Cisco IP 电话安全性

Cisco IP 电话安全性概述

安全功能可防范多种威胁,包括对电话身份或数据的威胁。 这些功能会建立和维持电话与 Cisco Unified Communications Manager 服务器之间经验证的通讯流,并确保电话只使用数字签名的文件。

默认情况下,Cisco Unified Communications Manager 8.5(1) 版及更高版本包括安全性,这可为 Cisco IP 电话提供以下安全功能(无需运行 CTL 客户端):

  • 电话配置文件签名

  • 电话配置文件加密

  • Tomcat 和其他 Web 服务的 HTTPS


安全信令和媒体功能仍需您运行 CTL 客户端和使用硬件电子令牌。

有关安全功能的详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

本地有效证书 (LSC) 会在您执行与证书权限代理功能 (CAPF) 关联的必要任务后安装在电话上。 您可使用 Cisco Unified Communications Manager Administration 来配置 LSC。 有关详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

LSC 无法用作使用 WLAN 验证的 EAP-TLS 的用户证书。

或者,您可在电话上从“安全设置”菜单启动 LSC 的安装。 此菜单还可用于更新或移除 LSC。

Cisco 7800 系列 IP 电话符合联邦信息处理标准 (FIPS) 的规定。 在 FIPS 模式下,需要使用 2048 位或更高的 RSA 密钥,电话才可以正常工作。 如果 RSA 服务器证书大小未达到 2048 位或更高,则电话将无法在 Cisco Unified Communications Manager 上注册,并且电话的状态消息中会显示电话注册失败。 在电话上显示的证书密钥大小不符合 FIPS 标准。

您无法在 FIPS 模式下使用私钥(LSC 或 MIC)。

如果电话的现有 LSC 低于 2048 位,您需要更新 LSC 密钥大小为 2048 位或更高,方可启用 FIPS。

电话网络安全增强功能

您可以启用 Cisco Unified Communications Manager 11.5(1) 和 12.0(1) 以在增强的安全环境下运行。这些增强功能可以使您的电话网络在严格的安全和风险管理控制下运行,以保障您和用户的安全。

Cisco Unified Communications Manager 12.5(1) 不支持增强的安全环境。在升级到 Cisco Unified Communications Manager 12.5(1) 之前禁用 FIPS,否则您的 TFTP 和其他服务将无法正常工作。

增强的安全环境包括以下功能:

  • 联系人搜索身份验证。

  • 使用 TCP 作为远程审计日志记录的默认协议。

  • FIPS 模式。

  • 经过改进的凭证策略。

  • 支持数字签名使用 SHA-2 系列哈希值。

  • 支持 512 和 4096 位的 RSA 密钥大小。

使用 Cisco Unified Communications Manager 版本 14.0 以及 Cisco IP 电话固件版本 14.0 和更高版本时,电话支持 SIP OAuth 验证。

具有 Cisco Unified Communications Manager 14.0(1)SU1 或更高版本以及 Cisco 14.1(1) 版 IP 电话固件的代理简单文件传输协议 (TFTP) 支持 OAuth。Mobile Remote Access (MRA) 不支持代理 TFTP 以及适用于代理 TFTP 的 OAuth。

有关安全的其他信息,请参阅以下文档:
Cisco IP 电话只能存储有限数量的身份信任列表 (ITL) 文件。ITL 文件在电话上不能超出 64K 限制,因此应限制 Cisco Unified Communications Manager 发送到电话的文件数。

查看电话上当前使用的安全功能

如需了解关于安全功能、Cisco Unifie Communications Manager 和 Cisco IP 电话安全性的更多信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

过程

步骤 1

应用程序

步骤 2

选择管理设置 > 安全设置

只有在电话上安装了证书信任列表 (CTL),才可以使用大多数安全功能。

查看安全性配置文件

所有支持 Cisco Unified Communications Manager 的 Cisco IP 电话使用安全性配置文件,该配置文件定义电话是否不安全、已验证或加密。 有关配置安全性配置文件和将配置文件应用到电话的信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

过程

步骤 1

在 Cisco Unified Communications Manager Administration 中,选择系统 > 安全性 > 电话安全性配置文件

步骤 2

查看安全模式设置。

支持的安全功能

下表列出了 Cisco 7800 系列 IP 电话支持的安全功能。 如需了解关于这些功能、Cisco Unified Communications Manager 和 Cisco IP 电话安全性的更多信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

