- الرئيسية
- /
- المقال
شكرًا على ملاحظاتك.
أمان هاتف Cisco IP
في هذه المقالة
هل لديك ملاحظات؟مقالة التعليمات هذه مخصصة لسلسلة هواتف Cisco Desk Phone 9800 وهاتف Cisco Video Phone 8875 المسجل في Cisco BroadWorks.
تثبيت شهادة الجهاز المخصصة يدويًا
يمكنك تثبيت شهادة جهاز مخصص (CDC) يدويًا على الهاتف عن طريق تحميل الشهادة من صفحة ويب إدارة الهاتف.
قبل البدء
قبل تثبيت شهادة جهاز مخصصة لهاتف، يجب أن يكون لديك:
- تم حفظ ملف شهادة (.p12 أو .pfx) على جهاز الكمبيوتر الخاص بك. يحتوي الملف على الشهادة والمفتاح الخاص.
- استخرج كلمة المرور من الشهادة. تُستخدم كلمة المرور لفك تشفير ملف الشهادة.
| 1 |
يمكنك الوصول إلى صفحة ويب إدارة الهاتف. |
| 2 |
حدد شهادة. |
| 3 |
في قسم إضافة شهادة، انقر على استعراض.... |
| 4 |
قم بالاستعراض للشهادة الموجودة على جهاز الكمبيوتر الخاص بك. |
| 5 |
في حقل استخراج كلمة المرور، أدخل كلمة مرور استخراج الشهادة. |
| 6 |
انقر على تحميل. إذا كان ملف الشهادة وكلمة المرور صحيحين، فستتلقى الرسالة "تمت إضافة الشهادة.". بخلاف ذلك، يفشل التحميل مع وجود رسالة خطأ تشير إلى أنه لا يمكن تحميل الشهادة.
|
| 7 |
للاطلاع على تفاصيل الشهادة التي تم تثبيتها، انقر على عرض في قسم الشهادات الموجودة. |
| 8 |
لإزالة الشهادة المثبتة من الهاتف، انقر على حذف في قسم الشهادات الموجودة. بمجرد النقر فوق الزر، تبدأ عملية الإزالة على الفور دون تأكيد.
إذا تمت إزالة الشهادة بنجاح، فستتلقى الرسالة "تم حذف الشهادة.". |
تثبيت شهادة الجهاز المخصصة تلقائيًا بواسطة SCEP
يمكنك إعداد معلمات بروتوكول تسجيل الشهادات البسيطة (SCEP) لتثبيت شهادة الجهاز المخصص (CDC) تلقائيًا، إذا كنت لا تريد تحميل ملف الشهادة يدويًا أو ليس لديك ملف الشهادة في المكان.
عندما يتم تكوين معلمات SCEP بشكل صحيح، يرسل الهاتف الطلبات إلى خادم SCEP، ويتم التحقق من صحة شهادة CA بواسطة الجهاز باستخدام بصمة الإصبع المحددة.
قبل البدء
قبل أن تتمكن من إجراء التثبيت التلقائي لشهادة جهاز مخصصة لهاتف، يجب أن يكون لديك:
- عنوان خادم SCEP
- بصمة الإصبع SHA-1 أو SHA-256 لشهادة CA الجذر لخادم SCEP
| 1 |
يمكنك الوصول إلى صفحة ويب إدارة الهاتف. |
| 2 |
حدد شهادة. |
| 3 |
في قسم تكوين SCEP 1، قم بتعيين المعلمات كما هو موضح في الجدول التالي معلمات تكوين SCEP. |
| 4 |
انقر على إرسال كل التغييرات. |
معلمات تكوين SCEP
يحدد الجدول التالي وظيفة واستخدام معلمات تكوين SCEP في قسم تكوين SCEP 1 ضمن علامة التبويب الشهادة في واجهة ويب الهاتف. كما أنه يحدد بنية السلسلة التي تمت إضافتها في ملف تكوين الهاتف (cfg.xml) لتكوين معلمة.
| المعلمة | الوصف |
|---|---|
| خادم |
عنوان خادم SCEP. هذه المعلمة إلزامية. قم بتنفيذ أحد الإجراءات التالية:
القيم الصالحة: عنوان URL أو عنوان IP. مخطط HTTPS غير مدعوم. الإعداد الافتراضي: فارغ |
| بصمة الإصبع للمرجع المصدق (CA) الجذر |
بصمة الأصابع SHA256 أو SHA1 الخاصة بـ Root CA للتحقق من صحتها أثناء عملية SCEP. هذه المعلمة إلزامية. قم بتنفيذ أحد الإجراءات التالية:
الإعداد الافتراضي: فارغ |
| تحدي كلمة المرور |
كلمة مرور التحدي لتفويض جهة منح الشهادات (CA) مقابل الهاتف أثناء تسجيل الشهادة عبر SCEP. هذه المعلمة اختيارية. وفقًا لبيئة SCEP الفعلية، يختلف سلوك كلمة المرور الخاصة بالتحدي.
