- Начало
- /
- Статия
Тази статия за помощ е за Cisco безжичен телефон 9821, регистриран на Cisco Unified Communications Manager (Unified CM).
Можете да активирате Cisco Unified Communications Manager (Unified CM), за да работи в подобрена среда за сигурност. С тези подобрения телефонната ви мрежа работи под набор от строги контроли за сигурност и управление на риска, за да защити вас и вашите потребители.
Подобрената среда за защита включва следните функции:
-
Удостоверяване при търсене на контакти
-
TCP като стандартен протокол за логване на отдалечен одит
-
Подобрена политика за квалификации
-
Поддръжка за семейството SHA-2 хешове за дигитални подписи
-
Поддръжка за RSA размер на клавиш до 4096 бита
С Cisco Unified CM версия 14.0 или по-нова, телефоните поддържат SIP OAuth автентикация.
OAuth се поддържа за Proxy Trivial File Transfer Protocol (TFTP) с Cisco Unified CM Release 14.0 (1) SU1 или по-нова.
За допълнителна информация относно сигурността вижте следните ръководства:
-
Ръководство за конфигурация на системата за Cisco Unified Communications Manager, Release 15 и SU
-
Ръководство за сигурност за Cisco Unified Communications Manager, Release 15 и SUs
Телефонът ви може да съхранява само ограничен брой файлове за идентичност в надежден списък (ITL). ITL файловете не могат да надвишават 64K на телефона, затова ограничете броя на файловете, които Cisco Unified CM изпраща на телефона.
Поддържани функции за защита
Функциите за защита предпазват от заплахи, включително заплахи за идентичността на телефона и за данните. Тези функции установяват и поддържат удостоверени комуникационни потоци между телефона и Cisco Unified Communications Manager server и гарантират, че телефонът използва само цифрово подписани файлове.
Cisco Unified Communications Manager версия 8.5 (1) и по-нова включва защита по подразбиране, която предоставя следните функции за защита за Cisco IP телефоните без изпълнение на CTL клиент:
-
Подписване на конфигурационните файлове на телефона
-
Шифроване на конфигурационните файлове на телефона
-
HTTPS с Tomcat и други уеб услуги
Функциите за сигурна сигнализация и мултимедия все още изискват от вас да стартирате CTL клиента и да използвате хардуерни eTokens.
Внедряването на защита в системата на Cisco Unified Communications Manager предотвратява кражбата на идентичност на телефона и на Cisco Unified Communications Manager server, предотвратява подправянето на данни и предотвратява сигнализирането на повиквания и подправянето на медийния поток.
За да облекчи тези заплахи, мрежата за Cisco IP телефония установява и поддържа сигурни (шифровани) комуникационни потоци между телефона и сървъра, цифрово подписва файлове, преди да бъдат прехвърлени на даден телефон, и шифрова медийните потоци и сигнализацията на повиквания между Cisco IP телефоните.
На телефоните се инсталира местно приложим сертификат (LSC), след като изпълните необходимите задачи, свързани с прокси функцията на органа за сертификати (CAPF). Можете да използвате Cisco Unified Communications Manager Administration, за да конфигурирате LSC, както е описано в ръководството за сигурността Cisco Unified Communications Manager. Алтернативно, можете да започнете инсталирането на LSC от менюто Security на телефона. Това меню също ви позволява да актуализирате или премахвате LSC.
Телефоните използват профила за защита на телефона, който определя дали устройството е незащитено, или защитено. За информация относно прилагането на профила на защитата към телефона вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.
Ако конфигурирате настройки, свързани със защитата, в Cisco Unified Communications Manager Administration, конфигурационният файл на телефона съдържа поверителна информация. За да гарантирате поверителността на даден конфигурационен файл, трябва да го конфигурирате за шифроване. За подробна информация вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.
Следващата таблица предоставя общ преглед на функциите за защита, които телефоните поддържат. За повече информация вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.
