- Startseite
- /
- Artikel
Sicherheit des Cisco IP-Telefons
Dieser Hilfeartikel bezieht sich auf die Cisco Desk Phone 9800-Serie und das Cisco Video Phone 8875, die in Cisco BroadWorks registriert sind.
Benutzerdefiniertes Gerätezertifikat manuell installieren
Sie können ein benutzerdefiniertes Gerätezertifikat (CDC) manuell auf dem Telefon installieren, indem Sie das Zertifikat von der Webseite zur Telefonverwaltung hochladen.
Vorbereitungen
Bevor Sie ein benutzerdefiniertes Gerätezertifikat für ein Telefon installieren können, müssen Sie Folgendes haben:
- Eine auf Ihrem PC gespeicherte Zertifikatsdatei (.p12 oder .pfx). Die Datei enthält das Zertifikat und den privaten Schlüssel.
- Das Passwort des Zertifikats extrahieren. Das Passwort wird verwendet, um die Zertifikatsdatei zu entschlüsseln.
1 |
Greifen Sie auf die Webseite zur Telefonverwaltung zu. |
2 |
Wählen Sie Zertifikat aus. |
3 |
Klicken Sie im Abschnitt Zertifikat hinzufügen auf Durchsuchen.... |
4 |
Navigieren Sie zum Zertifikat auf Ihrem PC. |
5 |
Geben Sie im Feld Passwort extrahieren das Passwort für das Extrahieren des Zertifikats ein. |
6 |
Klicken Sie auf Hochladen. Wenn die Zertifikatsdatei und das Passwort korrekt sind, erhalten Sie die Meldung „Zertifikat hinzugefügt“. Andernfalls schlägt der Upload mit einer Fehlermeldung fehl, die angibt, dass das Zertifikat nicht hochgeladen werden kann.
|
7 |
Um die Details des installierten Zertifikats zu überprüfen, klicken Sie im Abschnitt Vorhandene Zertifikate auf Anzeigen. |
8 |
Um das installierte Zertifikat vom Telefon zu entfernen, klicken Sie im Abschnitt Vorhandene Zertifikate auf Löschen. Sobald Sie auf die Schaltfläche geklickt haben, beginnt der Löschvorgang sofort ohne Bestätigung.
Wenn das Zertifikat erfolgreich entfernt wurde, erhalten Sie die Nachricht „Zertifikat gelöscht“. |
Benutzerdefiniertes Gerätezertifikat von SCEP automatisch installieren
Sie können die SCEP-Parameter (Simple Certificate Enrollment Protocol) so einrichten, dass das CDC (Custom Device Certificate) automatisch installiert wird, wenn Sie die Zertifikatsdatei nicht manuell hochladen möchten oder die Zertifikatsdatei nicht vorhanden ist.
Wenn die SCEP-Parameter korrekt konfiguriert sind, sendet das Telefon Anforderungen an den SCEP-Server, und das CA-Zertifikat wird vom Gerät mithilfe des definierten Fingerabdrucks validiert.
Vorbereitungen
Bevor Sie eine automatische Installation eines benutzerdefinierten Gerätezertifikats für ein Telefon durchführen können, müssen Sie Folgendes haben:
- SCEP-Serveradresse
- SHA-1- oder SHA-256-Fingerabdruck des CA-Stammzertifikats für den SCEP-Server
1 |
Greifen Sie auf die Webseite zur Telefonverwaltung zu. |
2 |
Wählen Sie Zertifikat aus. |
3 |
Legen Sie im Abschnitt SCEP-Konfiguration 1 die Parameter wie in der folgenden Tabelle Parameter für die SCEP-Konfiguration beschrieben fest. |
4 |
Klicken Sie auf Alle Änderungen senden. |
Parameter für die SCEP-Konfiguration
In der folgenden Tabelle werden die Funktionen und die Verwendung von SCEP-Konfigurationsparametern im Abschnitt SCEP-Konfiguration 1 auf der Registerkarte Zertifikat auf der Telefon-Weboberfläche definiert. Außerdem wird die Syntax der Zeichenfolge definiert, die in der Telefonkonfigurationsdatei (cfg.xml) hinzugefügt wird, um einen Parameter zu konfigurieren.
Parameter | Beschreibung |
---|---|
Server |
SCEP-Serveradresse. Dieser Parameter ist obligatorisch. Führen Sie eine der folgenden Aktionen aus.
Gültige Werte: eine URL oder eine IP-Adresse. Das HTTPS-Schema wird nicht unterstützt. Standard Leer |
Stamm-CA-Fingerabdruck |
SHA256- oder SHA1-Fingerabdruck der Stammzertifizierungsstelle zur Validierung während des SCEP-Prozesses. Dieser Parameter ist obligatorisch. Führen Sie eine der folgenden Aktionen aus.
Standard Leer |
Passwort ändern |
Das Anforderungskennwort für die Autorisierung der Zertifizierungsstelle (CA) auf dem Telefon während der Zertifikatsregistrierung über SCEP. Dieser Parameter ist optional. Je nach SCEP-Umgebung variiert das Verhalten des Challenge-Passworts.
Führen Sie eine der folgenden Aktionen aus.