قم بتنفيذ أحد الإجراءات التالية:
الإعداد الافتراضي: فارغ |
تكوين معلمات SCEP عبر خيار DHCP 43
بالإضافة إلى تسجيل شهادة SCEP بواسطة التكوينات اليدوية على صفحة ويب الهاتف، يمكنك أيضًا استخدام خيار DHCP 43 لملء المعلمات من خادم DHCP. تم تكوين خيار DHCP 43 مسبقًا باستخدام معلمات SCEP، وبعد ذلك يمكن للهاتف إحضار المعلمات من خادم DHCP لإجراء تسجيل شهادة SCEP.
- تكوين معلمات SCEP عبر خيار DHCP 43 متاح فقط للهاتف حيث يتم إجراء إعادة تعيين المصنع.
- لا يتم وضع الهواتف في الشبكة التي تدعم كلا من الخيار 43 والتوفير عن بُعد (على سبيل المثال، الخيارات 66,160,159,150 أو التوفير السحابي). وبخلاف ذلك، قد لا تحصل الهواتف على تكوينات الخيار 43.
لتسجيل شهادة SCEP عن طريق تكوين معلمات SCEP في خيار DHCP رقم 43، قم بما يلي:
- قم بإعداد بيئة SCEP.
للحصول على معلومات حول إعداد بيئة SCEP، راجع وثائق خادم SCEP.
- قم بإعداد خيار DHCP 43 (المحدد في المعلومات الخاصة بالمورد 8.4، RFC 2132).
يتم حجز الخيارات الفرعية (10-15) للطريقة:
المعلمة على صفحة ويب الهاتف خيار فرعي النوع الطول (بايت) إلزامي وضع FIPS 10 منطقي 1 لا* خادم 11 سلسلة 208 - الطول (كلمة المرور الخاصة بالتحدي) نعم بصمة الإصبع للمرجع المصدق (CA) الجذر 12 ثنائي 20 أو 32 نعم تحدي كلمة المرور 13 سلسلة 208 - الطول (الخادم) لا* تمكين مصادقة 802.1X 14 منطقي 1 لا تحديد شهادة 15 8 بت غير موقعة 1 لا عند استخدام خيار DHCP رقم 43، لاحظ الخصائص التالية للطريقة:
- يتم حجز الخيارات الفرعية (10-15) لشهادة الجهاز المخصص (CDC).
- الحد الأقصى لطول خيار DHCP رقم 43 هو 255 بايت.
- يجب أن يقل الحد الأقصى لطول الخادم + كلمة مرور التحدي عن 208 بايت.
- تكون قيمة وضع FIPS متسقة مع تكوين توفير الضم. وبخلاف ذلك، يفشل الهاتف في استرداد الشهادة المثبتة مسبقًا بعد التضمين. على وجه التحديد،
- إذا تم تسجيل الهاتف في بيئة يتم فيها تعطيل وضع FIPS، فلن تحتاج إلى تكوين المعلمة وضع FIPS في خيار DHCP رقم 43. يتم تعطيل وضع FIPS بشكل افتراضي.
- إذا تم تسجيل الهاتف في بيئة تم تمكين وضع FIPS بها، فيجب عليك تمكين وضع FIPS في خيار DHCP رقم 43. ارجع إلى تمكين وضع FIPS لمعرفة التفاصيل.
- كلمة المرور الموجودة في الخيار 43 موجودة في النص cleartext.
إذا كانت كلمة مرور التحدي فارغة، يستخدم الهاتف MIC/SUDI للتسجيل الأولي وتجديد الشهادة. إذا تم تكوين كلمة مرور التحدي، يتم استخدامها للتسجيل الأولي فقط، وسيتم استخدام الشهادة المثبتة لتجديد الشهادة.
- يتم استخدام تمكين مصادقة 802.1X وتحديد الشهادة فقط للهواتف الموجودة في الشبكة السلكية.
- يتم استخدام خيار DHCP رقم 60 (معرف فئة المورد) لتحديد طراز الجهاز.
يعرض الجدول التالي مثالاً على خيار DHCP رقم 43 (الخيارات الفرعية 10-15):
خيار فرعي عشري/سداسي عشري طول القيمة (بايت) عشري/سداسي عشري القيمة قيمة سداسية عشرية 10/0a 1/01 1 (0: معطل؛ 1: ممكَّن) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0ج 20/14 12040870625c5b755d73f5925285f8f5ff5d55af 12040870625c5b755d73f5925285f8f5ff5d55af 13/0D 16/10 d233ccf9b9952a15 44323333434346394239393532413135 14/0 ه 1/01 1 (0: رقم؛ 1: نعم* 01 15/0f 1/01 1 (0: التصنيع المثبتة؛ 1: تم التثبيت المخصص) 01 ملخص قيم المعلمات:
-
وضع FIPS = ممكَّن
-
الخادم =
http://10.79.57.91 -
بصمة الأصابع الجذر CA =
12040870625C5B755D73F5925285F8F5FF5D55AF -
كلمة مرور التحدي = D233CCF9B9952A15
-
تمكين مصادقة 802.1X = نعم
-
تحديد الشهادة = المثبت المخصص
بنية القيمة السداسية النهائية هي:
{<suboption><length><value>}...وفقًا لقيم المعلمات أعلاه، تكون القيمة السداسية العشرية النهائية كما يلي:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - قم بتكوين خيار DHCP 43 على خادم DHCP.توفر هذه الخطوة مثالاً على تكوينات خيار DHCP رقم 43 على سجل شبكة Cisco.
