- Hjem
- /
- Artikel
Cisco IP Phone sikkerhed på 9800/8875 (multiplatform)
Denne hjælpeartikel gælder for Cisco bordtelefon 9800-serien og Cisco videotelefon 8875, der er registreret til Cisco BroadWorks eller Webex Calling.
Konfigurer DHCP-indstillinger
Du kan angive den rækkefølge, som telefonen bruger DHCP-indstillingerne i. For hjælp med DHCP-indstillinger, se DHCP valgmulighedsunderstøttelse.
1 |
Gå til websiden til telefonadministration |
2 |
Vælg . |
3 |
I Konfigurationsprofil afsnittet, indstil DHCP Mulighed at bruge og DHCPv6-mulighed at bruge parametre som beskrevet nedenfor:
|
4 |
Klik på Send alle ændringer. |
DHCP valgmulighedsunderstøttelse
Følgende tabel viser de DHCP-indstillinger, der understøttes på PhoneOS-telefonerne.
Netværksstandard | Beskrivelse |
---|---|
DHCP-indstilling 1 | Undernetmaske |
DHCP-indstilling 2 | Tidsforskydning |
DHCP-indstilling 3 | Router |
DHCP-indstilling 6 | DNS (Domain name server) |
DHCP-indstilling 15 | Domænenavn |
DHCP-indstilling 17 | Oplysninger, der identificerer og er specifikke for leverandør |
DHCP-indstilling 41 | Leasetid for IP-adresse |
DHCP-indstilling 42 | NTP-server |
DHCP-indstilling 43 | Leverandørspecifikke oplysninger Kan bruges til at angive SCEP-konfigurationen. |
DHCP-indstilling 56 | NTP-server Konfiguration af NTP-server med IPv6 |
DHCP-indstilling 60 | Id for leverandørklasse |
DHCP-indstilling 66 | TFTP-servernavn |
DHCP-indstilling 125 | Oplysninger, der identificerer og er specifikke for leverandør |
DHCP-indstilling 150 | TFTP-server |
DHCP-indstilling 159 | IP-adresse for klargøringstjeneste |
DHCP-indstilling 160 | URL-adresse til klargøring |
Angiv minimum TLS-versionen for klient og server
Som standard er den mindste TLS-version for klient og server 1.2. Det betyder, at klienten og serveren accepterer at etablere forbindelser med TLS 1.2 eller nyere. Den understøttede maksimale version af TLS til klient og server er 1.3. Når den er konfigureret, vil minimum TLS-versionen blive brugt til forhandling mellem TLS-klienten og TLS-serveren.
Du kan indstille minimumversionen af TLS for henholdsvis klient og server, f.eks. 1.1, 1.2 eller 1.3.
Før du begynder
1 |
Gå til websiden til telefonadministration |
2 |
Vælg . |
3 |
I sektionen Sikkerhedsindstillinger, konfigurer parameteren TLS Klient Min. version.
Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML): <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Tilladte værdier: TLS 1.1, TLS1.2 og TLS 1.3. Standard: TLS 1.2 |
4 |
I sektionen Sikkerhedsindstillinger, konfigurer parameteren TLS Server Min. version. Webex Calling understøtter ikke TLS 1.1.
Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML): <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
Tilladte værdier: TLS 1.1, TLS1.2 og TLS 1.3. Standard: TLS 1.2 |
5 |
Klik på Send alle ændringer. |
Aktivér FIPS-tilstand
Du kan gøre en telefon kompatibel med Federal Information Processing Standards (FIPS).
FIPS er et sæt standarder, der beskriver dokumentbehandling, krypteringsalgoritmer og andre informationsteknologiske standarder til brug inden for ikke-militær regering og af offentlige entreprenører og leverandører, der arbejder med agenturerne. CiscoSSL FOM (FIPS Object Module) er en omhyggeligt defineret softwarekomponent, der er designet til kompatibilitet med CiscoSSL-biblioteket, så produkter, der bruger CiscoSSL-biblioteket og API, kan konverteres til at bruge FIPS 140-2-valideret kryptografi med minimal indsats.
