- Domů
- /
- Článek
Tento článek nápovědy je pro Cisco Wireless Phone 9821 registrovaný na Cisco Unified Communications Manager (Unified CM).
Můžete povolit Cisco Unified Communications Manager (Unified CM) pro provoz v prostředí rozšířeného zabezpečení. Díky těmto vylepšením funguje vaše telefonní síť pod přísnou kontrolou zabezpečení a řízení rizik, která chrání vás i vaše uživatele.
Vylepšené prostředí zabezpečení zahrnuje následující funkce:
-
Ověření vyhledávání kontaktů
-
TCP jako výchozí protokol pro protokolování vzdáleného auditu
-
Vylepšené zásady pověření
-
Podpora rodiny hashů SHA-2 pro digitální podpisy
-
Podpora velikosti klíče RSA až 4096 bitů
S Cisco Unified CM Release 14.0 nebo novější telefony podporují ověřování SIP OAuth.
Protokol OAuth se podporuje pro protokol Proxy Trivial File Transfer Protocol (TFTP) s Cisco Unified CM Release 14.0 (1) SU1 nebo novějším.
Další informace o zabezpečení naleznete v následujících příručkách:
-
Příručka ke konfiguraci systému pro Cisco Unified Communications Manager, verzi 15 a SU
-
Průvodce zabezpečením pro Cisco Unified Communications Manager, verzi 15 a SU
Telefon může uložit pouze omezený počet souborů ITL (Identity Trust List). Soubory ITL nemohou v telefonu překročit 64 kB, takže omezte počet souborů, které Cisco Unified CM odesílá do telefonu.
Podporované funkce zabezpečení
Funkce zabezpečení chrání před hrozbami, včetně ohrožení identity telefonu a dat. Tyto funkce vytvářejí a udržují ověřené komunikační toky mezi telefonem a serverem systému Cisco Unified Communications Manager. Zajišťují, že telefon používá pouze digitálně podepsané soubory.
Systém Cisco Unified Communications Manager verze 8.5(1) a novější obsahuje funkci Zabezpečení ve výchozím nastavení, která poskytuje následující funkce zabezpečení pro Cisco IP telefony bez spuštění klienta CTL:
-
Podepisování konfiguračních souborů telefonu
-
Šifrování konfiguračního souboru telefonu
-
HTTPS s Tomcatem a dalšími webovými službami
Zabezpečené funkce signalizace a médií stále vyžadují spuštění klienta CTL a použití hardwarových eTokenů.
Implementace zabezpečení v systému Cisco Unified Communications Manager zabraňuje krádeži identity telefonu a serveru systému Cisco Unified Communications Manager, zabraňuje manipulaci s daty i se signalizací hovorů a datovým tokem média.
Pro zmírnění těchto hrozeb síť IP telefonie Cisco vytváří a udržuje zabezpečené (šifrované) komunikační toky mezi telefonem a serverem, digitálně podepisuje soubory před jejich přenosem do telefonu a šifruje datové toky médii i signalizaci hovorů mezi Cisco IP telefony.
Certifikát s místní platností (LSC) se do telefonů nainstaluje po provedení nezbytných úloh, které souvisejí se službou Certificate Authority Proxy Function (CAPF). Pomocí Cisco Unified Communications Manager Administration můžete nakonfigurovat LSC, jak je popsáno v příručce Cisco Unified Communications Manager Security Guide. Případně můžete zahájit instalaci LSC z nabídky Zabezpečení v telefonu. Tato nabídka také umožňuje aktualizovat nebo odebrat certifikát LSC.
Telefony používají profil zabezpečení telefonu, který určuje, zda je zařízení nezabezpečené nebo zabezpečené. Informace o použití profilu zabezpečení v telefonu naleznete v dokumentaci k příslušné vydané verzi systému Cisco Unified Communications Manager.
Pokud konfigurujete nastavení související se zabezpečením ve správě systému Cisco Unified Communications Manager, obsahuje konfigurační soubor telefonu citlivé informace. Pokud chcete zajistit ochranu soukromí konfiguračního souboru, musíte jej nakonfigurovat pro šifrování. Podrobné informace naleznete v dokumentaci ke konkrétní verzi systému Cisco Unified Communications Manager.
Následující tabulka obsahuje přehled vlastností zabezpečení, které telefony podporují. Další informace naleznete v dokumentaci ke konkrétní verzi aplikace Cisco Unified Communications Manager.
