In diesem Artikel
Unterstützte Sicherheitsfunktionen
dropdown icon
Anrufsicherheit
    Sichere Identifizierung von Konferenzgesprächen
    Sichere Anruf-ID
    Verschlüsselung für Aufschaltung bereitstellen
dropdown icon
Wireless LAN-Sicherheit
    Richten Sie ein Wi-Fi Profil ein
    Installieren Sie ein Benutzerzertifikat über die Webseite zur Telefonverwaltung
    Installieren Sie eine Authentifizierungsserver-CA über die Webseite zur Telefonverwaltung
    Sicherheitszertifikat manuell von der Webseite für die Telefonverwaltung entfernen
    SCEP einrichten
Einrichten eines LSC (Locally Significant Certificate)
dropdown icon
802.1X-Authentifizierung für kabelgebundene Netzwerke
    802.1X-Authentifizierung für kabelgebundene Netzwerke auf Ihrem Telefon aktivieren
    Aktivieren Sie die 802.1X-Authentifizierung für verkabelte Netzwerke in Cisco Unified Communications Manager Administration
    Menü Sicherheitseinstellungen auf dem Telefon
Richten Sie die unterstützten Versionen von TLS ein.
TURN Lautsprecher und Headset ausschalten Cisco Wireless Phone 9821
Cisco Sicherheit des drahtlosen Telefons 9821 (Unified CM)
list-menuIn diesem Artikel
list-menuFeedback?

Dieser Hilfeartikel ist für Cisco Wireless Phone 9821, das auf Cisco Unified Communications Manager (Unified CM) registriert ist.

Sie können Cisco Unified Communications Manager (Unified CM) aktivieren, um in einer Umgebung mit erhöhter Sicherheit zu arbeiten. Mit diesen Verbesserungen wird Ihr Telefonnetzwerk unter Anwendung einer Reihe von strengen Sicherheits- und Risikomanagementkontrollen betrieben, um Sie und die Benutzer zu schützen.

Die Umgebung mit verbesserter Sicherheit bietet die folgenden Funktionen:

  • Authentifizierung für Kontaktsuche

  • TCP als Standardprotokoll für die Remote-Audit-Protokollierung

  • Eine verbesserte Richtlinie für Anmeldeinformationen

  • Unterstützung für die SHA-2-Familie von Hashes für digitale Signaturen

  • Unterstützung für eine RSA Schlüssellänge von bis zu 4096 Bit

Ab Version Cisco Unified CM Version 14.0 unterstützen die Telefone die SIP OAuth-Authentifizierung.

OAuth wird für Proxy Trivial File Transfer Protocol (TFTP) mit Cisco Unified CM Release 14.0 (1) SU1 oder höher unterstützt.

Weitere Informationen zur Sicherheit finden Sie in den folgenden Handbüchern:

Ihr Telefon kann nur eine begrenzte Anzahl an Identity Trust List (ITL-)Dateien speichern. ITL-Dateien dürfen auf dem Telefon 64 KB nicht überschreiten, begrenzen Sie daher die Anzahl der Dateien, die Cisco Unified CM an das Telefon sendet.

Unterstützte Sicherheitsfunktionen

Die Sicherheitsfunktionen schützen vor Gefahren, beispielsweise der Gefährdung der Identität des Telefons und der Daten. Diese Funktionen erstellen und halten authentifizierte Kommunikationsstreams zwischen dem Telefon und dem Cisco Unified Communications Manager-Server aufrecht, und stellen sicher, dass das Telefon nur digital signierte Dateien verwendet.

In Cisco Unified Communications Manager Version 8.5(1) und höheren Versionen ist Sicherheit standardmäßig implementiert. Dadurch werden die folgenden Sicherheitsfunktionen für Cisco IP-Telefons ohne CTL-Client bereitgestellt:

  • Signierung der Konfigurationsdateien für das Telefon

  • Verschlüsselung der Telefonkonfigurationsdatei

  • HTTPS mit Tomcat und andere Webdienste

Für sichere Signalübertragungs- und Medienfunktionen muss der CTL-Client jedoch weiterhin ausgeführt werden, und es ist weiterhin die Verwendung von Hardware-eToken erforderlich.

Die Implementierung von Sicherheitsfunktionen in das Cisco Unified Communications Manager-System verhindert den Identitätsdiebstahl hinsichtlich Telefon und Cisco Unified Communications Manager-Server und schützt vor unbefugtem Zugriff auf Daten, Anrufsignale und Medien-Datenströme.

Zur Abwehr von Bedrohungen dieser Art erstellt das Cisco IP-Telefonienetzwerk zwischen Telefon und Server sichere (verschlüsselte) Kommunikationsdatenströme und erhält diese aufrecht, signiert Dateien digital, bevor diese auf ein Telefon übertragen werden, und verschlüsselt alle Mediendatenströme und Signale, die zwischen Cisco IP-Telefons übertragen werden.

Nachdem Sie die für die CAPF (Certificate Authority Proxy Function) erforderlichen Aufgaben ausgeführt haben, wird auf den Telefonen ein LSC (Locally Significant Certificate) installiert. Sie können Cisco Unified Communications Manager Administration verwenden, um eine LSC zu konfigurieren, wie im Cisco Unified Communications Manager Sicherheitshandbuch beschrieben. Sie können die Installation eines LSC auch über das Menü Sicherheit auf dem Telefon starten. In diesem Menü können Sie ein LSC auch aktualisieren und entfernen.

Im Telefonsicherheitsprofil ist definiert, ob das Gerät sicher oder nicht sicher ist. Weitere Informationen zum Anwenden des Sicherheitsprofils auf das Telefon finden Sie in der Dokumentation zu Ihrer jeweiligen Version von Cisco Unified Communications Manager.

Wenn Sie in der Cisco Unified Communications Manager-Verwaltung sicherheitsrelevante Einstellungen konfigurieren, sind in der Telefonkonfigurationsdatei auch vertrauliche Informationen enthalten. Damit die Konfigurationsdatei entsprechend ihrer Vertraulichkeit geschützt ist, müssen Sie die Datei so konfigurieren, dass eine Verschlüsselung erfolgt. Ausführliche Informationen hierzu finden Sie in der Dokumentation zu Ihrer jeweiligen Version von Cisco Unified Communications Manager.

Die folgende Tabelle enthält eine Übersicht der von den Telefonen unterstützten Sicherheitsfunktionen. Weitere Informationen finden Sie in der Dokumentation für Ihre Version von Cisco Unified Communications Manager.

Tabelle 1. Überblick über die Sicherheitsfunktionen

Funktion

Beschreibung

Imageauthentifizierung

Signierte Binärdateien verhindern das Manipulieren des Firmware-Images vor dem Laden auf das Telefon.

Wenn das Image manipuliert wurde, kann das Telefon nicht authentifiziert werden und das Image wird abgelehnt.

Kundenseitiges Installieren von Zertifikaten

Jedes Cisco IP Phone erfordert ein eindeutiges Zertifikat für die Geräteauthentifizierung. Auf den Telefonen ist bereits ein vom Hersteller installiertes Zertifikat (MIC) vorhanden, zusätzliche Sicherheit bietet jedoch die Möglichkeit, die Zertifikatinstallation in Cisco Unified Communications Manager Administration mithilfe von CAPF (Certificate Authority Proxy Function) festzulegen. Sie können einen Locally Significant Certificate (LSC) auch über das Menü Sicherheit auf dem Telefon installieren.

