- Hjem
- /
- Artikel
Denne Hjælp-artikel omhandler Cisco trådløs telefon 9821, der er registreret til Cisco Unified Communications Manager (Unified CM).
Du kan aktivere Cisco Unified Communications Manager (Unified CM) til at fungere i et forbedret sikkerhedsmiljø. Disse forbedringer gør, at dit telefonnetværk skal overholde et sæt strenge sikkerheds- og risikostyringskontroller, så du og dine brugere er beskyttet.
Det forbedrede sikkerhedsmiljø indeholder følgende funktioner:
-
Godkendelse af kontaktsøgning
-
TCP som standardprotokol til ekstern revisionslogføring
-
En forbedret politik om legitimationsoplysninger
-
Understøttelse af SHA-2-familien af hashes til digitale signaturer
-
Understøttelse af en RSA nøglestørrelse på op til 4096 bit
Med Cisco Unified CM Release 14.0 eller senere understøtter telefonerne SIP OAuth-godkendelse.
OAuth understøttes for TFTP (Proxy Trivial File Transfer Protocol) med Cisco Unified CM version 14.0 (1) SU1 eller nyere.
Du kan finde flere oplysninger om sikkerhed i følgende vejledninger:
-
Systemkonfigurationsvejledning til Cisco Unified Communications Manager, version 15 og SU'er
-
Sikkerhedsvejledning til Cisco Unified Communications Manager, version 15 og SU'er
Telefonen kan kun lagre et begrænset antal ITL-filer (Identity Trust List). ITL-filer må ikke overstige 64K på telefonen, så begræns antallet af filer, som Cisco Unified CM sender til telefonen.
Understøttede sikkerhedsfunktioner
Sikkerhedsfunktionerne beskytter mod trusler, herunder trusler i forhold til identiteten af telefonen og dataene. Disse funktioner etablerer og opretholder godkendte kommunikationsstrømme mellem telefonen og Cisco Unified Communications Manager-servere og sikrer, at telefonen kun bruger filer, der er signeret digitalt.
Cisco Unified Communications Manager Release 8.5(1) og senere omfatter Security by Default, der giver følgende sikkerhedsfunktioner for Cisco IP-telefon, uden at køre CTL-klienten:
-
Signering af telefonkonfigurationsfilerne
-
Kryptering af telefonkonfigurationsfiler
-
HTTPS med Tomcat og andre webservices
Sikre signalerings- og mediefunktioner kræver stadig, at du kører CTL-klienten og bruger hardware-eTokens.
Implementering af sikkerheden i Cisco Unified Communications Manager-systemet forhindrer identitetstyveri på telefonen, og Cisco Unified Communications Manager-serveren forhindrer datamanipulation og forhindrer manipulation af opkaldssignaler og mediestreams.
For at afhjælpe disse trusler etablerer og opretholder Cisco IP-telefon-netværket sikre (krypterede) kommunikationsstrømme mellem en telefon og serveren, signerer filer digitalt, før de overføres til en telefon, og krypterer mediestreams og opkaldssignaler mellem Cisco IP-telefon.
Et lokalt LSC (Locally Significant Certificate) installeres på telefoner, når du har udført de nødvendige opgaver, der er knyttet til CAPF (Certificate Authority Proxy Function). Du kan bruge Cisco Unified Communications Manager Administration til at konfigurere et LSC, som beskrevet i sikkerhedsvejledningen #Cisco Unified Communications Manager. Du kan også starte installationen af LSC i menuen Sikkerhed på telefonen. I denne menu kan du også opdatere eller fjerne en LSC.
Telefonerne bruger telefonsikkerhedsprofilen, der definerer, om enheden er sikker eller sikker. Få oplysninger om anvendelse af sikkerhedsprofilen på telefonen i dokumentationen til din specifikke version af Cisco Unified Communications Manager
Hvis du konfigurerer sikkerhedsmæssige indstillinger i Cisco Unified Communications Manager Administration, indeholder telefonkonfigurationsfilen følsomme oplysninger. For at sikre fortroligheden af en konfigurationsfil skal du konfigurere den til kryptering. Få mere detaljerede oplysninger i dokumentationen til din specifikke version af Cisco Unified Communications Manager.
Følgende tabel indeholder en oversigt over sikkerhedsfunktioner, som telefonerne understøtter. Få flere oplysninger i dokumentationen til din specifikke version af Cisco Unified Communications Manager.
