- Hjem
- /
- Artikel
Cisco IP telefonsikkerhed
Denne hjælpeartikel gælder for Cisco Desk Phone 9800-serien og Cisco Video Phone 8875, der er registreret på Cisco BroadWorks.
Installer brugerdefineret enhedscertifikat manuelt
Du kan manuelt installere et CDC (Custom Device Certificate) på telefonen ved at overføre certifikatet fra websiden til telefonadministration.
Før du begynder
Før du kan installere et brugerdefineret enhedscertifikat for en telefon, skal du have:
- En certifikatfil (.p12 eller .pfx), der er gemt på din pc. Filen indeholder certifikatet og den private nøgle.
- Certifikatets adgangskode til uddraget. Adgangskoden bruges til at dekryptere certifikatfilen.
1 |
Gå til websiden til telefonadministration |
2 |
Vælg Certifikat. |
3 |
I afsnittet Tilføj certifikat skal du klikke på Gennemse .... |
4 |
Gå til certifikatet på din pc. |
5 |
I feltet Udtræk adgangskode skal du angive certifikatudtræksadgangskode. |
6 |
Klik på Upload. Hvis certifikatfilen og adgangskoden er korrekte, modtager du meddelelsen "
Certifikat tilføjet. ". Ellers mislykkes overførslen med en fejlmeddelelse, der angiver, at certifikatet ikke kan overføres. |
7 |
Du kan kontrollere detaljerne om det installerede certifikat ved at klikke på Vis i afsnittet Eksisterende certifikater . |
8 |
Hvis du vil fjerne det installerede certifikat fra telefonen, skal du klikke på Slet i afsnittet Eksisterende certifikater . Når du klikker på knappen, fjernelsen starter straks uden en bekræftelse.
Hvis certifikatet fjernes, modtager du meddelelsen " |
Installer automatisk brugerdefineret enhedscertifikat af SCEP
Du kan konfigurere SCEP-parametrene (Simple Certificate Enrollment Protocol) til automatisk at installere CDC (Custom Device Certificate), hvis du ikke vil overføre certifikatfilen manuelt, eller hvis du ikke har certifikatfilen på plads.
Når SCEP-parametrene er konfigureret korrekt, sender telefonen anmodninger til SCEP-serveren, og CA-certifikatet valideres af enheden ved hjælp af det definerede fingeraftryk.
Før du begynder
Før du kan foretage en automatisk installation af et brugerdefineret enhedscertifikat for en telefon, skal du have:
- SCEP-serveradresse
- SHA-1- eller SHA-256-fingeraftryk af CA-rodcertifikatet til SCEP-serveren
1 |
Gå til websiden til telefonadministration |
2 |
Vælg Certifikat. |
3 |
I afsnittet SCEP-konfiguration 1 skal du indstille parametrene som beskrevet i følgende tabel Parametre for SCEP-konfiguration. |
4 |
Klik på Send alle ændringer. |
Parametre for SCEP-konfiguration
Følgende tabel definerer funktionen og brugen af SCEP-konfigurationsparametre i afsnittet SCEP-konfiguration 1 under fanen Certifikat i telefonens webgrænseflade. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) for at konfigurere en parameter.
Parameter | Beskrivelse |
---|---|
Server |
SCEP-serveradresse. Denne parameter er obligatorisk. Gør et af følgende:
Gyldige værdier: En URL- eller IP-adresse. HTTPS-ordningen understøttes ikke. Standard: tom |
Root CA-fingeraftryk |
SHA256- eller SHA1-fingeraftryk af rodnøglecenteret til validering under SCEP-processen. Denne parameter er obligatorisk. Gør et af følgende:
Standard: tom |
Udfordr adgangskode |
Udfordringsadgangskoden til godkendelse af Certificate Authority (CA) mod telefonen under en certifikattilmelding via SCEP. Denne parameter er valgfri. Afhængigt af det faktiske SCEP-miljø varierer funktionsmåden for udfordringsadgangskoden.
Gør et af følgende:
Standard: tom |
Konfiguration af SCEP-parametre via DHCP indstilling 43
Ud over tilmelding af SCEP-certifikat ved hjælp af de manuelle konfigurationer på telefonens webside kan du også bruge indstillingen DHCP 43 til at udfylde parametrene fra en DHCP server. Den DHCP indstilling 43 er forudkonfigureret med SCEP-parametrene, senere kan telefonen hente parametrene fra den DHCP server for at udføre SCEP-certifikattilmeldingen.