1 |
Gå til websiden til telefonadministration |
2 |
Vælg . |
3 |
I Sikkerhedsindstillinger sektion, vælg Ja eller Ingen fra den FIPS-tilstand parameter. |
4 |
Klik på Send alle ændringer. Når du aktiverer FIPS, fungerer følgende funktioner problemfrit på telefonen:
|
Indstil bruger- og administratoradgangskoder
Når telefonen er registreret i et opkaldsstyringssystem første gang, eller du har foretaget en fabriksnulstilling på telefonen, skal du indstille bruger- og administratoradgangskoder for at forbedre telefonens sikkerhed. Når adgangskoderne er angivet, kan du få adgang til telefonens webgrænseflade.
Som standard er bruger- og administratoradgangskoderne tomme. Derfor kan du finde problemet "Ingen adgangskode angivet" på
telefonskærm.1 |
Gå til websiden til telefonadministration |
2 |
Vælg . |
3 |
(Valgfrit) I Systemkonfiguration afsnittet, indstil Vis adgangskodeadvarsler parameter til Ja, og klik derefter på Send alle ændringer. Du kan også aktivere parametrene i telefonens konfigurationsfil (cfg.XML).
Standard: ja Valgmuligheder: Ja|Nej Hvis parameteren er indstillet til Nej, vises advarslen om adgangskoden ikke på telefonskærmen. |
4 |
Find parameteren User Password eller Admin Password, og klik på Skift adgangskode ud for parameteren. |
5 |
Indtast den aktuelle brugeradgangskode i feltet Gammel adgangskode . Hvis du ikke har en adgangskode, skal du lade feltet være tomt. Standardværdien er tom.
|
6 |
Indtast en ny adgangskode i feltet Ny adgangskode . Regler for gyldig adgangskode:
Hvis den nye adgangskode ikke opfylder kravene, afvises indstillingen. |
7 |
Klik på Send. Meddelelsen Når du har angivet brugeradgangskoden, viser denne parameter følgende i telefonkonfigurationsfil XML (cfg.XML):
|
802.1X autentificering
Cisco IP-telefon understøtter 802.1X-godkendelse.
Cisco IP-telefon og Cisco Catalyst-switches bruger traditionelt set Cisco Discovery Protocol (CDP) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og integreret strømkrav. CDP identificerer ikke lokalt tilknyttede arbejdsstationer. Cisco IP-telefon har en EAPOL-gennemføringsmekanisme. Denne mekanisme giver mulighed for, at en arbejdsstation, der er knyttet til Cisco IP-telefon, kan overføre EAPOL-meddelelser til 802.1X-godkendelsesfunktionen på LAN-switchen. Gennemføringsmekanismen sikrer, at IP-telefonen ikke fungerer som den LAN-switch, der skal godkende et dataslutpunkt før adgang til netværket.
Cisco IP-telefon har også en proxymekanisme til EAPOL-aflogning. Hvis den lokalt tilknyttede pc kobles fra IP-telefonen, ser LAN-kontakten ikke afbrydelsen af det fysiske link, fordi linket mellem LAN-switchen og IP-telefonen bevares. For at undgå at kompromittere netværkets integritet sender IP-telefonen en meddelelse om EAPOL-aflogning til switchen på vegne af nedstrøms-pc'en, der får LAN-switchen til at rydde godkendelsesposten for nedstrøms-pc'en.
Understøttelse af 802.1X-godkendelse kræver flere komponenter:
-
Cisco IP-telefon: Telefonen starter anmodningen for at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer kontrol over forbindelsen mellem IP-telefoner og porte på LAN-switch. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.
-
Godkendelsesserver: Godkendelsesserveren og switchen skal begge være konfigureret med en delt hemmelighed, der godkender telefonen.