|
Функция |
Описание |
|---|---|
|
Удостоверяване на изображение |
Подписаните двоични файлове предотвратяват подправянето на изображението на фърмуера, преди изображението да се зареди на телефона. Подправянето на изображението води до това, че телефонът проваля процеса на удостоверяване и да отхвърля новото изображение. |
|
Инсталиране на сертификат за сайт на клиент |
Всеки Cisco IP телефон изисква уникален сертификат за удостоверяване на устройството. Телефоните включват фабрично инсталиран сертификат (MIC), но за допълнителна сигурност можете да зададете инсталиране на сертификат в Cisco Unified Communications Manager Administration с помощта на прокси функцията на органа за сертификати (CAPF). Алтернативно, можете да инсталирате Locally Significant Certificate (LSC) от менюто Сигурност на телефона. |
|
Удостов. на у-вото |
Възниква между Cisco Unified Communications Manager server и телефона, когато всеки обект приема сертификата на другия обект. Определя дали трябва да възникне защитена връзка между телефона и Cisco Unified Communications Manager; и ако е необходимо, създава защитен сигнален път между обектите, като използва TLS протокол. Cisco Unified Communications Manager не регистрира телефони, освен ако не може да ги удостовери. |
|
Удостоверяване на файлове |
Проверява цифрово подписаните файлове, които телефонът изтегля. Телефонът проверява подписа, за да се увери, че файлът не е подправен след създаването му. Файловете, които не бъдат удостоверени, не се записват във флаш паметта на телефона. Телефонът отхвърля такива файлове без по-нататъшна обработка. |
|
Шифроване на файлове |
Шифроването предотвратява разкриването на чувствителна информация, докато файлът се прехвърля към телефона. В допълнение телефонът проверява подписа, за да се увери, че файлът не е подправен след създаването му. Файловете, които не бъдат удостоверени, не се записват във флаш паметта на телефона. Телефонът отхвърля такива файлове без по-нататъшна обработка. |
|
Удостоверяване на сигнализиране |
Използва TLS протокола, за да потвърди, че по време на предаването не е имало подправяне на пакетите за сигнализиране. |
|
Фабрично инсталиран сертификат |
Всеки Cisco IP телефон съдържа уникален фабрично инсталиран сертификат (MIC), който се използва за удостоверяване на устройството. MIC предоставя постоянно уникално доказателство за идентичност на телефона и позволява на Cisco Unified Communications Manager да удостоверява телефона. |
|
Шифроване на мултимедия |
Използва SRTP, за да гарантира, че медийните потоци между поддържаните устройства се оказват сигурни и че само предвиденото устройство получава и чете данните. Включва създаване на двойка основни ключове за устройствата, доставяне на ключовете към устройствата и осигуряване на защитена доставка на ключовете при транспортирането им. |
|
CAPF (прокси функция на органа за сертификати) |
Изпълнява части от процедурата за генериране на сертификати, които са твърде интензивни за обработка за телефона, и взаимодейства с телефона за генериране на ключове и инсталиране на сертификат. CAPF може да бъде конфигуриран да изисква сертификати от зададени от клиента сертифициращи органи от името на телефона или може да бъде конфигуриран да генерира сертификати локално. Поддържат се и двата типа ключове EC (Елиптична крива) и RSA. За да използвате ключа EC, уверете се, че параметърът "Endpoint Advanced Encryption Algorithms Support" (от ) е активиран. За повече информация относно CAPF и свързаните конфигурации вижте следните документи: |
|
Профил на защитата |
Определя дали телефонът е незащитен, удостоверен, шифрован, или защитен. Други записи в тази таблица описват функциите за защита. |
|
Шифровани конфигурационни файлове |
Позволява ви да гарантирате поверителността на конфигурационните файлове на телефона. |
|
Незадължително деактивиране на уеб сървър за телефон |
От съображения за сигурност можете да предотвратите достъпа до уеб страниците за даден телефон (които показват различни оперативни статистически данни за телефона) и портала за самообслужване. |
|
Повишаване на защитата на телефона |
Допълнителни опции за защита, които контролирате от Cisco Unified Communications Manager Administration:
|
|
Защитено превключване към резервен сървър на SIP за SRST |
След като конфигурирате препратка за възстановяема телефония на отдалечения обект (SRST) за защита и след това нулирате зависимите устройства в Cisco Unified Communications Manager Administration, TFTP сървърът добавя SRST сертификат към cnf.xml файла на телефона и изпраща файла на телефона. След това защитен телефон използва TLS връзка, за да взаимодейства с маршрутизатора с активиран SRST. |
|
Шифроване на сигнализиране |
Гарантира, че всички съобщения за SIP сигнализиране, които се изпращат между устройството и Cisco Unified Communications Manager server, са шифровани. |
|
Аларма за актуализация на надежден списък |
Когато надеждният списък се актуализира на телефона, Cisco Unified Communications Manager получава аларма, която показва успеха или неуспеха на актуализацията. Вижте следната таблица за повече информация. |
|
AES 256 шифроване |
Когато са свързани към Cisco Unified Communications Manager версия 10.5 (2) и по-нова, телефоните поддържат AES 256 шифроване за TLS и SIP за сигнализиране и шифроване на мултимедия. Това позволява на телефоните да инициират и поддържат TLS 1.2 връзки, използвайки базирани на AES-256 шифри, които отговарят на стандартите на SHA-2 (Защитен алгоритъм за хеширане) и са съвместими с Федералните стандарти за обработка на информация (FIPS). Шифрите включват:
За повече информация вижте документацията на Cisco Unified Communications Manager. |
|
Сертификати за Elliptic Curve Digital Signature Algorithm (ECDSA) |
Като част от сертифицирането по Общите критерии (CC) Cisco Unified Communications Manager; добавени са сертификати за ECDSA във версия на софтуера 11.0. Това засяга всички продукти на гласовата операционна система (VOS), работещи с CUCM 11.5 и по-нови версии. |
|
Мулти-сървърен (SAN) сертификат Tomcat с Cisco UCM | Телефонът поддържа Cisco UCM с конфигурирани Multi-server (SAN) Tomcat сертификати. Правилният адрес на сървъра TFTP може да се намери в ITL файла за регистрация на телефона. За повече информация относно функцията вижте следното: |
Следващата таблица съдържа алармените съобщения и значението на актуализирането на надеждния списък. За повече информация вижте документацията на Cisco Unified Communications Manager.