|
Funkce |
Popis |
|---|---|
|
Ověřování obrazů |
Podepsané binární soubory zabraňují manipulaci s obrazem firmwaru před jeho nahráním do telefonu. Manipulace s obrazem způsobí, že telefon nedokončí proces ověřování a odmítne nový obraz. |
|
Instalace certifikátu u zákazníka |
Každý Cisco IP telefon vyžaduje pro ověření zařízení jedinečný certifikát. Telefony obsahují certifikát nainstalovaný z výroby (MIC), ale pro zvýšení zabezpečení můžete instalaci certifikátu zadat v systému Cisco Unified Communications Manager pomocí služby CAPF (Certificate Authority Proxy Function). Případně můžete nainstalovat Locally Significant Certificate (LSC) z nabídky Zabezpečení v telefonu. |
|
Ověření zařízení |
Probíhá mezi serverem systému Cisco Unified Communications Manager a telefonem, když každá entita přijme certifikát druhé entity. Určí, zda má dojít k zabezpečenému spojení mezi telefonem a systémem Cisco Unified Communications Manager. V případě potřeby vytvoří zabezpečenou signalizační cestu mezi entitami pomocí protokolu TLS. Systém Cisco Unified Communications Manager nezaregistruje telefony, pokud je nemůže ověřit. |
|
Ověření souboru |
Ověřuje digitálně podepsané soubory, které telefon stahuje. Telefon ověří platnost podpisu, aby se ujistil, že nedošlo k manipulaci se souborem po jeho vytvoření. Soubory, které neprojdou ověřením, se nezapisují do paměti flash v telefonu. Telefon takové soubory odmítne bez dalšího zpracování. |
|
Šifrování souboru |
Šifrování zabraňuje odhalení citlivých informací během přenosu souboru do telefonu. Kromě toho telefon ověřuje platnost podpisu, aby se ujistil, že po vytvoření souboru nedošlo k manipulaci s ním. Soubory, které neprojdou ověřením, se nezapisují do paměti flash v telefonu. Telefon takové soubory odmítne bez dalšího zpracování. |
|
Ověření signalizace |
Používá protokol TLS k ověření, že během přenosu nedošlo k manipulaci se signalizačními pakety. |
|
Certifikát instalovaný ve výrobě |
Každý Cisco IP telefon obsahuje jedinečný certifikát instalovaný ve výrobě (MIC), který se používá k ověření zařízení. MIC poskytuje trvalý a jedinečný důkaz identity telefonu a umožňuje systému Cisco Unified Communications Manager ověřit telefon. |
|
Šifrování médií |
Používá protokol SRTP, který zajišťuje, že datové toky médií mezi podporovanými zařízeními jsou zabezpečené a že data přijímá a čte pouze určené zařízení. Zahrnuje vytvoření páru primárních klíčů médií pro zařízení, doručení klíčů do zařízení a zabezpečení doručení klíčů během jejich přenosu. |
|
Certifikát CAPF (Certificate Authority Proxy Function) |
Realizuje části postupu generování certifikátu, které jsou pro telefon příliš náročné na zpracování. Spolupracuje s telefonem při generování klíče a instalaci certifikátu. CAPF lze nakonfigurovat tak, aby jménem telefonu žádal o certifikáty od certifikačních autorit zadaných zákazníkem, nebo jej lze nakonfigurovat tak, aby generoval certifikáty lokálně. Podporovány jsou oba typy kláves EC (Eliptická křivka) i RSA. Chcete-li použít klíč EC, ujistěte se, že je povolen parametr "Podpora pokročilých šifrovacích algoritmů koncového bodu" (z Enterprise). Další informace o CAPF a souvisejících konfiguracích naleznete v následujících dokumentech: |
|
Profil zabezpečení |
Určuje, zda je telefon nezabezpečený, ověřený, šifrovaný nebo chráněný. Další položky v této tabulce popisují funkce zabezpečení. |
|
Šifrované konfigurační soubory |
Umožňuje zajistit soukromí konfiguračních souborů telefonu. |
|
Volitelný zákaz webového serveru telefonu |
Z bezpečnostních důvodů můžete zakázat přístup k webovým stránkám telefonu (které zobrazují různé provozní statistiky telefonu) a samoobslužnému portálu. |
|
Zvýšení zabezpečení telefonu |
Další možnosti zabezpečení, které můžete ovládat ze správy systému Cisco Unified Communications Manager:
|
|
Zabezpečené převzetí služeb při selhání protokolu SIP pro SRST |
Po konfiguraci reference SRST (Survivable Remote Site Telephony) pro zabezpečení a následném obnovení závislých zařízení ve správě systému Cisco Unified Communications Manager přidá server TFTP certifikát SRST do souboru cnf.xml telefonu a odešle soubor do telefonu. Zabezpečený telefon pak ke komunikaci se směrovačem s podporou SRST používá připojení TLS. |
|
Šifrování signalizace |
Zajišťuje, aby všechny zprávy signalizace SIP odesílané mezi zařízením a serverem systému Cisco Unified Communications Manager byly šifrovány. |
|
Varování aktualizace seznamu důvěryhodných certifikátů |
Při aktualizaci seznamu důvěryhodných certifikátů v telefonu obdrží systém Cisco Unified Communications Manager varování, které informuje o úspěšné nebo neúspěšné aktualizaci. Další informace naleznete v následující tabulce. |
|
Šifrování AES 256 |
Při připojení k systému Cisco Unified Communications Manager verze 10.5(2) a novější podporují telefony šifrování AES 256 pro TLS a protokol SIP pro šifrování signalizace a médií. To umožňuje telefonům navazovat a podporovat připojení TLS 1.2 pomocí šifrování založeném na AES-256, které odpovídají standardům SHA-2 (Secure Hash Algorithm) a jsou v souladu s federálními standardy pro zpracování informací (FIPS). Šifry zahrnují:
Další informace viz dokumentace k Cisco Unified Communications Manager. |
|
Certifikáty ECDSA (Elliptic Curve Digital Signature Algorithm) |
V rámci certifikace Common Criteria (CC) přidal systém Cisco Unified Communications Manager ve verzi 11.0 certifikáty ECDSA. To se týká všech produktů VOS (Voice Operating System) se systémem CUCM 11.5 a novějšími verzemi. |
|
Certifikát Tomcat na více serverech (SAN) s Cisco UCM | Telefon podporuje Cisco UCM s nakonfigurovanými certifikáty Tomcat pro více serverů (SAN). Správnou adresu TFTP serveru naleznete v souboru ITL telefonu pro registraci telefonu. Další informace o této funkci naleznete v následujících tématech: |
Následující tabulka obsahuje zprávy varování o aktualizaci seznamu důvěryhodných certifikátů a jejich význam. Další informace viz dokumentace k Cisco Unified Communications Manager.