-
Switch: Switchen skal understøtter 802.1X, så den kan fungere som godkendelsesfunktion og sender meddelelserne mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen at give telefonen adgang til netværket.
Du skal udføre følgende handlinger for at konfigurere 802.1X.
-
Konfigurer de andre komponenter, før du aktiverer 802.1X-godkendelse på telefonen.
-
Konfigurer pc-port: 802.1X-standarden tager ikke højde for VLAN'er og anbefaler derfor, at der kun godkendes én enkelt enhed til en bestemt switchport. Visse switches understøtter imidlertid godkendelse på flere domæner. Konfigurationen af switchen bestemmer, om du kan forbinde en pc til telefonens pc-port.
-
Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du aktivere pc-porten og tilslutte en pc til den. I dette tilfælde understøtter Cisco IP-telefon proxy-EAPOL-aflogning for at overvåge godkendelsesudvekslingen mellem switchen og den tilsluttede pc.
Få flere oplysninger om IEEE 802.1X-understøttelse på Cisco Catalyst-switches ved at se vejledninger i konfiguration af Cisco Catalyst-switchen på:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Deaktiveret: Hvis switchen ikke understøtter flere 802.1X-kompatible enheder på den samme port, skal du deaktivere pc-porten, når 802.1X-godkendelse er aktiveret. Hvis du ikke deaktiverer denne port og derefter forsøger at tilslutte en pc til den, afviser switchen netværksadgang til både telefonen og pc'en.
-
- Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling ud fra switchunderstøttelsen.
- Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du fortsat bruge tale-VLAN'et.
- Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
- (Kun for Cisco Desk Phone 9800 Series)
Cisco Skrivebordstelefon 9800-serien har et andet præfiks i PID end for de andre Cisco telefoner. Indstil Radius· for at aktivere din telefon til at passere 802.1X-godkendelse Parameteren Brugernavn , der inkluderer din Cisco skrivebordstelefon 9800-serien.
For eksempel er PID på telefon 9841 DP-9841; du kan indstille Radius· Brugernavn : Starter
med DP
ellerindeholder DP.
Du kan angive det i begge følgende afsnit: -
Aktivér 802.1X-godkendelse på telefonens webside
Når 802.1X-godkendelse er aktiveret, bruger telefonen 802.1X-godkendelse til at anmode om netværksadgang. Når 802.1X-godkendelse er deaktiveret, bruger telefonen Cisco Discovery Protocol (CDP) til at hente VLAN og netværksadgang.
Du kan vælge et certifikat (MIC/SUDI eller CDC), der bruges til 802.1X-godkendelse. Du kan finde flere oplysninger om CDC under Custom Device Certificate på 9800/8875.
Du kan se transaktionsstatus og sikkerhedsindstillinger i telefonens skærmmenu. Du kan finde flere oplysninger under Menuen Sikkerhedsindstillinger på telefonen.
1 |
Aktivér 802.1X-godkendelse. Vælg ) til Ja. Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):
Gyldige værdier: Ja|Nej Standard: nej |
2 |
Vælg et af følgende installerede certifikater, der bruges til 802.1X-godkendelse. Værdiindstillinger:
Konfigurationen varierer afhængigt af netværket:
|
3 |
Konfigurer parameteren bruger-id, der skal bruges som identitet for 802.1X-godkendelse på det kablede netværk. Parameterkonfigurationen træder kun i kraft, når CDC bruges til den kablede 802.1X-godkendelse (Valg af certifikat er indstillet til Brugerdefineret installeret). Denne parameter er som standard tom. Identiteten for kablet 802.1X varierer afhængigt af det valgte certifikat:
Hvis bruger-id'et er tomt, og Common Name i CDC er konfigureret, bruger den kablede 802.1X CDC Common Name som identitet. Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):
Gyldige værdier: Maksimalt 127 tegn Standard: tom Denne parameter understøtter også makroekspansionsvariabler, se Makroudvidelsesvariabler for at få flere oplysninger. Hvis du vil bruge DHCP-indstillinger til at klargøre bruger-id'et, skal du se Klargøring af almindeligt navn eller bruger-id via DHCP-indstilling 15. |
4 |
Klik på Send alle ændringer. |
Menuen Sikkerhedsindstillinger på telefonen
Du kan få vist oplysninger om sikkerhedsindstillingerne i telefonmenuen. Navigationsstien er:
. Tilgængeligheden af oplysningerne afhænger af netværksindstillingerne i din organisation.