Standard Leer |
Konfiguration der SCEP-Parameter über die DHCP-Option 43
Zusätzlich zur SCEP-Zertifikatsregistrierung durch die manuellen Konfigurationen auf der Telefon-Webseite können Sie auch die DHCP-Option 43 verwenden, um die Parameter von einem DHCP-Server auszufüllen. Die DHCP-Option 43 ist mit den SCEP-Parametern vorkonfiguriert. Später kann das Telefon die Parameter vom DHCP-Server abrufen, um die SCEP-Zertifikatsregistrierung durchzuführen.
- Die Konfiguration der SCEP-Parameter über die DHCP-Option 43 ist nur für das Telefon verfügbar, auf dem ein Zurücksetzen auf die Werkseinstellungen durchgeführt wird.
- Die Telefone dürfen nicht in dem Netzwerk platziert werden, das sowohl die Option 43 als auch die Remotebereitstellung (z. B. die Optionen 66,160,159,150 oder die Cloud-Bereitstellung) unterstützt. Andernfalls erhalten Telefone möglicherweise nicht die Option 43-Konfigurationen.
Um ein SCEP-Zertifikat zu registrieren, indem Sie die SCEP-Parameter in der DHCP-Option 43 konfigurieren, gehen Sie wie folgt vor:
- Vorbereiten einer SCEP-Umgebung.
Informationen zur Einrichtung der SCEP-Umgebung finden Sie in der Dokumentation zum SCEP-Server.
- Richten Sie die DHCP-Option 43 ein (definiert in 8.4 Herstellerspezifische Informationen, RFC 2132).
Unteroptionen (10–15) sind für die Methode reserviert:
Parameter auf der Telefon-Webseite Unteroption Typ Länge (Byte) Obligatorisch FIPS-Modus 10 Boolean 1 Nein, * Server 11 String 208 - Länge (Challenge Password) Ja Stamm-CA-Fingerabdruck 12 Binärdatei 20 oder 32 Ja Passwort ändern 13 String 208 - Länge (Server) Nein, * 802.1X-Authentifizierung aktivieren 14 Boolean 1 Nein Zertifikatsauswahl 15 unsignierte 8-Bit 1 Nein Beachten Sie bei Verwendung der DHCP-Option 43 die folgenden Eigenschaften der Methode:
- Unteroptionen (10–15) sind für benutzerdefinierte Gerätezertifikate (CDC) reserviert.
- Die maximale Länge der DHCP-Option 43 beträgt 255 Byte.
- Die maximale Länge von Server + Anforderungskennwort darf 208 Byte betragen.
- Der Wert des FIPS-Modus muss mit der Konfiguration der Onboarding-Bereitstellung übereinstimmen. Andernfalls kann das Telefon das zuvor installierte Zertifikat nach dem Onboarding nicht abrufen. Insbesondere:
- Wenn das Telefon in einer Umgebung registriert wird, in der der FIPS-Modus deaktiviert ist, müssen Sie den Parameter FIPS-Modus in der DHCP-Option 43 nicht konfigurieren. Der FIPS-Modus ist standardmäßig deaktiviert.
- Wenn das Telefon in einer Umgebung registriert wird, in der der FIPS-Modus aktiviert ist, müssen Sie den FIPS-Modus in der DHCP-Option 43 aktivieren. Weitere Details finden Sie unter FIPS-Modus aktivieren.
- Das Passwort in Option 43 ist als Klartext dargestellt.
Wenn das Passwort für die Anforderung leer ist, verwendet das Telefon MIC/SUDI für die erste Registrierung und die Zertifikatsverlängerung. Wenn das Passwort für die Anforderung konfiguriert ist, wird es nur für die erstmalige Registrierung verwendet, und das installierte Zertifikat wird für die Zertifikatsverlängerung verwendet.
- 802.1X-Authentifizierung aktivieren und Zertifikatsauswahl werden nur für Telefone im kabelgebundenen Netzwerk verwendet.
- Zur Identifizierung des Gerätemodells wird die DHCP-Option 60 (Anbieterklassenbezeichner) verwendet.
Die folgende Tabelle enthält ein Beispiel für die DHCP-Option 43 (Unteroptionen 10–15):
Unteroption Dezimal/Hexadezimal Wertelänge (Byte) Dezimal/Hexadezimal Wert Hex-Wert 10/0a 1.01. 1 (0: Deaktiviert; 1: Aktiviert 01 11/0b 18.12. http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625c5b755d73f5925285 f8f5ff5d55af 12040870625c5b755d73f5925285 f8f5ff5d55af 13/0d 16.10. KBeb9b9952a15 44323333434346394239393532413135 14/0e 1.01. 1 (0: Nr. 1: Ja* 01 15/0f 1.01. 1 (0: Fertigung installiert; 1: Benutzerdefiniert installiert) 01 Zusammenfassung der Parameterwerte:
-
FIPS-Modus = Aktiviert
-
Server =
http://10.79.57.91
-
CA-Stammfingerabdruck =
12040870625C5B755D73F5925285F8F5FF5D55AF
-
Challenge-Passwort = D CCF9B9952A15
-
802.1X-Authentifizierung aktivieren = Ja
-
Zertifikat auswählen = Benutzerdefiniert installiert
Die Syntax des endgültigen Hex-Werts lautet:
{<suboption><length><value>}...