表 1. 安全功能概述

功能

说明

图像验证

签名的二进制文件(带扩展名 .sbn)可以防止固件映像在加载到电话上之前被篡改。 篡改映像会导致电话验证过程失败并拒绝新的映像。

客户现场证书的安装

每部 Cisco IP 电话都需要具有唯一的证书才能进行设备验证。 电话包含厂商预装证书 (MIC),但为了提高安全性,您可以在 Cisco Unified Communications Manager Administration 中指定使用证书权限代理功能 (CAPF) 安装证书。 您也可以从电话的“安全配置”菜单中安装本地有效证书 (LSC)。

设备验证

当每个实体都接受了其他实体的证书时,在 Cisco Unified Communications Manager 服务器和电话之间进行。 确定电话和 Cisco Unified Communications Manager 之间是否进行了安全的连接;如有必要,请使用 TLS 协议在实体之间创建一个安全信令路径。 除非电话通过了 Cisco Unified Communications Manager 的验证,否则 Cisco Unified Communications Manager 不会注册电话。

文件身份验证

验证电话下载的数字签名文件。 电话验证该签名以确保文件在创建之后未经篡改。 验证失败的文件不会写入电话的闪存。 电话会拒绝此类文件,并且不会再进行进一步的处理。

信令验证

使用 TLS 协议验证传输期间信令信息包未发生篡改。

厂商预装证书

每部 Cisco IP 电话都包含唯一的厂商预装证书 (MIC) 用于进行设备验证。 MIC 是电话永久且唯一的身份证明,它允许 Cisco Unified Communications Manager 对电话进行验证。

安全的 SRST 参考

当您配置用于保证安全性的 SRST 参考并在 Cisco Unified Communications Manager Administration 中重置相关设备后,TFTP 服务器会在电话 cnf.xml 文件中添加 SRST 证书,然后将该文件发送至电话。 然后,安全电话使用 TLS 连接与启用了 SRST 的路由器交互。

媒体加密

使用 SRTP 确保支持的设备之间的媒体流以证明安全性,并且只有预期设备会收到并读取数据。 包括为设备创建媒体主密钥对、交付密钥给设备以及传输密钥期间确保安全交付密钥。

CAPF(证书权限代理功能)

实施对于电话而言处理太密集的证书生成程序,并与电话交互以生成密钥和安装证书。 可以将 CAPF 配置为代表电话向客户指定的证书颁发机构要求证书,或将其配置为本地生成证书。

安全性配置文件

定义电话是不安全的还是加密的。

加密配置文件

让您确保电话配置文件的隐私性。

可以选择禁用电话的 Web 服务器功能

您可以阻止访问电话网页,该网页上显示电话的各种运行统计信息。

电话强化

额外的安全性选项,您可以从 Cisco Unified Communications Manager Administration 控制这些选项:

  • 禁用 PC 端口
  • 禁用 PC 语音 VLAN 接入
  • 禁止访问电话网页

 

进入电话“配置”菜单,查看“PC 端口已禁用”、“GARP 已启用”和“语音 VLAN 已启用”选项的当前设置。

802.1x 验证

Cisco IP 电话可以使用 802.1X 验证要求并获取网络访问权限。

AES 256 加密

连接至 Cisco Unified Communications Manager 版本 10.5(2) 及更高版本时,电话支持用于 TLS 的 AES 256 加密支持以及用于信令和媒体加密的 SIP。 这样,电话就可以使用符合 SHA-2(安全的哈希算法)标准以及联邦信息处理标准 (FIPS) 的基于 AES-256 的密码,发起并支持 TLS 1.2 连接。 新密码为:

  • 对于 TLS 连接:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 对于 sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

有关详细信息,请参阅 Cisco Unified Communications Manager 文档。

椭圆曲线数字签名算法 (ECDSA) 证书

作为通用标准 (CC) 认证的一部分,Cisco Unified Communications Manager 在版本 11.0 中增加了 ECDSA 证书。 这将影响 CUCM 11.5 及更高版本的所有语音操作系统 (VOS) 产品。

设置本地有效证书

此任务适用于使用验证字串方法设置 LSC。

开始之前

确保相应的 Cisco Unified Communications Manager 和证书权限代理功能 (CAPF) 安全性配置都已完成:

  • CTL 或 ITL 文件具有 CAPF 证书。

  • 在 Cisco Unified Communications 操作系统管理中,确认已安装 CAPF 证书。

  • CAPF 正在运行且已配置。

有关这些设置的详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

过程

步骤 1

获取在配置 CAPF 时设置的 CAPF 验证代码。

步骤 2

在电话上,按应用程序

步骤 3

选择管理设置 > 安全设置

 

您可通过使用 Cisco Unified Communications Manager Administration“电话配置”窗口中的“设置访问权限”字段,控制对“设置”菜单的访问权限。