Geräteauthentifizierung

Die Geräteauthentifizierung erfolgt zwischen dem Cisco Unified Communications Manager-Server und dem Telefon, wenn jede Entität das Zertifikat der anderen Entität akzeptiert. Bestimmt, ob eine sichere Verbindung zwischen dem Telefon und Cisco Unified Communications Manager hergestellt wird, und erstellt, falls erforderlich, mit dem TLS-Protokoll einen sicheren Signalpfad zwischen den Entitäten. Cisco Unified Communications Manager registriert Telefone nur dann, wenn sie authentifiziert werden können.

Dateiauthentifizierung

Überprüft digital signierte Dateien, die das Telefon herunterlädt. Das Telefon validiert die Signatur, um sicherzustellen, dass die Datei nach der Erstellung nicht manipuliert wurde. Dateien, die nicht authentifiziert werden können, werden nicht in den Flash-Speicher auf dem Telefon geschrieben. Das Telefon weist diese Dateien ohne weitere Verarbeitung zurück.

Dateiverschlüsselung

Durch Verschlüsselung wird verhindert, dass bei der Übertragung einer Datei auf das Telefon vertrauliche Informationen preisgegeben werden. Außerdem validiert das Telefon die Signatur, um sicherzustellen, dass die Datei nach der Erstellung nicht manipuliert wurde. Dateien, die nicht authentifiziert werden können, werden nicht in den Flash-Speicher auf dem Telefon geschrieben. Das Telefon weist diese Dateien ohne weitere Verarbeitung zurück.

Signalauthentifizierung

Bei dieser Authentifizierung wird anhand des TLS-Protokolls überprüft, dass die Signalpakete während der Übertragung nicht manipuliert wurden.

MIC (Manufacturing Installed Certificate)

Auf jedem Cisco IP-Telefon ist ein eindeutiges, vom Hersteller installiertes Zertifikat (Manufacturing Installed Certificate, MIC) vorhanden, das für die Geräteauthentifizierung verwendet wird. Das MIC dient für das Telefon dauerhaft als eindeutiger Identitätsnachweis und ermöglicht dem Cisco Unified Communications Manager das Authentifizieren des Telefons.

Medienverschlüsselung

Diese stellt mithilfe von SRTP sicher, dass Mediendatenströme zwischen unterstützten Geräten geschützt sind und nur der beabsichtigte Empfänger die Daten erhalten und lesen kann. Erstellt ein primäres Medien-Schlüsselpaar für die Geräte, verteilt die Schlüssel an die Geräte und schützt die Schlüssel, während diese übertragen werden.

CAPF (Certificate Authority Proxy Function)

Implementiert Teile des Prozesses für die Zertifikatsgenerierung, die für das Telefon zu verarbeitungsintensiv sind, und interagiert mit dem Telefon bei der Schlüsselgenerierung und Zertifikatsinstallation. CAPF kann konfiguriert werden, um Zertifikate im Auftrag des Telefons von kundenspezifischen Zertifizierungsstellen anzufordern oder Zertifikate lokal zu generieren.

Es werden sowohl die Schlüsseltypen EC (Elliptische Kurve) als auch RSA unterstützt. Um den Schlüssel EC zu verwenden, stellen Sie sicher, dass der Parameter "Endpoint Advanced Encryption Algorithms Support" (aus System >Enterprise-Parameter ) aktiviert ist.

Weitere Informationen zu CAPF und verwandten Konfigurationen finden Sie in den folgenden Dokumenten:

Sicherheitsprofil

Definiert, ob das Telefon nicht sicher, authentifiziert, verschlüsselt oder geschützt ist. Die weiteren Einträge in dieser Tabelle erläutern Sicherheitsfunktionen.

Verschlüsselte Konfigurationsdateien

Ermöglicht Ihnen, den Datenschutz für Telefonkonfigurationsdateien sicherzustellen.

Optionale Webserver-Deaktivierung für Telefone

Aus Sicherheitsgründen können Sie für ein Telefon den Zugriff auf die Webseiten (diese zeigen verschiedenste Betriebsstatistiken des Telefons an) und das Benutzerportal verhindern.

Telefonhärtung

Weitere Sicherheitsoptionen, die in der Cisco Unified Communications Manager-Verwaltung festgelegt werden:

  • Deaktivierung von Gratuitous ARP-Paketen
  • Zugriff auf das Menü „Einstellung“ deaktivieren oder eingeschränkten Zugriff gewähren
  • Deaktivierung des Zugriffs auf die Webseiten für Telefonverwaltung
  • Deaktivierung des Bluetooth-Zubehör-Ports
  • Einschränkung der TLS-Schlüssel

Sicheres SIP-Failover für SRST

Nachdem Sie eine SRST-Sicherheitsreferenz konfiguriert und anschließend die abhängigen Geräte in der Cisco Unified Communications Manager-Verwaltung zurückgesetzt haben, fügt der TFTP-Server das Zertifikat des SRST-fähigen Gateways zur Datei „cnf.xml“ hinzu und sendet diese an das Telefon. Ein sicheres Telefon verwendet eine TLS-Verbindung, um mit dem SRST-fähigen Router zu kommunizieren.

Verschlüsselung des Signalisierungsverkehrs

Durch diese Verschlüsselung wird gewährleistet, dass alle zwischen dem Gerät und dem Cisco Unified Communications Manager-Server ausgetauschten SIP-Signalisierungsnachrichten verschlüsselt werden.

Warnung bei Aktualisierung der Vertrauensliste

Wenn die auf dem Telefon vorhandene Vertrauensliste aktualisiert wird, erhält der Cisco Unified Communications Manager eine Warnmeldung, die angibt, ob die Aktualisierung erfolgreich war oder nicht. Weitere Informationen finden Sie in der nachstehenden Tabelle.

AES 256-Verschlüsselung

Telefone, die mit Cisco Unified Communications Manager Version 10.5(2) oder höher verbunden sind, unterstützen die AES 256-Verschlüsselung für TLS und SIP für die Signalisierung und Medienverschlüsselung. Diese Telefone können TLS 1.2-Verbindungen mit AES-256-basierten Schlüsseln, die mit SHA-2 (Secure Hash Algorithm) und FIPS (Federal Information Processing Standards) konform sind, initiieren und unterstützen. Die Schlüssel enthalten:

  • Für TLS-Verbindungen:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Für sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Weitere Informationen finden Sie in der Dokumentation zu Cisco Unified Communications Manager.

Elliptic Curve Digital Signature Algorithm (ECDSA)-Zertifikate

Als Teil der Common Criteria-(CC-)Zertifizierung hat Cisco Unified Communications Manager ECDSA-Zertifikate in Version 11.0 hinzugefügt. Dies betrifft alle Voice Operating System-(VOS-)Produkte mit Version CUCM 11.5 und höher.

Tomcat-Zertifikat für mehrere Server (SAN) mit Cisco UCM

Das Telefon unterstützt Cisco UCM mit konfigurierten Tomcat-Zertifikaten (Multi-Server) SAN. Die korrekte TFTP Serveradresse ist in der Telefon-ITL-Datei für die Telefonregistrierung zu finden.

Weitere Informationen zu dieser Funktion finden Sie unter:

In der folgenden Tabelle sind die bei Aktualisierung der Vertrauensliste ausgegebenen Warnmeldungen sowie deren Bedeutung aufgeführt. Weitere Informationen finden Sie in der Dokumentation zu Cisco Unified Communications Manager.