Gemäß den obigen Parameterwerten lautet der endgültige Hexadezimalwert wie folgt:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101
- Konfigurieren Sie DHCP-Option 43 auf einem DHCP-Server.Dieser Schritt enthält ein Beispiel für die Konfigurationen der DHCP-Option 43 im Cisco Network Register.
- Fügen Sie den DHCP-Optionsdefinitionssatz hinzu.
Die Zeichenfolge für Anbieteroptionen ist der Modellname der IP-Telefone. Der gültige Wert ist: DP-9841, DP-9851, DP-9861, DP-9871 oder CP-8875.
- Fügen Sie die DHCP-Option 43 und Unteroptionen zum DHCP-Optionsdefinitionssatz hinzu.
Beispiel:
- Fügen Sie der DHCP-Richtlinie die Optionen 43 hinzu und richten Sie den Wert wie folgt ein:
Beispiel:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285 F8F5FF5D55AF)(13 D CCF9B9952A15)(14 1)(15 1)
- Prüfen Sie Ihre Einstellungen. Sie können Wireshark verwenden, um eine Nachverfolgung des Netzwerkverkehrs zwischen dem Telefon und dem Dienst zu erfassen.
- Fügen Sie den DHCP-Optionsdefinitionssatz hinzu.
- Setzen Sie das Telefon auf die Werkseinstellungen zurück.
Nachdem das Telefon zurückgesetzt wurde, werden die Parameter Server, Root CA Fingerprint und Challenge Password automatisch ausgefüllt. Diese Parameter befinden sich im Abschnitt SCEP-Konfiguration 1 unter auf der Webseite zur Telefonverwaltung.
Um die Details des installierten Zertifikats zu überprüfen, klicken Sie im Abschnitt Vorhandene Zertifikate auf Anzeigen.
Um den Status der Zertifikatsinstallation zu überprüfen, wählen Sie
aus. Unter Download-Status 1 wird das neueste Ergebnis angezeigt. Wenn während der Zertifikatsregistrierung ein Problem auftritt, kann der Download-Status den Grund für die Fehlerbehebung anzeigen.Wenn die Authentifizierung des Passworts fehlschlägt, werden die Benutzer aufgefordert, das Passwort auf dem Telefonbildschirm einzugeben. - (Optional): Um das installierte Zertifikat vom Telefon zu entfernen, klicken Sie im Abschnitt Vorhandene Zertifikate auf Löschen.Sobald Sie auf die Schaltfläche geklickt haben, beginnt der Löschvorgang sofort ohne Bestätigung.
Zertifikatsverlängerung durch SCEP
Das Gerätezertifikat kann durch den SCEP-Prozess automatisch aktualisiert werden.
- Das Telefon überprüft, ob das Zertifikat in 15 Tagen alle 4 Stunden abläuft. Wenn dies der Fall ist, startet das Telefon den Prozess der Zertifikatverlängerung automatisch.
- Wenn das Passwort für die Anforderung leer ist, verwendet das Telefon MIC/SUDI sowohl für die erste Registrierung als auch für die Zertifikatsverlängerung. Wenn das Passwort für die Anforderung konfiguriert ist, wird es nur für die erstmalige Registrierung verwendet, und das vorhandene/installierte Zertifikat wird für die Zertifikatsverlängerung verwendet.
- Das Telefon entfernt das alte Gerätezertifikat erst, nachdem das neue Zertifikat abgerufen wurde.
- Wenn die Zertifikatsverlängerung fehlschlägt, weil das Gerätezertifikat oder die CA abläuft, löst das Telefon die erste Registrierung automatisch aus. Wenn die Authentifizierung des Anforderungspassworts in der Zwischenzeit fehlschlägt, wird auf dem Telefonbildschirm ein Bildschirm für die Passworteingabe angezeigt, und die Benutzer werden aufgefordert, das Anforderungspasswort auf dem Telefon einzugeben.
FIPS-Modus aktivieren
Sie können ein Telefon mit den Federal Information Processing Standards (FIPS) konform machen.
FIPS sind eine Reihe von Standards, die die Dokumentenverarbeitung, Verschlüsselungsalgorithmen und andere IT-Standards für den Einsatz innerhalb nichtmilitärischer Regierungen und von staatlichen Auftragnehmern und Anbietern beschreiben, die mit den Behörden zusammenarbeiten. CiscoSSL FOM (FIPS Object Module) ist eine sorgfältig definierte Softwarekomponente, die auf Kompatibilität mit der CiscoSSL-Bibliothek ausgelegt ist. Daher können Produkte, die die CiscoSSL-Bibliothek und API verwenden, mit minimalem Aufwand in die Verwendung von FIPS 140-2 validierter Kryptografie umgewandelt werden.
1 |
Greifen Sie auf die Webseite zur Telefonverwaltung zu. |
2 |
Wählen Sie aus. |
3 |
Wählen Sie im Abschnitt Sicherheitseinstellungen im Parameter FIPS-Modus die Option Ja oder Nein aus. |
4 |
Klicken Sie auf Alle Änderungen senden. Wenn Sie FIPS aktivieren, funktionieren die folgenden Funktionen nahtlos auf dem Telefon:
|
Ein Sicherheitszertifikat manuell entfernen
Sie können ein Sicherheitszertifikat manuell von einem Telefon entfernen, wenn das SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist.