|
Funktion |
Beskrivelse |
|---|---|
|
Godkendelse af afbildning |
Signerede binære filer forhindrer manipulation med firewareafbildningen, før afbildningen indlæses på en telefon. Hvis afbildningen bliver manipuleret, får det telefonen til at give fejl under godkendelsesprocessen og afvise den nye afbildning. |
|
Installation af certifikat på kundewebsted |
Hver enkelt Cisco IP-telefon understøttet et unikt certifikat for enhedsgodkendelse. Telefoner har et produktionsinstalleret certifikat (MIC), men som ekstra sikkerhed kan du angive certifikatinstallation i Cisco Unified Communications Manager Administration ved hjælp af CAPF (Certificate Authority Proxy Function). Du kan også installere et Locally Significant Certificate (LSC) i menuen Sikkerhed på telefonen. |
|
Enhedsgodkendelse |
Sker mellem Cisco Unified Communications Manager-serveren og profilen, når hver enkelt enhed accepterer den anden enheds certifikat. Bestemmer, om en sikker forbindelse mellem telefon og en Cisco Unified Communications Manager bør ske, og opretter en sikker signalsti mellem enhederne ved hjælp af TLS-protokollen, hvis det er nødvendigt. Cisco Unified Communications Manager registrerer ikke telefoner, medmindre den kan godkende dem. |
|
Filgodkendelse |
Validerer digitalt signerede filer, som telefonen downloader. Telefonen validerer signaturen for at sikre, at filen ikke er blevet manipuleret efter oprettelse af filen. Filer, der ikke kan godkendes, skrives ikke på telefonens Flash-hukommelse. Telefonen afviser sådanne filer uden yderligere behandling. |
|
Kryptering af filer |
Kryptering forhindrer, at følsomme oplysninger bliver vist, mens filen er undervejs til telefonen. Derudover validerer telefonen signaturen for at sikre, at filen ikke er blevet manipuleret efter oprettelse af filen. Filer, der ikke kan godkendes, skrives ikke på telefonens Flash-hukommelse. Telefonen afviser sådanne filer uden yderligere behandling. |
|
Godkendelse af signaler |
Bruger TLS-protokollen til at validere, at signalpakker ikke er blevet manipuleret under afsendelse. |
|
Produktionsinstalleret certifikat |
Hver enkelt Cisco IP-telefon indeholder et unikt MIC (manufacturing installed certificate), der bruges til godkendelse af enheder. MIC giver et permanent og entydigt bevis på telefonens identitet og giver Cisco Unified Communications Manager mulighed for godkende telefonen. |
|
Mediekryptering |
Bruger SRTP til at sikre, mediestreams mellem understøttede enheder er beskyttet, og at det kun er den tilsigtede enhed, der modtager og læser dataene. Omfatter oprettelse af et mediehovednøglepar for enhederne, levering af nøglerne til enhederne og sikring af levering af nøglerne, når nøglerne transporteres. |
|
CAPF (Certificate Authority Proxy Function) |
Implementerer dele af proceduren til oprettelse af certifikat, der er for behandlingskrævende for telefonen, og interagerer med telefonen i forhold til oprettelse af nøgler og installation af certifikater. CAPF kan konfigureres til at anmode om certifikater fra kundeangivne nøglecentre på vegne af telefonen, eller den kan konfigureres til at oprette certifikater lokalt. Både EC (elliptisk kurve) og RSA nøgletyper understøttes. Hvis du vil bruge EC-tasten, skal du sørge for, at parameteren "Endpoint Advanced Encryption Algorithms Support" (fra ) er aktiveret. Du kan finde flere oplysninger om CAPF og relaterede konfigurationer i følgende dokumenter: |
|
Sikkerhedsprofil |
Definerer, om telefonen ikke er sikker, godkendt, krypteret eller beskyttet. Andre poster i denne tabel beskriver sikkerhedsfunktioner. |
|
Krypterede konfigurationsfiler |
Giver dig mulighed for at sikre fortroligheden af telefonkonfigurationsfilerne. |
|
Valgfri deaktivering af webserver for en telefon |
Af sikkerhedsmæssige hensyn kan du forhindre adgang til websider for en telefon (der vises forskellige statistiske oplysninger om telefonen) og Selvbetjeningsportal. |
|
Telefonhærdning |
Ekstra sikkerhedsindstillinger, du kan styre fra Cisco Unified Communications Manager Administration:
|
|
Sikker SIP-failover for SRST |
Når du har konfigureret en SRST-reference (Survivable Remote Site Telephony) af sikkerhedsmæssige årsager og derefter nulstiller de afhængige enheder i Cisco Unified Communications Manager Administration, føjer TFTP-serveren SRST-certifikatet til telefonens cnf.xml-fil og sender filen til telefonen. Derefter bruger en sikker telefon en TLS-forbindelse for at interagere med den SRST-aktiverede router. |
|
Kryptering af signaler |
Sikrer, at alle SIP signalmeddelelserne, der sendes mellem enheden og Cisco Unified Communications Manager-serveren, er krypteret. |
|
Alarm om opdatering af tillidsliste |
Når tillidslisten opdateres på telefonen, modtager Cisco Unified Communications Manager en alarm for at angive, om opdateringen blev gennemført eller mislykkedes. Se følgende tabel for at få flere oplysninger. |
|
AES 256-kryptering |
Når telefonerne har forbindelse til Cisco Unified Communications Manager Release 10.5(2) og senere, understøtter de AES 256-krypteringsunderstøttelse for TLS og SIP for brug af signaler og mediekryptering. Dette betyder, at telefoner kan igangsætte og understøtte TLS 1.2-forbindelser ved hjælp af AES-256-baserede koder, der overholder SHA-2-standarderne (Secure Hash Algorithm) og FIPS (Federal Information Processing Standards). Krypteringen omfatter:
Få flere oplysninger i dokumentationen til Cisco Unified Communications Manager. |
|
ECDSA-certifikater (Elliptic Curve Digital Signature Algorithm) |
Som del af CC-certificeringen (Common Criteria) har Cisco Unified Communications Manager tilføjet ECDSA-certifikater i version 11.0. Dette påvirker alle VOS-produkter (Voice Operating System), der kører CUCM 11.5 og senere versioner. |
|
Multi-server (SAN) Tomcat certifikat med Cisco UCM | Telefonen understøtter Cisco UCM med Multi-server (SAN) Tomcat-certifikater konfigureret. Den korrekte TFTP-serveradresse findes i telefonens ITL-fil til registrering af telefonen. Du kan finde flere oplysninger om funktionen i følgende: |
Følgende tabel indeholder alarmmeddelelser om opdatering af tillidsliste og deres betydning Få flere oplysninger i dokumentationen til Cisco Unified Communications Manager.