Tabelle 2. Warnmeldungen bei Aktualisierung der Vertrauensliste
Code und Meldung Beschreibung

1 – TL_SUCCESS

Neue CTL bzw. ITL erhalten

2 – CTL_INITIAL_SUCCESS

Neue CTL erhalten, keine TL vorhanden

3 – ITL_INITIAL_SUCCESS

Neue ITL erhalten, keine TL vorhanden

4 – TL_INITIAL_SUCCESS

Neue CTL und ITL erhalten, keine TL vorhanden

5 – TL_FAILED_OLD_CTL

Aktualisierung auf neue CTL fehlgeschlagen, aber vorherige TL vorhanden

6 – TL_FAILED_NO_TL

Aktualisierung auf neue TL fehlgeschlagen, und keine frühere TL vorhanden

7 – TL_FAILED

Allgemeiner Fehler

8 – TL_FAILED_OLD_ITL

Aktualisierung auf neue ITL fehlgeschlagen, aber vorherige TL vorhanden

9 – TL_FAILED_OLD_TL

Aktualisierung auf neue TL fehlgeschlagen, aber vorherige TL vorhanden

Anrufsicherheit

Wenn die Sicherheit für ein Telefon implementiert wird, können sichere Anrufe auf dem Telefondisplay mit Symbolen gekennzeichnet werden. Sie können auch bestimmen, ob das verbundene Telefon sicher und geschützt ist, wenn zu Beginn des Anrufs ein Sicherheitssignal ausgegeben wird.

In einem sicheren Anruf sind alle Anrufsignale und Medienstreams verschlüsselt. Ein sicherer Anruf bietet eine hohe Sicherheitsstufe und stellt die Integrität und den Datenschutz des Anrufs sicher. Wenn ein aktiver Anruf verschlüsselt ist, wird das Sicherheitssymbol angezeigt 9821 Symbol für sichere Anrufe Auf der Linie.

  • Wenn der Anruf über nicht-IP-Anrufabschnitte, beispielsweise ein Festnetz, geleitet wird, ist der Anruf möglicherweise nicht sicher, auch wenn er im IP-Netzwerk verschlüsselt wurde und ein Schloss-Symbol angezeigt wird.

  • Sichere Anrufe werden nur auf Verbindungen zwischen zwei Telefonen unterstützt. Einige Funktionen, beispielsweise Konferenzanrufe und gemeinsam genutzte Leitungen, sind nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

In Cisco Unified Communications Manager kann Telefonen, die als sicher (verschlüsselt und vertrauenswürdig) konfiguriert sind, der Status "geschützt" zugewiesen werden. Nach dem Schutz können diese Geräte so konfiguriert werden, dass sie zu Beginn jedes Anrufs einen Sicherheitston ausgeben.

  • Geschütztes Gerät:

    So ändern Sie den Status eines sicheren Telefons in "Geschützt":

    1. Wählen Sie in Cisco Unified Communications Manager Administration die Option Gerät > Telefon aus.
    2. Suchen Sie das Telefon, das Sie konfigurieren möchten.
    3. Aktivieren Sie im Fenster Telefonkonfiguration das Kontrollkästchen "Geschütztes Gerät ".
    4. Klicken Sie auf Speichern.
  • Sicherheitssignal wiedergeben:

    Gehen Sie wie folgt vor, um auf dem geschützten Telefon ein Signal auszugeben, das auf einen sicheren oder unsicheren Anrufstatus hinweist:

    1. Wählen Sie in Cisco Unified Communications Manager Administration die Option System > Dienstparameter aus.
    2. Wählen Sie den Server und dann den Dienst Cisco CallManager aus.
    3. Legen Sie im Bereich Clusterweite Parameter (Funktion – Sicherheitston) die Einstellung Wiedergabeton für sicheren/unsicheren Anrufstatus auf True fest.
    4. Klicken Sie auf Speichern.

Sichere Identifizierung von Konferenzgesprächen

Sie können einen sicheren Konferenzanruf initiieren und die Sicherheitsstufe der Teilnehmer überwachen. Ein sicherer Konferenzanruf wird mit diesem Prozess initiiert:

  1. Ein Benutzer startet die Konferenz auf einem sicheren Telefon.

  2. Cisco Unified Communications Manager weist dem Anruf eine sichere Konferenzbrücke zu.

  3. Während Teilnehmer hinzugefügt werden, überprüft Cisco Unified Communications Manager den Sicherheitsmodus aller Telefone und hält die Sicherheitsstufe für die Konferenz aufrecht.

  4. Das Telefon zeigt die Sicherheitsstufe des Konferenzanrufs an. Bei einer sicheren Konferenz wird das Sicherheitssymbol angezeigt 9821 Symbol für sichere Anrufe.

Sichere Anrufe werden zwischen zwei Telefonen unterstützt. Für geschützte Telefone sind einige Funktionen, beispielsweise Konferenzanrufe, gemeinsam genutzte Leitungen und die Anschlussmobilität, nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

Die folgende Tabelle enthält Informationen zu den Änderungen der Konferenzsicherheitsstufe, abhängig von der Sicherheitsstufe des Telefons des Initiators und der Verfügbarkeit von sicheren Konferenzbrücken.

Tabelle 3. Sicherheitseinschränkungen für Konferenzgespräche

Sicherheitsstufe des Telefons des Initiators

Verwendete Funktion

Sicherheitsstufe der Teilnehmer

Ergebnisse der Aktion

Nicht sicher

Konferenz

Sicher

Nicht sichere Konferenzbrücke

Nicht sichere Konferenz

Sicher

Konferenz

Mindestens ein Mitglied ist nicht sicher.

Sichere Konferenzbrücke

Nicht sichere Konferenz

Sicher

Konferenz

Sicher

Sichere Konferenzbrücke

Verschlüsselungsstufe der sicheren Konferenz

Nicht sicher

MeetMe

Die minimale Sicherheitsstufe ist verschlüsselt.

Der Initiator empfängt einen Neuanforderungston.

Sicher

MeetMe

Die minimale Sicherheitsstufe ist nicht sicher.

Sichere Konferenzbrücke

Die Konferenz nimmt alle Anrufe an.

Sichere Anruf-ID

Ein sicherer Anruf wird initiiert, wenn Ihr Telefon und das Telefon des anderen Teilnehmers für sichere Anrufe konfiguriert ist. Das andere Telefon kann sich im gleichen Cisco IP-Netzwerk oder in einem Netzwerk außerhalb des IP-Netzwerks befinden. Sichere Anrufe sind nur zwischen zwei Telefonen möglich. Konferenzanrufe sollten sichere Anrufe unterstützen, nachdem eine sichere Konferenzbrücke konfiguriert wurde.

Ein sicherer Anruf wird mit diesem Prozess initiiert:

  1. Der Benutzer initiiert einen Anruf auf einem geschützten Telefon (Sicherheitsmodus).

  2. Das Telefon zeigt das Sicherheitssymbol an. 9821 Symbol für sichere Anrufe Auf dem Telefondisplay. Dieses Symbol zeigt an, dass das Telefon für sichere Anrufe konfiguriert ist. Dies bedeutet jedoch nicht, dass das andere verbundene Telefon ebenfalls geschützt ist.

  3. Der Benutzer hört einen Signalton, wenn der Anruf mit einem anderen sicheren Telefon verbunden wird, der angibt, dass beide Enden der Konversation verschlüsselt und geschützt sind. Wenn der Anruf mit einem nicht sicheren Telefon verbunden wird, hört der Benutzer keinen Signalton.

Sichere Anrufe werden zwischen zwei Telefonen unterstützt. Für geschützte Telefone sind einige Funktionen, beispielsweise Konferenzanrufe, gemeinsam genutzte Leitungen und die Anschlussmobilität, nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

Ein Sicherheitssignal wird nur auf einem geschützten Telefon ausgegeben. Auf einem nicht geschützten Telefon wird kein Signalton ausgegeben. Wenn sich der Gesamtstatus des Anrufs während des Anrufs ändert, gibt das geschützte Telefon den geänderten Signalton wieder.