- Konfigurationen af SCEP-parametre via DHCP indstilling 43 er kun tilgængelig for den telefon, hvor der udføres en fabriksnulstilling.
- Telefoner må ikke placeres i et netværk, der understøtter både løsning 43 og fjernklargøring (f.eks. valgmulighed 66,160,159,150 eller cloud-klargøring). Ellers får telefoner muligvis ikke Option 43-konfigurationerne.
Hvis du vil tilmelde et SCEP-certifikat ved at konfigurere SCEP-parametrene i indstillingen DHCP indstilling 43, skal du gøre følgende:
- Forbered et SCEP-miljø.
Du kan få oplysninger om opsætning af SCEP-miljøet i dokumentationen til din SCEP-server.
- Konfigurer DHCP indstilling 43 (defineret i 8.4 Leverandørspecifikke oplysninger, RFC 2132).
Underindstillinger (10-15) er reserveret til metoden:
Parameter på telefonens webside Underindstilling Type Længde (byte) Mandatory FIPS-tilstand 10 Boolesk 1 Nej* Server 11 streng 208 - længde (udfordringsadgangskode) Ja Root CA-fingeraftryk 12 binær 20 eller 32 Ja Udfordr adgangskode 13 streng 208 - længde (Server) Nej* Aktivér 802.1X-godkendelse 14 Boolesk 1 Nej Valg af certifikat 15 Usigneret 8-bit 1 Nej Når du bruger indstillingen DHCP 43, skal du bemærke følgende egenskaber ved metoden:
- Underindstillinger (10–15) er reserveret til CDC (Custom Device Certificate).
- Den maksimale længde på DHCP indstilling 43 er 255 byte.
- Den maksimale længde af Server + Challenge Password skal være mindre end 208 byte.
- Værdien af FIPS-tilstand skal være i overensstemmelse med onboarding-provisioneringskonfigurationen. Ellers kan telefonen ikke hente det tidligere installerede certifikat efter onboarding. Nemlig
- Hvis telefonen registreres i et miljø, hvor FIPS-tilstanden er deaktiveret, behøver du ikke konfigurere parameteren FIPS-tilstand i DHCP indstilling 43. FIPS-tilstanden er som standard deaktiveret.
- Hvis telefonen registreres i et miljø, hvor FIPS-tilstanden er aktiveret, skal du aktivere FIPS-tilstanden i DHCP indstilling 43. Se Aktivér FIPS-tilstand for at få flere oplysninger.
- Adgangskoden i valgmulighed 43 er i klartekst.
Hvis udfordringsadgangskoden er tom, bruger telefonen MIC/SUDI til den første tilmelding og certifikatfornyelse. Hvis udfordringsadgangskoden er konfigureret, bruges den kun til den første tilmelding, og det installerede certifikat bruges til certifikatfornyelsen.
- Enable 802.1X Authentication (Aktivér 802.1X-godkendelse ) og Certifikatvalg bruges kun til telefoner i kablede netværk.
- DHCP indstilling 60 (Id for leverandørklasse) bruges til at identificere enhedsmodellen.
Følgende tabel indeholder et eksempel på DHCP indstilling 43 (underindstilling 10–15):
Suboption decimal/hex Værdilængde (byte) decimal/hex Værdi Hex-værdi 10/0a 1/01 1 (0: Deaktiveret; 1: Aktiveret) 01 11/0B 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0D 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0E 1/01 1 (0: Nej; 1: Ja) 01 15/0F 1/01 1 (0: Produktion installeret; 1: Brugerdefineret installeret) 01 Oversigt over parameterværdierne:
-
FIPS-tilstand =
aktiveret
-
Server =
http://10.79.57.91
-
Root CA-fingeraftryk =
12040870625C5B755D73F5925285F8F5FF5D55AF
-
Udfordringsadgangskode =
D233CCF9B9952A15
-
Aktiver 802.1X-godkendelse =
Ja
-
Valg af certifikat =
Brugerdefineret installeret
Syntaksen for den endelige hex-værdi er:
{<suboption><length><value>}...
I henhold til parameterværdierne ovenfor er den endelige hex-værdi som følger:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101
- Konfigurer DHCP indstilling 43 på en DHCP-server.Dette trin er et eksempel på konfigurationer af DHCP mulighed 43 i Cisco Network Register.
- Tilføj DHCP definitionssæt for indstilling.
Leverandørindstillingsstrengen er modelnavnet på de IP telefoner. Den gyldige værdi er: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.
- Føj DHCP indstilling 43 og underindstillinger til det DHCP indstillingsdefinitionssæt.