| Kode og meddelelse | Beskrivelse |
|---|---|
|
1 - TL_SUCCESS |
Modtaget ny CTL og/eller ITL |
|
2 - CTL_INITIAL_SUCCESS |
Modtaget ny CTL, ingen eksisterende TL |
|
3 - ITL_INITIAL_SUCCESS |
Modtaget ny ITL, ingen eksisterende TL |
|
4 - TL_INITIAL_SUCCESS |
Modtaget ny CTL og ITL, ingen eksisterende TL |
|
5 - TL_FAILED_OLD_CTL |
Opdatering til CTL mislykkedes, men har tidligere TL |
|
6 - TL_FAILED_NO_TL |
Opdatering til ny TL mislykkedes og har ingen gammel TL |
|
7 - TL_FAILED |
Generisk fejl |
|
8 - TL_FAILED_OLD_ITL |
Opdatering til ITL mislykkedes, men har tidligere TL |
|
9 - TL_FAILED_OLD_TL |
Opdatering til TL mislykkedes, men har tidligere TL |
Telefonopkaldssikkerhed
Når der implementeres sikkerhed for en telefon, kan du identificere sikre telefonopkald på ikoner på telefonskærmen. Du kan også bestemme, om den tilsluttede telefon er sikker og beskyttet, hvis der afspilles en sikkerhedstone i begyndelsen af opkaldet.
I et sikkert opkald krypteres alle signal- og mediestreams. Et sikkert opkald tilbyder et højt niveau af sikkerhed med integritet og beskyttelse af personlige oplysninger ved opkaldet. Når et igangværende opkald er krypteret, kan du se ikonet sikkert
På linjen.
-
Hvis opkaldet sendes gennem ikke-IP-opkaldslogge, f.eks. PSTN, er opkaldet muligvis ikke-sikkert, selvom det er krypteret på IP-netværket og har et låseikon tilknyttet.
-
Sikre opkald understøttes kun for forbindelse mellem to telefoner. Visse funktioner, f.eks. konferenceopkald og delte linjer, er ikke tilgængelige, når sikre opkald er konfigureret.
I Cisco Unified Communications Manager kan telefoner, der er konfigureret som sikre (krypterede og pålidelige), tildeles en beskyttet status. Når de er beskyttet, kan disse enheder konfigureres til at afspille en sikkerhedstone i begyndelsen af hvert opkald.
-
Beskyttet enhed:
Sådan ændrer du en sikker telefons status til beskyttet:
- I Cisco Unified Communications Manager Administration skal du vælge .
- Find den telefon, du vil konfigurere.
- I vinduet Telefonkonfiguration skal du markere afkrydsningsfeltet Beskyttet enhed .
- Klik på Gem.
-
Afspil sikker indikationstone:
Sådan aktiverer du den beskyttede telefon til at afspille en sikker eller ikke-sikker indikationstone:
- I Cisco Unified Communications Manager Administration skal du vælge .
- Vælg serveren og derefter tjenesten # Cisco CallManager .
- I området Parametre for hele klyngen (Funktion - Sikker tone) skal du indstille afspilningstonen til at angive indstillingen Sikker/ikke-sikker opkaldsstatus til Sand.
- Klik på Gem.
Sikker identifikation af konferenceopkald
Du kan starte et sikkert konferenceopkald og overvåge deltagernes sikkerhedsniveau. Sådan etablerer du et sikkert konferenceopkald:
-
En bruger starter konferencen fra en sikker telefon.
-
Cisco Unified Communications Manager tildeler en sikker konferencebro til opkaldet.
-
Efterhånden som deltagere tilføjes, bekræfter Cisco Unified Communications Manager sikkerhedstilstanden for hver telefon og beholder det sikre niveau for konferencen.
-
Telefonen viser konferenceopkaldets sikkerhedsniveau. En sikker konference viser ikonet for sikkert
.
Sikre opkald understøttes mellem to telefoner. For beskyttede telefoner er visse funktioner, f.eks. konferenceopkald, delte linjer og Extension Mobility, ikke tilgængelige, når sikre opkald er konfigureret.