Wenn die Option "Ton wiedergeben, um einen sicheren/nicht sicheren Anrufstatus anzuzeigen" auf "True" gesetzt ist:

  • Wenn auf beiden Seiten sichere Medien eingerichtet sind und der Anrufstatus „Sicher“ lautet, gibt das Telefon das Signal für eine sichere Verbindung wieder (drei lange Signaltöne mit Pausen).

  • Wenn auf beiden Seiten nicht sichere Medien eingerichtet sind und der Anrufstatus „Nicht sicher“ lautet, wird das Signal für eine nicht sichere Verbindung abgespielt (sechs kurze Signaltöne mit kurzen Pausen).

Wenn die Option "Signalton wiedergeben, um einen sicheren/nicht sicheren Anrufstatus anzugeben" auf "Falsch" gesetzt ist, erklingt kein Signalton.

Verschlüsselung für Aufschaltung bereitstellen

Cisco Unified Communications Manager überprüft den Sicherheitsstatus des Telefons, wenn Konferenzen erstellt werden, und ändert die Sicherheitsanzeige für die Konferenz oder blockiert die Durchführung des Anrufs, um Integrität und Sicherheit im System aufrechtzuerhalten.

Ein Benutzer kann sich nicht auf einen verschlüsselten Anruf aufschalten, wenn das für die Aufschaltung verwendete Telefon nicht für die Verschlüsselung konfiguriert ist. Wenn in einem solchen Fall die Aufschaltung fehlschlägt, wird auf dem Telefon, auf dem die Aufschaltung initiiert wurde, ein „Verbindung nicht möglich“-Ton (schneller Besetztton) ausgegeben.

Wenn das Telefon des Initiators für die Verschlüsselung konfiguriert ist, kann sich der Initiator der Aufschaltung über das verschlüsselte Telefon auf einen nicht sicheren Anruf aufschalten. Nach der Aufschaltung klassifiziert Cisco Unified Communications Manager den Anruf als nicht sicher.

Wenn das Telefon des Initiators für die Verschlüsselung konfiguriert ist, kann der Initiator der Aufschaltung sich auf einen verschlüsselten Anruf aufschalten. Auf dem Telefon wird dann angezeigt, dass der Anruf verschlüsselt ist.

Wireless LAN-Sicherheit

Da alle WLAN-Geräte, die sich innerhalb der Reichweite befinden, den gesamten anderen WLAN-Datenverkehr empfangen können, ist die Sicherung der Sprachkommunikation in einem WLAN besonders wichtig. Um sicherzustellen, dass Eindringlinge den Sprachverkehr weder manipulieren noch abfangen können, wird das Telefon von der Cisco SAFE Security-Architektur unterstützt. Weitere Informationen zur Sicherheit in Netzwerken finden Sie unter http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Die Cisco Wireless IP Telefonielösung bietet Sicherheit für Wireless-Netzwerke, die nicht autorisierte Anmeldungen und kompromittierte Kommunikation mithilfe der folgenden, vom Telefon unterstützten Authentifizierungsmethoden verhindert.

  • Offene Authentifizierung: In einem offenen System kann jedes kabellose Gerät die Authentifizierung anfordern. Der Access Point, der die Anforderung empfängt, kann die Authentifizierung entweder jedem Anforderer oder nur denjenigen Anforderern gewähren, die in einer Benutzerliste aufgeführt sind. Die Kommunikation zwischen dem drahtlosen Gerät und dem Access Point (AP) kann unverschlüsselt sein.

  • Extensible Authentication Protocol-flexible Authentication via Secure Tunneling (EAP-FAST)-Authentifizierung: Diese Client-Server-Sicherheitsarchitektur verschlüsselt EAP-Transaktionen innerhalb eines Transport Level Security (TLS)-Tunnels zwischen dem Access Point und dem RADIUS-Server, z. B. Identity Services Engine (ISE).

    Der TLS-Tunnel verwendet PACs (Protected Access Credentials) für die Authentifizierung zwischen dem Client (Telefon) und dem RADIUS-Server. Der Server sendet eine Autoritäts-ID (Authority ID, AID) an den Client (Telefon), der wiederum die richtige PAC auswählt. Der Client (Telefon) gibt einen PAC-Opaque-Wert an den RADIUS-Server zurück. Der Server entschlüsselt die PAC mit dem primären Schlüssel. Beide Endpunkte verfügen nun über den PAC-Schlüssel, und ein TLS-Tunnel wird erstellt. EAP-FAST unterstützt die automatische PAC-Bereitstellung, muss jedoch auf dem RADIUS-Server aktiviert werden.

    In der ISE läuft die PAC standardmäßig nach einer Woche ab. Wenn auf dem Telefon eine abgelaufene PAC vorhanden ist, dauert die Authentifizierung beim RADIUS-Server länger, da das Telefon eine neue PAC abrufen muss. Um Verzögerungen bei der PAC-Bereitstellung zu vermeiden, sollten Sie den Ablaufzeitraum für die PAC auf dem ISE oder RADIUS-Server auf mindestens 90 Tage festlegen.

  • Extensible Authentication Protocol-Transport Layer Security-(EAP-TLS-)-Authentifizierung: EAP-TLS erfordert ein Client-Zertifikat für Authentifizierung und Netzwerkzugriff. Bei Wireless EAP-TLS kann das Clientzertifikat MIC, LSC, oder ein vom Benutzer installiertes Zertifikat sein.

  • PEAP (Protected Extensible Authentication Protocol): Ein von Cisco entwickeltes, kennwortbasiertes Schema zur gegenseitigen Authentifizierung zwischen Client (Telefon) und RADIUS-Server. Das Telefon kann PEAP für die Authentifizierung beim Drahtlosnetzwerk verwenden. Als Authentifizierungsmethoden werden sowohl PEAP-MSCHAPV2 als auch PEAP-GTC unterstützt.

  • Pre-shared Key (PSK): Das Telefon unterstützt das Format ASCII und Hexadezimal (HEX). Sie müssen diese Formate verwenden, wenn Sie einen WPA2/SAE Pre-shared Key einrichten.

    ASCII: Eine ASCII-Zeichenfolge mit einer Länge von 8 bis 63 Zeichen (0-9, Kleinbuchstaben a-z, Großbuchstaben A-Z und Sonderzeichen). Beispiel: GREG123567@9ZX&W.

    HEX: Eine HEX-Zeichenfolge mit einer Länge von 64 Hexadezimalzeichen (0-9, a-f oder A-F).

Folgende Authentifizierungsschemata verwenden den RADIUS-Server, um Authentifizierungsschlüssel zu verwalten:

  • WPA2/WPA3: Verwendet RADIUS-Serverinformationen, um eindeutige Authentifizierungsschlüssel zu generieren. Da diese Schlüssel auf dem zentralen RADIUS-Server generiert werden, bietet WPA2/WPA3 eine höhere Sicherheit als die vorinstallierten WPA-Schlüssel, die am Access Point und auf dem Telefon gespeichert sind.

  • Fast Secure Roaming: Verwendet RADIUS-Serverinformationen und WDS-Informationen (Wireless Domain Server), um Schlüssel zu verwalten und zu authentifizieren. Der WDS erstellt einen Cache mit Sicherheitsanmeldedaten für FT-fähige Client-Geräte, um eine schnelle und sichere erneute Authentifizierung zu gewährleisten.