1 |
Wählen Sie auf der Webseite zur Telefonverwaltung die Option Zertifikate aus. |
2 |
Suchen Sie das Zertifikat auf der Seite Zertifikate. |
3 |
Klicken Sie auf Löschen. |
4 |
Starten Sie das Telefon neu, nachdem der Löschvorgang abgeschlossen wurde. |
Benutzer- und Administratorkennwort festlegen
Nachdem das Telefon zum ersten Mal bei einem Anrufsteuerungssystem registriert wurde oder Sie das Telefon auf die Werkseinstellungen zurücksetzen, müssen Sie das Benutzer- und Administratorkennwort festlegen, um die Sicherheit des Telefons zu erhöhen. Nur wenn das Kennwort festgelegt ist, können Sie die Änderungen über die Telefon-Webseite übermitteln.
Standardmäßig ist die Warnung „Kein-Passwort“ auf dem Telefon aktiviert. Wenn das Telefon über kein Benutzer- oder Administratorkennwort verfügt, werden die folgenden Warnungen angezeigt:
- Auf der Telefon-Webseite wird die Meldung „Kein Administratorkennwort angegeben. Das Web befindet sich im schreibgeschützten Modus und Sie können keine Änderungen senden. Bitte ändern Sie das Passwort.“ oben links.
In den Feldern Benutzer-Passwort und Administrator-Passwort wird jeweils die Warnung „Kein Passwort angegeben“ angezeigt, wenn diese leer sind.
- Auf dem Telefonbildschirm Probleme und Diagnose wird das Problem „Kein Passwort angegeben“ angezeigt.
1 |
Auf die Webseite zur Telefonverwaltung zugreifen |
2 |
Wählen Sie aus. |
3 |
(Optional) Legen Sie im Abschnitt Systemkonfiguration den Parameter Passwortwarnungen anzeigen auf Ja fest und klicken Sie dann auf Alle Änderungen senden. Sie können die Parameter auch in der Konfigurationsdatei des Telefons (cfg.xml) aktivieren.
Standard Ja Optionen: Ja|Nein Wenn der Parameter auf Nein festgelegt ist, wird die Passwortwarnung weder auf der Webseite noch auf dem Telefonbildschirm angezeigt. Außerdem wird der Modus „Nur bereit“ für die Web-Seite nicht aktiviert, obwohl das Passwort leer ist. |
4 |
Suchen Sie den Parameter Benutzerkennwort oder Administratorkennwort, und klicken Sie neben dem Parameter auf Passwort ändern. |
5 |
Geben Sie das aktuelle Benutzerkennwort in das Feld Altes Passwort ein. Wenn Sie kein Passwort haben, lassen Sie das Feld leer. Der Standardwert ist „0“.
|
6 |
Geben Sie im Feld Passwort ein neues Passwort ein. |
7 |
Klicken Sie auf Senden. Die Meldung Passwort wurde erfolgreich geändert. wird auf der Webseite angezeigt. Die Webseite wird in einigen Sekunden aktualisiert. Die Warnung neben dem Parameter verschwindet. Nachdem Sie das Benutzerkennwort festgelegt haben, zeigt dieser Parameter in der XML-Konfigurationsdatei (cfg.xml) des Telefons Folgendes an:
Wenn Sie beim Versuch, auf die Telefon-Webseite zuzugreifen, den Fehlercode 403 erhalten, müssen Sie das Benutzer- oder Administratorkennwort durch Bereitstellung in der Telefonkonfigurationsdatei (cfg.xml) festlegen. Geben Sie beispielsweise eine Zeichenfolge in folgendem Format ein:
|
802.1X-Authentifizierung
Cisco IP-Telefons unterstützen die 802.1X-Authentifizierung.
Cisco IP-Telefons und Cisco Catalyst-Switches verwenden üblicherweise CDP (Cisco Discovery Protocol), um sich gegenseitig zu identifizieren und Parameter wie die VLAN-Zuweisung und die Inline-Energieanforderungen zu bestimmen. CDP identifiziert lokal verbundene Arbeitsstationen nicht. Cisco IP-Telefons stellen einen EAPOL-Passthrough-Mechanismus bereit. Dieser Mechanismus ermöglicht einer Arbeitsstation, die an das Cisco IP-Telefon angeschlossen ist, EAPOL-Nachrichten an den 802.1X-Authentifikator am LAN-Switch weiterzuleiten. Der Pass-Through-Mechanismus stellt sicher, dass das IP-Telefon nicht als LAN-Switch fungiert, um einen Datenendpunkt vor dem Zugriff auf das Netzwerk zu authentifizieren.
Cisco IP-Telefons stellen auch einen Proxy-EAPOL-Logoff-Mechanismus bereit. Wenn der lokal angeschlossene PC vom IP-Telefon getrennt wird, sieht der LAN-Switch die physische Verbindung nicht aus, da die Verbindung zwischen dem LAN-Switch und dem IP-Telefon aufrechterhalten wird. Um eine Gefährdung der Netzwerkintegrität zu vermeiden, sendet das IP-Telefon im Auftrag des nachgelagerten PCs eine EAPOL-Logoff-Nachricht an den Switch, die den LAN-Switch veranlasst, den Authentifizierungseintrag für den nachgelagerten PC zu löschen.