Følgende tabel indeholder oplysninger om ændringer af konferencens sikkerhedsniveauer afhængigt af igangsætterens telefonsikkerhedsniveau, deltagernes sikkerhedsniveau og tilgængeligheden af sikre konferencebroer.
|
Igangsætterens telefonsikkerhedsniveau |
Anvendt funktion |
Deltagernes sikkerhedsniveau |
Resultater af handling |
|---|---|---|---|
|
Ikke-sikker |
Konference |
Sikker |
Ikke-sikker konferencebro Ikke-sikker konference |
|
Sikker |
Konference |
Mindst ét medlem er ikke-sikkert. |
Sikker konferencebro Ikke-sikker konference |
|
Sikker |
Konference |
Sikker |
Sikker konferencebro Sikker og krypteret konference |
|
Ikke-sikker |
Mød Mig |
Det minimale sikkerhedsniveau er krypteret. |
Igangsætteren modtager omorganiseringstone. |
|
Sikker |
Mød Mig |
Det minimale sikkerhedsniveau er ikke-sikkert. |
Sikker konferencebro Konferencen accepterer alle opkald. |
Sikker identifikation af telefonopkald
Et sikkert opkald etableres, når din telefon og telefonen i den anden ende er konfigureret til sikre opkald. Den anden telefon kan være på samme Cisco IP-netværk eller på et netværk uden for IP-netværket. Sikre opkald kan kun foretages mellem to telefoner. Konferenceopkald bør understøtte sikre opkald, efter en sikker konferencebro er konfigureret.
Et sikret opkald etableres ved hjælp af denne proces:
-
En bruger starter opkaldet fra en sikret telefon (sikret sikkerhedstilstand).
-
Telefonen viser ikonet for sikkert opkald
På telefonskærmen. Dette ikon angiver, at telefonen er konfigureret til sikre opkald, men dette betyder ikke, at den anden tilsluttede telefon også er sikret. -
Brugeren hører en sikkerhedstone, hvis opkaldet opretter forbindelse til en anden sikret telefon, hvilket angiver, at begge ender af samtalen er krypteret og sikret. Hvis opkaldet opretter forbindelse til en ikke-sikret telefon, vil brugere ikke høre sikkerhedstonen.
Sikre opkald understøttes mellem to telefoner. For beskyttede telefoner er visse funktioner, f.eks. konferenceopkald, delte linjer og Extension Mobility, ikke tilgængelige, når sikre opkald er konfigureret.
Kun beskyttede telefoner afspiller disse sikre eller ikke-sikre indikationstoner. Ikke-beskyttede telefoner afspiller aldrig toner. Hvis den generelle opkaldsstatus ændrer sig under opkaldet, ændres indikationstonen, og den beskyttede telefon afspiller den passende tone.
Når indstillingen Afspil tone for at indikere sikker/ikke-sikker opkaldsstatus er indstillet til Sand:
-
Når sikkert end-to-end-medie er etableret, og opkaldsstatussen er sikker, afspiller telefonen den sikre indikationstone (tre lange bip med pauser).
-
Når usikkert end-to-end-medie er etableret, og opkaldsstatussen er ikke-sikker, afspiller telefonen den ikke-sikre indikationstone (seks korte bip med korte pauser).
Hvis indstillingen Afspil tone for at indikere sikker/ikke-sikker opkaldsstatus er indstillet til Falsk, afspilles der ingen tone.
Giv kryptering til pramme
Cisco Unified Communications Manager kontrollerer telefonens sikkerhedsstatus, når der er etableret konferencer, og ændrer sikkerhedsangivelse for konferencen eller blokerer afslutningen af opkaldet for at sikre systemets integritet og sikkerhed.
En bruger kan ikke bryde ind i et krypteret opkald, hvis den telefon, der bruges til at bryde ind med, ikke er konfigureret til kryptering. Når bryd ind-handlingen mislykkes i dette tilfælde, afspilles en omorganiseringstone (hurtig optaget) på den telefon, hvor bryd ind blev startet.
Hvis den startende telefon er konfigureret til kryptering, kan den, der starter bryd ind-handlingen, bryde ind i et ikke-sikkert opkald fra den krypterede telefon. Når bryd ind-handlingen er sket, klassificerer Cisco Unified Communications Manager opkaldet som ikke-sikkert
Hvis den startende telefon er konfigureret til kryptering, kan den, der starter bryd ind-handlingen, bryde ind i et krypteret opkald, og telefonen angiver, at opkaldet er krypteret.
Sikkerhed for trådløst LAN
Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage alle andres WLAN-trafik, er beskyttelse af talekommunikation vigtigt i WLAN. For at sikre, at ubudne gæster ikke manipulerer eller opfanger taletrafik, understøtter Cisco SAFE Security-arkitekturen telefonen. Du kan finde flere oplysninger om sikkerhed i netværk i http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Telefoniløsningen Cisco Wireless IP leverer trådløs netværkssikkerhed, der forhindrer uautoriseret logon og kompromitteret kommunikation ved hjælp af følgende godkendelsesmetoder, som telefonen understøtter.