- تم تعيين تعريف خيار إضافة DHCP.
سلسلة خيار المورّد هي اسم طراز هواتف IP. القيمة الصالحة هي: DP-9841 أو DP-9851 أو DP-9861 أو DP-9871 أو CP-8875.
- أضف خيار DHCP 43 والخيارات الفرعية إلى مجموعة تعريف خيار DHCP.
مثال:
- أضف الخيارات 43 إلى سياسة DHCP وقم بإعداد القيمة على النحو التالي:
مثال:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - تحقق من الإعدادات. يمكنك استخدام Wireshark لالتقاط أثر لحركة مرور الشبكة بين الهاتف والخدمة.
- تم تعيين تعريف خيار إضافة DHCP.
- قم بإجراء إعادة تعيين إعدادات المصنع للهاتف.
بعد إعادة تعيين الهاتف، سيتم ملء المعلمات الخادم، وبصمة إصبع مرجع مصدق الجذر، وكلمة مرور التحدي تلقائيًا. توجد هذه المعلمات في القسم تكوين SCEP 1 من في صفحة ويب إدارة الهاتف.
للاطلاع على تفاصيل الشهادة التي تم تثبيتها، انقر على عرض في قسم الشهادات الموجودة.
للتحقق من حالة تثبيت الشهادة، حدد . تعرض حالة التنزيل 1 أحدث نتيجة. في حالة حدوث أي مشكلة أثناء تسجيل الشهادة، يمكن أن تعرض حالة التنزيل سبب المشكلة لأغراض استكشاف الأخطاء وإصلاحها.
إذا فشلت مصادقة كلمة المرور الخاصة بالتحدي، فسيُطلب من المستخدمين إدخال كلمة المرور على شاشة الهاتف. - (اختياري): لإزالة الشهادة المثبتة من الهاتف، انقر على حذف في قسم الشهادات الموجودة.بمجرد النقر فوق الزر، تبدأ عملية الإزالة على الفور دون تأكيد.
تجديد الشهادة بواسطة SCEP
يمكن تحديث شهادة الجهاز تلقائيًا من خلال عملية SCEP.
- يتحقق الهاتف مما إذا كانت الشهادة ستنتهي صلاحيتها خلال 15 يومًا كل 4 ساعات. إذا كان الأمر كذلك، فسيبدأ الهاتف عملية تجديد الشهادة تلقائيًا.
- إذا كانت كلمة مرور التحدي فارغة، يستخدم الهاتف MIC/SUDI لكل من التسجيل الأولي وتجديد الشهادة. إذا تم تكوين كلمة مرور التحدي، فسيتم استخدامها للتسجيل الأولي فقط، ويتم استخدام الشهادة الحالية/المثبتة لتجديد الشهادة.
- لا يقوم الهاتف بإزالة شهادة الجهاز القديمة حتى يسترد الشهادة الجديدة.
- إذا فشل تجديد الشهادة بسبب انتهاء صلاحية شهادة الجهاز أو مرجع مصدق (CA)، يقوم الهاتف بتشغيل التسجيل الأولي تلقائيًا. في هذه الأثناء، إذا فشلت مصادقة كلمة المرور الخاصة بالتحدي، تظهر شاشة إدخال كلمة المرور المنبثقة على شاشة الهاتف، وتتم مطالبة المستخدمين بإدخال كلمة المرور الخاصة بالتحدي على الهاتف.
تمكين وضع FIPS
يمكنك جعل تطبيق "المعايير الفيدرالية لمعالجة المعلومات" (FIPS) على الهاتف متوافق.
FIPS هي مجموعة من المعايير التي تصف معالجة المستندات وخوارزميات التشفير وغيرها من معايير تكنولوجيا المعلومات للاستخدام داخل الحكومة غير العسكرية ومن قبل المقاولين الحكوميين والبائعين الذين يعملون مع الوكالات. CiscoSSL FOM (FIPS Object Module) هي مكون برامج محدد بعناية ومصمم للتوافق مع مكتبة CiscoSSL، لذلك يمكن تحويل المنتجات التي تستخدم مكتبة CiscoSSL وواجهة برمجة التطبيقات إلى استخدام تشفير FIPS 140-2 مع أقل جهد.
| 1 |
يمكنك الوصول إلى صفحة ويب إدارة الهاتف. |
| 2 |
حدد . |
| 3 |
في قسم إعدادات الأمان، اختر نعم أو لا من معلمة وضع FIPS. |
| 4 |
انقر على إرسال كل التغييرات. عند تمكين FIPS، تعمل الميزات التالية بسلاسة على الهاتف:
|
إزالة شهادة أمان يدويًا
يمكنك إزالة شهادة أمان يدويًا من هاتف في حالة عدم توفر بروتوكول تسجيل الشهادات البسيطة (SCEP).