Parametre |
Indstillinger |
Standard |
Beskrivelse |
---|---|---|---|
Enhedsgodkendelse |
Til Fra |
Fra |
Aktiverer eller deaktiverer 802.1X-godkendelse på telefonen. Parameterindstillingen kan bevares efter telefonens Out-Of-Box (OOB)-registrering. |
Transaktionsstatus | Deaktiveret |
Viser status for 802.1X-godkendelse. Staten kan være (ikke begrænset til):
| |
Protokol | Ingen |
Viser metoden EAP, der bruges til 802.1X-godkendelse. Protokollen kan være EAP-FAST eller EAP-TLS. | |
Brugercertifikattype |
Produktion installeret Specialinstalleret |
Produktion installeret |
Vælger certifikatet til 802.1X-godkendelse under den første tilmelding og certifikatfornyelse.
Denne parameter vises kun på telefonen, når enhedsgodkendelse er aktiveret. |
Bagudkompatibilitet med WPA |
Til Fra | Fra |
Bestemmer, om den ældste version af Wi-Fi beskyttet adgang (WPA) er kompatibel på telefonen for at oprette forbindelse til et trådløst netværk eller adgangspunkt (AP).
Denne funktion er kun tilgængelig på telefoner 9861/9871/8875. |
Konfigurer en proxyserver
Du kan konfigurere telefonen til at bruge en proxyserver for at forbedre sikkerheden. En HTTP-proxyserver kan typisk levere følgende tjenester:
- Dirigering af trafik mellem interne og eksterne netværk
- Filtrering, overvågning eller logning af trafik
- Cachelagringssvar for at forbedre ydeevnen
HTTP-proxyserveren kan også fungere som en firewall mellem telefonen og internettet. Efter en vellykket konfiguration opretter telefonen forbindelse til internettet via proxyserveren, som beskytter telefonen mod cyberangreb.
Når den er konfigureret, gælder HTTP-proxyfunktionen for alle programmer, der bruger HTTP-protokollen. For eksempel:
- GDS (Activation Code Onboarding)
- Aktivering af EDOS-enhed
- Onboarding til Webex Cloud (via EDOS eller GDS)
- Brugerdefineret CA
- Klargøring
- Opgradering af firmware
- Telefonstatusrapport
- PRT-overførsel
- XSI-tjenester
- Webex Tjenester
- I øjeblikket understøtter funktionen kun IPv4.
- HTTP-proxyindstillingerne kan bevares efter telefonens Out-Of-Box (OOB)-registrering.
1 |
Gå til websiden til telefonadministration |
2 |
Vælg . |
3 |
I afsnittet HTTP-proxyindstillinger skal du vælge en proxytilstand fra rullelisten Proxytilstand og konfigurere de relaterede parametre. Du kan finde flere oplysninger om parametrene og de påkrævede parametre for hver proxytilstand under Parametre for HTTP-proxyindstillinger . |
4 |
Klik på Send alle ændringer. |
Parametre for HTTP-proxyindstillinger
Følgende tabel definerer funktionen og brugen af HTTP-proxyparametrene i afsnittet HTTP> proxyindstillinger Tab i telefonens webgrænseflade. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) med XML-kode, for at konfigurere en parameter.
Parameter | Beskrivelse |
---|---|
Proxytilstand | Angiver den HTTP-proxytilstand, som telefonen bruger, eller deaktiverer HTTP-proxyfunktionen.
