Аутентификация образов
|
Подписанные двоичные файлы (с расширением .sbn) препятствуют взлому образа микропрограммы до его загрузки на телефон.
Взлом образа приводит к сбою процесса аутентификации и отклонению нового образа.
|
Шифрование образа
|
Зашифрованные двоичные файлы (с расширением .sebn) препятствуют взлому образа микропрограммы до его загрузки на телефон.
Взлом образа приводит к сбою процесса аутентификации и отклонению нового образа.
|
Установка сертификата сайта клиента
|
Каждый телефон Cisco IP нуждается в уникальном сертификате для аутентификации устройства. Телефоны содержат установленный
на производстве сертификат (MIC), но для дополнительной безопасности можно указать установку сертификата в средстве администрирования
Cisco Unified Communications Manager Administration с помощью прокси-сервера сертификационного центра (CAPF). Кроме того,
можно установить локально значимый сертификат (LSC) с помощью меню конфигурации безопасности на телефоне.
|
Аутентификация устройства
|
Возникает между сервером Cisco Unified Communications Manager и телефоном, если каждый объект принимает сертификат другого
объекта. Определяет, должно ли устанавливаться защищенное подключение между телефоном и Cisco Unified Communications Manager,
и, если необходимо, создается защищенный путь для сигналов между объектами с использованием протокола TLS. Cisco Unified Communications
Manager не регистрирует телефоны, если не может выполнить их аутентификацию.
|
Аутентификация файлов
|
Проверяет файлы с цифровой подписью, которые загружаются телефоном. Телефон проверяет подпись, чтобы удостовериться, что файл
не был взломан после создания. Файлы, которые не проходят аутентификацию, не записываются во Flash-память на телефоне.
Телефон отклоняет эти файлы без дальнейшей обработки.
|
Шифрование файлов
|
Шифрование предотвращает кражу конфиденциальных данных при передаче файлов на телефон. Кроме того, телефон проверяет подпись,
чтобы удостовериться, что файл не был взломан после создания. Файлы, которые не проходят аутентификацию, не записываются во
Flash-память на телефоне. Телефон отклоняет эти файлы без дальнейшей обработки.
|
Аутентификация сигналов
|
Используется протокол TLS для проверки отсутствия взлома сигнальных пакетов во время передачи.
|
Сертификат, установленный на производстве
|
Каждый телефон Cisco IP содержит уникальный установленный на производстве сертификат (MIC), которые используется для аутентификации
устройства. Сертификат MIC обеспечивает постоянную уникальную идентификацию телефона, которая позволяет Cisco Unified Communications
Manager аутентифицировать его.
|
Шифрование медиа
|
SRTP используется для обеспечения безопасности медиапотоков между поддерживаемыми устройствами, чтобы только нужное устройство
получало и считывало данные. Включает создание пары мастер-ключей мультимедиа для устройств, доставку ключей на устройства
и обеспечение безопасности доставки ключей во время их передачи.
|
CAPF (прокси-сервер сертификационного центра)
|
Реализация частей процедуры создания сертификатов, которые очень требовательны к обработке на телефоне, а также взаимодействие
с телефоном для создания ключей и установки сертификата. Прокси-сервер CAPF можно настроить для запроса сертификатов указанных
пользователем центров сертификации от имени телефона или локальной генерации сертификатов.
|
Профиль безопасности
|
Определяет, является ли телефон незащищенным, прошедшим аутентификацию, зашифрованным или защищенным. Другие записи в этой
таблице описывают функции безопасности.
|
Шифрованные файлы конфигурации
|
Позволяет обеспечить конфиденциальность файлов конфигурации телефона.
|
Необязательное отключение веб-сервера для телефона
|
В целях безопасности можно запретить доступ к веб-страницам для телефона (на которых отображается различная операционная статистика
телефона) и на портал самообслуживания.
|
Усиление защиты телефона
|
Дополнительные параметры безопасности, которыми можно управлять из средства администрирования Cisco Unified Communications
Manager Administration:
- Отключение порта ПК
- Отключение самообращенных ARP (GARP)
- Отключение доступа к голосовой VLAN с ПК
- Отключение доступа к меню настроек либо предоставление ограниченного доступа (разрешены только доступ к меню предпочтений
и сохранение изменений громкости)
- Отключение доступа к веб-страницам с телефона
- Отключение порта устройства Bluetooth
-
Ограничение шифров TLS
|
Аутентификация 802.1X
|
Телефон Cisco IP может использовать аутентификацию 802.1X для запроса и получения доступа к сети. Дополнительные сведения
см. в разделе Аутентификация 802.1X.
|
Защищенная обработка отказа SIP для SRST
|
После настройки ссылки на SRST (система повышения выживаемости телефонии для вынесенного узла) для защиты и сброса зависимых
устройств в средстве администрирования Cisco Unified Communications Manager Administration TFTP-сервер добавляет сертификат
SRST в файл cnf.xml и отправляет этот файл на телефон. Затем защищенный телефон использует подключение TLS для взаимодействия
с маршрутизатором, поддерживающим SRST.
|
Шифрование сигнального соединения
|
Обеспечивает шифрование всех сигнальных сообщений SIP, которые отправляются между устройством и сервером Cisco Unified Communications
Manager.
|
Оповещение об обновлении списка доверия
|
При обновлении списка доверия на телефоне Cisco Unified Communications Manager получает оповещение, содержащее сведения об
успешности или сбое обновления. Дополнительные сведения см. в следующей таблице.
|
Шифрование AES 256
|
При подключении к Cisco Unified Communications Manager выпуска 10.5(2) и выше телефоны поддерживают шифрование AES 256 для
TLS и SIP в целях шифрования сигналов и мультимедиа. Это позволяет телефонам инициировать и поддерживать подключения TLS 1.2
с помощью шифров на основе AES-256, которые соответствуют стандартам SHA-2 и FIPS. Шифры включают в себя:
- для подключений TLS:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
- для sRTP:
- AEAD_AES_256_GCM;
- AEAD_AES_128_GCM.
Дополнительные сведения см. в документации по Cisco Unified Communications Manager.
|
Сертификаты алгоритма цифровых подписей на основе эллиптических кривых (Elliptic Curve Digital Signature Algorithm, ECDSA)
|
В рамках сертификации Common Criteria (CC) в Cisco Unified Communications Manager добавлены сертификаты ECDSA в версии 11.0.
Это относится ко всем изделиям Voice Operating System (VOS) начиная с версии CUCM 11.5.
|