confiança é atualizada no telefone, o Cisco Unified Communications Manager recebe um alarme para indicar
o sucesso ou a falha da atualização. Consulte a tabela a seguir para obter mais informações.
|
Criptografia AES 256
|
Quando conectados ao Cisco Unified Communications Manager versão 10.5(2) e posteriores, os telefones aceitam a criptografia
AES 256 para TLS e SIP para sinalização e criptografia de mídia. Isso permite que os telefones iniciem e permitam conexões
TLS 1.2 usando cifras baseadas em AES-256 em conformidade com os padrões SHA-2 (Secure Hash Algorithm) e compatíveis com o
padrão FIPS (Federal Information Processing Standards). As codificações incluem:
- Para conexões TLS:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Para sRTP:
- AEAD_AES_256_GCM
- AEAD_AES_128_GCM
Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager.
|
Certificados Elliptic Curve Digital Signature Algorithm (ECDSA)
|
Como parte da certificação critérios comuns (CC), o Cisco Unified Communications Manager adicionado certificados ECDSA na
versão 11.0. Isso afeta todos os produtos de Voice Operating System (VOS) da versão de CUCM 11.5 e posterior.
|