Gør et af følgende:
Tilladte værdier: Auto, Manuel og Fra Standard: fra |
Web Proxy Auto Discovery | Bestemmer, om telefonen bruger WPAD-protokollen (Web Proxy Auto Discovery) til at hente en PAC-fil. WPAD-protokollen bruger DHCP eller DNS eller begge netværksprotokoller til automatisk at finde en PAC-fil (Proxy Auto Configuration). PAC-fil bruges til at vælge en proxyserver til en given URL. Denne fil kan hostes lokalt eller på et netværk.
Gør et af følgende:
Tilladte værdier: Ja og Nej Standard: ja |
PAC-URL-adresse | URL-adressen til en PAC-fil. For eksempel, TFTP, HTTP og HTTPS understøttes. Hvis du indstiller proxytilstand til automatisk registrering og automatisk registrering af webproxy til Nej, skal du konfigurere denne parameter. Gør et af følgende:
Standard: tom |
Proxy-vært | IP adresse eller værtsnavn på den proxyværtsserver, som telefonen skal have adgang til. For eksempel:
Ordningen ( Hvis du indstiller proxytilstand til Manuel, skal du konfigurere denne parameter. Gør et af følgende:
Standard: tom |
Proxy Port | Portnummer for proxyværtsserveren. Hvis du indstiller proxytilstand til Manuel, skal du konfigurere denne parameter. Gør et af følgende:
Standard: 3128 |
Proxygodkendelse | Bestemmer, om brugeren skal angive de legitimationsoplysninger til godkendelse (brugernavn og adgangskode), som proxyserveren kræver. Denne parameter konfigureres i henhold til proxyserverens faktiske adfærd. Hvis du indstiller parameteren til Ja, skal du konfigurere brugernavn og adgangskode. For detaljer om parametrene, se parameteren "Brugernavn" og "Adgangskode" i denne tabel. Parameterkonfigurationen træder i kraft, når proxytilstand er indstillet til Manuel . Gør et af følgende:
Tilladte værdier: Ja og Nej Standard: nej |
Brugernavn | Brugernavn for en bruger med legitimationsoplysninger på proxyserveren. Hvis Proxytilstand er indstillet til Manuel , og Proxygodkendelse er indstillet til Ja, skal du konfigurere parameteren. Gør et af følgende:
Standard: tom |
Adgangskode | Adgangskode for det angivne brugernavn til proxygodkendelsesformålet. Hvis Proxytilstand er indstillet til Manuel og Proxygodkendelse er indstillet til Ja, skal du konfigurere parameteren. Gør et af følgende:
Standard: tom |
Proxytilstand | Nødvendige parametre | Beskrivelse |
---|---|---|
Fra | I/T | HTTP-proxy er deaktiveret på telefonen. |
Manuel | Proxy-vært Proxy Port Proxy-godkendelse: Ja Brugernavn Adgangskode | Angiv manuelt en proxyserver (et værtsnavn eller en IP-adresse) og en proxyport. Hvis proxyserveren kræver godkendelse, skal du yderligere indtaste brugernavn og adgangskode. |
Proxy-vært Proxy Port Proxy-godkendelse: Nej | Angiv manuelt en proxyserver. Proxyserveren kræver ikke godkendelsesoplysninger. | |
Auto | Automatisk registrering af webproxy: Nej PAC-URL-adresse | Indtast en gyldig PAC-URL for at hente PAC-filen. |
Automatisk registrering af webproxy: Ja |
Bruger WPAD-protokollen til automatisk at hente en PAC-fil. |
Aktivér klientinitieret tilstand for sikkerhedsforhandlinger på medieplanet
For at beskytte mediesessioner kan du konfigurere telefonen til at starte sikkerhedsforhandling i medieplan med serveren. Sikkerhedsmekanismen følger standarderne angivet i RFC 3329 og dets udvidelsesudkast til navne på sikkerhedsmekanismer for medier (se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport af forhandlinger mellem telefonen og serveren kan bruge SIP-protokol over UDP, TCP og TLS. Du kan begrænse, at sikkerhedsforhandling i medieplan kun anvendes, når signaltransportprotokollen er TLS.