Eksempel:
- Føj indstilling 43 til politikken for DHCP, og konfigurer værdien på følgende måde:
Eksempel:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
- Kontroller indstillingerne. Du kan bruge Wireshark til at registrere et spor af netværkstrafikken mellem telefonen og tjenesten.
- Tilføj DHCP definitionssæt for indstilling.
- Udfør en fabriksnulstilling af telefonen.
Når telefonen er nulstillet, udfyldes parametrene Server, Root CA Fingerprint og Challenge Password automatisk. Disse parametre findes i afsnittet SCEP-konfiguration 1 fra på telefonadministrationswebsiden.
Du kan kontrollere detaljerne om det installerede certifikat ved at klikke på Vis i afsnittet Eksisterende certifikater .
Du kan kontrollere certifikatets installationsstatus ved at vælge 1 for download viser det seneste resultat. Hvis der opstår problemer under certifikattilmeldingen, kan årsagen til fejlfinding vises i downloadstatussen.
. StatusHvis den anfægtede adgangskodegodkendelse mislykkes, bliver brugerne bedt om at indtaste adgangskoden på telefonskærmen. - (Valgfrit): Hvis du vil fjerne det installerede certifikat fra telefonen, skal du klikke på Slet i afsnittet Eksisterende certifikater .Når du klikker på knappen, fjernelsen starter straks uden en bekræftelse.
SCEP's fornyelse af certifikater
Enhedscertifikatet kan opdateres automatisk af SCEP-processen.
- Telefonen kontrollerer, om certifikatet udløber om 15 dage hver 4. time. Hvis det er tilfældet, starter telefonen automatisk certifikatfornyelsesprocessen.
- Hvis udfordringsadgangskoden er tom, bruger telefonen MIC/SUDI til både første tilmelding og fornyelse af certifikatet. Hvis udfordringsadgangskoden er konfigureret, bruges den kun til første tilmelding, det eksisterende/installerede certifikat bruges til certifikatfornyelse.
- Telefonen fjerner ikke det gamle enhedscertifikat, før den henter det nye.
- Hvis fornyelsen af certifikatet mislykkes, fordi enhedens certifikat eller CA udløber, udløser telefonen automatisk den første tilmelding. I mellemtiden, hvis godkendelse af udfordringsadgangskode mislykkes, vises en skærmbillede til indtastning af adgangskode på telefonskærmen, og brugerne bliver bedt om at indtaste udfordringsadgangskoden på telefonen.
Aktivér FIPS-tilstand
Du kan gøre en telefon FIPS (Federal Information Processing Standards) kompatibel.
FIPS er et sæt standarder, der beskriver dokumentbehandling, krypteringsalgoritmer og andre informationsteknologiske standarder til brug inden for ikke-militære myndigheder og af offentlige entreprenører og leverandører, der arbejder med agenturerne. CiscoSSL FOM (FIPS Object Module) er en omhyggeligt defineret softwarekomponent, der er designet til kompatibilitet med CiscoSSL-biblioteket, så produkter, der bruger CiscoSSL-biblioteket og API, kan konverteres til at bruge FIPS 140-2-valideret kryptografi med minimal indsats.
1 |
Gå til websiden til telefonadministration |
2 |
Vælg . |
3 |
I afsnittet Sikkerhedsindstillinger skal du vælge Ja eller Nej i FIPS-tilstandsparameteren . |
4 |
Klik på Send alle ændringer. Når du aktiverer FIPS, fungerer følgende funktioner problemfrit på telefonen:
|
Fjern et sikkerhedscertifikat manuelt
Du kan manuelt fjerne et sikkerhedscertifikat fra en telefon, hvis SCEP (Enrollment Protocol SCEP) ikke er tilgængeligt.
1 |
Vælg Certifikater på websiden for telefonsadministration. |
2 |
Find certifikatet på siden Certifikater. |
3 |
Klik på Slet. |
4 |
Genstart telefonen, når sletningen er fuldført. |
Indstil bruger- og adminadgangskode
Når telefonen er registreret til et opkaldskontrolsystem første gang, eller du udfører en fabriksnulstilling på telefonen, skal du indstille bruger- og admin-adgangskoden for at forbedre telefonens sikkerhed. Først når adgangskoden er angivet, kan du sende ændringerne fra telefonens webside.
Advarslen om ingen adgangskode er som standard aktiveret på telefonen. Når telefonen ikke har nogen bruger- eller administratoradgangskode, vises følgende advarsler:
- På telefonens webside vises meddelelsen "Ingen administratoradgangskode. Internettet er skrivebeskyttet, og du kan ikke sende ændringer. Skift adgangskoden." i øverste venstre hjørne.