Bei WPA2/WPA3 werden die Verschlüsselungsschlüssel nicht auf dem Telefon eingegeben, sondern automatisch zwischen dem Access Point und dem Telefon abgeleitet. Der EAP-Benutzername und das Kennwort, die zur Authentifizierung verwendet werden, müssen jedoch auf jedem Telefon eingegeben werden.

Um den Sprachverkehr über die drahtlose Verbindung zu schützen, unterstützt das Telefon die AES-basierte Verschlüsselung für die WPA2/WPA3-Authentifizierung. AES ist eine symmetrische Blockchiffre, die vom NIST standardisiert wurde. AES verwendet eine feste 128-Bit-Blockgröße und unterstützt Schlüssellängen von 128 Bit, 192 Bit und 256 Bit. In Wi-Fi-Netzwerken wird AES von Verschlüsselungssammlungen wie CCMP oder GCMP verwendet, während die Authentifizierung je nach konfiguriertem WLAN Sicherheitsmodus separat von PSK, SAE oder 802.1X/EAP bereitgestellt wird. Die unterstützte Verschlüsselungssammlung und Schlüsselgröße hängen vom Telefonmodell und der WLAN-Konfiguration ab.

Wenn das Telefon die AES Verschlüsselung verwendet, werden sowohl die SIP-Signalpakete als auch die Sprachpakete (Real-Time Transport Protocol) RTP zwischen dem Access Point und dem Telefon verschlüsselt.

Authentifizierungs- und Verschlüsselungsschemata werden innerhalb des Wireless LAN eingerichtet. VLANs werden im Netzwerk und an den Access Points konfiguriert und geben verschiedene Kombinationen von Authentifizierung und Verschlüsselung an. Eine SSID wird einem VLAN und dem spezifischen Authentifizierungs- und Verschlüsselungsschema zugeordnet. Damit kabellose Client-Geräte erfolgreich authentifiziert werden können, müssen Sie an den Access Points und auf dem Telefon die gleichen SSIDs mit ihren Authentifizierungs- und Verschlüsselungsschemata konfigurieren.

Einige Authentifizierungsschemata erfordern bestimmte Arten von Verschlüsselung.

Wenn Sie WPA2 Pre-shared Key oder SAE verwenden, muss der vorinstallierte Schlüssel auf dem Telefon statisch festgelegt werden. Diese Schlüssel müssen mit den Schlüsseln am Access Point übereinstimmen.

Die Authentifizierungs- und Verschlüsselungsschemata in der folgenden Tabelle zeigen die Netzwerkkonfigurationsoptionen für Cisco Wireless Phone 9821, das der AP-Konfiguration entspricht.

Tabelle 4. Authentifizierungs- und Verschlüsselungsschemata
FSR-TypAuthentifizierungSchlüsselverwaltungVerschlüsselungGeschützter Verwaltungsrahmen (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNein
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNein
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNein
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNein
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
Nicht-FTSuite-BWPA-EAP-SUITE-BGCMPJa
Nicht-FTSuite-B-192WPA-EAP-SUITE-B-192GCMPJa

Richten Sie ein Wi-Fi Profil ein

Sie können ein Wi-Fi Profil konfigurieren und es Cisco Wireless Phone 9821 zuweisen. Dieses Profil enthält die notwendigen Parameter, damit das Telefon eine Wi-Fi Verbindung herstellen und sich anschließend bei Cisco Unified CM registrieren kann. Wenn Sie ein Wi-Fi Profil erstellen und verwenden, müssen Sie oder Ihre Benutzer das Drahtlosnetzwerk nicht für einzelne Telefone konfigurieren.

Wir empfehlen, bei Nutzung eines Wi-Fi-Profils ein sicheres Profil mit aktivierter TFTP-Verschlüsselung zu verwenden, um Schlüssel und Kennwörter zu schützen.

Die Telefone unterstützen ein Serverzertifikat pro Installationsmethode (manuell, SCEP oder TFTP).

Beachten sie die folgenden Hinweise, bevor Sie das WLAN-Profil konfigurieren:

  • Benutzername und Kennwort

    • Wenn in Ihrem Netzwerk EAP-FAST und PEAP für die Benutzerauthentifizierung verwendet werden, müssen Sie ggf. sowohl den Benutzernamen als auch das Kennwort auf dem Remote Authentification Dial-In User Service (RADIUS) und auf dem Telefon konfigurieren.

    • Die Anmeldeinformationen, die Sie im Wireless LAN-Profil eingeben, müssen mit den Anmeldeinformationen übereinstimmen, die Sie auf dem RADIUS-Server konfiguriert haben.
    • Wenn im Netzwerk Domänen genutzt werden, müssen Sie den Benutzernamen mit dem Domänennamen im Format Domäne\Benutzername eingeben.

  • Die folgenden Aktionen können dazu führen, dass das vorhandene Wi-Fi-Kennwort gelöscht wird:

    • Eingeben einer ungültigen Benutzer-ID oder einem ungültigen Kennwort
    • Installieren einer ungültigen oder abgelaufenen Stammzertifizierungsstelle, wenn der EAP-Typ auf PEAP-MSCHAPV2 oder PEAP-GTC festgelegt ist
    • Deaktivieren des EAP-Typs auf dem RADIUS-Server, bevor das Telefon auf den neuen EAP-Typ umgestellt wird
  • Um den EAP-Typ zu ändern, stellen sie sicher, dass sie zuerst den neuen EAP-Typ auf dem RADIUS-Server aktivieren und dann das Telefon auf den EAP-Typen umstellen. Sobald alle Telefone in den neuen EAP-Typ geändert wurden, können Sie den vorherigen EAP-Typ ggf. deaktivieren.
1

Wählen Sie in Cisco Unified Communications Manager Administration Gerät > Geräteeinstellungen > Wireless LAN-Profil aus.

2

Klicken Sie auf Neu hinzufügen.

3

Legen Sie im Abschnitt Wireless LAN-Profilinformationen die folgenden Parameter fest:

  • Name – Geben Sie einen eindeutigen Namen für das Wi-Fi-Profil ein. Dieser Name wird auf dem Telefon angezeigt.

  • Beschreibung – Geben Sie eine Beschreibung für das Wi-Fi-Profil ein, anhand derer Sie dieses Profil von anderen Wi-Fi-Profilen unterscheiden können.

  • Vom Benutzer änderbar – Wählen Sie eine Option aus:

    • Zulässig – Zeigt an, dass der Benutzer auf seinem Telefon Änderungen an den Wi-Fi-Einstellungen vornehmen kann. Dieses Option ist standardmäßig aktiviert.

    • Unzulässig – Zeigt an, dass der Benutzer auf seinem Telefon keine Änderungen an den Wi-Fi-Einstellungen vornehmen kann.

    • Eingeschränkt – Zeigt an, dass der Benutzer auf seinem Telefon Wi-Fi-Benutzernamen und -Kennwort ändern kann. Benutzer können auf dem Telefon jedoch keine Änderungen an anderen Wi-Fi-Einstellungen vornehmen. Wenn in Ihrem Netzwerk EAP-TLS für die Benutzerauthentifizierung verwendet wird, kann der Benutzer den Zertifikatstyp (MIC, LSC oder Vom Benutzer installiert) auswählen.

4

Legen Sie im Abschnitt Wireless-Einstellungen die folgenden Parameter fest:

  • SSID (Netzwerkname) – Geben Sie den in der Benutzerumgebung verfügbaren Namen des Netzwerks ein, mit dem das Telefon verbunden werden kann. Dieser Name wird in der Liste der verfügbaren Netzwerke auf dem Telefon angezeigt, und das Telefon kann mit diesem drahtlosen Netzwerk verbunden werden.