Parameter | Beskrivelse |
---|---|
MediaSec-anmodning |
Angiver, om telefonen starter sikkerhedsforhandling i medieplan med serveren. Gør et af følgende:
Tilladte værdier: Ja | Nej
Standard: nej |
Kun MediaSec over TLS |
Angiver den signaleringstransportprotokol, som sikkerhedsforhandling i medieplanen gælder for. Før du indstiller dette felt til Ja, skal du kontrollere, at signaleringstransportprotokollen er TLS. Gør et af følgende:
Tilladte værdier: Ja | Nej
Standard: nej |
1 |
Gå til websiden til telefonadministration |
2 |
Vælg . |
3 |
I afsnittet SIP Indstillinger skal du angive felterne MediaSec-anmodning og MediaSec over TLS kun som defineret i ovenstående tabel. |
4 |
Klik på Send alle ændringer. |
WLAN-sikkerhed
Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage alle andres WLAN-trafik, er beskyttelse af talekommunikation vigtigt i WLAN. For at sikre, at ubudne gæster ikke manipulerer eller opfanger taletrafik, understøtter Cisco SAFE Security-arkitekturen telefonen. Få flere oplysninger om sikkerhed i netværk under http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Den trådløse Cisco-telefoniløsning leverer trådløs netværkssikkerhed, der forhindrer uautoriserede logins og kompromitteret kommunikation ved hjælp af følgende godkendelsesmetoder, som telefonen understøtter:
-
Åben godkendelse: Trådløse enheder kan anmode om godkendelse i et åbent system. Det AP, der modtager anmodningen, kan give godkendelse til en person eller kun de anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kan være ukrypteret.
-
Extensible Authentication Protocol - Fleksibel godkendelse via sikker tunnelering (EAP-FAST) Godkendelse: Denne klient-server-sikkerhedsarkitektur krypterer EAP-transaktioner i en Transport Level Security (TLS) tunnel mellem AP'et og RADIUS-serveren, f.eks. Identity Services Engine (ISE).
TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefon) og RADIUS-serveren. Serveren sender et AID (Authority ID) til klienten (telefonen), som gengæld vælger det relevante PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC med masternøglen. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere det på RADIUS-serveren.
I ISE udløber PAC'en som standard om en uge. Hvis telefonen har en udløbet PAC, tager en godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser pga. PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE'en eller RADIUS-serveren.
-
EAP-TLS-godkendelse (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. For trådløs EAP-TLS kan klientcertifikatet være MIC, LSC, eller et brugerinstalleret certifikat.
-
PEAP (Protected Extensible Authentication Protocol): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesmetode mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP MSCHAPV2- og PEAP GTC-godkendelsesmetoden understøttes.
-
Forhåndsdelt nøgle (PSK): Telefonen understøtter formatet ASCII. Du skal bruge dette format, når du konfigurerer en WPA/WPA2/SAE-forhåndsdelt nøgle:
ASCII: en ASCII-tegnstreng med 8 til 63 tegn (0-9, små bogstaver og store bogstaver A-Z og specialtegn)
Eksempel: GREG123567@9ZX&W
Følgende godkendelsesmetode bruger RADIUS-serveren til at administrere godkendelsesnøgler:
-
WPA/WPA2/WPA3: Bruger RADIUS-serveroplysninger til at generere unikke nøgler til godkendelse. Da disse nøgler genereres på den centrale RADIUS-server, giver WPA2/WPA3 mere sikkerhed end forhåndsdelte WPA-nøgler, der er gemt på AP'en og telefonen.