| Kód a zpráva | Popis |
|---|---|
|
1 - TL_SUCCESS |
Přijatý nový CTL a/nebo ITL |
|
2 - CTL_INITIAL_SUCCESS |
Přijatý nový CTL, žádný stávající TL |
|
3 - ITL_INITIAL_SUCCESS |
Přijatý nový ITL, žádný stávající TL |
|
4 - TL_INITIAL_SUCCESS |
Přijatý nový CTL a ITL, žádný stávající TL |
|
5 - TL_FAILED_OLD_CTL |
Aktualizace na nové CTL se nezdařila, ale existuje předchozí TL |
|
6 - TL_FAILED_NO_TL |
Aktualizace na nový TL se nezdařila a neexistuje žádný starý TL |
|
7 - TL_FAILED |
Obecná chyba |
|
8 - TL_FAILED_OLD_ITL |
Aktualizace na nové ITL se nezdařila, ale existuje předchozí TL |
|
9 - TL_FAILED_OLD_TL |
Aktualizace na nové TL se nezdařila, ale existuje předchozí TL |
Zabezpečení telefonních hovorů
Pokud je pro telefon implementováno zabezpečení, můžete zabezpečené telefonní hovory identifikovat podle ikon na obrazovce telefonu. Pokud se na začátku hovoru ozve bezpečnostní tón, znamená to, že je připojený telefon zabezpečený a chráněný.
Během zabezpečeného hovoru jsou všechny signály hovoru a datové toky médií šifrovány. Zabezpečený hovor nabízí vysokou úroveň zabezpečení a zajišťuje integritu i soukromí hovoru. Když je probíhající hovor šifrovaný, zobrazí se ikona zabezpečení
Na lince.
-
Pokud je hovor směrován přes jiné části hovoru než IP, například přes PSTN, může být hovor nezabezpečený, i když je v síti IP šifrován a je k němu přiřazena ikona zámku.
-
Zabezpečené volání je podporováno pouze pro spojení mezi dvěma telefony. Některé funkce, například konferenční volání a sdílené linky, nejsou při konfiguraci zabezpečeného volání dostupné.
V Cisco Unified Communications Manager lze telefonům nakonfigurovaným jako zabezpečené (šifrované a důvěryhodné) přiřadit chráněný stav. Jakmile jsou tato zařízení chráněna, lze je nakonfigurovat tak, aby na začátku každého hovoru přehrála tón zabezpečení.
-
Chráněné zařízení:
Chcete-li změnit stav zabezpečeného telefonu na chráněný, postupujte takto:
- V Cisco Unified Communications Manager Administration vyberte .
- Vyhledejte telefon, který nastavíte.
- V okně Konfigurace telefonu zaškrtněte políčko Chráněné zařízení .
- Klikněte na položku Uložit.
-
Přehrát zabezpečený indikační tón:
Chcete-li, aby chráněný telefon přehrával zabezpečený nebo nezabezpečený indikační tón, postupujte takto:
- V Cisco Unified Communications Manager Administration vyberte služby.
- Vyberte server a pak službu Cisco CallManager .
- V oblasti Parametry (funkce - Zabezpečený tón) na úrovni klastru nastavte tón přehrávání na indikaci stavu zabezpečeného/nezabezpečeného hovoru na hodnotu True.
- Klikněte na položku Uložit.
Bezpečná identifikace konferenčního hovoru
Můžete zahájit zabezpečený konferenční hovor a sledovat úroveň zabezpečení účastníků. Postup vytvoření zabezpečeného konferenčního hovoru:
-
Uživatel zahájí konferenci ze zabezpečeného telefonu.
-
Systém Cisco Unified Communications Manager přiřadí hovoru zabezpečený konferenční most.
-
Při přidávání účastníků ověřuje systém Cisco Unified Communications Manager bezpečnostní režim každého telefonu a udržuje úroveň zabezpečení konference.
-
Telefon zobrazí úroveň zabezpečení konferenčního hovoru. Zabezpečená konference zobrazuje ikonu zabezpečení
.
Mezi dvěma telefony je podporováno zabezpečené volání. U chráněných telefonů nejsou při konfiguraci zabezpečeného hovoru dostupné některé funkce, například konferenční hovory, sdílené linky a Extension Mobility.
V následující tabulce jsou uvedeny informace o změnách úrovní zabezpečení konference v závislosti na úrovni zabezpečení telefonu iniciátora, úrovních zabezpečení účastníků a dostupnosti zabezpečených konferenčních mostů.
|
Úroveň zabezpečení telefonu iniciátora |
Použitá funkce |
Úroveň zabezpečení účastníků |
Výsledky akce |
|---|---|---|---|
|
Nezabezpečené |
Konference |
Zabezpečené |
Nezabezpečený konferenční most Nezabezpečená konference |
|
Zabezpečené |
Konference |
Alespoň jeden člen je nezabezpečený. |
Zabezpečený konferenční most Nezabezpečená konference |
|
Zabezpečené |
Konference |
Zabezpečené |
Zabezpečený konferenční most Zabezpečená šifrovaná konference |
|
Nezabezpečené |
Meet Me |
Minimální úroveň zabezpečení je šifrovaná. |
Iniciátor obdrží tón opětovného pořadí. |
|
Zabezpečené |
Meet Me |
Minimální úroveň zabezpečení je nezabezpečená. |
Zabezpečený konferenční most Konference přijímá všechny hovory. |
Identifikace zabezpečených telefonních hovorů
Zabezpečený hovor je navázán, pokud je váš telefon i telefon na druhé straně nakonfigurován pro zabezpečené hovory. Druhý telefon může být ve stejné síti Cisco IP nebo v síti mimo síť IP. Zabezpečené hovory lze uskutečnit pouze mezi dvěma telefony. Konferenční hovory by měly podporovat zabezpečený hovor po nastavení zabezpečeného konferenčního mostu.