| 1 |
من صفحة ويب إدارة الهاتف، حدد الشهادات. |
| 2 |
حدد موقع الشهادة في صفحة الشهادات. |
| 3 |
انقر على حذف. |
| 4 |
أعد تشغيل الهاتف بعد اكتمال عملية الحذف. |
تعيين كلمة مرور المستخدم والمسؤول
بعد تسجيل الهاتف في نظام التحكم في المكالمات في المرة الأولى أو بعد إجراء إعادة ضبط المصنع على الهاتف، يجب تعيين كلمة مرور المستخدم وكلمة مرور المسؤول لتحسين أمان الهاتف. عند تعيين كلمة المرور فقط، يمكنك إرسال التغييرات من صفحة ويب الهاتف.
بشكل افتراضي، لا يتم تمكين أي تحذير بكلمة مرور على الهاتف. عندما لا يحتوي الهاتف على أي كلمة مرور للمستخدم أو المسؤول، يتم عرض التحذيرات التالية:
- تعرض صفحة ويب الهاتف "لم يتم توفير كلمة مرور المسؤول. الويب في وضع القراءة فقط، ولا يمكنك إرسال التغييرات. الرجاء تغيير كلمة المرور." في الزاوية العلوية اليسرى.
يعرض الحقلان كلمة مرور المستخدم وكلمة مرور المسؤول التحذير "لم يتم توفير كلمة مرور" على التوالي إذا كانت فارغة.
- تعرض شاشة الهاتف المشاكل والتشخيصات مشكلة "لم يتم تقديم كلمة مرور".
| 1 |
يمكنك الوصول إلى صفحة ويب إدارة الهاتف |
| 2 |
حدد . |
| 3 |
(اختياري) في قسم تكوين النظام، قم بتعيين معلمة عرض تحذيرات كلمة المرور على نعم، ثم انقر على إرسال كل التغييرات. يمكنك أيضًا تمكين المعلمات في ملف تكوين الهاتف (cfg.xml).
الإعداد الافتراضي: نعم الخيارات: نعم | لا عند تعيين المعلمة على لا، لا يظهر تحذير كلمة المرور إما على صفحة الويب أو على شاشة الهاتف. أيضًا، لن يتم تنشيط الوضع جاهز فقط لصفحة الويب على الرغم من أن كلمة المرور فارغة. |
| 4 |
حدد موقع المعلمة كلمة مرور المستخدم أو كلمة مرور المسؤول، وانقر على تغيير كلمة المرور بجوار المعلمة. |
| 5 |
أدخِل كلمة مرور المستخدم الحالية في حقل كلمة المرور القديمة. إذا لم تكن لديك كلمة مرور، فاترك الحقل فارغًا. القيمة الافتراضية فارغة.
|
| 6 |
أدخِل كلمة مرور جديدة في حقل كلمة مرور جديدة. |
| 7 |
انقر على إرسال. تم تغيير كلمة المرور بنجاح. ستظهر في صفحة الويب. سيتم تحديث صفحة الويب خلال عدة ثوانٍ. سيختفي التحذير الموجود بجوار المعلمة. بعد تعيين كلمة مرور المستخدم، تعرض هذه المعلمة ما يلي في ملف XML لتكوين الهاتف (cfg.xml):
إذا تلقيت رمز الخطأ 403 عند محاولة الوصول إلى صفحة ويب الهاتف، فيجب عليك تعيين كلمة مرور المستخدم أو المسؤول عن طريق توفيرها في ملف تكوين الهاتف (cfg.xml). على سبيل المثال، أدخل سلسلة بهذا التنسيق:
|
مصادقة 802.1X
تدعم هواتف Cisco IP مصادقة 802.1X.
تستخدم هواتف Cisco IP ومحولات Cisco IP بروتوكول اكتشاف Cisco (واختصارها CDP) للتعرف على بعضها البعض وتحديد معلمات مثل متطلبات تخصيص VLAN والطاقة المضمنة. يحدد بروتوكول CDP محطات العمل المتصلة محليًا. توفر هواتف Cisco IP آلية لعبور EAPOL. تسمح هذه الآلية لمحطة العمل المتصلة بهاتف Cisco IP بنقل رسائل EAPOL إلى مصدّق 802.1X في محول LAN. تضمن آلية المرور عدم عمل هاتف IP كمحول LAN لمصادقة نقطة نهاية بيانات قبل الوصول إلى الشبكة.
كما توفر هواتف Cisco IP آلية لتسجيل الخروج من EAPOL للوكيل. إذا انقطع اتصال الكمبيوتر الشخصي المتصل محليًا بهاتف IP، فلن يرى محول LAN عطل الارتباط المادي، وذلك نظرًا لخضوع الوصلة بين محول LAN وهاتف IP للصيانة. لتجنب المخاطرة بسلامة الشبكة، يرسل هاتف IP رسالة تسجيل خروج من EAPOL إلى المحول نيابة عن الكمبيوتر الشخصي المتدفقة إليه البيانات، والذي يقوم بتشغيل محول LAN لمسح إدخال المصادقة للكمبيوتر الشخصي المتدفقة إليه البيانات.