-
Hurtig sikker roaming: Bruger oplysninger om RADIUS-server og en trådløs domæneserver (WDS) for at administrere og godkende nøgler. WDS'et opretter en cache med sikkerhedsoplysninger til FT-aktiverede klientenheder for hurtig og sikker gengodkendelse. Cisco Bordtelefon 9861 og 9871 og Cisco Videotelefon 8875 understøtter 802.11r (FT). Både trådløst og over DS understøttes for at muliggøre hurtig og sikker roaming. Men vi anbefaler på det kraftigste, at trådløse 802.11r-metode (FT) bruges.
Med WPA/WPA2/WPA3 indtastes krypteringsnøgler ikke på telefonen, men udledes automatisk mellem adgangspunktet og telefonen. Men det EAP-brugernavn og den adgangskode, der bruges til godkendelse, skal angives på hver enkelt telefon.
For at sikre sikker taletrafik understøtter telefonen TKIP og AES til kryptering. Når disse mekanismer bruges til kryptering, krypteres både signalpakkerne SIP og stemmepakkerne (Real-Time Transport Protocol RTP) mellem adgangspunktet og telefonen.
- TKIP
-
WPA bruger TKIP-kryptering, der har adskillige forbedringer i forhold til WEP. TKIP giver nøglekryptering med pr. pakke og længere initialiseringsvektorer, der styrker kryptering. Desuden sikrer et MIC (message integrity check), at krypterede pakker ikke ændres. TKIP fjerner forudsigeligheden ved WEP, der hjælper personer med uautoriseret adgang med at tyde WEP-nøglen.
- AES
-
En krypteringsmetode, der bruges til WPA2/WPA3-godkendelse. Denne nationale standard for kryptering bruger en symmetrisk algoritme, der har den samme nøgle til kryptering og dekryptering. AES CBC-kryptering (Cipher Blocking Chain) i 128-bit størrelse, der som minimum understøtter nøglestørrelser på 128 bit, 192 bit og 256 bit. Telefonen understøtter en nøglestørrelse på 256 bit.
Cisco Bordtelefon 9861 og 9871 og Cisco Videotelefon 8875 understøtter ikke Cisco Key Integrity Protocol (CKIP) med CMIC.
Godkendelses- og krypteringsmetoder konfigureres inden for det trådløse LAN. VLAN'er konfigureres i netværket og på AP'er og angiver forskellige kombinationer af godkendelse og kryptering. Et SSID er knyttet til et VLAN og det specifikke godkendelses- og krypteringsmetode. For at trådløse klientenheder kan godkendes, skal du konfigurere de samme SSID'er med deres godkendelses- og krypteringsordninger på adgangspunkterne og på telefonen.
Visse godkendelsesmetoder kræver bestemte typer kryptering.
- Når du bruger WPA foruddelt nøgle, WPA2 foruddelt nøgle eller SAE, skal den foruddelte nøgle være statisk indstillet på telefonen. Disse nøgler skal matche de nøgler, der er i AP'en.
-
Telefonen understøtter automatisk EAP-forhandling for FAST eller PEAP, men ikke for TLS. For EAP-TLS-tilstanden skal du angive den.
Godkendelses- og krypteringsskemaerne i følgende tabel viser netværkskonfigurationsmulighederne for den telefon, der svarer til AP-konfigurationen.
FSR-Type | Godkendelse | Taststyring | Kryptering | Beskyttet administrationsramme (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nej |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Ja |
802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nej |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nej |
802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nej |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
Opsæt Wi-Fi-profil
Du kan konfigurere en Wi-Fi-profil fra telefonens webside eller via gensynkronisering af ekstern enhedsprofil og derefter knytte en brugerprofil til de tilgængelige Wi-Fi-netværk. Du kan bruge denne Wi-Fi-profil til at oprette forbindelse til et Wi-Fi. I øjeblikket kan kun én Wi-Fi-profil konfigureres.
Profilen indeholder de parametre, der er krævet for, at telefoner kan oprette forbindelse til telefonserveren med Wi-Fi. Når du opretter og bruger en Wi-Fi-profil, behøver du eller dine brugere ikke at konfigurere det trådløse netværk for individuelle telefoner.