Postup vytvoření zabezpečeného hovoru:
-
Uživatel iniciuje hovor ze zabezpečeného telefonu (bezpečnostní režim).
-
Na telefonu se zobrazí ikona zabezpečení
Na displeji telefonu. Tato ikona označuje, že telefon je nakonfigurován pro zabezpečené hovory, ale neznamená to, že je zabezpečen i druhý připojený telefon. -
Pokud se hovor spojí s jiným zabezpečeným telefonem, uslyší uživatel tón zabezpečení. To znamená, že obě strany hovoru jsou šifrovány a zabezpečeny. Pokud se hovor spojí s nezabezpečeným telefonem, uživatel tón zabezpečení neuslyší.
Mezi dvěma telefony je podporováno zabezpečené volání. U chráněných telefonů nejsou při konfiguraci zabezpečeného hovoru dostupné některé funkce, například konferenční hovory, sdílené linky a Extension Mobility.
Tyto tóny upozornění na zabezpečený nebo nezabezpečený hovor se přehrávají pouze na chráněných telefonech. Nechráněné telefony tóny nikdy nepřehrávají. Pokud se během hovoru změní celkový stav hovoru, změní se tón upozornění. Chráněný telefon přehraje příslušný tón.
Když je možnost Přehrát tón pro indikaci stavu zabezpečeného/nezabezpečeného hovoru nastavena na hodnotu True:
-
Když je navázáno kompletně zabezpečené médium a stav hovoru je zabezpečený, telefon přehraje tón upozornění na zabezpečený hovor (tři dlouhá pípnutí s pauzami).
-
Když je navázáno nezabezpečené médium a stav hovoru je nezabezpečený, telefon přehraje tón upozornění na nezabezpečený hovor (šest krátkých pípnutí s krátkými pauzami).
Pokud je možnost Přehrát tón pro indikaci stavu zabezpečeného/nezabezpečeného hovoru nastavena na hodnotu False, tón se nepřehraje.
Poskytněte šifrování pro člun
Cisco Unified Communications Manager kontroluje stav zabezpečení telefonu při navazování konferencí a mění bezpečnostní indikaci konference nebo blokuje dokončení hovoru, aby byla zachována integrita a bezpečnost v systému.
Uživatel se nemůže připojit k šifrovanému hovoru, pokud telefon, který se používá k přistoupení, není nakonfigurován pro šifrování. Pokud v tomto případě člun selže, přehraje se na telefonu, ve kterém byl člun iniciován, tón změny pořadí (rychlé obsazení).
Pokud je telefon iniciátoru nakonfigurován pro šifrování, může iniciátor člunu vstoupit do nezabezpečeného hovoru ze šifrovaného telefonu. Poté, co dojde k člunu, Cisco Unified Communications Manager klasifikuje hovor jako nezabezpečený.
Pokud je telefon iniciátoru nakonfigurován pro šifrování, může iniciátor člunu vstoupit do šifrovaného hovoru a telefon indikuje, že hovor je šifrovaný.
Zabezpečení bezdrátové sítě LAN
Protože všechna zařízení WLAN, která jsou v dosahu, mohou přijímat veškerý ostatní provoz WLAN, je zabezpečení hlasové komunikace v sítích WLAN velmi důležité. Aby bylo zajištěno, že vetřelci nebudou manipulovat ani zachycovat hlasový provoz, architektura Cisco SAFE Security podporuje telefon. Další informace o zabezpečení v sítích naleznete v tématu http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Telefonní řešení Cisco Wireless IP poskytuje zabezpečení bezdrátové sítě, které zabraňuje neoprávněným přihlášením a narušené komunikaci pomocí následujících metod ověřování, které telefon podporuje.
-
Otevřené ověření: V otevřeném systému může o ověření požádat jakékoli bezdrátové zařízení. Přístupový bod, který obdrží požadavek, může povolit ověření libovolnému žadateli nebo pouze žadatelům, kteří se nacházejí v seznamu uživatelů. Komunikace mezi bezdrátovým zařízením a přístupovým bodem (AP) může být nešifrovaná.
-
Flexibilní ověřování pomocí zabezpečeného tunelového propojení (EAP-FAST): Tato architektura zabezpečení klient-server šifruje EAP transakce v tunelovém propojení TLS (Transport Level Security) mezi přístupovým bodem a serverem RADIUS, jako je například Identity Services Engine (ISE).
Tunel TLS používá k ověřování mezi klientem (telefonem) serverem RADIUS chráněná pověření (PAC). Server odešle ID autority (AID) klientovi (telefonu), který následně vybere příslušné pověření PAC. Klient (telefon) vrátí serveru RADIUS zprávu PAC-Opaque. Server dešifruje pověření PAC pomocí primárního klíče. Oba koncové body nyní obsahují klíč PAC a dojde k vytvoření tunelu TLS. Ověření EAP-FAST podporuje automatické poskytování pověření PAC, ale je nutné jej povolit na serveru RADIUS.
