Verificatie afbeelding
|
Ondertekende binaire bestanden (met de extensie .sbn) verhinderen dat de firmware-afbeelding wordt gewijzigd voordat deze
op een telefoon wordt geladen.
Als de afbeelding wordt gewijzigd, kan het verificatieproces op de telefoon mislukken en de nieuwe afbeelding worden geweigerd.
|
Codering afbeelding
|
Gecodeerde binaire bestanden (met de extensie .sebn) verhinderen dat de firmware-afbeelding wordt gewijzigd voordat deze op
een telefoon wordt geladen.
Als de afbeelding wordt gewijzigd, kan het verificatieproces op de telefoon mislukken en de nieuwe afbeelding worden geweigerd.
|
Installatie certificaat op klantlocatie
|
Elke Cisco IP-telefoon vereist een uniek certificaat voor apparaatverificatie. Telefoons bevatten een in de fabriek geïnstalleerd
certificaat (MIC), maar voor extra beveiliging kunt u in Cisco Unified Communications Manager Administration opgeven dat een
certificaat wordt geïnstalleerd met Certificate Authority Proxy Function (CAPF). U kunt ook een Locally Significant Certificate
(LSC) installeren via het menu Beveiligingsconfiguratie op de telefoon.
|
Apparaatverificatie
|
Vindt plaats tussen de Cisco Unified Communications Manager-server en de telefoon wanneer elke entiteit het certificaat van
de andere entiteit accepteert. Bepaalt of een veilige verbinding tussen de telefoon en Cisco Unified Communications Manager
nodig is en maakt zo nodig een veilig signaleringspad tussen de entiteiten met TLS-protocol. In Cisco Unified Communications
Manager worden telefoons pas geregistreerd, als ze kunnen worden geverifieerd.
|
Bestandsverificatie
|
Valideert digitaal ondertekende bestanden die de telefoon downloadt. De telefoon valideert de handtekening zodat het bestand
na het maken niet wordt gewijzigd. Bestanden waarvan de verificatie mislukt, worden niet weggeschreven naar het Flash-geheugen
op de telefoon. De telefoon weigert zulke bestanden zonder verdere verwerking.
|
Bestandscodering
|
Codering voorkomt dat vertrouwelijke informatie wordt weergegeven, terwijl het bestand op weg naar de telefoon is. Bovendien
valideert de telefoon de handtekening zodat het bestand na het maken niet wordt gewijzigd. Bestanden waarvan de verificatie
mislukt, worden niet weggeschreven naar het Flash-geheugen op de telefoon. De telefoon weigert zulke bestanden zonder verdere
verwerking.
|
Verificatie signalering
|
Gebruikt het TLS-protocol om te valideren dat de signaleringspakketten niet zijn gewijzigd tijdens de verzending.
|
Manufacturing Installed Certificate
|
Elke Cisco IP-telefoon vereist een uniek tijdens de fabricage geïnstalleerd certificaat (Manufacturing Installed Certificate,
MIC) voor apparaatverificatie. MIC levert een permanent uniek identiteitsbewijs voor de telefoon waarmee Cisco Unified Communications
Manager de telefoon kan verifiëren.
|
Mediacodering
|
Gebruikt SRTP om te zorgen dat de mediastromen tussen ondersteunde apparaat veilig zijn dat alleen het bedoelde apparaat de
gegevens ontvangt en leest. Dit omvat het maken van een mediahoofdsleutelpaar voor de apparaten, het leveren van de sleutels
aan de apparaten en het beveiligen van de sleutels tijdens het transport.
|
CAPF (Certificate Authority Proxy Function)
|
Implementeert delen van de certificaatgeneratieprocedure met een te intensieve verwerking voor de telefoon en communiceert
met de telefoon voor het genereren van sleutels en het installeren van het certificaat. De CAPF kan worden geconfigureerd
voor het aanvragen van certificaten voor de telefoon bij door de klant opgegeven certificeringsinstanties of voor het lokaal
genereren van certificaten.
|
Beveiligingsprofiel
|
Bepaalt of de telefoon onveilig, geverifieerd, gecodeerd of beveiligd is. Andere vermeldingen in deze tabel beschrijven beveiligingsfuncties.
|
Gecodeerde configuratiebestanden
|
Garandeert de privacy van de telefoonconfiguratiebestanden.
|
Optionele webserver uitschakelen voor een telefoon
|
Omwille van de beveiliging kunt u toegang tot de webpagina's voor een telefoon (met verschillende operationele statistische
gegevens voor de telefoon) en de Self Care Portal verhinderen.
|
Telefoon versterken
|
Aanvullende beveiligingsopties die u beheert via Cisco Unified Communications Manager Administration:
- PC-poort uitschakelen
- Gratuitous ARP (GARP) uitschakelen
- PC Voice VLAN-toegang uitschakelen
- Toegang tot de menu's met instellingen uitschakelen of beperkte toegang bieden die toegang tot het menu Voorkeuren toestaat
en het opslaan van alleen volumewijzigingen
- Toegang tot webpagina's voor een telefoon uitschakelen
- Bluetooth-accessoirepoort uitschakelen
-
TLS-cijfers beperken
|
802.1X-verificatie
|
De Cisco IP-telefoon kan 802.1X-verificatie gebruiken om te verzoeken om toegang tot het netwerk. Zie 802.1X-verificatie voor meer informatie.
|
SIP-Failover voor SRST beveiligen
|
Nadat u een SRST-referentie (Survivable Remote Site Telephony) voor beveiliging hebt geconfigureerd en de afhankelijke apparaten
in Cisco Unified Communications Manager Administration hebt gereset, voegt de TFTP-server het SRST-certificaat toe aan het
cnf.xml-bestand en stuurt het bestand naar de telefoon. Een veilige telefoon gebruikt vervolgens een TLS-verbinding voor interactie
met de SRST-router.
|
Codering signalering
|
Zorgt ervoor dat alle SIP-signaleringsberichten die worden verzonden tussen het apparaat en de Cisco Unified Communications
Manager-server worden gecodeerd.
|
Waarschuwing bijwerken vertrouwde lijst
|
Wanneer de vertrouwde lijst op de telefoon wordt gewijzigd, ontvangt de Cisco Unified Communications Manager een waarschuwing
om aan te geven of het bijwerken al dan niet is gelukt. Raadpleeg de volgende tabel voor meer informatie.
|
AES 256-codering
|
Bij verbinding met Cisco Unified Communications Manager Release 10.5(2) en hoger ondersteunen de telefoons AES 256-codering
voor TLS en SIP voor signalering en mediacodering. Zo kunnen telefoons TLS 1.2-verbinding initiëren en ondersteunen met op
AES-256 gebaseerde cijfers conform SHA-2-standaarden (Secure Hash Algorithm) en compatibel met Federal Information Processing
Standards (FIPS). De cijfers omvatten:
- Voor TLS-verbindingen:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Voor sRTP:
- AEAD_AES_256_GCM
- AEAD_AES_128_GCM
Voor meer informatie raadpleegt u de documentatie bij Cisco Unified Communications Manager.
|
Elliptic Curve Digital Signature Algorithm (ECDSA)-certificaten
|
Als onderdeel van het CC-certificaat (Common Criteria), zijn er in Cisco Unified Communications Manager-versie 11.0 ECDSA-certificaten
toegevoegd. Dit geldt voor alle VOS-producten (Spraakbesturingssysteem) van versie CUCM 11.5 en hoger.
|