步骤 4

选择 LSC 并按选择更新

电话会提示输入验证字符串。

步骤 5

输入验证代码并按提交

电话会开始安装、更新或移除 LSC,具体取决于配置 CAPF 的方式。 在此程序期间,“安全性配置”菜单中的 LSC 选项字段中会出现一系列消息,因此您可监视进度。 当此程序完成后,电话上会显示“已安装”或“未安装”。

LSC 安装、更新或移除过程需要较长时间才能完成。

如果电话安装过程成功,则会显示已安装的消息。 如果电话显示未安装,则可能是授权字符串不正确,也可能是电话升级未启用。 如果 CAPF 操作删除了 LSC,电话会显示未安装来标识该操作已成功。 CAPF 服务器会记录错误消息。 请参阅 CAPF 服务器文档,以查找日志并理解错误消息的含义。

启用 FIPS 模式

过程

步骤 1

在 Cisco Unified Communications Manager Administration 中,依次选择设备 > 电话,然后找到相应电话。

步骤 2

导航至“产品特定配置”区域。

步骤 3

FIPS 模式字段设置为启用。

步骤 4

选择应用配置

步骤 5

选择保存

步骤 6

重新启动电话。

电话呼叫安全性

当为电话实施安全性时,可通过电话屏幕上的图标来识别安全电话呼叫。 如果在呼叫开始时播放安全音,则也可确定连接的电话是否安全并获得保护。

在安全呼叫中,所有呼叫信令和媒体流都会加密。 安全呼叫提供高级安全性,确保呼叫的完整性和私密性。 如果进行中呼叫已加密,则电话屏幕中的呼叫持续时间计时器右侧的呼叫进度图标会变为以下图标:

如果呼叫通过非 IP 呼叫分支(例如 PSTN)路由,则呼叫可能不安全,即使其已在 IP 网络内加密并且具有与之关联的锁定图标也不例外。

在安全的呼叫中,呼叫开始时会播放安全音,表示其他连接的电话也会接收和传输安全音。 如果您的呼叫连接到不安全的电话,则不会播放安全音。


支持两个电话之间的安全呼叫。 可通过安全会议桥配置安全会议、Cisco 分机移动和共享线路。

电话在 Cisco Unified Communications Manager 中配置为安全(加密和信任)时,可以指定为“受保护”状态。 然后,如需要,受保护电话可以配置为在呼叫的开头播放提示音:

  • 受保护设备:要将安全电话的状态更改为受保护,请在 Cisco Unified Communications Manager 管理(设备 > 电话)中的“电话配置”窗口中选中“受保护设备”复选框。

  • 播放安全提示音:要使受保护电话播放安全或不安全提示音,请将“播放安全提示音”设置设为“真”。 默认情况下,“播放安全提示音”设置为“假”。 您可在 Cisco Unified Communications Manager 管理中设置此选项(系统 > 服务参数)。 选择此服务器,然后选择 Unified Communications Manager 服务。 在“服务参数配置”窗口中,选择“功能 - 安全音”区域中的选项。 默认值为“假”。

安全会议呼叫标识

您可启动安全电话会议并监控参加者的安全性级别。 使用此过程建立安全电话会议:

  1. 用户从安全电话启动会议。

  2. Cisco Unified Communications Manager 将安全会议桥分配给呼叫。

  3. 在添加参加者后,Cisco Unified Communications Manager 会验证每个电话的安全模式,并为会议维持安全级别。

  4. 电话会显示电话会议的安全性级别。 安全会议会在电话屏幕上的会议右侧显示安全图标


支持两个电话之间的安全呼叫。 对于受保护的电话,在配置安全呼叫后,部分功能(例如电话会议、共享线路和分机移动)将不可用。

下表提供有关根据发起者电话安全性级别、参加者的安全性级别以及安全会议桥的可用性更改会议安全性级别的信息。

表 2. 电话会议的安全性限制

发起者电话安全性级别

使用的功能

参与者的安全性级别

行动结果

不安全

会议

安全

不安全的会议桥

不安全的会议

安全

会议

至少一个成员不安全。

安全会议桥

不安全的会议

安全

会议

安全

安全会议桥

安全加密级别的会议

不安全

Meet Me

最低安全性级别已加密。

发起者接收消息“不满足安全级别,呼叫受拒”。

安全

Meet Me

最低安全性级别为不安全。

安全会议桥

会议接受所有呼叫。

安全电话呼叫标识

当您的电话与另一端的电话已配置为安全呼叫时,才可建立安全呼叫。 另一个电话可以位于相同的 Cisco IP 网络中或位于 IP 网络以外的网络。 安全呼叫只可以在两个电话之间进行。 在建立会议桥后,电话会议应支持安全呼叫。