| Код и съобщение | Описание |
|---|---|
|
1 - TL_SUCCESS |
Получен нов CTL и/или ITL |
|
2 - CTL_INITIAL_SUCCESS |
Получен нов CTL, няма съществуващ TL |
|
3 - ITL_INITIAL_SUCCESS |
Получен нов ITL, няма съществуващ TL |
|
4 - TL_INITIAL_SUCCESS |
Получен нов CTL и ITL, няма съществуващ TL |
|
5 - TL_FAILED_OLD_CTL |
Неуспешна актуализация до нов CTL, но има предишен TL |
|
6 - TL_FAILED_NO_TL |
Неуспешна актуализация до нов TL и няма стар TL |
|
7 - TL_FAILED |
Обща неизправност |
|
8 - TL_FAILED_OLD_ITL |
Неуспешна актуализация до нов ITL, но има предишен TL |
|
9 - TL_FAILED_OLD_TL |
Неуспешна актуализация до нов TL, но има предишен TL |
Защита на телефонните повиквания
Когато се прилага защита за телефон, можете да идентифицирате защитени телефонни повиквания с помощта на икони на екрана на телефона. Можете също да определите дали свързаният телефон е защитен и предпазен, ако в началото на повикването се възпроизведе тон за защита.
При защитено повикване всички сигнални и медийни потоци са шифровани. Защитеното повикване предлага високо ниво на защита, осигурявайки цялост и поверителност на повикването. Когато обаждането е криптирано, можете да видите иконата за сигурност
На линия.
-
Ако повикването се маршрутизира чрез етапи на повикването, които не са IP, например PSTN, повикването може да е незащитено, въпреки че е шифровано в мрежата на IP и има икона на катинар, свързана с нея.
-
Защитено повикване се поддържа само за връзки между два телефона. Някои функции, като например конферентни разговори и споделени линии, не са налични, когато е конфигурирано защитено повикване.
В Cisco Unified Communications Manager телефоните, конфигурирани като защитени (криптирани и доверени), могат да получат защитен статус. След като бъдат защитени, тези устройства могат да бъдат конфигурирани да пускат сигнал за сигурност в началото на всяко обаждане.
-
Защитено устройство:
За да промените статуса на защитен телефон на защитен:
- В Cisco Unified Communications Manager Administration изберете .
- Намерете телефона, който ще настроите.
- В прозореца за конфигурация на телефона изберете отметката за Защитено устройство .
- Щракнете върху Запиши.
-
Възпроизвеждане на сигнал за сигурна сигнализация:
За да се позволи защитеният телефон да възпроизвежда сигурен или несигурен сигнален сигнал:
- В Cisco Unified Communications Manager Administration изберете .
- Изберете сървъра и след това услугата Cisco CallManager .
- В областта на параметрите на клъстера (Feature - Secure Tone ) настройте тона за възпроизвеждане да показва статус на сигурен/незащитен разговор на true.
- Щракнете върху Запиши.
Сигурна идентификация на конферентни разговори
Можете да инициирате защитен конферентен разговор и да наблюдавате нивото на защита на участниците. Защитен конферентен разговор се установява чрез използване на този процес:
-
Потребителят инициира конференцията от защитен телефон.
-
Cisco Unified Communications Manager задава защитен конферентен мост към повикването.
-
Докато участниците се добавят, Cisco Unified Communications Manager проверява режима на сигурност на всеки телефон и поддържа нивото на защита на конференцията.
-
Телефонът показва нивото на защита на конферентния разговор. Сигурна конференция показва иконата със сигурност
.
Поддържа се защитено повикване между два телефона. За защитени телефони някои функции, като конферентни разговори, споделени линии и Extension Mobility, не са налични, когато е конфигурирано защитено повикване.