-
Åben godkendelse: Trådløse enheder kan anmode om godkendelse i et åbent system. Det AP, der modtager anmodningen, kan give godkendelse til en person eller kun de anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kan være ikke-krypteret.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Denne klient-server sikkerhedsarkitektur krypterer EAP transaktioner inden for en Transport Level Security (TLS) tunnel mellem AP og RADIUS-serveren, såsom Identity Services Engine (ISE).
TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefon) og RADIUS-serveren. Serveren sender et AID (Authority ID) til klienten (telefonen), som gengæld vælger det relevante PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC med masternøglen. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere det på RADIUS-serveren.
I ISE udløber PAC som standard om en uge. Hvis telefonen har en udløbet PAC, tager en godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser pga. PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE'en eller RADIUS-serveren.
-
EAP-TLS-godkendelse (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. For trådløse EAP-TLS kan klientcertifikatet være MIC, LSC, eller brugerinstalleret certifikat.
-
PEAP (Protected Extensible Authentication Protocol): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesmetode mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP MSCHAPV2- og PEAP GTC-godkendelsesmetoden understøttes.
-
Pre-Shared Key (PSK): Telefonen understøtter formaterne ASCII og hexadecimal (HEX). Du skal bruge disse formater, når du konfigurerer en forhåndsdelt WPA2/SAE-nøgle.
ASCII: En ASCII-tegnstreng med 8 til 63 tegn i længden (0-9, små bogstaver a-z, store bogstaver A-Z og specialtegn). f.eks.
. GREG123567@9ZX&W.HEX: En HEX-tegnstreng med 64 hex-cifre i længden (0-9, a-f eller A-F).
Følgende godkendelsesmetode bruger RADIUS-serveren til at administrere godkendelsesnøgler:
-
WPA2/WPA3: Bruger RADIUS-serveroplysninger til at generere entydige nøgler til godkendelse. Da disse nøgler genereres på den centrale RADIUS-server, giver WPA2/WPA3 mere sikkerhed end forhåndsdelte WPA-nøgler, der er gemt på AP'en og telefonen.
-
Hurtig sikker roaming: Bruger oplysninger om RADIUS-server og en trådløs domæneserver (WDS) for at administrere og godkende nøgler. WDS opretter en cache med sikkerhedslegitimationsoplysninger for FT-aktiverede klientenheder til hurtig og sikker gengodkendelse.
Med WPA2/WPA3 angives krypteringsnøgler ikke på telefonen, men hentes automatisk mellem adgangspunktet og telefonen. Men det EAP-brugernavn og den adgangskode, der bruges til godkendelse, skal angives på hver enkelt telefon.
For at hjælpe med at beskytte taletrafik via det trådløse link understøtter telefonen AES-baseret kryptering til WPA2/WPA3-godkendelse. AES er en symmetrisk blokchiffer standardiseret af NIST. AES bruger en fast 128-bit blokstørrelse og understøtter nøglestørrelser på 128 bit, 192 bit og 256 bit. I Wi-Fi-netværk bruges AES af krypteringspakker som CCMP eller GCMP, mens godkendelse leveres separat af PSK, SAE eller 802.1X/EAP, afhængigt af den konfigurerede WLAN-sikkerhedstilstand. Den understøttede krypteringspakke og nøglestørrelse afhænger af telefonmodellen og WLAN-konfigurationen.
Når telefonen bruger AES-kryptering, krypteres både signalpakkerne SIP og RTP-pakkerne (voice Real-Time Transport Protocol) mellem adgangspunktet og telefonen.
Godkendelses- og krypteringsmetoder konfigureres inden for det trådløse LAN. VLAN'er konfigureres i netværket og på AP'er og angiver forskellige kombinationer af godkendelse og kryptering. Et SSID er knyttet til et VLAN og det specifikke godkendelses- og krypteringsmetode. Hvis trådløse klientenheder skal kunne godkendes, skal du konfigurere de samme SSID'er med deres godkendelses- og krypteringsskemaer på AP'erne og på telefonen.
Visse godkendelsesmetoder kræver bestemte typer kryptering.
Når du bruger WPA2 forhåndsdelt nøgle eller SAE, skal den forhåndsdelte nøgle være statisk indstillet på telefonen. Disse nøgler skal matche de nøgler, der er i AP'en.
Godkendelses- og krypteringsskemaerne i følgende tabel viser netværkskonfigurationsindstillingerne for Cisco trådløs telefon 9821, der svarer til AP-konfigurationen.
| FSR Type | Godkendelse | Taststyring | Kryptering | Beskyttet styringsramme (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nej |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Ja |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nej |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nej |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nej |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| ikke-FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Ja |
| ikke-FT | Suite-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Ja |
Opret en Wi-Fi profil
Du kan konfigurere en Wi-Fi profil og tildele den til Cisco trådløs telefon 9821. Denne profil indeholder de parametre, der er nødvendige for, at telefonen kan etablere en Wi-Fi-forbindelse og efterfølgende registrere sig med Cisco Unified CM. Når du opretter og bruger en Wi-Fi-profil, behøver du eller dine brugere ikke at konfigurere det trådløse netværk for individuelle telefoner.