Für die Unterstützung der 802.1X-Authentifizierung sind mehrere Komponenten erforderlich:
-
Cisco IP-Telefon Das Telefon initiiert die Anforderung, um auf das Netzwerk zuzugreifen. Cisco IP-Telefons enthalten ein 802.1X-Supplicant. Dieses Supplicant ermöglicht es Netzwerkadministratoren, die Konnektivität von IP-Telefonen mit den LAN-Switch-Ports zu steuern. Die aktuelle Version des 802.1X-Telefons verwendet die EAP-FAST- und EAP-TLS-Optionen für die Netzwerkauthentifizierung.
-
Authentifizierungsserver: Sowohl der Authentifizierungsserver als auch der Switch müssen mit einem Shared Secret konfiguriert werden, das das Telefon authentifiziert.
-
Wechseln: Der Switch muss 802.1X unterstützen, damit er als Authentifikator fungieren und die Nachrichten zwischen dem Telefon und dem Authentifizierungsserver übermitteln kann. Nach Abschluss des Austauschs gewährt oder verweigert der Switch dem Telefon den Zugriff auf das Netzwerk.
Sie müssen die folgenden Schritte ausführen, um 802.1X zu konfigurieren.
-
Konfigurieren Sie die anderen Komponenten, bevor Sie die 802.1X-Authentifizierung auf dem Telefon aktivieren.
-
PC-Port konfigurieren: Der 802.1X-Standard berücksichtigt keine VLANs und empfiehlt daher, nur ein einzelnes Gerät bei einem bestimmten Switch-Port zu authentifizieren. Einige Switches unterstützen jedoch die Authentifizierung in mehreren Domänen. Die Switch-Konfiguration legt fest, ob Sie einen PC mit dem PC-Port des Telefons verbinden können.
-
Aktiviert Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie den PC-Port aktivieren und einen PC daran anschließen. In diesem Fall unterstützen Cisco IP-Telefons Proxy EAPOL-Logoff zum Überwachen des Authentifizierungsaustauschs zwischen dem Switch und dem angeschlossenen PC.
Weitere Informationen zur Unterstützung von IEEE 802.1X auf den Cisco Catalyst-Switches finden Sie in den Konfigurationshandbüchern für die Cisco Catalyst-Switches unter:
http://www.cisco.com/de/USA/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Deaktiviert Wenn der Switch nicht mehrere 802.1X-konforme Geräte am selben Port unterstützt, sollten Sie den PC-Port deaktivieren, wenn die 802.1X-Authentifizierung aktiviert ist. Wenn Sie diesen Port nicht deaktivieren und dann versuchen, einen PC anzuschließen, verweigert der Switch den Netzwerkzugriff auf das Telefon und den PC.
-
- Sprach-VLAN konfigurieren: Da VLANs für den 802.1X-Standard nicht berücksichtigt werden, sollten Sie diese Einstellung basierend auf der Switch-Unterstützung konfigurieren.
- Aktiviert Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie ihn weiterhin mit dem Sprach-VLAN verwenden.
- Deaktiviert Wenn der Switch die Authentifizierung in mehreren Domänen nicht unterstützt, deaktivieren Sie das Sprach-VLAN und weisen Sie den Port dem systemeigenen VLAN zu.
- (Nur für die Cisco Desk Phone 9800-Serie)
Die Cisco-Tischtelefon 9800-Serie hat in der PID ein anderes Präfix als die anderen Cisco-Telefone. Damit Ihr Telefon die 802.1X-Authentifizierung bestehen kann, legen Sie den Parameter Radius·User-Name für die Cisco-Tischtelefon 9800-Serie fest.
Die PID des Telefons 9841 lautet beispielsweise DP-9841; Sie können Radius·Benutzername auf Mit DP beginnen oder Enthält DP festlegen. Sie können ihn in beiden der folgenden Abschnitte festlegen:
-
802.1X-Authentifizierung aktivieren
Wenn die 802.1X-Authentifizierung aktiviert ist, verwendet das Telefon die 802.1X-Authentifizierung, um den Netzwerkzugriff anzufordern. Wenn die 802.1X-Authentifizierung deaktiviert ist, verwendet das Telefon CDP (Cisco Discovery Protocol), um VLAN- und Netzwerkzugriff zu erhalten. Sie können auch den Transaktionsstatus anzeigen und im Menü des Telefonbildschirms ändern.
Wenn die 802.1X-Authentifizierung aktiviert ist, können Sie auch das Gerätezertifikat (MIC/SUDI oder benutzerdefiniert) für die erstmalige Registrierung und die Zertifikatverlängerung auswählen. In der Regel ist das MIC für das Cisco-Videotelefon 8875 und SUDI für das Cisco-Tischtelefon 9800-Serie. CDC kann nur für die Authentifizierung in 802.1x verwendet werden.