Таблицата по-долу предоставя информация за промените в нивата на защита на конференцията в зависимост от нивото на защита на телефона на инициатора, нивата на защита на участниците и наличието на защитени конферентни мостове.
|
Ниво на защита на телефона на инициатора |
Използвана функция |
Ниво на защита на участниците |
Резултати от действието |
|---|---|---|---|
|
Незащитен |
Конферентен разговор |
Защитен |
Незащитен конферентен мост Незащитена конференция |
|
Защитен |
Конферентен разговор |
Поне един член е незащитен. |
Защитен конферентен мост Незащитена конференция |
|
Защитен |
Конферентен разговор |
Защитен |
Защитен конферентен мост Защитена конференция на шифровано ниво |
|
Незащитен |
ПокКонф |
Минималното ниво на защита е шифровано. |
Инициаторът получава тон за пренареждане. |
|
Защитен |
ПокКонф |
Минималното ниво на защита е незащитено. |
Защитен конферентен мост Конференцията приема всички повиквания. |
Идентификация на защитено телефонно повикване
Защитено повикване се установява, когато телефонът ви и телефонът от другия край са конфигурирани за защитено повикване. Другият телефон може да бъде в същата мрежа на Cisco IP или в мрежа извън IP мрежата. Защитени повиквания могат да се извършват само между два телефона. Конферентните разговори трябва да поддържат защитено повикване след настройка на защитен конферентен мост.
Защитено повикване се установява с помощта на този процес:
-
Потребителят инициира повикването от защитен телефон (защитен режим на сигурност).
-
Телефонът показва иконата за сигурност
на екрана на телефона. Тази икона показва, че телефонът е конфигуриран за защитени повиквания, но това не означава, че другият свързан телефон също е защитен. -
Потребителят чува тон на защита, ако повикването се свърже с друг защитен телефон, което показва, че двата края на разговора са шифровани и защитени. Ако повикването се свърже с незащитен телефон, потребителят не чува тона за защита.
Поддържа се защитено повикване между два телефона. За защитени телефони някои функции, като конферентни разговори, споделени линии и Extension Mobility, не са налични, когато е конфигурирано защитено повикване.
Само защитените телефони възпроизвеждат тези тонове за индикация за защитени или незащитени състояния. Незащитените телефони никога не възпроизвеждат тонове. Ако общото състояние на повикването се промени по време на разговора, тонът за индикацията се променя и защитеният телефон възпроизвежда подходящия тон.
Когато тонът за възпроизвеждане, който означава статус на сигурен/незащитен обаждане, е настроен на True:
-
Когато се установи цялостно защитена медия и състоянието на повикването е защитено, телефонът възпроизвежда тона за индикация на защита (три дълги звукови сигнала с паузи).
-
Когато се установи цялостно незащитена медия и състоянието на повикването е незащитено, телефонът възпроизвежда тона за индикация на незащитено състояние (шест кратки звукови сигнала с кратки паузи).
Ако опцията за възпроизвеждане на сигнал за сигурен/несигурен статус на обаждане е настроена на False, тон не се пуска.
Осигурете криптиране за баржа
Cisco Unified Communications Manager проверява статуса на телефонната сигурност при установяване на конференции и променя индикацията за сигурност за конференцията или блокира завършването на разговора, за да запази целостта и сигурността в системата.
Потребителят не може да влезе в криптирано обаждане, ако телефонът, използван за влизане, не е конфигуриран за криптиране. Когато баржата се провали в този случай, на телефона звучи тон за пренареждане (бърз зает), че баржата е инициирана.
Ако инициаторният телефон е конфигуриран за криптиране, инициаторът на баржата може да нахлуе в несигурен разговор от криптирания телефон. След като баржата се случи, Cisco Unified Communications Manager класифицира обаждането като несигурен.
Ако инициаторският телефон е конфигуриран за криптиране, инициаторът на баржата може да нахлуе в криптирано обаждане и телефонът показва, че обаждането е криптирано.
Безжична LAN сигурност
Тъй като всички WLAN устройства, които са в обхват, могат да получават всякакъв друг WLAN трафик, защитата на гласови комуникации е от решаващо значение в WLAN. За да се гарантира, че нарушителите не манипулират или прихващат гласов трафик, архитектурата Cisco SAFE Security поддържа телефона. За повече информация относно сигурността в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Телефонното решение Cisco Wireless IP осигурява безжична мрежова сигурност, която предотвратява неоторизирани влизания и компрометирани комуникации чрез следните методи за удостоверяване, които телефонът поддържа.
-
Отворено удостоверяване: всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, който получи искането, може да предостави удостоверяване на всеки заявител или само на заявители, които се намират в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да бъде некриптирана.
-
Разширен протокол за автентикация – гъвкава автентикация чрез сигурно тунелиране (EAP-FAST): Тази клиент-сървър архитектура за сигурност криптира EAP транзакции в тунел за сигурност на транспортно ниво (TLS) между AP и RADIUS сървъра, като например Identity Services Engine (ISE).
Тунелът TLS използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на органа (AID) на клиента (телефон), който от своя страна избира подходящия PAC. Клиентът (телефонът) връща PAC-Opaque на сървъра RADIUS. Сървърът декриптира PAC с основния ключ. И двете крайни устройства сега съдържат ключа PAC и се създава тунел TLS. EAP-FAST поддържа автоматично осигуряване на PAC, но трябва да го активирате на сървъра RADIUS.