  • Frequenzband: Die verfügbaren Optionen sind "Automatisch", "2,4 GHz" und "5 GHz". Mit diesem Feld wird das Frequenzband bestimmt, das von der drahtlosen Verbindung verwendet wird. Wenn Sie Auto wählen, versucht das Telefon zuerst, das 5-GHz- oder 6-GHz-Band zu verwenden, und verwendet das 2,4-GHz-Band nur, wenn 5 GHz oder 6 GHz nicht verfügbar sind.

5

Legen Sie im Abschnitt Authentifizierungseinstellungen eine der folgenden Authentifizierungsmethoden für die Authentifizierungsmethode fest: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK und Keine.

Cisco Das Wireless Phone 9821 unterstützt WEP nicht.

Nachdem Sie dieses Feld festgelegt haben, werden möglicherweise zusätzliche Felder angezeigt, die Sie konfigurieren müssen.

  • Benutzerzertifikat – Für die EAP-TLS-Authentifizierung erforderlich. Wählen Sie MIC ,LSC oder "Benutzer installiert" aus . Es ist erforderlich, dass auf dem Telefon ein Zertifikat installiert wird, entweder automatisch über das SCEP oder manuell über die Verwaltungsseite auf dem Telefon.

  • PSK-Passphrase – Für die PSK-Authentifizierung erforderlich. Geben Sie eine ASCII-Passphrase mit 8 – 63 Zeichen oder eine 64 HEX-Zeichen-Passphrase ein.

  • Gemeinsam genutzte Anmeldeinformationen angeben: Für die EAP-FAST-, PEAP-MSCHAPv2- und PEAP-GTC-Authentifizierung erforderlich.

    • Wenn der Benutzer den Benutzernamen und das Kennwort verwaltet, lassen Sie die Felder Benutzername und Kennwort leer.

    • Wenn alle Benutzer denselben Benutzernamen und dasselbe Kennwort verwenden, können Sie die Informationen in die Felder Benutzername und Kennwort eingeben.

    • Geben Sie eine Beschreibung in das Feld Kennwortbeschreibung ein.

    Wenn Sie jedem Benutzer einen eindeutigen Benutzernamen und ein eindeutiges Kennwort zuweisen möchten, müssen Sie für jeden Benutzer ein Profil erstellen.

Cisco Wireless Phone 9821 unterstützt das Feld Netzwerkzugriffsprofil nicht.

6

Klicken Sie auf Speichern.

Nächste Schritte

Binden Sie das WLAN-Profil an eine Profilgruppe WLAN und wenden Sie die Profilgruppe WLAN anschließend auf einen Gerätepool (System>Gerätepool ) oder direkt auf das Telefon ( Gerät> Telefon) an.

Installieren Sie ein Benutzerzertifikat über die Webseite zur Telefonverwaltung

Wenn SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist, können Sie ein Benutzerzertifikat manuell auf dem Telefon installieren.

Das vom Hersteller installierte Zertifikat (MIC) kann als das Benutzerzertifikat für EAP-TLS verwendet werden.

Nachdem das Benutzerzertifikat installiert wurde, müssen Sie die CA-Kette, die das Benutzerzertifikat ausgestellt hat, zur Vertrauensliste des RADIUS-Servers hinzufügen.

Bevor Sie beginnen:

Bevor Sie ein Benutzerzertifikat für ein Telefon installieren können, benötigen Sie Folgendes:

  • Ein Benutzerzertifikat muss auf Ihrem PC gespeichert sein. Das Zertifikat muss im PKCS #12-Format vorliegen.

  • Das genaue Kennwort des Zertifikats. Das Kennwort darf nicht mehr als 32 Zeichen lang sein.

1

Wählen Sie auf der Webseite für die Telefonverwaltung Zertifikate aus.

2

Navigieren Sie zum Feld Vom Benutzer installiert und klicken Sie auf Installieren.

3

Navigieren Sie zum Zertifikat auf Ihren PC.

4

Geben Sie im Feld Kennwort extrahieren das Extraktionskennwort des Zertifikats an.

5

Klicken Sie auf Hochladen.

6

Starten Sie das Telefon neu, nachdem der Upload abgeschlossen ist.

Installieren Sie eine Authentifizierungsserver-CA über die Webseite zur Telefonverwaltung

Wenn SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist, können Sie manuell eine Authentifizierungsserver-CA auf dem Telefon installieren.

Das Zertifikat der Stammzertifizierungsstelle, das das RADIUS-Serverzertifikat ausgestellt hat, muss installiert sein.

Bevor Sie beginnen:

Bevor Sie ein Zertifikat auf einem Telefon installieren können, muss auf Ihrem PC eine CA für den Authentifizierungsserver gespeichert sein. Das Zertifikat muss in PEM (Base-64) oder DER codiert sein.

1

Wählen Sie auf der Webseite für die Telefonverwaltung Zertifikate aus.

2

Navigieren Sie zum Feld Authentifizierungsserver-Zertifikat und klicken Sie auf Installieren.

3

Navigieren Sie zum Zertifikat auf Ihren PC.

4

Klicken Sie auf Hochladen.

5

Starten Sie das Telefon neu, nachdem der Upload abgeschlossen ist.

Sicherheitszertifikat manuell von der Webseite für die Telefonverwaltung entfernen

Sie können ein Sicherheitszertifikat manuell von einem Telefon entfernen, wenn das SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist.

1

Wählen Sie auf der Webseite für die Telefonverwaltung Zertifikate aus.

2

Navigieren Sie auf der Seite Zertifikate zum Zertifikat.

3

Klicken Sie auf Löschen.

4

Starten Sie das Telefon nach Abschluss des Löschvorgangs neu.

SCEP einrichten

SCEP (Simple Certificate Enrollment Protocol) ist der Standard für die automatische Bereitstellung und Erneuerung von Zertifikaten. Mit SCEP müssen Zertifikate nicht manuell auf Ihrem Telefon installiert werden.

Aktivieren Sie die produktspezifischen SCEP-Konfigurationsparameter

Sie müssen die folgenden SCEP-Parameter auf Cisco Unified Communications Manager (Unified CM) konfigurieren.

  • RA IP Adresse oder Hostname

  • SHA-1- oder SHA-256-Fingerabdruck des CA-Stammzertifikats für den SCEP-Server

Die Cisco IOS-Registrierungsstelle (RA) dient als Proxy für den SCEP-Server. Der SCEP-Client auf dem Telefon verwendet die Parameter, die von Cisco Unified CM heruntergeladen werden. Nachdem Sie die Parameter konfiguriert haben, sendet das Telefon eine SCEP-Gatcs-Anforderung an den RA, und das Zertifikat der Stammzertifizierungsstelle wird anhand des definierten Fingerabdrucks validiert.

1

Wählen Sie in Cisco Unified Communications Manager Administration Gerät> Telefon aus .

2

Suchen Sie das Telefon.

3

Navigieren Sie zum Bereich Produktspezifische Konfiguration – Layout.

4

Aktivieren Sie das Kontrollkästchen WLAN SCEP-Server, um den SCEP-Parameter zu aktivieren.

5

Aktivieren Sie das Kontrollkästchen WLAN Root CA Fingerprint (SHA256 oder SHA1), um den SCEP QED-Parameter zu aktivieren.

SCEP-Server-Unterstützung

Wenn Sie einen SCEP-Server (Simple Certificate Enrollment Protocol) verwenden, kann der Server die Benutzer- und Server-Zertifikate automatisch beibehalten. Konfigurieren Sie auf dem SCEP-Server den SCEP-Registrierungs-Agent (RA) so, dass:

  • er als vertrauenswürdiger PKI-Punkt fungiert.