V ISE ve výchozím nastavení vyprší platnost PAC za jeden týden. Pokud má telefon neplatné pověření PAC, ověření pomocí serveru RADIUS potrvá déle, než telefon získá nové pověření PAC. Pokud chcete předejít zpoždění při poskytování pověření PAC, nastavte na serveru ISE nebo RADIUS dobu platnosti pověření PAC na 90 dní nebo delší.
-
Ověření EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Zabezpečení EAP-TLS vyžaduje pro ověření a přístup k síti klientský certifikát. Pro bezdrátový EAP-TLS může být klientský certifikát MIC, LSC, nebo certifikát nainstalovaný uživatelem.
-
PEAP (Protected Extensible Authentication Protocol): Proprietární schéma vzájemného ověřování založené na hesle mezi klientem (telefonem) a serverem RADIUS. Telefon může použít PEAP pro ověření v bezdrátové síti. Podporovány jsou metody ověření PEAP-MSCHAPV2 i PEAP-GTC.
-
Předsdílený klíč (PSK): Telefon podporuje formáty ASCII a šestnáctkové formáty (HEX). Tyto formáty je nutné použít při nastavování předsdíleného klíče WPA2/SAE.
ASCII: Řetězec znaků ASCII s délkou 8 až 63 znaků (0-9, malá písmena a-z, velká písmena A-Z a speciální znaky). Například
GREG123567@9ZX&W.HEX: Hexadecimální znakový řetězec s délkou 64 hexadecimálních číslic (0-9, a-f nebo A-F).
Následující schémata ověření používají ke správě ověřovacích klíčů server RADIUS:
-
WPA2/WPA3: Používá informace serveru RADIUS ke generování jedinečných klíčů pro ověření. Protože jsou tyto klíče generovány na centralizovaném serveru RADIUS, poskytuje WPA2/WPA3 vyšší zabezpečení než předsdílený klíč WPA, který je uložen na přístupovém bodu a v telefonu.
-
Rychlý zabezpečený roaming: Ke správě a ověřování klíčů používá server RADIUS a informace serveru bezdrátové domény (WDS). Služba WDS vytvoří mezipaměť s pověřeními zabezpečení pro klientská zařízení s povoleným protokolem FT pro rychlé a bezpečné opětovné ověření.
U WPA2/WPA3 se šifrovací klíče nezadávají do telefonu, ale jsou automaticky odvozeny mezi přístupovým bodem a telefonem. Uživatelské jméno a heslo EAP, které se používají pro ověření, však musí být zadány v každém telefonu.
Z důvodu ochrany hlasového provozu prostřednictvím bezdrátového spojení podporuje telefon šifrování založené na AES pro ověřování WPA2/WPA3. AES je symetrická bloková šifra standardizovaná NIST. AES používá pevnou velikost bloku 128 bitů a podporuje velikosti klíčů 128 bitů, 192 bitů a 256 bitů. V sítích Wi-Fi je AES používán šifrovacími sadami, jako je CCMP nebo GCMP, zatímco ověřování je poskytováno odděleně PSK, SAE nebo 802.1X/EAP, v závislosti na nakonfigurovaném režimu zabezpečení WLAN. Podporovaná šifrovací sada a velikost klíče závisí na modelu telefonu a konfiguraci WLAN.
Pokud telefon používá šifrování AES, jsou mezi přístupovým bodem a telefonem šifrovány jak signalizační pakety SIP, tak hlasové pakety protokolu RTP (Real-Time Transport Protocol).
V rámci bezdrátové sítě LAN jsou nastavena schémata ověření a šifrování. Sítě VLAN jsou konfigurovány v síti a na přístupových bodech a určují různé kombinace ověřování a šifrování. Identifikátor SSID je spojen se sítí VLAN a konkrétním schématem ověření a šifrování. Aby bylo možné úspěšně ověřit klientská zařízení bezdrátové sítě, je nutné nakonfigurovat stejné identifikátory SSID s jejich schématy ověřování a šifrování v přístupových bodech a v telefonu.
Některá schémata ověření vyžadují specifické typy šifrování.
Používáte-li předsdílený klíč WPA2 nebo SAE, musí být předsdílený klíč v telefonu staticky nastaven. Tyto klíče se musí shodovat s klíči, které se nacházejí na přístupovém bodu.
Schémata ověřování a šifrování v následující tabulce zobrazují možnosti konfigurace sítě pro Cisco Wireless Phone 9821, který odpovídá konfiguraci přístupového bodu.
| FSR Typ | Ověřování | Správa klíče | Šifrování | Chráněný rámec pro správu (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Ne |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Ano |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ano |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ano |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ano |
| Jiné než FT | Apartmá-B | WPA-EAP-SUITE-B | GCMP | Ano |
| Jiné než FT | Apartmá-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Ano |
Nastavení profilu Wi-Fi
Můžete nakonfigurovat profil Wi-Fi a přiřadit jej k Cisco bezdrátovému telefonu 9821. Tento profil obsahuje potřebné parametry pro to, aby telefon navázal Wi-Fi spojení a následně se zaregistroval u Cisco Unified CM. Když vytvoříte a použijete profil Wi-Fi, nemusíte vy ani vaši uživatelé konfigurovat bezdrátovou síť pro jednotlivé telefony.
Doporučujeme používat zabezpečený profil se zapnutým šifrováním TFTP na ochranu klíčů a hesel při použití profilu Wi-Fi.