В ISE по подразбиране PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получава нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на 90 дни или повече на сървъра ISE или RADIUS.
-
Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: EAP-TLS изисква клиентски сертификат за удостоверяване и достъп до мрежата. За безжична EAP-TLS клиентският сертификат може да бъде MIC, LSC, или потребителски инсталиран сертификат.
-
Protected Extensible Authentication Protocol (PEAP): собствена схема на Cisco за взаимно удостоверяване, базирано на парола, между клиента (телефон) и RADIUS сървър. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както методите за удостоверяване PEAP-MSCHAPV2, така и PEAP-GTC.
-
Предварително споделен ключ (PSK): Телефонът поддържа формати ASCII и шестнадесетичен (HEX). Трябва да използвате тези формати при настройване на WPA2/SAE предварително споделен ключ.
ASCII: ASCII-символен низ с дължина от 8 до 63 знака (0-9, малки a-z, главни A-Z и специални знаци). Например,
GREG123567@9ZX&W.HEX: Низ от шестнадесетни знаци с дължина 64 шестнадесетни цифри (0-9, a-f или A-F).
Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключовете за удостоверяване:
-
WPA2/WPA3: използва информация за сървъра RADIUS, за да генерира уникални ключове за удостоверяване. Тъй като тези ключове се генерират на централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма сигурност от предварително споделените ключове на WPA, които се съхраняват на AP и телефона.
-
Бърз защитен роуминг: използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеш с идентификационни данни за сигурност за клиентски устройства с FT за бърза и сигурна повторна автентикация.
При WPA2/WPA3 ключовете за криптиране не се въвеждат на телефона, а автоматично се извеждат между точката за достъп и телефона. Но потребителското име и паролата на EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.
За да се защити гласовият трафик през безжичната връзка, телефонът поддържа криптиране на база AES за удостоверяване с WPA2/WPA3. AES е симетричен блоков шифр, стандартизиран от NIST. AES използва фиксиран размер на блока от 128 бита и поддържа размери на ключове от 128 бита, 192 бита и 256 бита. В Wi-Fi мрежи AES се използва от шифровъчни пакети като CCMP или GCMP, докато автентикацията се предоставя отделно от PSK, SAE или 802.1X/EAP, в зависимост от конфигурирания режим на сигурност WLAN. Поддържаният набор от шифри и размерът на ключа зависят от модела на телефона и конфигурацията WLAN.
Когато телефонът използва криптиране AES, както пакетите за сигнализация SIP, така и гласовите пакети от Real-Time Transport Protocol (RTP) се криптират между AP и телефона.
Схеми за удостоверяване и шифроване са настроени в безжичния LAN. VLAN мрежите се конфигурират в мрежата и на AP и определят различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да могат безжичните клиентски устройства да се удостоверят успешно, трябва да конфигурирате същите SSID-та с техните схеми за удостоверяване и криптиране на AP-тата и на телефона.
Някои схеми за удостоверяване изискват специфични типове шифроване.
Когато използвате WPA2 предварително споделения ключ или SAE, предварително споделеният ключ трябва да бъде статично настроен на телефона. Тези ключове трябва да съответстват на ключовете, които са на AP.
Схемите за удостоверяване и криптиране в следващата таблица показват опциите за конфигурация на мрежата за Cisco Wireless Phone 9821, който съответства на конфигурацията на AP.
| FSR Тип | Удостоверяване | Управление на ключ | Криптиране | Защитена управленска рамка (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Не |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Да |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Не |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Не |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Не |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
| non-FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Да |
| non-FT | Suite-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Да |
Създайте профил Wi-Fi
Можете да конфигурирате профил Wi-Fi и да го зададете на Cisco Wireless Phone 9821. Този профил съдържа необходимите параметри, за да може телефонът да установи Wi-Fi връзка и впоследствие да се регистрира с Cisco Unified CM. Когато създавате и използвате Wi-Fi профил, вие или вашите потребители не е необходимо да конфигурирате безжичната мрежа за отделни телефони.
Препоръчваме да използвате защитен профил с активирано шифроване на TFTP, за да защитите ключовете и паролите, когато използвате Wi-Fi профил.
Телефоните поддържат един сървърен сертификат за всеки метод на инсталация (ръчен, SCEP или TFTP).
Имайте предвид следните бележки, преди да конфигурирате WLAN профил:
-
Потребителско име и парола
-
Когато вашата мрежа използва EAP-FAST и PEAP за удостоверяване на потребителя, трябва да конфигурирате както потребителското име, така и паролата, ако е необходимо, в потребителска услуга за отдалечено удостоверяване чрез набиране (RADIUS) и телефона.
- Данните за вход, които въвеждате в профила на безжичен LAN, трябва да са идентични с данните за вход, които сте конфигурирали на RADIUS сървъра.