1 |
Führen Sie einen der folgenden Schritte aus, um die 802.1X-Authentifizierung zu aktivieren:
| ||||||||||||||||||||
2 |
Wählen Sie auf der Telefon-Webseite ein Zertifikat (MIC oder benutzerdefiniert) für die 802.1X-Authentifizierung aus.
Weitere Informationen zum Auswählen eines Zertifikatstyps auf dem Telefonbildschirm finden Sie unter Telefon mit einem Wi-Fi-Netzwerk verbinden.
|
Client-initiierten Modus für Medienebene-Sicherheitsverhandlungen aktivieren
Zum Schutz von Mediensitzungen können Sie das Telefon so konfigurieren, dass Medienebene-Sicherheitsverhandlungen mit dem Server initiiert werden. Der Sicherheitsmechanismus entspricht den in RFC 3329 festgelegten Standards und seinen Erweiterungen Draft Security Mechanism Names for Media (Siehe https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Der Transport von Verhandlungen zwischen dem Telefon und dem Server kann das SIP-Protokoll über UDP, TCP und TLS verwenden. Sie können einschränken, dass die Medienebene-Sicherheitsverhandlung nur angewendet wird, wenn das signalisierende Transportprotokoll TLS ist.
1 |
Greifen Sie auf die Webseite zur Telefonverwaltung zu. | ||||||
2 |
Wählen Sie aus. | ||||||
3 |
Legen Sie im Abschnitt SIP-Einstellungen die Felder MediaSec-Anforderung und MediaSec nur über TLS wie in der folgenden Tabelle definiert fest:
| ||||||
4 |
Klicken Sie auf Alle Änderungen senden. |
WLAN-Sicherheit
Da alle WLAN-Geräte, die sich in Reichweite befinden, den gesamten anderen WLAN-Datenverkehr empfangen können, ist die Sicherung der Sprachkommunikation in WLANs von entscheidender Bedeutung. Um sicherzustellen, dass der Sprachverkehr nicht manipuliert oder abgefangen wird, unterstützt die Cisco SAFE-Sicherheitsarchitektur das Telefon. Weitere Informationen zur Sicherheit in Netzwerken finden Sie unter http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Die Cisco Wireless IP-Telefonielösung bietet Sicherheit für drahtlose Netzwerke, die nicht autorisierte Anmeldungen und kompromittierte Kommunikation mithilfe der folgenden, vom Telefon unterstützten Authentifizierungsmethoden verhindert:
-
Authentifizierung öffnen: Jedes drahtlose Gerät kann in einem offenen System eine Authentifizierung anfordern. Der Access Point, der die Anforderung erhält, kann die Authentifizierung jedem Antragsteller oder nur Antragstellern gewähren, die in einer Benutzerliste aufgeführt sind. Die Kommunikation zwischen dem drahtlosen Gerät und dem Access Point (AP) könnte nicht verschlüsselt sein.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Diese Client-Server-Sicherheitsarchitektur verschlüsselt EAP-Transaktionen innerhalb eines TLS-Tunnels (Transport Level Security) zwischen dem Access Point und dem RADIUS-Server, z. B. die Identity Services Engine (ISE).
Der TLS-Tunnel verwendet PACs (Protected Access Credentials) für die Authentifizierung zwischen dem Client (Telefon) und dem RADIUS-Server. Der Server sendet eine Autoritäts-ID (AID) an den Client (Telefon), der wiederum die entsprechende PAC auswählt. Der Client (Telefon) gibt eine PAC-Opaque an den RADIUS-Server zurück. Der Server entschlüsselt die PAC mit dem primären Schlüssel. Beide Endpunkte enthalten jetzt den PAC-Schlüssel, und es wird ein TLS-Tunnel erstellt. EAP-FAST unterstützt die automatische PAC-Bereitstellung, muss jedoch auf dem RADIUS-Server aktiviert werden.
In ISE läuft die PAC standardmäßig in einer Woche ab. Wenn das Telefon über eine abgelaufene PAC verfügt, dauert die Authentifizierung beim RADIUS-Server länger, während das Telefon eine neue PAC erhält. Um Verzögerungen bei der PAC-Bereitstellung zu vermeiden, legen Sie den Ablaufzeitraum für die PAC auf dem ISE- oder RADIUS-Server auf mindestens 90 Tage fest.
-
Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS erfordert ein Clientzertifikat für die Authentifizierung und den Netzwerkzugriff. Bei drahtlosem EAP-TLS kann es sich bei dem Clientzertifikat um das MIC-, LSC- oder das vom Benutzer installierte Zertifikat handeln.
-
Protected Extensible Authentication Protocol (PEAP): Das von Cisco proprietäre kennwortbasierte gegenseitige Authentifizierungsschema zwischen dem Client (Telefon) und einem RADIUS-Server. Das Telefon kann PEAP für die Authentifizierung mit dem drahtlosen Netzwerk verwenden. Es werden sowohl PEAP-MSCHAPV2- als auch PEAP-GTC-Authentifizierungsmethoden unterstützt.