Felterne Brugeradgangskode og Administratoradgangskode viser advarslen "Ingen adgangskode angivet", hvis den er tom.
- Telefonskærmen Problemer og diagnosticering viser problemet "Ingen adgangskode angivet".
1 |
Gå til websiden til telefonadministration |
2 |
Vælg . |
3 |
(Valgfrit) Indstil parameteren Vis advarsler om adgangskode til Ja i afsnittet Systemkonfiguration , og klik derefter påSend alle ændringer . Du kan også aktivere parametrene i telefonkonfigurationsfilen (cfg.xml).
Standard: ja Indstillinger: Ja|Nej Når parameteren er indstillet til Nej, vises adgangskodeadvarslen hverken på websiden eller på telefonskærmen. Desuden aktiveres klar-tilstanden for sidenettet ikke, selvom adgangskoden er tom. |
4 |
Find parameteren User Password eller Admin Password, og klik på Skift adgangskode ud for parameteren. |
5 |
Indtast den aktuelle brugeradgangskode i feltet Gammel adgangskode . Hvis du ikke har en adgangskode, skal du lade feltet være tomt. Standardværdien er tom.
|
6 |
Indtast en ny adgangskode i feltet Ny adgangskode . |
7 |
Klik på Send. Meddelelsen Når du har angivet brugeradgangskoden, vises denne parameter følgende i XML filen til telefonkonfiguration (cfg.xml):
Hvis du får vist 403-fejlkoden, når du forsøger at få adgang til telefonens webside, skal du angive bruger- eller administrationsadgangskoden ved at klargøre i telefonkonfigurationsfilen (cfg.xml). Angiv f.eks. en streng i dette format:
|
802.1X autentificering
Cisco IP-telefon understøtter 802.1X-godkendelse.
Cisco IP-telefon og Cisco Catalyst-switches bruger traditionelt set Cisco Discovery Protocol (CDP) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og integreret strømkrav. CDP identificerer ikke lokalt tilknyttede arbejdsstationer. Cisco IP-telefon har en EAPOL-gennemføringsmekanisme. Denne mekanisme giver mulighed for, at en arbejdsstation, der er knyttet til Cisco IP-telefon, kan overføre EAPOL-meddelelser til 802.1X-godkendelsesfunktionen på LAN-switchen. Gennemføringsmekanismen sikrer, at IP-telefonen ikke fungerer som den LAN-switch, der skal godkende et dataslutpunkt før adgang til netværket.
Cisco IP-telefon har også en proxymekanisme til EAPOL-aflogning. Hvis den lokalt tilknyttede pc kobles fra IP-telefonen, ser LAN-kontakten ikke afbrydelsen af det fysiske link, fordi linket mellem LAN-switchen og IP-telefonen bevares. For at undgå at kompromittere netværkets integritet sender IP-telefonen en meddelelse om EAPOL-aflogning til switchen på vegne af nedstrøms-pc'en, der får LAN-switchen til at rydde godkendelsesposten for nedstrøms-pc'en.
Understøttelse af 802.1X-godkendelse kræver flere komponenter:
-
Cisco IP-telefon: Telefonen starter anmodningen for at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer kontrol over forbindelsen mellem IP-telefoner og porte på LAN-switch. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.
-
Godkendelsesserver: Godkendelsesserveren og switchen skal begge være konfigureret med en delt hemmelighed, der godkender telefonen.
-
Switch: Switchen skal understøtter 802.1X, så den kan fungere som godkendelsesfunktion og sender meddelelserne mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen at give telefonen adgang til netværket.
Du skal udføre følgende handlinger for at konfigurere 802.1X.
-
Konfigurer de andre komponenter, før du aktiverer 802.1X-godkendelse på telefonen.
-
Konfigurer pc-port: 802.1X-standarden tager ikke højde for VLAN'er og anbefaler derfor, at der kun godkendes én enkelt enhed til en bestemt switchport. Visse switches understøtter imidlertid godkendelse på flere domæner. Konfigurationen af switchen bestemmer, om du kan forbinde en pc til telefonens pc-port.
-
Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du aktivere pc-porten og tilslutte en pc til den. I dette tilfælde understøtter Cisco IP-telefon proxy-EAPOL-aflogning for at overvåge godkendelsesudvekslingen mellem switchen og den tilsluttede pc.