  • er als PKI-RA fungiert.

  • die Geräteauthentifizierung mit einem RADIUS-Server durchgeführt wird.

Weitere Informationen finden Sie in der Dokumentation zum SCEP-Server.

Einrichten eines LSC (Locally Significant Certificate)

Es gibt einige Methoden, um eine LSC zu installieren. Diese Beispielaufgabe bezieht sich auf das Einrichten eines LSC mit der Authentifizierungszeichenfolgenmethode auf dem Cisco Wireless-Telefon 9821.

Bevor Sie beginnen:

Stellen Sie sicher, dass die entsprechenden Sicherheitskonfigurationen Cisco Unified CM und certificate authority proxy function (CAPF) vollständig sind.

  • Die CTL- oder ITL-Datei hat ein CAPF-Zertifikat.

  • Überprüfen Sie in der Cisco Unified Communications Operating System-Verwaltung, ob das CAPF-Zertifikat installiert ist.

  • CAPF wird ausgeführt und ist konfiguriert.

Weitere Informationen zu diesen Einstellungen finden Sie in der Dokumentation zu Ihrer jeweiligen Cisco Unified CM Version.

1

Rufen Sie die Authentifizierungszeichenfolge CAPF ab, die beim Konfigurieren von CAPF festgelegt wurde.

2

Rufen Sie auf dem Telefon die Einstellungen auf 9821 Settings app icon App.

3

Wählen Sie Administratoreinstellungen>Systemkonfiguration > Sicherheit > LSC aus .

4

Geben Sie die Authentifizierungszeichenfolge ein.

5

Mehr drücken 9821 More button und wählen Sie Senden aus.

Das Telefon installiert, aktualisiert oder entfernt das LSC, abhängig davon, wie CAPF konfiguriert ist. Wenn das Verfahren abgeschlossen ist, wird Installiert oder Nicht installiert auf dem Telefon angezeigt.

Der Prozess zum Installieren, Aktualisieren oder Entfernen des LSC kann längere Zeit dauern.

Wenn das Telefon erfolgreich installiert wurde, wird die Meldung Installiert angezeigt. Wenn das Telefon Nicht installiert anzeigt, ist möglicherweise die Autorisierungszeichenfolge ungültig oder das Telefon ist nicht für Updates aktiviert. Wenn der CAPF-Vorgang die LSC löscht, zeigt das Telefon Nicht installiert an. Der CAPF-Server protokolliert die Fehlermeldungen. Der Pfad zu den Protokollen und die Bedeutung der Fehlermeldungen werden in der CAPF-Serverdokumentation beschrieben.

802.1X-Authentifizierung für kabelgebundene Netzwerke

Cisco Wireless Phone 9821 unterstützt die 802.1X-Authentifizierung für kabelgebundene Netzwerke. Diese wird normalerweise während der automatischen Bereitstellung verwendet, wenn das Telefon über einen unterstützten USB-zu-Ethernet-Adapter mit dem Desktopladegerät verbunden ist.

Für die Unterstützung der 802.1X-Authentifizierung in kabelgebundenen Netzwerken werden folgende Komponenten benötigt:

  • Cisco IP-Telefon: Das Telefon initiiert die Anforderung, um auf das Netzwerk zuzugreifen. Das Cisco IP-Telefon enthält ein 802.1X Supplicant. Dieses Supplicant ermöglicht Netzwerkadministratoren die Verbindung von IP-Telefonen mit den LAN-Switch-Ports zu steuern. Die aktuelle Version des 802.1X Supplicant verwendet EAP-FAST und EAP-TLS für die Netzwerkauthentifizierung.

  • Authentifizierungsserver: Der Authentifizierungsserver und der Switch müssen beide mit einem Shared Secret für RADIUS konfiguriert werden.

  • Switch: Der Switch muss 802.1X unterstützen, damit er als Authentifikator fungieren und die EAP Nachrichten zwischen dem Telefon und dem Authentifizierungsserver weiterleiten kann. Nach dem Meldungsaustausch gewährt oder verweigert der Switch dem Telefon den Zugriff auf das Netzwerk.

Cisco IP-Telefons und Cisco Catalyst-Switches verwenden normalerweise CDP (Cisco Discovery Protocol), um sich gegenseitig zu identifizieren und Paramater zu bestimmen, beispielsweise die VLAN-Zuweisung und Inline-Energieanforderungen.

Um 802.1X zu konfigurieren, müssen Sie die folgenden Schritte ausführen.

  • Konfigurieren Sie CDP/LLDP Sprachumgehung VLAN.

  • Konfigurieren Sie den Authentifizierungsserver und den Switch, bevor Sie die 802.1X-Authentifizierung für verkabelte Netzwerke auf dem Telefon aktivieren.

  • Sprach-VLAN konfigurieren: Da VLANs von 802.1X-Standard nicht berücksichtigt werden, sollten Sie diese Einstellung basierend auf der Switch-Unterstützung konfigurieren.

    • Aktiviert: Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie ihn für die Verwendung der Sprachauthentifizierung VLAN konfigurieren.
    • Deaktiviert: Wenn der Switch die Authentifizierung in mehreren Domänen nicht unterstützt, deaktivieren Sie das Sprach-VLAN und weisen Sie den Port dem systemeigenen VLAN zu.
  • Cisco Das Wireless-Telefon 9821 hat ein anderes Präfix in der PID als die anderen Cisco-Telefone. Damit Ihr Telefon die 802.1X-Authentifizierung bestehen kann, legen Sie das Feld Radius· User-Name-Parameter , um Ihr Cisco Wireless Phone 9821 einzuschließen.

    Beispielsweise lautet die PID von Cisco Wireless Phone 9821 WP-9821. Sie können Radius · Benutzername , der mit WP beginnen soll oder Enthält WP in den beiden folgenden Abschnitten:

    • Richtlinie > Bedingungen > Bibliotheksbedingungen

    • Richtlinie > Richtliniensätze > Autorisierungsrichtlinie > Autorisierungsregel 1

802.1X-Authentifizierung für kabelgebundene Netzwerke auf Ihrem Telefon aktivieren

Um die 802.1X-Authentifizierung für kabelgebundene Netzwerke auf Ihrem Telefon zu aktivieren, führen Sie die folgenden Schritte aus: Beachten Sie, dass die 802.1X-Authentifizierung für Wi-Fi standardmäßig aktiviert ist und keine manuelle Konfiguration erfordert.

1

Greifen Sie auf die Einstellungen zu 9821 Settings app icon App.

2

Geben Sie das Kennwort ein, um auf das Menü "Einstellungen" zuzugreifen, wenn Sie dazu aufgefordert werden. Sie erhalten das Kennwort vom Administrator.

3

Wählen Sie Administratoreinstellungen > Sicherheitseinrichtung > 802.1X-Authentifizierung aus.

4

Markieren Sie Geräteauthentifizierung und drücken Sie Ein.

Aktivieren Sie die 802.1X-Authentifizierung für kabelgebundene Netzwerke in Cisco Unified Communications Manager Administration

Führen Sie die folgenden Schritte aus, um die 802.1X-Authentifizierung für kabelgebundene Netzwerke auf Cisco Unified CM zu aktivieren. Beachten Sie, dass die 802.1X-Authentifizierung für Wi-Fi standardmäßig aktiviert ist und keine manuelle Konfiguration erfordert.

Sie können den Transaktionsstatus und die Sicherheitseinstellungen im Telefonmenü anzeigen. Weitere Informationen finden Sie unter Menü Sicherheitseinstellungen auf dem Telefon.