Telefony podporují jeden certifikát serveru na každou metodu instalace (ruční, SCEP nebo TFTP).
Před konfigurací profilu WLAN nezapomeňte na následující:
-
Uživatelské jméno a heslo
-
Pokud síť používá pro ověřování uživatelů protokoly EAP-FAST a PEAP, je třeba ve službě RADIUS (Remote Authentication Dial-In User Service) i v telefonu nakonfigurovat uživatelské jméno a heslo, pokud jsou vyžadovány.
- Pověření zadaná v profilu bezdrátové sítě LAN musí být shodná s pověřeními nakonfigurovanými na serveru RADIUS.
-
Pokud v síti používáte domény, musíte zadat uživatelské jméno s názvem domény ve formátu:
domain\username.
-
-
Následující akce mohou vést k vymazání stávajícího hesla Wi-Fi:
- Zadání neplatného uživatelského jména nebo hesla.
- Instalace neplatné nebo prošlé kořenové certifikační autority, když je typ EAP nastaven na PEAP-MSCHAPV2 nebo PEAP-GTC.
- Zakázání používaného typu EAP na serveru RADIUS před přepnutím telefonu na nový typ EAP.
- Pokud chcete změnit typ EAP, nejprve povolte nový typ EAP na serveru RADIUS a poté přepněte telefon na tento typ EAP. Po změně všech telefonů na nový typ EAP můžete předchozí typ EAP zakázat, pokud chcete.
| 1 |
Ve správě systému Cisco Unified Communications Manager vyberte možnost . |
| 2 |
Klikněte na tlačítko Přidat nový. |
| 3 |
V části Informace o profilu bezdrátové sítě LAN nastavte parametry:
|
| 4 |
V části Wireless Settings (Nastavení bezdrátového připojení) nastavte parametry:
|
| 5 |
V části Nastavení ověřování nastavte metodu ověřování na jednu z těchto metod ověřování: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK a Žádná. Cisco Wireless Phone 9821 nepodporuje WEP. Po nastavení tohoto pole se mohou zobrazit další pole, která je třeba nastavit.
Cisco Bezdrátový telefon 9821 nepodporuje pole Profil přístupu k síti. |
| 6 |
Klikněte na položku Uložit. |
Další postup
Vytvořte vazbu profilu bezdrátové sítě LAN ke skupině profilů WLAN a potom použijte skupinu profilů WLAN pro fond zařízení ( zařízení) nebo přímo pro telefon ().
Instalace certifikátu uživatele z webové stránky správy telefonu
Pokud není k dispozici protokol SCEP (Simple Certificate Enrollment Protocol), můžete do telefonu ručně nainstalovat certifikát uživatele.
Předinstalovaný certifikát MIC (Manufacturing Installed Certificate) lze použít jako uživatelský certifikát pro EAP-TLS.
Po instalaci certifikátu uživatele je třeba přidat řetěz certifikační autority, která certifikát uživatele vystavila, do seznamu důvěryhodných certifikátů serveru RADIUS.
Než začnete
Před instalací uživatelského certifikátu pro telefon musíte mít:
-
Uživatelský certifikát uložený v počítači. Certifikát musí být ve formátu PKCS #12.
-
Heslo pro výpis certifikátu. Heslo nesmí být delší než 32 znaků.
| 1 |
Na webové stránce správy telefonu vyberte možnost Certifikáty. |
| 2 |
Vyhledejte pole Nainstalovaný uživatel a klikněte na tlačítko Instalovat. |
| 3 |
Vyhledejte certifikát v počítači. |
| 4 |
Do pole Extrahovat heslo zadejte heslo pro extrakci certifikátu. |
| 5 |
Klikněte na tlačítko Nahrát. |
| 6 |
Po dokončení nahrávání restartujte telefon. |
Instalace certifikační autority ověřovacího serveru z webové stránky správy telefonu
Pokud není k dispozici protokol SCEP (Simple Certificate Enrollment Protocol), můžete do telefonu ručně nainstalovat certifikační autoritu ověřovacího serveru.
Musí být nainstalován certifikát kořenové certifikační autority, který vystavil certifikát serveru RADIUS.
Než začnete
Před instalací certifikátu do telefonu musíte mít v počítači uloženou certifikační autoritu ověřovacího serveru. Certifikát musí být kódován ve formátu PEM (Base-64) nebo DER.
| 1 |
Na webové stránce správy telefonu vyberte možnost Certifikáty. |
| 2 |
Vyhledejte pole Ověřovací server certifikační autority a klikněte na tlačítko Instalovat. |
| 3 |
Vyhledejte certifikát v počítači. |
| 4 |
Klikněte na tlačítko Nahrát. |
| 5 |
Po dokončení nahrávání restartujte telefon. |
Ruční odebrání certifikátu zabezpečení z webové stránky správy telefonu
Pokud není dostupný protokol SCEP (Simple Certificate Enrollment Protocol), můžete certifikát zabezpečení z telefonu odebrat ručně.
| 1 |
Na webové stránce správy telefonu vyberte možnost Certifikáty. |
| 2 |
Vyhledejte certifikát na stránce Certifikáty. |
| 3 |
Klikněte na tlačítko Odstranit. |
| 4 |
Po dokončení procesu odstranění restartujte telefon. |
Nastavení protokolu SCEP
Protokol SCEP (Simple Certificate Enrollment Protocol) je standardem pro automatické poskytování a obnovování certifikátů. Vyhnete se tak ruční instalaci certifikátů do telefonů.