-
Vorinstallierter Schlüssel (PSK): Das Telefon unterstützt das ASCII-Format. Sie müssen dieses Format verwenden, wenn Sie einen vorinstallierten WPA/WPA2/SAE-Schlüssel einrichten:
ASCII: eine ASCII-Zeichenfolge mit 8 bis 63 Zeichen (0-9, Klein- und Großbuchstaben A-Z und Sonderzeichen)
Beispiel: GREG123567@9ZX&W
Die folgenden Authentifizierungsschemata verwenden den RADIUS-Server, um die Authentifizierungsschlüssel zu verwalten:
-
wpa/wpa2/wpa3: Verwendet RADIUS-Serverinformationen, um eindeutige Authentifizierungsschlüssel zu generieren. Da diese Schlüssel auf dem zentralen RADIUS-Server generiert werden, bietet WPA2/WPA3 mehr Sicherheit als die vorinstallierten WPA-Schlüssel, die am Access Point und am Telefon gespeichert sind.
-
Schnelles sicheres Roaming: Verwendet RADIUS-Serverinformationen und WDS-Informationen (Wireless Domain Server), um Schlüssel zu verwalten und zu authentifizieren. Das WDS erstellt einen Cache mit Sicherheitsanmeldeinformationen für FT-fähige Client-Geräte für eine schnelle und sichere erneute Authentifizierung. Cisco Desk Phone 9861 und 9871 sowie Cisco Video Phone 8875 unterstützen 802.11r (FT). Sowohl über die Luft als auch über die DS werden unterstützt, um ein schnelles und sicheres Roaming zu ermöglichen. Wir empfehlen jedoch dringend die 802.11r (FT) over air Methode.
Bei WPA/WPA2/WPA3 werden die Verschlüsselungsschlüssel nicht auf dem Telefon eingegeben, sondern zwischen dem Access Point und dem Telefon automatisch abgeleitet. Der EAP-Benutzername und das Kennwort, die zur Authentifizierung verwendet werden, müssen jedoch auf jedem Telefon eingegeben werden.
Um sicherzustellen, dass der Sprachverkehr sicher ist, unterstützt das Telefon TKIP und AES für die Verschlüsselung. Wenn diese Mechanismen für die Verschlüsselung verwendet werden, werden sowohl die signalisierenden SIP-Pakete als auch die Sprachpakete RTP (Real-Time Transport Protocol) zwischen dem Access Point und dem Telefon verschlüsselt.
- Tkip
-
WPA verwendet die TKIP-Verschlüsselung, die gegenüber WEP mehrere Verbesserungen aufweist. TKIP bietet die Verschlüsselung pro Paket und längere Initialisierungsvektoren (IVs), die die Verschlüsselung stärken. Darüber hinaus stellt eine Nachrichtenintegritätsprüfung (Message Integrity Check, MIC) sicher, dass verschlüsselte Pakete nicht geändert werden. TKIP entfernt die Vorhersehbarkeit von WEP, die Eindringlingen dabei hilft, den WEP-Schlüssel zu entschlüsseln.
- Aes
-
Eine Verschlüsselungsmethode für die WPA2/WPA3-Authentifizierung. Dieser nationale Verschlüsselungsstandard verwendet einen symmetrischen Algorithmus, der den gleichen Schlüssel für Ver- und Entschlüsselung aufweist. AES verwendet eine CBC-Verschlüsselung (Cipher Blocking Chain) mit einer Größe von 128 Bit, die Schlüsselgrößen von mindestens 128 Bit, 192 Bit und 256 Bit unterstützt. Das Telefon unterstützt eine Schlüsselgröße von 256 Bit.
Cisco Desk Phone 9861 und 9871 sowie Cisco Video Phone 8875 unterstützen CKIP (Cisco Key Integrity Protocol) mit CMIC nicht.
Authentifizierungs- und Verschlüsselungsschemata werden im Wireless LAN eingerichtet. VLANs werden im Netzwerk und an den Access Points konfiguriert und geben verschiedene Kombinationen von Authentifizierung und Verschlüsselung an. Eine SSID wird einem VLAN und dem jeweiligen Authentifizierungs- und Verschlüsselungsschema zugeordnet. Damit drahtlose Client-Geräte erfolgreich authentifiziert werden können, müssen Sie an den Access Points und auf dem Telefon dieselben SSIDs mit ihren Authentifizierungs- und Verschlüsselungsschemata konfigurieren.
Einige Authentifizierungsschemata erfordern bestimmte Verschlüsselungstypen.
- Wenn Sie den vorinstallierten WPA-Schlüssel, den vorinstallierten WPA2-Schlüssel oder den SAE verwenden, muss der vorinstallierte Schlüssel statisch auf dem Telefon festgelegt werden. Diese Schlüssel müssen mit den Schlüsseln auf dem Access Point übereinstimmen.
-
Das Telefon unterstützt die automatische EAP-Aushandlung für FAST oder PEAP, aber nicht für TLS. Für den EAP-TLS-Modus müssen Sie ihn angeben.
Die Authentifizierungs- und Verschlüsselungsschemata in der folgenden Tabelle zeigen die Netzwerkkonfigurationsoptionen für das Telefon an, die der Konfiguration des Access Points entsprechen.