遵照以下过程建立安全呼叫:

  1. 用户从安全电话(受保护的安全模式)启动呼叫。

  2. 电话会在电话屏幕上显示安全图标 。 此图标表示电话已配置为安全呼叫,但这不表示其他连接的电话也会受保护。

  3. 如果呼叫连接至另一个安全电话,用户会听到一声安全音,表示对话两端已加密并受保护。 如果呼叫连接至不安全的电话,用户不会听到安全音。


支持两个电话之间的安全呼叫。 对于受保护的电话,在配置安全呼叫后,部分功能(例如电话会议、共享线路和分机移动)将不可用。

只有受保护的电话才会播放这些安全或不安全的提示音。 不受保护的电话从不会播放提示音。 如果在呼叫过程中整个呼叫状态发生了变化,则提示音会改变并且受保护的电话会播放相应的提示音。

在以下情况下,受保护电话会播放提示音,但也可能不会播放:

  • 当“播放安全提示音”选项启用后:

    • 建立端到端安全媒体并且呼叫状态为安全时,电话会播放安全提示音(三声较长的哔声,中间停顿)。

    • 建立端到端非安全媒体并且呼叫状态为不安全时,电话将播放不安全提示音(六声短哔声并简短暂停)。

如果“播放安全提示音”选项禁用,不会播放任何提示音。

802.1x 验证

Cisco IP 电话支持 802.1X 验证。

Cisco IP 电话和 Cisco Catalyst 交换机过去使用 Cisco Discovery Protocol (CDP) 来识别彼此并确定 VLAN 分配和线内电源要求等参数。CDP 不识别本地连接的工作站。Cisco IP 电话提供 EAPOL 传递机制。利用此机制,连接至 Cisco IP 电话的工作站会将 EAPOL 消息传递给 LAN 交换机处的 802.1X 验证器。该传递机制可确保,在访问网络前 IP 电话不会充当 LAN 交换机来验证数据终端。

Cisco IP 电话还提供代理 EAPOL 注销机制。如果本地连接的 PC 与 IP 电话断开,LAN 交换机看不到物理链路失效,因为保持了 LAN 交换机与 IP 电话之间的链路。为了避免损害网络完整性,IP 电话会代表下游 PC 向交换机发送一则 EAPOL 注销的消息,这会触发 LAN 交换机清除下游 PC 的验证条目。

对 802.1X 验证的支持需要多个组件:

  • Cisco IP 电话:电话会发起访问网络的请求。电话包含 802.1X 请求方。网络管理员可以通过此请求方控制 IP 电话至 LAN 交换机端口的连接。电话 802.1X 请求方的最新版本使用 EAP-FAST 和 EAP-TLS 选项进行网络验证。

  • Cisco Catalyst 交换机(或其他第三方交换机):交换机必须支持 802.1X,因此可以充当验证器,并在电话和验证服务器之间传递消息。在交换完成后,交换机会授予或拒绝电话访问网络的权限。

您必须执行以下操作来配置 802.1X。

  • 在电话上启用 802.1X 验证前配置其他组件。

  • 配置 PC 端口 — 802.1X 标准不会考虑 VLAN,因此建议只验证连接至特定交换机端口的单个设备。但是,某些交换机(包括 Cisco Catalyst 交换机)支持多域验证。交换机配置决定是否可以将 PC 连接至电话的 PC 端口。

    • 启用 — 如果您使用的是支持多域验证的交换机,可以启用 PC 端口并将 PC 连接至该端口。在此情况下,Cisco IP 电话支持代理 EAPOL 注销,来监控交换机与所连 PC 之间的验证交换。有关 Cisco Catalyst 交换机上支持 IEEE 802.1X 的详细信息,请参阅位于以下网址的 Cisco Catalyst 交换机配置指南:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 禁用 — 如果交换机不支持同一端口上的多个符合 802.1X 的设备,应在启用 802.1X 验证后禁用 PC 端口。如果不禁用此端口,后来又尝试将 PC 连接至该端口,交换机会拒绝对电话和 PC 的网络访问。

  • 配置语音 VLAN — 由于 802.1X 标准不考虑 VLAN,应根据交换机支持来配置此设置。

    • 启用 — 如果您使用的是支持多域验证的交换机,可以继续使用语音 VLAN。

    • 禁用 — 如果交换机不支持多域验证,则禁用语音 VLAN 并考虑将此端口分配给本机 VLAN。