Aktivace konfiguračních parametrů specifických pro produkt SCEP
V Cisco Unified Communications Manager (Unified CM) je nutné nakonfigurovat následující parametry SCEP.
-
RA IP adresa nebo název hostitele
-
Otisk SHA-1 nebo SHA-256 kořenového certifikátu certifikační autority pro server SCEP
Registrační autorita (RA) systému Cisco IOS slouží jako proxy serveru SCEP. Klient SCEP v telefonu používá parametry stažené z Cisco Unified CM. Po nakonfigurování parametrů telefon odešle požadavek SCEP getcs na RA a certifikát kořenové CA je ověřen pomocí definovaného otisku prstu.
| 1 |
Z Cisco Unified Communications Manager Administration vyberte . |
| 2 |
Vyhledejte telefon. |
| 3 |
Přejděte do oblasti Rozložení konfigurace specifické pro produkt. |
| 4 |
Zaškrtnutím políčka WLAN SCEP Server aktivujete parametr SCEP. |
| 5 |
Zaškrtnutím políčka WLAN Fingerprint kořenové certifikační autority (SHA256 nebo SHA1) aktivujte parametr SCEP QED. |
Podpora serveru SCEP
Pokud používáte server SCEP (Simple Certificate Enrollment Protocol), může server automaticky udržovat vaše uživatelské certifikáty a certifikáty serveru. Na serveru SCEP nakonfigurujte registračního agenta (RA) SCEP tak, aby:
-
Fungoval jako důvěryhodný bod PKI
-
Fungoval jako registrační agent PKI
-
Prováděl ověření zařízení pomocí serveru RADIUS
Další informace naleznete v dokumentaci serveru SCEP.
Nastavení certifikátu s místní platností (LSC)
Existuje několik způsobů, jak nainstalovat LSC. Tato ukázková úloha se týká nastavení LSC s metodou ověřovacího řetězce v Cisco bezdrátovém telefonu 9821.
Než začnete
Ujistěte se, že jsou dokončeny příslušné konfigurace zabezpečení Cisco Unified CM a certificate authority proxy function (CAPF).
-
Soubor CTL nebo ITL obsahuje certifikát CAPF.
-
Ve správě operačního systému Cisco Unified Communications ověřte, zda je certifikát CAPF nainstalován.
-
Certifikát CAPF je spuštěn a nakonfigurován.
Další informace o těchto nastaveních naleznete v dokumentaci ke konkrétnímu vydání Cisco Unified CM.
| 1 |
Získejte ověřovací řetězec CAPF, který byl nastaven při konfiguraci CAPF. |
| 2 |
Na telefonu otevřete Nastavení |
| 3 |
Vyberte . |
| 4 |
Zadejte ověřovací řetězec. |
| 5 |
Stiskněte Více Telefon začne instalovat, aktualizovat nebo odebírat certifikát LSC v závislosti na tom, jak je nakonfigurována služba CAPF. Po dokončení postupu se na displeji telefonu zobrazí zpráva Nainstalováno nebo Nenainstalováno. Proces instalace, aktualizace nebo odstranění certifikátu LSC může trvat delší dobu. Po úspěšné instalaci na telefon se zobrazí zpráva |
Ověřování 802.1X pro kabelové sítě
Cisco Wireless Phone 9821 podporuje ověřování 802.1X pro kabelové sítě. Obvykle se používá při automatickém zřizování, když je telefon připojen k nabíječce stolního počítače prostřednictvím podporovaného adaptéru USB-Ethernet.
Podpora ověřování 802.1X v kabelových sítích vyžaduje několik následujících součástí:
-
Cisco IP telefon: Telefon iniciuje požadavek na přístup k síti. Cisco IP telefony obsahují žádající port 802.1X. Tento žádající port umožňuje správcům sítě řídit připojení IP telefonů k portům přepínače LAN. Aktuální verze žádajícího portu telefonu 802.1X používá pro ověřování sítě možnosti EAP-FAST a EAP-TLS.
-
Ověřovací server: Ověřovací server i přepínač musí být nakonfigurované se sdíleným tajným klíčem RADIUS.
-
Přepínač: Přepínač musí podporovat standard 802.1X, aby mohl fungovat jako ověřovatel a přenášet zprávy EAP mezi telefonem a ověřovacím serverem. Po dokončení výměny přepínač povolí nebo zamítne přístup telefonu k síti.
Cisco IP telefony a přepínače Cisco Catalyst obvykle používají protokol CDP (Cisco Discovery Protocol) ke vzájemné identifikaci a určení parametrů, jako je přidělení VLAN a požadavky na napájení v síti.
Pro konfiguraci protokolu 802.1X je třeba provést následující akce.
-
Nakonfigurujte CDP/LLDP hlasový VLAN bypass.
-
Před povolením ověřování 802.1X pro kabelové sítě v telefonu nakonfigurujte ověřovací server a přepínač.
-
Konfigurace hlasové sítě VLAN: Protože standard 802.1X nepočítá se sítí VLAN, měli byste toto nastavení nakonfigurovat na základě podpory přepínače.
- Povoleno: Pokud používáte přepínač, který podporuje ověřování více domén, můžete ho nakonfigurovat tak, aby používal hlasovou VLAN.
- Zakázáno: Pokud přepínač nepodporuje vícedoménové ověřování, zakažte hlasovou síť VLAN a zvažte přiřazení portu k nativní síti VLAN.