يتطلب دعم مصادقة 802.1X العديد من المكونات:
-
هواتف Cisco IP يقوم الهاتف ببدء طلب الوصول إلى الشبكة. تحتوي هواتف Cisco IP على عميل 802.1X. يسمح هذا العميل لمسؤولي الشبكة بالتحكم في اتصال هواتف IP بمنافذ محول LAN. يستخدم الإصدار الحالي من عميل 802.1X للهاتف الخيارين EAP-FAST وEAP-TLS لمصادقة الشبكة.
-
خادم المصادقة: يجب تكوين كل من خادم المصادقة والمفتاح بكلمة سر مشتركة تقوم بمصادقة الهاتف.
-
التبديل: يجب أن يدعم المحول 802.1X، بحيث يمكنه أن يؤدي دور المصادقة ويمرر الرسائل بين الهاتف وخادم المصادقة. بعد اكتمال عملية التبادل، يمنح المحول أو يرفض وصول الهاتف إلى الشبكة.
يجب تنفيذ الإجراءات التالية لتكوين 802.1X.
-
قم بتكوين المكونات الأخرى قبل تمكين مصادقة 802.1X على الهاتف.
-
تكوين منفذ PC: لا يضع معيار 802.1X في اعتباره وجود شبكات VLAN، ويوصي بناءً على ذلك بوجوب مصادقة جهاز واحد فقط إلى منفذ محدد في المحول. ومع ذلك، تدعم بعض المفاتيح المصادقة متعددة المجالات. يحدد تكوين المحول ما إذا كان يمكنك توصيل كمبيوتر شخصي بمنفذ PC الخاص بالهاتف أم لا.
-
ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك تمكين منفذ PC وتوصيل كمبيوتر شخصي به. في هذه الحالة، تدعم هواتف Cisco IP تسجيل الخروج من EAPOL للوكيل لمراقبة عمليات تبادل المصادقة بين المحول والكمبيوتر الشخصي المتصل.
لمزيد من المعلومات حول دعم IEEE 802.1X في محولات Cisco Catalyst، راجع أدلة تكوين محول Cisco Catalyst على:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
معطل: إذا كان المحول لا يدعم أجهزة متعددة متوافقة مع 802.1X على المنفذ نفسه، فيجب أن تقوم بتعطيل منفذ PC عند تمكين مصادقة 802.1X. إذا لم تقم بتعطيل هذا المنفذ ثم حاولت توصيل كمبيوتر شخصي به، فسيرفض المحول الوصول إلى الشبكة إلى كل من الهاتف والكمبيوتر الشخصي.
-
- تكوين VLAN للصوت: نظرًا لأن معيار 802.1X لا يعتد بوجود شبكات VLAN، يجب أن تقوم بتكوين هذا الإعداد بناءً على دعم المحول.
- ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك متابعته لاستخدام VLAN للصوت.
- معطل: إذا كان المحول لا يدعم المصادقة متعددة المجالات، فقم بتعطيل "VLAN للصوت" وضع في اعتبارك تعيين المنفذ إلى شبكة VLAN الأصلية.
- (لسلسلة هواتف Cisco Desk 9800 فقط)
تشتمل سلسلة Cisco Desk Phone 9800 على بادئة مختلفة في PID عن تلك الخاصة بهواتف Cisco الأخرى. لتمكين هاتفك من تمرير مصادقة 802.1X، قم بتعيين معلمة Radius·User-Name لتضمين سلسلة هواتف Cisco Desk Phone 9800.
على سبيل المثال، معرف التعريف الشخصي للهاتف 9841 هو DP-9841؛ يمكنك تعيين Radius·اسم المستخدم إلى البدء باستخدام DP أو يحتوي على DP. يمكنك تعيينه في كلا القسمين التاليين:
-
تمكين مصادقة 802.1X
عند تمكين مصادقة 802.1X، يستخدم الهاتف مصادقة 802.1X لطلب الوصول إلى الشبكة. عند تعطيل مصادقة 802.1X، يستخدم الهاتف بروتوكول اكتشاف CISCO (CDP) للحصول على الوصول إلى VLAN والشبكة. يمكنك أيضًا عرض حالة المعاملة والتغيير على قائمة شاشة الهاتف.
عند تمكين مصادقة 802.1X، يمكنك أيضًا تحديد شهادة الجهاز (MIC/SUDI أو مخصصة) للتسجيل الأولي وتجديد الشهادة. عادةً ما يكون MIC لـ Cisco Video Phone 8875، وSUDI لـ Cisco Desk Phone 9800 Series. يمكن استخدام CDC للمصادقة في 802.1x فقط.
| 1 |
قم بتنفيذ أحد الإجراءات التالية لتمكين مصادقة 802.1X:
| ||||||||||||||||||||
| 2 |
حدد شهادة (MIC أو مخصصة) لمصادقة 802.1X على صفحة ويب الهاتف.