Få flere oplysninger om IEEE 802.1X-understøttelse på Cisco Catalyst-switches ved at se vejledninger i konfiguration af Cisco Catalyst-switchen på:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Deaktiveret: Hvis switchen ikke understøtter flere 802.1X-kompatible enheder på den samme port, skal du deaktivere pc-porten, når 802.1X-godkendelse er aktiveret. Hvis du ikke deaktiverer denne port og derefter forsøger at tilslutte en pc til den, afviser switchen netværksadgang til både telefonen og pc'en.
-
- Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling ud fra switchunderstøttelsen.
- Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du fortsat bruge tale-VLAN'et.
- Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
- (Kun for Cisco Desk Phone 9800-serien)
Cisco Desk Phone 9800-serien har et andet præfiks i PID end for andre Cisco-telefoner. Indstil Radius· for at aktivere din telefon til at passere 802.1X-godkendelse Parameteren Brugernavn , der inkluderer din Cisco Desk Phone 9800-serie.
For eksempel er PID på telefon 9841 DP-9841; du kan indstille Radius· Brugernavn : Starter
med DP
ellerindeholder DP.
Du kan angive det i begge følgende afsnit: -
Aktivér 802.1X-godkendelse
Når 802.1X-godkendelse er aktiveret, bruger telefonen 802.1X-godkendelse til at anmode om netværksadgang. Når 802.1X-godkendelse er deaktiveret, bruger telefonen Cisco Discovery Protocol (CDP) til at hente VLAN- og netværksadgang. Du kan også se transaktionsstatus og ændringer i telefonens skærmmenu.
Når 802.1X-godkendelse er aktiveret, kan du også vælge enhedscertifikatet (MIC/SUDI eller brugerdefineret) for den første tilmelding og certifikatfornyelse. MIC er typisk til Cisco Video Phone 8875, SUDI er til Cisco Desk Phone 9800-serien. CDC kan kun bruges til godkendelse i 802.1x.
1 |
Udfør en af følgende handlinger for at aktivere 802.1X-godkendelse:
| ||||||||||||||||||||
2 |
Vælg et certifikat (MIC eller brugerdefineret) til 802.1X-godkendelse på telefonens webside.
Du kan finde oplysninger om, hvordan du vælger en certifikattype på telefonskærmen, under Tilslutte telefonen til et Wi-Fi netværk.
|
Konfigurer en proxyserver
Du kan konfigurere telefonen til at bruge en proxyserver for at forbedre sikkerheden. En HTTP-proxyserver kan typisk levere følgende tjenester:
- Dirigering af trafik mellem interne og eksterne netværk
- Filtrering, overvågning eller logning af trafik
- Cachelagringssvar for at forbedre ydeevnen
HTTP-proxyserveren kan også fungere som en firewall mellem telefonen og internettet. Efter en vellykket konfiguration opretter telefonen forbindelse til internettet via proxyserveren, som beskytter telefonen mod cyberangreb.
Når den er konfigureret, gælder HTTP-proxyfunktionen for alle programmer, der bruger HTTP-protokollen. For eksempel:
- GDS (Activation Code Onboarding)
- Aktivering af EDOS-enhed
- Onboarding til Webex Cloud (via EDOS eller GDS)
- Brugerdefineret CA
- Klargøring
- Opgradering af firmware
- Telefonstatusrapport
- PRT-overførsel
- XSI-tjenester
- Webex Services
1 |
Gå til websiden til telefonadministration | ||||||||||||||||
2 |
Vælg . | ||||||||||||||||
3 |
I afsnittet HTTP-proxyindstillinger skal du vælge en proxytilstand fra rullelisten Proxytilstand og konfigurere de relaterede parametre. For hver proxytilstand er de krævede parametre forskellige. Se detaljer i følgende tabel:
Du kan finde flere oplysninger om parametrene under Parametre for HTTP-proxyindstillinger. | ||||||||||||||||
4 |
Klik på Send alle ændringer. |
Parametre for HTTP-proxyindstillinger
Følgende tabel definerer funktionen og brugen af HTTP>proxyparametrene i afsnittet HTTP-proxyindstillinger under i telefonens webgrænseflade. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) med XML-kode, for at konfigurere en parameter.
Parameter | Beskrivelse |
---|---|
Proxytilstand | Angiver den HTTP-proxytilstand, som telefonen bruger, eller deaktiverer HTTP-proxyfunktionen.