Vi anbefaler, at du bruger en sikker profil med TFTP-kryptering aktiveret for at beskytte nøgler og adgangskoder, når du bruger en Wi-Fi-profil.
Telefonerne understøtter ét servercertifikat pr. installationsmetode (manuel, SCEP eller TFTP).
Vær opmærksom på følgende bemærkninger, før du konfigurerer WLAN-profilen:
-
Brugernavn og adgangskode
-
Når dit netværk bruger EAP-FAST og PEAP til brugergodkendelse, skal du konfigurere både brugernavnet og adgangskoden, hvis det er nødvendigt, på RADIUS (Remote Authentication Dial-In User Service) og telefonen.
- De legitimationsoplysninger, du angiver i den trådløse LAN-profil, skal være identiske med de legitimationsoplysninger, du har konfigureret på RADIUS-serveren.
-
Hvis du bruger domæner i dit netværk, skal du angive brugernavnet med domænenavnet i formatet:
domæne\brugernavn.
-
-
Følgende handlinger kunne medføre, at den eksisterende Wi-Fi-adgangskode bliver fjernet:
- Angivelse af et ugyldigt bruger-id eller ugyldig adgangskode
- Installation af et ugyldigt eller udløbet rod-CA, når EAP-typen er indstillet til PEAP MSCHAPV2 eller PEAP GTC
- Deaktivering af EAP-typen i brug på RADIUS-serveren, før du skifter telefonen til den nye EAP-type
- Hvis du vil ændre EAP-typen, skal du kontrollere, at du først aktiverer den nye EAP-type på RADIUS-serveren, og derefter skifter telefonen til EAP-typen. Når alle telefonerne er blevet ændret til den nye EAP-type, kan du deaktivere den forrige EAP-type, hvis du ønsker.
| 1 |
Gå til Cisco Unified Communications Manager Administration, og vælg . |
| 2 |
Klik på Tilføj ny. |
| 3 |
Angiv parametrene i Oplysninger om trådløs LAN-profil:
|
| 4 |
Indstil parameterværdierne i sektionen Trådløse indstillinger:
|
| 5 |
I afsnittet Godkendelsesindstillinger skal du indstille godkendelsesmetoden til en af disse godkendelsesmetoder: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK og Ingen. Cisco Trådløs telefon 9821 understøtter ikke WEP. Når du har angivet dette felt, kan du muligvis se flere felter, du skal konfigurere.
Cisco Trådløs telefon 9821 understøtter ikke feltet Netværksadgangsprofil . |
| 6 |
Klik på Gem. |
Hvad der skal ske nu
Forbind den trådløse LAN-profil til en WLAN-profilgruppe, og anvend derefter WLAN-profilgruppen til en enhedspulje (system>enhedspuljetelefon
Installer et brugercertifikat fra websiden til telefonadministration
Du kan installere et brugercertifikat manuelt på telefonen, hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgængelig.
Det forhåndsinstallerede MIC (Manufacturing Installed Certificate) kan anvendes som brugercertifikat for EAP-TLS.
Når brugercertifikatet er installeret, skal du føje CA-kæden, der har udstedt brugercertifikatet, til RADIUS-serverens tillidsliste.
Før du begynder
Før du kan installere et brugercertifikat for en telefon, skal du have:
-
Et brugercertifikat gemt på din pc. Certifikatet skal have formatet PKCS nr. 12.
-
Certifikatets udtrukne adgangskode. Adgangskodelængden må ikke overstige 32 tegn.
| 1 |
Vælg Certifikater på websiden for telefonsadministration. |
| 2 |
Find feltet Brugerinstalleret, og klik på Installér. |
| 3 |
Gå til certifikatet på din pc. |
| 4 |
I feltet Udtræk adgangskode skal du angive certifikatudtræksadgangskode. |
| 5 |
Klik på Upload. |
| 6 |
Genstart telefonen, når overførslen er fuldført. |
Installer et CA for godkendelsesserver fra websiden til telefonadministration
Du kan manuelt installere et CA for godkendelsesserver på telefonen, hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgængelig.
Det rodnøglecenter, der udstedte RADIUS-servercertifikatet, skal være installeret.
Før du begynder
Før du kan installere et certifikat på en telefon, skal du have et CA for godkendelsesserver gemt på din pc. Certifikatet skal kodes i PEM (base-64) eller DER.
| 1 |
Vælg Certifikater på websiden for telefonsadministration. |
| 2 |
Find feltet Godkendelsesserveren CA, og klik på Installér. |
| 3 |
Gå til certifikatet på din pc. |
| 4 |
Klik på Upload. |
| 5 |
Genstart telefonen, når overførslen er fuldført. |
Fjerne et sikkerhedscertifikat manuelt fra websiden til telefonadministration
Du kan manuelt fjerne et sikkerhedscertifikat fra en telefon, hvis SCEP (Enrollment Protocol SCEP) ikke er tilgængeligt.
| 1 |
Vælg Certifikater på websiden for telefonsadministration. |
| 2 |
Find certifikatet på siden Certifikater. |
| 3 |
Klik på Slet. |
| 4 |
Genstart telefonen, når sletningen er fuldført. |
Konfigurer SCEP
SCEP (Simple Certificate Enrollment Protocol) er standarden til automatisk anskaffelse og fornyelse af certifikater. Den gør det muligt at undgå manuel installation af certifikater på dine telefoner.