لمعرفة معلومات عن كيفية تحديد نوع الشهادة على شاشة الهاتف، ارجع إلى توصيل هاتفك بشبكة Wi-Fi.
|
تمكين وضع بدء العميل لمفاوضات أمان مستوى الوسائط
لحماية جلسات الوسائط، يمكنك تكوين الهاتف لبدء مفاوضات أمان مستوى الوسائط مع الخادم. تتبع آلية الأمان المعايير المذكورة في RFC 3329 ومسودة ملحقها الخاصة بأسماء آلية الأمان للوسائط (راجع https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). يمكن أن يستخدم نقل المفاوضات بين الهاتف والخادم بروتوكول SIP عبر UDP وTCP وTLS. يمكنك تقييد تفاوض أمان مستوى الوسائط هذا فقط عندما يكون بروتوكول نقل الإشارات هو TLS.
| 1 |
يمكنك الوصول إلى صفحة ويب إدارة الهاتف. | ||||||
| 2 |
حدد . | ||||||
| 3 |
في قسم إعدادات SIP، قم بتعيين حقول طلب MediaSec وMediaSec عبر TLS فقط كما هو محدد في الجدول التالي:
| ||||||
| 4 |
انقر على إرسال كل التغييرات. |
أمان شبكة WLAN
نظرًا لإمكانية تلقي جميع أجهزة الشبكة المحلية اللاسلكية الواقعة ضمن النطاق كل حركة مرور الشبكة المحلية اللاسلكية الأخرى، فإن تأمين الاتصالات الصوتية أمر بالغ الأهمية في الشبكات المحلية اللاسلكية. للتأكد من عدم اعتراض المقتحمين لحركة مرور الصوت، تدعم بنية أمان Cisco SAFE الهاتف. لمزيد من المعلومات حول الأمان في الشبكات، راجع http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
يوفر حل الاتصال الهاتفي اللاسلكي Cisco Wireless IP أمان الشبكة اللاسلكية التي تمنع حالات تسجيل الدخول غير المصرح بها واختراق الاتصالات باستخدام طرق المصادقة التالية التي يدعمها الهاتف:
-
عدم وجود مصادقة يمكن لأي جهاز لاسلكي طلب المصادقة في نظام مفتوح. قد يمنح AP الذي يتلقى الطلب المصادقة لأي طالب أو للطالبين الموجودين في قائمة المستخدمين. يمكن عدم تشفير الاتصال بين الجهاز اللاسلكي ونقطة الوصول (AP).
-
المصادقة المرنة لبروتوكول المصادقة القابل للتوسعة عبر مصادقة نفق آمن (EAP-FAST): تشفر بنية الأمان وخادم العميل هذه معاملات EAP داخل نفق أمان مستوى النقل (TLS) بين AP وخادم RADIUS، مثل محرك خدمات الهوية (ISE).
يستخدم نفق TLS بيانات اعتماد الوصول المحمية (PACs) للمصادقة بين العميل (هاتف) وخادم RADIUS. يرسل الخادم معرف المرجع (AID) إلى العميل (هاتف)، الذي بدوره يحدد PAC المناسب. يقوم العميل (هاتف) بإرجاع PAC-Opaque إلى خادم RADIUS. يقوم الخادم بفك تشفير PAC باستخدام المفتاح الأساسي. تحتوي نقطتا النهاية الآن على مفتاح PAC ويتم إنشاء نفق TLS. يدعم EAP-FAST توفير PAC التلقائي، ولكن يجب عليك تمكينه على خادم RADIUS.
في ISE، بشكل افتراضي، تنتهي صلاحية PAC في غضون أسبوع واحد. إذا كان الهاتف يحتوي على PAC منتهية الصلاحية، تستغرق المصادقة مع خادم RADIUS وقتًا أطول بينما يحصل الهاتف على PAC جديد. لتجنب التأخير في توفير PAC، قم بتعيين فترة انتهاء الصلاحية لـ PAC على 90 يومًا أو أكثر على خادم ISE أو RADIUS.
-
مصادقة بروتوكول المصادقة القابل للتوسعة - أمان طبقة النقل (EAP-TLS): يتطلب EAP-TLS شهادة عميل للمصادقة والوصول إلى الشبكة. بالنسبة لبروتوكول EAP-TLS اللاسلكي، يمكن أن تكون شهادة العميل MIC أو LSC أو شهادة المثبتة من المستخدم.
-
بروتوكول المصادقة القابل للتوسيع المحمي (PEAP): نظام المصادقة المتبادل المستند إلى كلمة مرور ملك Cisco بين العميل (هاتف) وخادم RADIUS. يمكن للهاتف استخدام PEAP للمصادقة مع الشبكة اللاسلكية. يتم دعم طريقتي المصادقة PEAP-MSCHAPV2 وPEAP-GTC.