FSR-Typ | Authentifizierung | Schlüsselverwaltung | Verschlüsselung | Geschützter Verwaltungsrahmen (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
wpa-psk wpa-psk-sha256 FT-PSK | Aes | Nein |
802.11r (FT) | WPAD |
Sae FT-Sae | Aes | Ja |
802.11r (FT) | eap-tls |
wpa-eap ft-eap | Aes | Nein |
802.11r (FT) | eap-tls (wpa3) |
wpa-eap-sha256 ft-eap | Aes | Ja |
802.11r (FT) | EAP-FAST |
wpa-eap ft-eap | Aes | Nein |
802.11r (FT) | eap-schnell (wpa3) |
wpa-eap-sha256 ft-eap | Aes | Ja |
802.11r (FT) | eap-peap |
wpa-eap ft-eap | Aes | Nein |
802.11r (FT) | eap-peap (wpa3) |
wpa-eap-sha256 ft-eap | Aes | Ja |
Wi-Fi-Profil einrichten
Sie können ein Wi-Fi-Profil über die Telefon-Webseite oder über die Resynchronisierung des Remote-Geräts konfigurieren und das Profil dann den verfügbaren Wi-Fi-Netzwerken zuordnen. Sie können dieses Wi-Fi-Profil verwenden, um eine Verbindung mit einem Wi-Fi herzustellen. Derzeit kann nur ein Wi-Fi-Profil konfiguriert werden.
Das Profil enthält die Parameter, die für Telefone erforderlich sind, um über Wi-Fi eine Verbindung zum Telefonserver herzustellen. Wenn Sie ein Wi-Fi-Profil erstellen und verwenden, müssen Sie oder Ihre Benutzer das drahtlose Netzwerk für einzelne Telefone nicht konfigurieren.
Mit einem Wi-Fi-Profil können Sie Änderungen an der Wi-Fi-Konfiguration auf dem Telefon durch den Benutzer verhindern oder begrenzen.
Wir empfehlen Ihnen, bei Verwendung eines Wi-Fi-Profils ein sicheres Profil mit verschlüsselungsfähigen Protokollen zu verwenden, um Schlüssel und Kennwörter zu schützen.
Wenn Sie die Telefone für die Verwendung der EAP-FAST-Authentifizierungsmethode im Sicherheitsmodus konfigurieren, benötigen die Benutzer individuelle Anmeldeinformationen, um eine Verbindung mit einem Access Point herzustellen.
1 |
Greifen Sie auf die Telefon-Webseite zu. |
2 |
Wählen Sie aus. |
3 |
Legen Sie im Abschnitt Wi-Fi-Profil (n) die Parameter wie in der folgenden Tabelle Parameter für Wi-Fi-Profil beschrieben fest. Die Wi-Fi-Profilkonfiguration ist auch für die Benutzeranmeldung verfügbar.
|
4 |
Klicken Sie auf Alle Änderungen senden. |
Parameter für Wi-Fi-Profil
In der folgenden Tabelle werden die Funktionen und die Verwendung der einzelnen Parameter im Abschnitt Wi-Fi-Profil(n) auf der Registerkarte System auf der Telefon-Webseite definiert. Außerdem wird die Syntax der Zeichenfolge definiert, die in der Telefonkonfigurationsdatei (cfg.xml) hinzugefügt wird, um einen Parameter zu konfigurieren.
Parameter | Beschreibung |
---|---|
Netzwerkname | Ermöglicht es Ihnen, einen Namen für die SSID einzugeben, die auf dem Telefon angezeigt wird. Mehrere Profile können den gleichen Netzwerknamen mit unterschiedlichem Sicherheitsmodus haben. Führen Sie eine der folgenden Aktionen aus.
Standard Leer |
Sicherheitsmodus | Ermöglicht Ihnen die Auswahl der Authentifizierungsmethode, die für den sicheren Zugriff auf das Wi-Fi-Netzwerk verwendet wird. Abhängig von der gewählten Methode wird ein Passwortfeld angezeigt, in dem Sie die Anmeldeinformationen angeben können, die für den Beitritt zu diesem Wi-Fi-Netzwerk erforderlich sind. Führen Sie eine der folgenden Aktionen aus.
Standard Auto |
WLAN-Benutzer-ID | Ermöglicht die Eingabe einer Benutzer-ID für das Netzwerkprofil. Dieses Feld ist verfügbar, wenn Sie den Sicherheitsmodus auf Auto, EAP-FAST oder EAP-PEAP festlegen. Dies ist ein Pflichtfeld, das eine maximale Länge von 32 alphanumerischen Zeichen zulässt. Führen Sie eine der folgenden Aktionen aus.
Standard Leer |
Wi-Fi-Kennwort | Ermöglicht es Ihnen, das Kennwort für die angegebene Wi-Fi-Benutzer-ID einzugeben. Führen Sie eine der folgenden Aktionen aus.
Standard Leer |
Frequenzband | Ermöglicht Ihnen, das Wireless-Signalfrequenzband auszuwählen, das vom WLAN verwendet wird. Führen Sie eine der folgenden Aktionen aus.
Standard Auto |
Zertifikatsauswahl | Ermöglicht Ihnen die Auswahl eines Zertifikatstyps für die Zertifikatsregistrierung und die Zertifikatsverlängerung im drahtlosen Netzwerk. Dieser Prozess ist nur für die 802.1X-Authentifizierung verfügbar. Führen Sie eine der folgenden Aktionen aus.
Standard Fertigung installiert |