-
Cisco Wireless Phone 9821 má v PID jinou předponu než u ostatních Cisco telefonů. Chcete-li, aby telefon prošel ověřováním 802.1X, nastavte Radius· User-Name parametr pro zahrnutí Cisco Wireless Phone 9821.
Například PID Cisco Wireless Phone 9821 je WP-9821. Můžete nastavit Radius· User-Name to
Start with WPneboObsahuje WPv obou následujících částech: -
Povolení ověřování 802.1X pro kabelové sítě v telefonu
Chcete-li v telefonu povolit ověřování 802.1X pro kabelové sítě, postupujte takto. Ověřování 802.1X pro Wi-Fi je ve výchozím nastavení povoleno a nevyžaduje žádnou ruční konfiguraci.
| 1 |
Přístup k nastavení |
| 2 |
Pokud se zobrazí výzva, zadejte heslo pro přístup do nabídky Nastavení . Heslo můžete získat od správce. |
| 3 |
Vyberte . |
| 4 |
Zvýrazněte možnost Ověření zařízení a stiskněte tlačítko Zapnuto. |
Povolte ověřování 802.1X pro kabelové sítě v Cisco Unified Communications Manager Administration
Chcete-li povolit ověřování 802.1X pro kabelové sítě na Cisco Unified CM, postupujte takto. Ověřování 802.1X pro Wi-Fi je ve výchozím nastavení povoleno a nevyžaduje žádnou ruční konfiguraci.
Stav transakce a nastavení zabezpečení můžete zobrazit v nabídce obrazovky telefonu. Další informace naleznete v tématu Nabídka Nastavení zabezpečení v telefonu.
| 1 |
V Cisco Unified Communications Manager Administration vyberte Zařízení > Telefon. |
| 2 |
Vyhledejte telefon, který nastavíte. |
| 3 |
Přejděte do oblasti Rozvržení konfigurace specifické pro produkt. |
| 4 |
V rozevírací nabídce Ověřování 802.1x vyberte možnost Povoleno . Je-li možnost Povoleno nebo Zakázáno , stane se možnost Ověřenízařízení v Cisco bezdrátovém telefonu 9821 jen pro čtení, což uživatelům zabrání změnit nastavení ověřování 802.1X. |
| 5 |
Klepněte na příkaz Uložit. |
| 6 |
Klikněte na tlačítko Použít konfiguraci. |
Nabídka Nastavení zabezpečení v telefonu
Chcete-li zobrazit informace o nastavení zabezpečení z nabídky telefonu, přejděte do Nastavení
a vyberte 802.1X. Dostupnost informací závisí na nastavení sítě ve vaší organizaci.
|
Parametry |
Možnosti |
Výchozí |
Popis |
|---|---|---|---|
|
Ověření zařízení |
Zapnuto Vyp. |
Vyp. |
Povolí nebo zakáže ověřování 802.1X v telefonu. Nastavení parametrů lze zachovat i po Out-Of-Box (OOB) registraci telefonu. |
|
Stav transakce | Zakázáno |
Zobrazuje stav ověřování 802.1X. Stav může být (nejen):
| |
|
Protokol | Žádné |
Zobrazí metodu EAP, která se používá pro ověřování 802.1X. Protokol může být EAP-FAST nebo EAP-TLS. |
Nastavení podporovaných verzí programu TLS
Můžete nastavit minimální verzi TLS vyžadovanou pro klienta a server.
Ve výchozím nastavení je minimální TLS verze serveru i klienta 1.2. Nastavení má vliv na následující funkce:
- Připojení k webovému přístupu HTTPS
- Onboarding pro místní telefon
- Služby HTTPS, například adresářové služby
- Zabezpečení transportní vrstvy datagramů (DTLS)
- Entita přístupu k portu (PAE)
- Protokol EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
Další informace o kompatibilitě TLS 1.3 pro Cisco IP Phones naleznete v tématu TLS 1.3 Compatibility Matrix for Cisco Collaboration Products.
| 1 |
V Cisco Unified Communications Manager Administration proveďte podle potřeby jednu z následujících akcí:
Konfigurace se řídí hierarchickou strukturou:
|
| 2 |
Nastavte TLS pole Minimální verze klienta: Možnost TLS 1.3 je k dispozici na Cisco Unified CM 15SU2 nebo novější.
|
| 3 |
Nastavte TLS pole Minimální verze serveru:
|
| 4 |
Klikněte na položku Uložit. |
| 5 |
Klikněte na Použít konfiguraci. |
| 6 |
Restartujte telefony. |
TURN vypnutý hlasitý odposlech a náhlavní souprava na Cisco Bezdrátový telefon 9821
Máte možnost trvale TURN vypnout hlasitý odposlech a náhlavní soupravu na Cisco bezdrátovém telefonu 9821 pro vašeho uživatele. Vypnutí těchto zvukových výstupů zajistí, že konverzace nebudou slyšet ostatními uživateli v okolí, což je důležité ve sdílených nebo otevřených kancelářských prostředích.
| 1 |
V Cisco Unified Communications Manager Administration vyberte . |
| 2 |
Vyhledejte telefon, který nastavíte. |
| 3 |
Přejděte do oblasti Rozvržení konfigurace specifické pro produkt. |
| 4 |
Zaškrtněte jedno nebo více z následujících políček, abyste TURN vypnuli možnosti telefonu:
Ve výchozím nastavení nejsou tato zaškrtávací políčka zaškrtnuta. |
| 5 |
Klepněte na příkaz Uložit. |
| 6 |
Klikněte na tlačítko Použít konfiguraci. |