Aktivér SCEP-produktspecifikke konfigurationsparametre
Du skal konfigurere følgende SCEP-parametre på Cisco Unified Communications Manager (Unified CM).
-
RA IP adresse eller værtsnavn
-
SHA-1- eller SHA-256-fingeraftryk af CA-rodcertifikatet til SCEP-serveren
Cisco IOS Registration Authority (RA) fungerer somen proxy i forhold til SCEP-serveren. SCEP-klienten på telefonen bruger de parametre, der hentes fra Cisco Unified CM. Når du har konfigureret parametrene, sender telefonen en SCEP getcs-anmodning til RA, og rodnøglecentercertifikatet valideres med det definerede fingeraftryk.
| 1 |
Fra Cisco Unified Communications Manager Administration skal du vælge . |
| 2 |
Find telefonen. |
| 3 |
Rul til området Produktspecifikt konfigurationslayout. |
| 4 |
Marker afkrydsningsfeltet WLAN SCEP-server for at aktivere SCEP-parameteren. |
| 5 |
Marker afkrydsningsfeltet WLAN Root CA Fingerprint (SHA256 eller SHA1) for at aktivere parameteren SCEP QED. |
Understøttelse af SCEP-server
Hvis du bruger en SCEP-server (Simple Certificate Enrollment Protocol), kan serveren automatisk vedligeholde dine bruger- og certifikater. På SCEP-serveren skal du konfigurere SCEP-registreringsagenten til at:
-
Fungerere som et PKI-tillidspunkt
-
Fungerere som en PKI-registreringsagent
-
Udføre enhedsgodkendelse ved hjælp af en RADIUS-server
Du kan finde flere oplysninger i dokumentationen til din SCEP-server.
Konfigurer et lokalt signifikant certifikat (LSC)
Der er et par metoder til at installere en LSC. Denne eksempelopgave gælder for konfiguration af LSC med strengmetoden godkendelse på Cisco trådløs telefon 9821.
Før du begynder
Sørg for, at de rigtige sikkerhedskonfigurationer Cisco Unified CM og certificate authority proxy function (CAPF) er fuldført.
-
CTL- eller ITL-filen har et CAPF-certifikat.
-
Bekræft, at CAPF-certifikatet er installeret i Cisco Unified Communications Operating System Administration.
-
CAPF kører og er konfigureret.
Du kan finde flere oplysninger om disse indstillinger i dokumentationen til din Cisco Unified CM version.
| 1 |
Hent den CAPF-godkendelsesstreng, der blev indstillet, da CAPF blev konfigureret. |
| 2 |
På telefonen skal du åbne Indstillinger |
| 3 |
Vælg . |
| 4 |
Angiv godkendelsesstrengen. |
| 5 |
Tryk på Mere Telefonen begynder at installere, opdatere eller fjerne LSC'en, afhængigt af hvordan CAPF er konfigureret. Når proceduren er fuldført, vises Installeret eller Ikke installeret på telefonen. Processen til installation, opdatering eller fjernelse af LSC kan tage lang tid at fuldføre. Når proceduren til installation af telefonen er gennemført, vises meddelelsen |
802.1X-godkendelse til kabelforbundne netværk
Cisco Wireless Phone 9821 understøtter 802.1X-godkendelse for kablede netværk. Dette bruges typisk under automatisk klargøring , når telefonen er sluttet til bordopladeren via en understøttet USB-til-Ethernet-adapter.
Understøttelse af 802.1X-godkendelse på kablede netværk kræver følgende flere komponenter:
-
Cisco IP-telefon: Telefonen starter anmodningen for at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer kontrol over forbindelsen mellem IP-telefoner og porte på LAN-switch. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.
-
Autentificeringsserver: Godkendelsesserveren og switchen skal begge konfigureres med en delt RADIUS-hemmelighed.
-
Switch: Switchen skal understøtte 802.1X, så den kan fungere som godkender og videresende EAP-meddelelser mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen at give telefonen adgang til netværket.
Cisco IP-telefon og Cisco Catalyst-switches bruger traditionelt set Cisco Discovery Protocol (CDP) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og integreret strømkrav.
Du skal udføre følgende handlinger for at konfigurere 802.1X.
-
Konfigurer CDP/LLDP stemme VLAN bypass.
-
Konfigurer godkendelsesserveren og switchen, før du aktiverer 802.1X-godkendelse for kabelbaserede netværk på telefonen.
-
Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling ud fra switchunderstøttelsen.
- Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du konfigurere den til at bruge stemmen VLAN.
- Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
-
Cisco Trådløs telefon 9821 har et andet præfiks i PID end for de andre Cisco telefoner. Indstil Radius· for at aktivere din telefon til at passere 802.1X-godkendelse Parameteren Brugernavn for at inkludere din Cisco trådløse telefon 9821.