En Wi-Fi-profil giver dig mulighed at forhindre eller begrænse ændringer af Wi-Fi-konfigurationen på telefonen efter brugeren.
Vi anbefaler, at du bruger en sikker profil med krypteringsaktiverede protokoller for at beskytte nøgler og adgangskoder, når du bruger en Wi-Fi-profil.
Når du konfigurerer telefonerne til at bruge godkendelsesmetoden EAP-FAST i sikkerhedstilstand, skal dine brugere bruge individuelle legitimationsoplysninger for at oprette forbindelse til et adgangspunkt.
1 |
Gå til telefonens webside. |
2 |
Vælg . |
3 |
I sektionen Wi-Fi Profil (n), indstil parametrene som beskrevet i følgende tabel Parametre for Wi-Fi-profilen. Profilkonfigurationen Wi-Fi er også tilgængelig for brugerlogin.
|
4 |
Klik på Send alle ændringer. |
Parametre for Wi-Fi-profilen
Følgende tabel definerer funktionen og brugen af hver parameter i sektionen Wi-Fi-profile(n) under fanen System på telefonens webside. Den definerer også syntaksen for den streng, der tilføjes i telefonens konfigurationsfil (cfg.XML) for at konfigurere en parameter.
Parameter | Beskrivelse |
---|---|
Netværksnavn | Gør det muligt at indtaste et navn på det SSID, der skal vises på telefonen. Flere profiler kan have det samme netværksnavn med forskellig sikkerhedstilstand. Gør et af følgende:
Standard: tom |
Sikkerhedstilstand | Gør det muligt at vælge den godkendelsesmetode, der bruges til at sikre adgang til Wi-Fi-netværket. Afhængigt af den valgte metode vises et adgangskodefelt, så du kan angive de legitimationsoplysninger, der kræves for at tilslutte dig dette Wi-Fi-netværk. Gør et af følgende:
Standard: automatisk |
Wi-Fi-bruger-id | Gør det muligt at angive et bruger-id for netværksprofilen. Dette felt er tilgængeligt, når du indstiller sikkerhedstilstanden til Auto, EAP-FAST eller EAP-PEAP. Dette er et obligatorisk felt, og der kan højst være 32 alfanumeriske tegn. Gør et af følgende:
Standard: tom |
Wi-Fi-adgangskode | Gør det muligt at angive adgangskoden for det angivne Wi-Fi-bruger-id. Gør et af følgende:
Standard: tom |
Frekvensbånd | Gør det muligt at vælge frekvensbåndet for det trådløse signal, som WLAN'et bruger. Gør et af følgende:
Standard: automatisk |
Certifikatvalg | Giver dig mulighed for at vælge en certifikattype til den første tilmelding og fornyelse af certifikatet i det trådløse netværk. Denne proces er kun tilgængelig for 802.1X-godkendelse. Gør et af følgende:
Standard: Produktionsinstalleret |
Tjek enhedens sikkerhedsstatus på telefonen
Din telefon kontrollerer automatisk enhedens sikkerhedsstatus. Hvis den registrerer potentielle sikkerhedstrusler på telefonen, vil den Problemer og diagnosticering Menuen kan vise detaljer om problemerne. Baseret på de rapporterede problemer kan din administrator træffe foranstaltninger for at sikre og forbedre din telefon.
Enhedens sikkerhedsstatus er tilgængelig, før telefonen registreres i opkaldsstyringssystemet (Webex Calling eller BroadWorks).
Gør følgende for at se detaljer om sikkerhedsproblemer på telefonskærmen:
1 |
Tryk på Indstillinger. |
2 |
Vælge .I øjeblikket indeholder rapporten om enhedens sikkerhed følgende problemer:
|
3 |
Kontakt din administrator for at få hjælp til at løse sikkerhedsproblemerne. |