1

Wählen Sie in Cisco Unified Communications Manager Administration die Option Gerät > Telefon aus.

2

Suchen Sie das Telefon, das Sie konfigurieren möchten.

3

Navigieren Sie in den Bereich " Produktspezifische Konfiguration – Layout ".

4

Wählen Sie im Dropdown-Menü "802,1x-Authentifizierung " die Option "Aktiviert " aus .

Wenn die Geräteauthentifizierungsoption auf dem Cisco Wireless Phone 9821 auf "Aktiviert " oder "Deaktiviert "festgelegt ist, ist sie schreibgeschützt, sodass Benutzer die 802.1X-Authentifizierungseinstellungen nicht ändern können.

5

Wählen Sie Speichern aus.

6

Wählen Sie Konfiguration übernehmen.

Menü "Sicherheitseinstellungen" auf dem Telefon

Um die Informationen zu den Sicherheitseinstellungen im Telefonmenü anzuzeigen, öffnen Sie das Fenster Einstellungen 9821 Settings app icon und wählen Sie Administratoreinstellungen > Sicherheits-Setup > 802.1X-Authentifizierung aus. Die Verfügbarkeit der Informationen hängt von den Netzwerkeinstellungen in Ihrem Unternehmen ab.

Parameter

Optionen

Standard

Beschreibung

Geräteauthentifizierung

Ein

Aus

Aus

Aktiviert oder deaktiviert die 802.1X-Authentifizierung auf dem Telefon.

Die Parametereinstellung kann nach der Out-Of-Box-Registrierung (OOB) des Telefons beibehalten werden.

Transaktionsstatus

Deaktiviert

Zeigt den Status der 802.1X-Authentifizierung an. Der Status kann (nicht beschränkt auf):

  • Authentifizieren: Zeigt an, dass die Authentifizierung gerade durchgeführt wird.
  • Authentifiziert: Zeigt an, dass das Telefon authentifiziert ist.
  • Deaktiviert: Gibt an, dass die 802.1X-Authentifizierung auf dem Telefon deaktiviert ist.
  • Wird verbunden: Zeigt an, dass das Telefon alle 30 Sekunden EAP Startnachrichten an den Switch sendet.
  • Acquired: Zeigt an, dass der Switch die EAP Anforderung des Telefons zurückgewiesen hat und das Telefon keine EAP-TLS oder EAP-FAST-Abfrage vom Switch erhält. Das Telefon versucht erneut, EAP Anforderungen zu senden.
  • Getrennt: Zeigt an, dass das Ethernet-Kabel nicht angeschlossen ist.
  • Gehalten: Zeigt an, dass der Switch die EAP-Authentifizierung des Telefons verarbeitet, aber die Authentifizierung EAP-FAST oder EAP-TLS abgelehnt hat. Das Telefon versucht erneut, EAP Anforderungen zu senden.

Protokoll

Keine

Zeigt die Methode EAP an, die für die 802.1X-Authentifizierung verwendet wird. Das Protokoll kann EAP-FAST oder EAP-TLS sein.

Richten Sie die unterstützten Versionen von TLS ein.

Sie können die Mindestversion von TLS einrichten, die für Client bzw. Server erforderlich ist.

Standardmäßig ist die TLS-Mindestversion von Server und Client 1.2. Die Einstellung hat Auswirkungen auf folgende Funktionen:

  • HTTPS-Webzugriffsverbindung
  • Onboarding für On-Premises-Telefon
  • HTTPS-Dienste, z. B. Verzeichnisdienste
  • Datagramm-DTLS (Transport Layer Security)
  • Portzugriffsinstanz (Port Access Entity, PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Weitere Informationen zur TLS 1.3-Kompatibilität für Cisco IP Phones finden Sie unter TLS 1.3 Kompatibilitätsmatrix für Cisco Collaboration-Produkte.

1

Führen Sie in Cisco Unified Communications Manager Administration nach Bedarf eine der folgenden Aktionen aus:

  • Um alle bereitgestellten Telefone zu konfigurieren, wechseln Sie zu System-> Firmentelefonkonfiguration .
  • Um Telefone mit demselben Telefonprofil zu konfigurieren, wechseln Sie zu Gerät>Geräteeinstellungen > Allgemeines Telefonprofil .
  • Um ein einzelnes Telefon zu konfigurieren, gehen Sie zu Gerät > Telefon. Suchen Sie dann Ihr Telefon und öffnen Sie die Seite Telefonkonfiguration.

Die Konfiguration folgt einer hierarchischen Struktur:

  • Individuelle Geräteeinstellungen haben Vorrang vor Einstellungen im allgemeinen Telefonprofil und auf Enterprise-Ebene
  • Allgemeine Telefonprofileinstellungen haben Vorrang vor Einstellungen auf Unternehmensebene

2

Richten Sie das Feld TLS Client Min Version ein:

Die Option TLS 1.3 ist auf Cisco Unified CM 15SU2 oder höher verfügbar.

  • TLS 1.1: Der TLS-Client unterstützt die TLS-Versionen 1.1 bis 1.3.

    Wenn die TLS-Version auf dem Server niedriger als 1.1 ist, z. B. 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.2 (Standard): Der TLS-Client unterstützt TLS 1.2 und 1.3.

    Wenn die TLS-Version auf dem Server niedriger als 1.2 ist, z. B. 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.3: Der TLS-Client unterstützt nur TLS 1.3.

    Wenn die TLS Version im Server niedriger als 1.3 ist, z. B. 1.2, 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

3

Richten Sie das Feld Min. Version des Servers TLS ein:

  • TLS 1.1: Der TLS-Server unterstützt die TLS-Versionen 1.1 bis 1.3.

    Wenn die Version TLS im Client niedriger als 1.1 ist, z. B. 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.2 (Standard): Der TLS-Server unterstützt TLS 1.2 und 1.3.

    Wenn die Version TLS im Client niedriger als 1.2 ist, z. B. 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

  • TLS 1.3: Der TLS-Server unterstützt nur TLS 1.3.

    Wenn die TLS-Version im Client niedriger als 1.3 ist, z. B. 1.2, 1.1 oder 1.0, kann die Verbindung nicht hergestellt werden.

4

Klicken Sie auf Speichern.

5

Klicken Sie auf Konfiguration übernehmen.

6

Starten Sie die Telefone neu.

TURN Lautsprecher und Headset ausschalten Cisco Wireless Phone 9821

Sie haben die Möglichkeit, die Freisprecheinrichtung und das Headset eines Cisco Wireless Phone 9821 für Ihren Benutzer dauerhaft TURN auszuschalten. Durch das Ausschalten dieser Audioausgänge wird sichergestellt, dass Gespräche von anderen Personen in der Nähe nicht gehört werden können, was in gemeinsam genutzten oder offenen Büroumgebungen wichtig ist.

1

Wählen Sie in Cisco Unified Communications Manager Administration die Option Gerät > Telefon aus.

2

Suchen Sie das Telefon, das Sie konfigurieren möchten.

3

Navigieren Sie in den Bereich " Produktspezifische Konfiguration – Layout ".

4

Aktivieren Sie eines oder mehrere der folgenden Kontrollkästchen, um die Funktionen des Telefons mit TURN zu deaktivieren:

  • Lautsprecher deaktivieren
  • Freisprechanlage und Headset deaktivieren

Diese Kontrollkästchen sind standardmäßig deaktiviert.

5

Wählen Sie Speichern aus.

6

Wählen Sie Konfiguration übernehmen.

War dieser Artikel hilfreich für Sie?
War dieser Artikel hilfreich für Sie?