-
مفتاح مشترك مسبقًا (PSK): يدعم الهاتف تنسيق ASCII. يجب استخدام هذا التنسيق عند إعداد مفتاح WPA/WPA2/SAE مشترك مسبقًا:
أسي: سلسلة من أحرف ASCII بطول 8 إلى 63 حرفًا (من 0 إلى 9، وحروف A إلى Z الكبيرة، وحروف خاصة)
مثال: GREG123567@9ZX&W
تستخدم أنظمة المصادقة التالية خادم RADIUS لإدارة مفاتيح المصادقة:
-
wpa / wpa2 / wpa3: تستخدم معلومات الخادم RADIUS لإنشاء مفاتيح فريدة للمصادقة. ونظرًا لإنشاء هذه المفاتيح على الخادم RADIUS المركزي، يوفر WPA2/WPA3 أماناً أكبر من مفاتيح WPA المشتركة مسبقًا والمخزنة في AP والهاتف.
-
تجوال الأمان السريع: يستخدم خادم RADIUS ومعلومات خادم المجال اللاسلكي (WDS) لإدارة ومصادقة المفاتيح. ينشئ WDS ذاكرة تخزين مؤقتة لبيانات اعتماد الأمان لأجهزة العميل التي تم تمكين FT من أجل إعادة المصادقة السريعة والآمنة. يدعم هاتفا Cisco Desk 9861 و9871 وهاتف Cisco Video Phone 8875 802.11r (FT). يتم دعم كل من الجو وعبر DS للسماح بتجوال آمن سريع. ولكننا نوصي بشدة باستخدام 802.11r (FT) عبر طريقة الهواء.
باستخدام WPA/WPA2/WPA3، لا يتم إدخال مفاتيح التشفير على الهاتف، ولكن يتم تناقلها تلقائيًا بين AP والهاتف. ولكن يجب إدخال اسم المستخدم وكلمة المرور لـ EAP التي يتم استخدامها للمصادقة على كل هاتف.
للتأكد من أمان حركة مرور الصوت، يدعم الهاتف TKIP وAES للتشفير. عند استخدام هذه الآليات للتشفير، يتم تشفير كل من حزم SIP للإشارة وبروتوكول نقل الصوت في الوقت الحقيقي (RTP) بين AP والهاتف.
- tkip
-
يستخدم WPA تشفير TKIP الذي يحتوي على العديد من التحسينات عبر WEP. يوفر TKIP التشفير باستخدام المفاتيح لكل حزمة وموجهات تهيئة أطول (IVs) تعزز من التشفير. بالإضافة إلى ذلك، يضمن التحقق من تكامل الرسائل (MIC) عدم تغيير الحزم المشفرة. يزيل TKIP التنبؤ بـ WEP الذي يساعد المقتحمين على فك تشفير مفتاح WEP.
- أس
-
طريقة تشفير تُستخدم لمصادقة WPA2/WPA3. يستخدم هذا المعيار الوطني للتشفير خوارزمية متناظرة تحتوي على نفس المفتاح للتشفير وفك التشفير. يستخدم AES تشفير سلسلة حظر التشفير (CBC) بحجم 128 بت، والذي يدعم أحجام المفاتيح 128 بت و192 بت و256 بت، كحد أدنى. يدعم الهاتف حجم المفتاح 256 بت.
لا يدعم هاتفا Cisco Desk 9861 و9871 وهاتف Cisco Video Phone 8875 بروتوكول تكامل المفتاح من Cisco (CKIP) مع CMIC.
يتم إعداد أنظمة المصادقة والتشفير داخل الشبكة المحلية اللاسلكية. يتم تكوين شبكات VLAN في الشبكة ونقاط الوصول وتحدد مجموعات مختلفة من المصادقة والتشفير. يرتبط SSID بشبكة VLAN ونظام المصادقة والتشفير المعين. كي تتم مصادقة أجهزة العميل اللاسلكية بنجاح، يجب عليك تكوين SSID نفسها مع مخططات المصادقة والتشفير على AP وعلى الهاتف.
تتطلب بعض مخططات المصادقة أنواعًا معينة من التشفير.
- عند استخدام مفتاح WPA مشترك مسبقًا أو مفتاح WPA2 مشترك مسبقًا أو SAE، يجب تعيين المفتاح المشترك مسبقًا بشكل ثابت على الهاتف. يجب أن تطابق هذه المفاتيح المفاتيح الموجودة على AP.
-
يدعم الهاتف اجتياز EAP التلقائي لـ FAST أو PEAP، ولكن ليس لـ TLS. بالنسبة لوضع EAP-TLS، يجب عليك تحديده.