-
Ако използвате домейни във вашата мрежа, трябва да въведете потребителското име с името на домейна, във формат:
domain\username.
-
-
Следните действия могат да доведат до изчистване на съществуващата парола за Wi-Fi:
- Въвеждане на невалиден потребителски ИД или парола
- Инсталиране на невалиден или изтекъл Root CA, когато типът EAP е зададен на PEAP-MSCHAPV2 или PEAP-GTC
- Деактивиране на използвания тип EAP на сървъра RADIUS, преди да превключите телефона на новия тип EAP
- За да промените типа EAP, уверете се, че първо сте активирали новия тип EAP на RADIUS сървъра, след което превключете телефона на EAP типа. Когато всички телефони са променени на новия тип EAP, можете да деактивирате предишния тип EAP, ако желаете.
| 1 |
В Cisco Unified Communications Manager Administration изберете . |
| 2 |
Щракнете върху Добавяне на нов. |
| 3 |
В секцията Wireless LAN Profile Information задайте параметрите:
|
| 4 |
В секцията Безжични настройки задайте параметрите:
|
| 5 |
В секцията Настройки за удостоверяване задайте метода за автентикация на един от следните методи: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK и None. Cisco Безжичният телефон 9821 не поддържа WEP. След като зададете това поле, може да видите допълнителни полета, които трябва да зададете.
Cisco Безжичен телефон 9821 не поддържа полето Network Access Profile . |
| 6 |
Щракнете върху Запиши. |
Какво да правим по-нататък
Свържете безжичния LAN профил към WLAN профилна група и след това приложете WLAN профилна група към пул устройства (System>Device PoolPhone
Инсталирайте потребителски сертификат от уеб страницата за администрация на телефона
Можете ръчно да инсталирате потребителски сертификат на телефона, ако Simple Certificate Enrollment Protocol (SCEP) не е наличен.
Предварително инсталираният производствен сертификат (MIC) може да се използва като потребителски сертификат за EAP-TLS.
След инсталирането на User Certificate, трябва да добавите CA веригата, която издаде User Certificate, към списъка с доверие на RADIUS сървъра.
Преди да започнете
Преди да можете да инсталирате потребителски сертификат за телефон, трябва да имате:
-
Потребителски сертификат, записан на вашия компютър. Сертификатът трябва да бъде във формат PKCS #12.
-
Паролата за извличане на сертификата. Дължината на паролата не трябва да надвишава 32 знака.
| 1 |
От уеб страницата за администриране на телефона изберете Сертификати. |
| 2 |
Намерете полето Инсталиран от потребителя и щракнете върху Инсталиране. |
| 3 |
Намерете сертификата на вашия компютър. |
| 4 |
В полето Извличане на парола въведете паролата за извличане на сертификат. |
| 5 |
Щракнете върху Качване на файл. |
| 6 |
Рестартирайте телефона, след като качването приключи. |
Инсталирайте Authentication Server CA от уеб страницата за администрация на телефона
Можете ръчно да инсталирате Authentication Server CA на телефона, ако Simple Certificate Enrollment Protocol (SCEP) не е наличен.
Трябва да бъде инсталиран коренният CA сертификат, който е издал RADIUS сървърния сертификат.
Преди да започнете
Преди да инсталирате сертификат на телефон, трябва да имате запазен Authentication Server CA на компютъра си. Сертификатът трябва да бъде кодиран в PEM (Base-64) или DER.
| 1 |
От уеб страницата за администриране на телефона изберете Сертификати. |
| 2 |
Намерете полето Сертифициращ орган (CA) за сървъра за удостоверяване и щракнете върху Инсталиране. |
| 3 |
Намерете сертификата на вашия компютър. |
| 4 |
Щракнете върху Качване на файл. |
| 5 |
Рестартирайте телефона, след като качването приключи. |
Ръчно премахнете сертификат за сигурност от уеб страницата за администрация на телефона
Можете ръчно да премахнете сертификат на защитата от телефон, ако Simple Certificate Enrollment Protocol (SCEP) не е наличен.
| 1 |
От уеб страницата за администриране на телефона изберете Сертификати. |
| 2 |
Намерете сертификата на страницата Сертификати. |
| 3 |
Щракнете върху Изтриване. |
| 4 |
Рестартирайте телефона, след като процесът на изтриване завърши. |
Настройте SCEP
Simple Certificate Enrollment Protocol (SCEP) е стандартът за автоматично осигуряване и подновяване на сертификати. Това избягва ръчното инсталиране на сертификати на телефоните ви.
Активирайте специфичните параметри на конфигурацията на SCEP продукта
Трябва да конфигурирате следните SCEP параметри на Cisco Unified Communications Manager (Unified CM).