Gør et af følgende:
Tilladte værdier: Auto, Manuel og Fra Standard: fra |
Web Proxy Auto Discovery | Bestemmer, om telefonen bruger WPAD-protokollen (Web Proxy Auto Discovery) til at hente en PAC-fil. WPAD-protokollen bruger DHCP eller DNS eller begge netværksprotokoller til automatisk at finde en PAC-fil (Proxy Auto Configuration). PAC-fil bruges til at vælge en proxyserver til en given URL. Denne fil kan hostes lokalt eller på et netværk.
Gør et af følgende:
Tilladte værdier: Ja og Nej Standard: ja |
PAC-URL-adresse | URL-adressen til en PAC-fil. For eksempel, TFTP, HTTP og HTTPS understøttes. Hvis du indstiller proxytilstand til automatisk registrering og automatisk registrering af webproxy til Nej, skal du konfigurere denne parameter. Gør et af følgende:
Standard: tom |
Proxy-vært | IP adresse eller værtsnavn på den proxyværtsserver, som telefonen skal have adgang til. For eksempel:
Ordningen ( Hvis du indstiller proxytilstand til Manuel, skal du konfigurere denne parameter. Gør et af følgende:
Standard: tom |
Proxy Port | Portnummer for proxyværtsserveren. Hvis du indstiller proxytilstand til Manuel, skal du konfigurere denne parameter. Gør et af følgende:
Standard: 3128 |
Proxygodkendelse | Bestemmer, om brugeren skal angive de legitimationsoplysninger til godkendelse (brugernavn og adgangskode), som proxyserveren kræver. Denne parameter konfigureres i henhold til proxyserverens faktiske adfærd. Hvis du indstiller parameteren til Ja, skal du konfigurere brugernavn og adgangskode. For detaljer om parametrene, se parameteren "Brugernavn" og "Adgangskode" i denne tabel. Parameterkonfigurationen træder i kraft, når proxytilstand er indstillet til Manuel . Gør et af følgende:
Tilladte værdier: Ja og Nej Standard: nej |
Brugernavn | Brugernavn for en bruger med legitimationsoplysninger på proxyserveren. Hvis Proxytilstand er indstillet til Manuel , og Proxygodkendelse er indstillet til Ja, skal du konfigurere parameteren. Gør et af følgende:
Standard: tom |
Adgangskode | Adgangskode for det angivne brugernavn til proxygodkendelsesformålet. Hvis Proxytilstand er indstillet til Manuel , og Proxygodkendelse er indstillet til Ja, skal du konfigurere parameteren. Gør et af følgende:
Standard: tom |
Aktivér klientinitieret tilstand for sikkerhedsforhandlinger på medieplan
For at beskytte mediesessioner kan du konfigurere telefonen til at starte sikkerhedsforhandling i medieplan med serveren. Sikkerhedsmekanismen følger standarderne i RFC 3329 og dens udvidelsesudkast Sikkerhedsmekanismenavne til medier (Se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport af forhandlinger mellem telefonen og serveren kan bruge SIP-protokol over UDP, TCP og TLS. Du kan begrænse, at sikkerhedsforhandling i medieplan kun anvendes, når signaltransportprotokollen er TLS.
1 |
Gå til websiden til telefonadministration | ||||||
2 |
Vælg . | ||||||
3 |
I sektionen SIP Settings (SIP-indstillinger ) skal du indstille felterne MediaSec-anmodning og MediaSec over TLS Only som defineret i følgende tabel:
| ||||||
4 |
Klik på Send alle ændringer. |
WLAN-sikkerhed
Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage alle andres WLAN-trafik, er beskyttelse af talekommunikation vigtigt i WLAN. For at sikre, at ubudne gæster ikke manipulerer eller opfanger taletrafik, understøtter Cisco SAFE Security-arkitekturen telefonen. Få flere oplysninger om sikkerhed i netværk under http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Cisco trådløs IP telefoniløsning giver trådløs netværkssikkerhed, der forhindrer uautoriseret login og kompromitteret kommunikation ved hjælp af følgende godkendelsesmetoder, som telefonen understøtter:
-
Åben godkendelse: Trådløse enheder kan anmode om godkendelse i et åbent system. Det AP, der modtager anmodningen, kan give godkendelse til en person eller kun de anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kan være ikke-krypteret.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Denne klient-server-sikkerhedsarkitektur krypterer EAP transaktioner inden for en TLS (Transport Level Security)-tunnel mellem adgangspunktet og RADIUS-serveren, f.eks. Identity Services Engine (ISE).
TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefon) og RADIUS-serveren. Serveren sender et AID (Authority ID) til klienten (telefonen), som gengæld vælger det relevante PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC med masternøglen. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere det på RADIUS-serveren.