تعرض مخططات المصادقة والتشفير في الجدول التالي خيارات تكوين الشبكة للهاتف الذي يتطابق مع تكوين AP.
| نوع FSR | المصادقة | الإدارة الرئيسية | التشفير | إطار الإدارة المحمي (PMF) |
|---|---|---|---|---|
| 802.11r (قدم) | قالب: PSK |
wpa-psk wpa-psk-sha256 قدم-psk | أس | لا |
| 802.11r (قدم) | wpa3 |
ساي قدم-ساي | أس | نعم |
| 802.11r (قدم) | eap-tls |
wpa-eap قدم-eap | أس | لا |
| 802.11r (قدم) | eap-tls (wpa3) |
wpa-eap-sha256 قدم-eap | أس | نعم |
| 802.11r (قدم) | سريع |
wpa-eap قدم-eap | أس | لا |
| 802.11r (قدم) | سريع eap (wpa3) |
wpa-eap-sha256 قدم-eap | أس | نعم |
| 802.11r (قدم) | إب-بيب |
wpa-eap قدم-eap | أس | لا |
| 802.11r (قدم) | eap-peap (wpa3) |
wpa-eap-sha256 قدم-eap | أس | نعم |
إعداد ملف تعريف Wi-Fi
يمكنك تكوين ملف تعريف Wi-Fi من صفحة ويب الهاتف أو من إعادة مزامنة ملف تعريف الجهاز البعيد ثم ربط ملف التعريف بشبكات Wi-Fi المتاحة. يمكنك استخدام ملف تعريف Wi-Fi هذا للاتصال بشبكة Wi-Fi. في الوقت الحالي، يمكن تكوين ملف تعريف Wi-Fi واحد فقط.
يحتوي على ملف تعريف المعلمات المطلوبة للهواتف للاتصال بخادم الهاتف بشبكة Wi-Fi. عند إنشاء واستخدام ملف تعريف Wi-Fi، أنت أو المستخدمون لديك لا تحتاج إلى تكوين الشبكة اللاسلكية لهواتف فردية.
ملف تعريف شبكة Wi-fi يتيح لك منع أو تقييد التغييرات في تكوين شبكة Wi-fi على الهاتف بواسطة المستخدم.
نوصي باستخدام ملف تعريف آمن مع البروتوكولات الممكنة للتشفير لحماية المفاتيح وكلمات المرور عند استخدام ملف تعريف شبكة Wi-fi.
عند إعداد الهواتف لاستخدام طريقة مصادقة EAP-FAST في وضع الأمان، يحتاج المستخدمون إلى بيانات اعتماد فردية للاتصال بنقطة وصول.
| 1 |
يمكنك الوصول إلى صفحة ويب الهاتف. |
| 2 |
حدد . |
| 3 |
في القسم ملف تعريف Wi-Fi (n)، قم بتعيين المعلمات كما هو موضح في الجدول التالي معلمات ملف تعريف Wi-Fi. كما يتوفر تكوين ملف تعريف Wi-Fi لتسجيل دخول المستخدم.
|
| 4 |
انقر على إرسال كل التغييرات. |
معلمات ملف تعريف Wi-Fi
يحدد الجدول التالي وظيفة كل معلمة واستخدامها في قسم ملف تعريف Wi-Fi(n) ضمن علامة التبويب النظام في صفحة ويب الهاتف. كما أنه يحدد بنية السلسلة التي تمت إضافتها في ملف تكوين الهاتف (cfg.xml) لتكوين معلمة.
| المعلمة | الوصف |
|---|---|
| اسم الشبكة | السماح لك بإدخال اسم لـ SSID الذي سيتم عرضه على الهاتف. يمكن أن يكون لملفات التعريف المتعددة نفس اسم الشبكة مع وضع أمان مختلف. قم بتنفيذ أحد الإجراءات التالية:
الإعداد الافتراضي: فارغ |
| وضع الأمان | السماح لك بتحديد طريقة المصادقة المستخدمة لتأمين الوصول إلى شبكة Wi-Fi. بناءً على الطريقة التي تختارها، يظهر حقل كلمة المرور حتى تتمكن من توفير بيانات الاعتماد المطلوبة للانضمام إلى شبكة Wi-Fi هذه. قم بتنفيذ أحد الإجراءات التالية:
الإعداد الافتراضي: تلقائي |
| معرف مستخدم Wi-Fi | يتيح لك إدخال معرف مستخدم لملف تعريف الشبكة. يتوفر هذا الحقل عند تعيين وضع الأمان على "تلقائي" أو EAP-FAST أو EAP-PEAP. هذا حقل إلزامي ويسمح بالحد الأقصى لطول الأحرف الأبجدية الرقمية 32. قم بتنفيذ أحد الإجراءات التالية:
الإعداد الافتراضي: فارغ |
| كلمة مرور Wi-Fi | يتيح لك إدخال كلمة المرور لمعرف مستخدم Wi-Fi المحدد. قم بتنفيذ أحد الإجراءات التالية:
الإعداد الافتراضي: فارغ |
| نطاق التردد | السماح لك بتحديد نطاق تردد الإشارة اللاسلكية الذي تستخدمه شبكة WLAN. قم بتنفيذ أحد الإجراءات التالية:
الإعداد الافتراضي: تلقائي |
| تحديد شهادة | السماح لك بتحديد نوع شهادة للتسجيل الأولي للشهادة وتجديد الشهادة في الشبكة اللاسلكية. هذه العملية متاحة فقط لمصادقة 802.1X. قم بتنفيذ أحد الإجراءات التالية:
الإعداد الافتراضي: التصنيع المثبت |