-
RA IP адрес или хост име
-
SHA-1 или SHA-256 отпечатък на главния CA сертификат за SCEP сървъра
Органът за регистрация на Cisco IOS (RA) служи като прокси на SCEP сървъра. SCEP клиентът на телефона използва параметрите, които се изтеглят от Cisco Unified CM. След като конфигурирате параметрите, телефонът изпраща SCEP getcs заявка към RA и коренният CA сертификат се валидира с дефинирания пръстов отпечатък.
| 1 |
От Cisco Unified Communications Manager Administration изберете . |
| 2 |
Намерете телефона. |
| 3 |
Превъртете до зоната Оформление на специфичната конфигурация на продукта. |
| 4 |
Изберете квадратчето за отметка на сървъра на SCEPWLAN, за да активирате параметъра SCEP. |
| 5 |
Изберете квадратчетоWLAN Root CA Fingerprint (SHA256 или SHA1 ), за да активирате параметъра SCEP QED. |
Поддръжка на SCEP сървъри
Ако използвате сървър за протокол за регистрация на Simple Certificate Enrollment Protocol (SCEP), сървърът може автоматично да поддържа вашите потребителски и сървърни сертификати. На SCEP сървъра конфигурирайте агента за регистрация (RA) на SCEP да:
-
Действа като доверителна точка PKI
-
Действа като PKI RA
-
Извършва удостоверяване на устройство с помощта на RADIUS сървър
За повече информация вижте документацията на вашия SCEP сървър.
Настройване на местно приложим сертификат (LSC)
Има няколко начина за инсталиране на LSC. Тази примерна задача се прилага за настройване на LSC с метода на удостоверителния низ, използван на Cisco Wireless Phone 9821.
Преди да започнете
Уверете се, че съответните конфигурации за сигурност Cisco Unified CM и certificate authority proxy function (CAPF) са завършени.
-
CTL или ITL файлът има CAPF сертификат.
-
В Cisco Unified Communications Operating System Administration проверете дали CAPF сертификатът е инсталиран.
-
CAPF работи и е конфигуриран.
За повече информация относно тези настройки вижте документацията за вашето конкретно издание Cisco Unified CM.
| 1 |
Вземете удостоверителния низ CAPF, който е бил зададен при конфигурирането на CAPF. |
| 2 |
На телефона достъпете Настройките |
| 3 |
Изберете . |
| 4 |
Въведете низа за автентикация. |
| 5 |
Натиснете повече Телефонът започва да инсталира, актуализира или премахва LSC, в зависимост от това как е конфигуриран CAPF. Когато процедурата приключи, на телефона се показва „Инсталиран“ или „Неинсталиран“. Процесът на инсталиране, актуализиране или премахване на LSC може да отнеме много време. Когато процедурата за инсталиране на телефона е успешна, се показва съобщението |
802.1X удостоверяване за жични мрежи
Cisco Безжичен телефон 9821 поддържа 802.1X автентикация за жични мрежи. Това обикновено се използва при автоматично зареждане , когато телефонът е свързан към настолното зарядно чрез поддържан USB-to-Ethernet адаптер.
Поддръжката на 802.1X автентикация в жични мрежи изисква няколко компонента, както следва:
-
Cisco IP телефон: телефонът инициира искането за достъп до мрежата. Cisco IP телефоните съдържат 802.1X заявител. Този заявител позволява на мрежовите администратори да контролират свързаността на IP телефоните към портовете за превключватели на LAN. Текущата версия на 802.1X заявителя на телефона използва опциите за EAP-FAST и EAP-TLS за удостоверяване на мрежата.
-
Сървър за автентикация: Сървърът за автентикация и суичът трябва да бъдат конфигурирани с RADIUS споделена тайна.
-
Суич: Суичът трябва да поддържа 802.1X, за да може да действа като автентикатор и да предава EAP съобщенията между телефона и сървъра за автентикация. След като обменът приключи, превключвателят предоставя или отказва достъп на телефона до мрежата.
Cisco IP телефоните и превключвателите на Cisco Catalyst традиционно използват Cisco Discovery Protocol (CDP), за да се идентифицират взаимно и да определят параметри като разпределение на VLAN и изисквания за вградена мощност.
Трябва да изпълните следните действия, за да конфигурирате 802.1X.
-
Конфигурирайте CDP/LLDP глас VLAN заобикаляне.
-
Конфигурирайте сървъра за автентикация и суича преди да активирате 802.1X автентикация за жични мрежи на телефона.
-
Конфигуриране на гласов VLAN: тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
- Активирано: Ако използвате суич, който поддържа мултидомейн автентикация, можете да го конфигурирате да използва глас VLAN.
- Деактивирано: ако превключвателят не поддържа удостоверяване на множество домейни, деактивирайте гласовия VLAN и помислете за задаване на порта към присъщия VLAN.
-
Cisco Безжичният телефон 9821 има различен префикс в PID от този за другите Cisco телефони. За да позволите на телефона си да премине 802.1X автентикация, задайте Radius· Параметър за потребителско име, който включва вашия Cisco безжичен телефон 9821.