I ISE udløber PAC som standard om en uge. Hvis telefonen har en udløbet PAC, tager en godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser pga. PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE'en eller RADIUS-serveren.
-
EAP-TLS-godkendelse (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. For trådløse EAP-TLS kan klientcertifikatet være MIC, LSC eller brugerinstalleret certifikat.
-
PEAP (Protected Extensible Authentication Protocol): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesmetode mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP MSCHAPV2- og PEAP GTC-godkendelsesmetoden understøttes.
-
Pre-Shared Key (PSK): Telefonen understøtter ASCII format. Du skal bruge dette format, når du konfigurerer en forhåndsdelt nøgle til WPA/WPA2/SAE:
ASCII: en ASCII-tegnstreng med 8 til 63 tegn (0-9, små bogstaver og store bogstaver A-Z og specialtegn)
Eksempel: GREG123567@9ZX&W
Følgende godkendelsesmetode bruger RADIUS-serveren til at administrere godkendelsesnøgler:
-
WPA/WPA2/WPA3: Bruger RADIUS-serveroplysninger til at generere entydige nøgler til godkendelse. Da disse nøgler genereres på den centrale RADIUS-server, giver WPA2/WPA3 mere sikkerhed end forhåndsdelte WPA-nøgler, der er gemt på AP'en og telefonen.
-
Hurtig sikker roaming: Bruger oplysninger om RADIUS-server og en trådløs domæneserver (WDS) for at administrere og godkende nøgler. WDS opretter en cache med sikkerhedslegitimationsoplysninger for FT-aktiverede klientenheder til hurtig og sikker gengodkendelse. Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 understøtter 802.11r (FT). Både trådløst og over DS understøttes for at muliggøre hurtig sikker roaming. Men vi anbefaler på det kraftigste, at trådløse 802.11r-metode (FT) bruges.
Med WPA/WPA2/WPA3 angives krypteringsnøgler ikke på telefonen, men hentes automatisk mellem adgangspunktet og telefonen. Men det EAP-brugernavn og den adgangskode, der bruges til godkendelse, skal angives på hver enkelt telefon.
For at sikre, at taletrafikken er sikker, understøtter telefonen TKIP og AES til kryptering. Når disse mekanismer bruges til kryptering, krypteres både signal-SIP-pakkerne og tale-RTP-pakkerne (Real-Time Transport Protocol) mellem adgangspunktet og telefonen.
- TKIP
-
WPA bruger TKIP-kryptering, der har flere forbedringer over WEP. TKIP giver nøglekryptering med pr. pakke og længere initialiseringsvektorer, der styrker kryptering. Desuden sikrer et MIC (message integrity check), at krypterede pakker ikke ændres. TKIP fjerner forudsigeligheden ved WEP, der hjælper personer med uautoriseret adgang med at tyde WEP-nøglen.
- AES
-
En krypteringsmetode, der bruges til WPA2/WPA3-godkendelse. Denne nationale standard for kryptering bruger en symmetrisk algoritme, der har den samme nøgle til kryptering og dekryptering. AES CBC-kryptering (Cipher Blocking Chain) i 128-bit størrelse, der som minimum understøtter nøglestørrelser på 128 bit, 192 bit og 256 bit. Telefonen understøtter en nøglestørrelse på 256 bit.
Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 understøtter ikke Cisco Key Integrity Protocol (CKIP) med CMIC.
Godkendelses- og krypteringsmetoder konfigureres inden for det trådløse LAN. VLAN'er konfigureres i netværket og på AP'er og angiver forskellige kombinationer af godkendelse og kryptering. Et SSID er knyttet til et VLAN og det specifikke godkendelses- og krypteringsmetode. Hvis trådløse klientenheder skal kunne godkendes, skal du konfigurere de samme SSID'er med deres godkendelses- og krypteringsskemaer på AP'erne og på telefonen.
Visse godkendelsesmetoder kræver bestemte typer kryptering.
- Når du bruger WPA forhåndsdelt nøgle, WPA2 forhåndsdelt nøgle eller SAE, skal den forhåndsdelte nøgle indstilles statisk på telefonen. Disse nøgler skal matche de nøgler, der er i AP'en.
-
Telefonen understøtter automatisk EAP forhandling for FAST eller PEAP, men ikke for TLS. For EAP-TLS tilstand skal du angive det.
Godkendelses- og krypteringsskemaerne i følgende tabel viser netværkskonfigurationsindstillingerne for telefonen, der svarer til AP-konfigurationen.