PID for Cisco trådløs telefon 9821 er f.eks. WP-9821. Du kan indstille Radius· Brugernavn til at
starte med WPellerIndeholder WPi begge følgende afsnit: -
Aktivér 802.1X-godkendelse for kabelforbundne netværk på din telefon
Følg disse trin for at aktivere 802.1X-godkendelse for kabelbaserede netværk på din telefon. Bemærk, at 802.1X-godkendelse for Wi-Fi er aktiveret som standard og ikke kræver nogen manuel konfiguration.
| 1 |
Få adgang til indstillingerne |
| 2 |
Indtast adgangskoden for at få adgang til menuen Indstillinger , hvis du bliver bedt om det. Du kan få adgangskoden fra administratoren. |
| 3 |
Vælg . |
| 4 |
Markér Enhedsgodkendelse , og tryk på Til. |
Aktivér 802.1X-godkendelse for kablede netværk i Cisco Unified Communications Manager Administration
Følg disse trin for at aktivere 802.1X-godkendelse for kablede netværk på Cisco Unified CM. Bemærk, at 802.1X-godkendelse for Wi-Fi er aktiveret som standard og ikke kræver nogen manuel konfiguration.
Du kan se transaktionsstatus og sikkerhedsindstillinger i telefonens skærmmenu. Du kan finde flere oplysninger under Menuen Sikkerhedsindstillinger på telefonen.
| 1 |
I Cisco Unified Communications Manager Administration skal du vælge Enhed > telefon. |
| 2 |
Find den telefon, du vil konfigurere. |
| 3 |
Gå til området med produktspecifik konfigurationslayout . |
| 4 |
Vælg Aktiveret i rullemenuen 802.1x-godkendelse . Når indstillingen Enhedsgodkendelse på Cisco Wireless Phone 9821 er konfigureret til Aktiveret eller Deaktiveret , bliver den skrivebeskyttet, hvilket forhindrer brugere i at ændre indstillingerne for802.1X-godkendelse. |
| 5 |
Vælg Gem. |
| 6 |
Vælg Anvend konfig. |
Menuen Sikkerhedsindstillinger på telefonen
Hvis du vil have vist oplysninger om sikkerhedsindstillingerne i telefonmenuen, skal du åbne Indstillinger
og vælg Administratorindstillinger . Tilgængeligheden af oplysningerne afhænger af netværksindstillingerne i din organisation.
|
Parametre |
Indstillinger |
Standard |
Beskrivelse |
|---|---|---|---|
|
Enhedsgodkendelse |
Til Fra |
Fra |
Aktiverer eller deaktiverer 802.1X-godkendelse på telefonen. Parameterindstillingen kan bevares efter telefonens Out-Of-Box (OOB)-registrering. |
|
Transaktionsstatus | Deaktiveret |
Viser status for 802.1X-godkendelse. Staten kan være (ikke begrænset til):
| |
|
Protokol | Ingen |
Viser EAP-metoden, der bruges til 802.1X-godkendelse. Protokollen kan være EAP-FAST eller EAP-TLS. |
Konfigurer de understøttede versioner af TLS
Du kan konfigurere den mindste version af TLS, der kræves til henholdsvis klient og server.
Som standard er minimum TLS-versionen af server og klient begge 1.2. Indstillingen påvirker følgende funktioner:
- HTTPS-webadgangsforbindelse
- Onboarding af lokal telefon
- HTTPS-tjenester, f.eks. katalogtjenester
- Datagram Transport Layer Security (DTLS)
- Port Access Entity (PAE)
- Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
Du kan finde flere oplysninger om TLS 1.3-kompatibiliteten for Cisco IP Phones i TLS 1.3-kompatibilitetsmatrix for Cisco samarbejdsprodukter.
| 1 |
Gør et af følgende efter behov i Cisco Unified Communications Manager Administration:
Konfigurationen følger en hierarkisk struktur:
|
| 2 |
Indstil feltet TLS klientens min. version : Indstillingen TLS 1.3 er tilgængelig på Cisco Unified CM 15SU2 eller nyere.
|
| 3 |
Indstil feltet TLS serverens min. version :
|
| 4 |
Klik på Gem. |
| 5 |
Klik på Anvend konfig. |
| 6 |
Genstart telefonerne. |
TURN fra højttalertelefon og headset på Cisco trådløs telefon 9821
Du har mulighed for permanent at TURN fra højttalertelefonen og headsettet på en Cisco trådløs telefon 9821 for din bruger. Deaktivering af disse lydudgange sikrer, at samtaler ikke høres af andre i nærheden, hvilket er vigtigt i delte eller åbne kontormiljøer.
| 1 |
I Cisco Unified Communications Manager Administration skal du vælge . |
| 2 |
Find den telefon, du vil konfigurere. |
| 3 |
Gå til området med produktspecifik konfigurationslayout . |
| 4 |
Markér et eller flere af følgende afkrydsningsfelter for at TURN telefonens funktioner:
Disse afkrydsningsfelter er som standard ikke markeret. |
| 5 |
Vælg Gem. |
| 6 |
Vælg Anvend konfig. |