Например, PID на Cisco Wireless Phone 9821 е WP-9821. Можеш да зададеш Radius· Потребителско име да
започне с WPилисъдържа WPв двете от следните секции: -
Активирайте 802.1X автентикация за жични мрежи на телефона си
Следвайте тези стъпки, за да активирате 802.1X автентикация за жични мрежи на телефона си. Обърнете внимание, че 802.1X автентикацията за Wi-Fi е активирана по подразбиране и не изисква ръчна конфигурация.
| 1 |
Достъп до настройките |
| 2 |
Ако ви поискате, въведете паролата, за да влезете в менюто Настройки . Можеш да вземеш паролата от администратора си. |
| 3 |
Изберете . |
| 4 |
Маркирайте удостоверяване на устройството и натиснете On. |
Активирайте 802.1X автентикация за жични мрежи в Cisco Unified Communications Manager Administration
Следвайте тези стъпки, за да активирате 802.1X автентикация за жични мрежи на Cisco Unified CM. Обърнете внимание, че 802.1X автентикацията за Wi-Fi е активирана по подразбиране и не изисква ръчна конфигурация.
Можете да видите статуса на транзакцията и настройките за сигурност в менюто на екрана на телефона. За повече информация вижте менюто Настройки за сигурност на телефона.
| 1 |
В Cisco Unified Communications Manager Administration изберете Устройство > Телефон. |
| 2 |
Намерете телефона, който ще настроите. |
| 3 |
Навигирайте до зоната за конфигурация на продукта. |
| 4 |
Изберете Включено от падащото меню за автентикация 802.1x. Когато е конфигурирано на Включено или Изключено, опцията за удостоверяване на устройството на Cisco Wireless Phone 9821 става само за четене, което пречи на потребителите да променят настройките за удостоверяване на 802.1X. |
| 5 |
Изберете Запиши. |
| 6 |
Изберете Прилагане на конфигурацията. |
Меню за настройки за сигурност на телефона
За да видите информацията за настройките за сигурност от менюто на телефона, посетете Настройки
и изберете . Наличността на информацията зависи от мрежовите настройки във вашата организация.
|
Параметри |
Опции |
По подразбиране |
Описание |
|---|---|---|---|
|
Удостов. на у-вото |
На Изключено |
Изключено |
Активира или деактивира 802.1X автентикацията на телефона. Настройката на параметрите може да се запази след регистрацията на телефона Out-Of-Box (OOB). |
|
Съст. на транзакцията | Деактивирано |
Показва състоянието на 802.1X автентикация. Щатът може да бъде (без да се ограничава до):
| |
|
плотокол | Няма |
Показва метода EAP, който се използва за 802.1X автентикация. Протоколът може да бъде EAP-FAST или EAP-TLS. |
Настройте поддържаните версии на TLS
Можете да настроите минималната версия на TLS, необходима съответно за клиент и сървър.
По подразбиране минималната TLS версия на сървър и клиент е и двете 1.2. Обстановката оказва влияние върху следните функции:
- HTTPS връзка за уеб достъп
- Въвеждане на телефон на място
- HTTPS услуги, като например услугите на директорията
- Сигурността на транспортния слой на датаграми (DTLS)
- Обект за достъп до пристанище (PAE)
- Разширяем протокол за удостоверяване – Сигурността на транспортния слой (EAP-TLS)
За повече информация относно съвместимостта TLS 1.3 за Cisco IP Phones, вижте TLS 1.3 Матрица на съвместимост за продукти за сътрудничество Cisco.
| 1 |
В Cisco Unified Communications Manager Administration направете едно от следните действия при нужда:
Конфигурацията следва йерархична структура:
|
| 2 |
Настройте полето TLS Client Min Version : Опцията TLS 1.3 е налична на Cisco Unified CM 15SU2 или по-нова.
|
| 3 |
Настройте полето TLS Server Min Version :
|
| 4 |
Щракнете върху Запиши. |
| 5 |
Кликнете на Apply Config. |
| 6 |
Рестартирай телефоните. |
TURN изключен високоговорител и слушалки на Cisco Безжичен телефон 9821
Имате възможност да изключите постоянно TURN от високоговорителя и слушалките на Cisco Wireless Phone 9821 за вашия потребител. Изключването на тези аудио изходи гарантира, че разговорите не се чуват от други наблизо, което е важно в споделени или отворени офисни среди.
| 1 |
В Cisco Unified Communications Manager Administration изберете . |
| 2 |
Намерете телефона, който ще настроите. |
| 3 |
Навигирайте до зоната за конфигурация на продукта. |
| 4 |
Отбележете една или повече от следните квадратчета, за да отключите TURN възможностите на телефона:
По подразбиране тези отметки не са отметнати. |
| 5 |
Изберете Запиши. |
| 6 |
Изберете Прилагане на конфигурацията. |