FSR-Type | Godkendelse | Taststyring | Kryptering | Beskyttet styringsramme (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nej |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Ja |
802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nej |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nej |
802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nej |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
Opret Wi-Fi profil
Du kan konfigurere en Wi-Fi-profil fra telefonens webside eller via gensynkronisering af ekstern enhedsprofil og derefter knytte en brugerprofil til de tilgængelige Wi-Fi-netværk. Du kan bruge denne Wi-Fi-profil til at oprette forbindelse til et Wi-Fi. I øjeblikket kan kun én Wi-Fi profil konfigureres.
Profilen indeholder de parametre, der er krævet for, at telefoner kan oprette forbindelse til telefonserveren med Wi-Fi. Når du opretter og bruger en Wi-Fi profil, behøver du eller dine brugere ikke at konfigurere det trådløse netværk for individuelle telefoner.
En Wi-Fi-profil giver dig mulighed at forhindre eller begrænse ændringer af Wi-Fi-konfigurationen på telefonen efter brugeren.
Vi anbefaler, at du bruger en sikker profil med krypteringsaktiverede protokoller for at beskytte nøgler og adgangskoder, når du bruger en Wi-Fi profil.
Når du indstiller telefonerne til at bruge godkendelsesmetoden EAP-FAST i sikkerhedstilstand, skal brugerne bruge individuelle legitimationsoplysninger for at oprette forbindelse til et adgangspunkt.
1 |
Gå til telefonens webside. |
2 |
Vælg . |
3 |
I afsnittet Wi-Fi Profil (n)) skal du angive parametrene som beskrevet i følgende tabel Parametre for Wi-Fi profil. Konfigurationen af Wi-Fi profilen er også tilgængelig for brugerlogonet.
|
4 |
Klik på Send alle ændringer. |
Parametre for Wi-Fi profil
Følgende tabel definerer funktionen og brugen af hver parameter i sektionen Wi-Fi-profile(n) under fanen System på telefonens webside. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) for at konfigurere en parameter.
Parameter | Beskrivelse |
---|---|
Netværksnavn | Gør det muligt at indtaste et navn på det SSID, der skal vises på telefonen. Flere profiler kan have det samme netværksnavn med forskellig sikkerhedstilstand. Gør et af følgende:
Standard: tom |
Sikkerhedstilstand | Gør det muligt at vælge den godkendelsesmetode, der bruges til at sikre adgang til Wi-Fi-netværket. Afhængigt af den metode, du vælger, vises der et adgangskodefelt, hvor du kan angive de legitimationsoplysninger, der kræves for at oprette forbindelse til dette Wi-Fi netværk. Gør et af følgende:
Standard: automatisk |
Wi-Fi-bruger-id | Gør det muligt at angive et bruger-id for netværksprofilen. Dette felt er tilgængeligt, når du indstiller sikkerhedstilstanden til Auto, EAP-FAST eller EAP-PEAP. Dette er et obligatorisk felt, og der kan højst være 32 alfanumeriske tegn. Gør et af følgende:
Standard: tom |
Wi-Fi-adgangskode | Gør det muligt at angive adgangskoden for det angivne Wi-Fi-bruger-id. Gør et af følgende:
Standard: tom |
Frekvensbånd | Gør det muligt at vælge frekvensbåndet for det trådløse signal, som WLAN'et bruger. Gør et af følgende:
Standard: automatisk |
Valg af certifikat | Gør det muligt at vælge en certifikattype til certifikatførste tilmelding og certifikatfornyelse i det trådløse netværk. Denne proces er kun tilgængelig for 802.1X-godkendelse. Gør et af følgende:
Standard: Produktion installeret |
Tjek enhedens sikkerhedsstatus på telefonen
Din telefon kontrollerer automatisk enhedens sikkerhedsstatus. Hvis den registrerer potentielle sikkerhedstrusler på telefonen, kan menuen Problemer og diagnosticering vise oplysninger om problemerne. Baseret på de rapporterede problemer kan din administrator foretage handlinger for at sikre og hærde din telefon.
Hvis du vil have vist oplysninger om sikkerhedsproblemer på telefonen, skal du benytte følgende fremgangsmåde:
1 |
Tryk på Indstillinger. | |||||||||||||
2 |
Vælg .I øjeblikket indeholder sikkerhedsrapporten for enheder følgende problemer:
| |||||||||||||
3 |
Kontakt administratoren for at få hjælp til at løse sikkerhedsproblemerne. |