Verificatie afbeelding
|
Ondertekende binaire bestanden (met de extensie .sbn) verhinderen dat de firmware-afbeelding wordt gewijzigd voordat deze
op een telefoon wordt geladen. Als de afbeelding wordt gewijzigd, kan het verificatieproces op de telefoon mislukken en de
nieuwe afbeelding worden geweigerd.
|
Installatie certificaat op klantlocatie
|
Elke Cisco IP-telefoon vereist een uniek certificaat voor apparaatverificatie. Telefoons bevatten een in de fabriek geïnstalleerd
certificaat (MIC), maar voor extra beveiliging kunt u in Cisco UnifiedCommunications Manager Administration opgeven dat een
certificaat wordt geïnstalleerd met Certificate Authority Proxy Function (CAPF). U kunt ook een Locally Significant Certificate
(LSC) installeren via het menu Beveiligingsconfiguratie op de telefoon.
|
Apparaatverificatie
|
Vindt plaats tussen de Cisco Unified Communications Manager-server en de telefoon wanneer elke entiteit het certificaat van
de andere entiteit accepteert. Bepaalt of een veilige verbinding tussen de telefoon en Cisco Unified Communications Manager
nodig is en maakt zo nodig een veilig signaleringspad tussen de entiteiten met TLS-protocol. Cisco Unified Communications
Manager registreert geen telefoons tenzij ze kunnen worden geverifieerd door Cisco Unified Communications Manager.
|
Bestandsverificatie
|
Valideert digitaal ondertekende bestanden die de telefoon downloadt. De telefoon valideert de handtekening zodat het bestand
na het maken niet wordt gewijzigd. Bestanden waarvan de verificatie mislukt, worden niet weggeschreven naar het Flash-geheugen
op de telefoon. De telefoon weigert zulke bestanden zonder verdere verwerking.
|
Verificatie signalering
|
Gebruikt het TLS-protocol om te valideren dat de signaleringspakketten niet zijn gewijzigd tijdens de verzending.
|
Manufacturing Installed Certificate
|
Elke Cisco IP-telefoon vereist een uniek tijdens de fabricage geïnstalleerd certificaat (Manufacturing Installed Certificate,
MIC) voor apparaatverificatie. MIC is een permanent uniek identiteitsbewijs voor de telefoon waarmee Cisco Unified Communications
Manager de telefoon kan verifiëren.
|
Veilige SRST-referentie
|
Nadat u een SRST-referentie voor beveiliging hebt geconfigureerd en de afhankelijke apparaten in Cisco Unified Communications
Manager Administration hebt gereset, voegt de TFTP-server het SRST-certificaat toe aan het cnf.xml-bestand en stuurt het bestand
naar de telefoon. Een veilige telefoon gebruikt vervolgens een TLS-verbinding voor interactie met de SRST-router.
|
Mediacodering
|
Gebruikt SRTP om te zorgen dat de mediastromen tussen ondersteunde apparaat veilig zijn dat alleen het bedoelde apparaat de
gegevens ontvangt en leest. Dit omvat het maken van een mediahoofdsleutelpaar voor de apparaten, het leveren van de sleutels
aan de apparaten en het beveiligen van de sleutels tijdens het transport.
|
CAPF (Certificate Authority Proxy Function)
|
Implementeert delen van de certificaatgeneratieprocedure met een te intensieve verwerking voor de telefoon en communiceert
met de telefoon voor het genereren van sleutels en het installeren van het certificaat. De CAPF kan worden geconfigureerd
voor het aanvragen van certificaten voor de telefoon bij door de klant opgegeven certificeringsinstanties of voor het lokaal
genereren van certificaten.
|
Beveiligingsprofielen
|
Bepaalt of de telefoon onveilig is of gecodeerd.
|
Gecodeerde configuratiebestanden
|
Garandeert de privacy van de telefoonconfiguratiebestanden.
|
Optionele uitschakeling van de webserverfunctionaliteit voor een telefoon
|
U kunt toegang verhinderen tot de telefoonwebpagina waarop allerlei operationele statistieken worden weergegeven.
|
Telefoon versterken
|
Aanvullende beveiligingsopties die u beheert via Cisco Unified Communications Manager Administration:
- Pc-poort uitschakelen
- PC spraak-VLAN-toegang uitschakelen
- Toegang tot webpagina's voor een telefoon uitschakelen
Opmerking
|
U kunt de huidige instellingen weergeven voor de opties Pc-poort uitgeschakeld, GARP ingeschakeld en Spraak-VLAN ingeschakeld
door naar het Configuratiemenu van de telefoon te gaan.
|
|
802.1X-verificatie
|
De Cisco IP-telefoon kan 802.1X-verificatie gebruiken om te verzoeken om toegang tot het netwerk.
|
AES 256-codering
|
Bij verbinding met Cisco Unified Communications Manager Release 10.5(2) en hoger ondersteunen de telefoons AES 256-codering
voor TLS en SIP voor signalering en mediacodering. Zo kunnen telefoons TLS 1.2-verbinding initiëren en ondersteunen met op
AES-256 gebaseerde cijfers conform SHA-2-standaarden (Secure Hash Algorithm) en compatibel met Federal Information Processing
Standards (FIPS). De nieuwe cijfers zijn|:
- Voor TLS-verbindingen:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Voor sRTP:
- AEAD_AES_256_GCM
- AEAD_AES_128_GCM
Voor meer informatie raadpleegt u de documentatie bij Cisco Unified Communications Manager.
|
Elliptic Curve Digital Signature Algorithm (ECDSA)-certificaten
|
Als onderdeel van het CC-certificaat (Common Criteria), zijn er in Cisco Unified Communications Manager-versie 11.0 ECDSA-certificaten
toegevoegd. Dit geldt voor alle VOS-producten (Spraakbesturingssysteem) van versie CUCM 11.5 en hoger.
|