- Etusivu
- /
- Artikkeli
Cisco IP Phone -suojaus 9800/8875 (Monilevy)
Tämä ohjeartikkeli on tarkoitettu Cisco Desk Phone 9800 -sarjoille ja Cisco-videopuhelimelle 8875, jotka on rekisteröity numeroon Cisco BroadWorks tai Webex Calling.
DHCP-asetusten määrittäminen
Voit määrittää, missä järjestyksessä puhelin käyttää DHCP -asetuksia. DHCP -asetusten ohje on kohdassa DHCP-vaihtoehdon tuki.
1 |
Siirry puhelimen hallintaverkkosivulle. |
2 |
Valitse . |
3 |
Määritä Määritysprofiili-osassa DHCP -asetus käytettäväksi ja DHCPv6-asetus käyttämään parametreja seuraavasti:
|
4 |
Valitse Submit All Changes. |
DHCP -vaihtoehdon tuki
Seuraavassa taulukossa on lueteltu DHCP-vaihtoehdot, joita PhoneOS-puhelimet tukevat.
Verkon vakio | Kuvaus |
---|---|
DHCP -asetus 1 | Aliverkon peite |
DHCP -asetus 2 | Aikasiirtyma |
DHCP -asetus 3 | Reititin |
DHCP -asetus 6 | Toimialueen nimipalvelin |
DHCP -asetus 15 | Toimialueen nimi |
DHCP -asetus 17 | Toimittajaa tunnistavat toimittajakohtaiset tiedot |
DHCP -asetus 41 | IP osoitteen vuokrausaika |
DHCP -asetus 42 | NTP-palvelin |
DHCP -asetus 43 | Toimittajakohtaiset tiedot Voidaan käyttää SCEP-määritysten toimittamiseen. |
DHCP -asetus 56 | NTP-palvelin NTP-palvelimen määritykset: IPv6 |
DHCP -asetus 60 | Toimittajan luokkatunnus |
DHCP -asetus 66 | TFTP-palvelimen nimi |
DHCP -asetus 125 | Toimittajaa tunnistavat toimittajakohtaiset tiedot |
DHCP -asetus 150 | TFTP-palvelin |
DHCP -asetus 159 | Provisiointipalvelimen IP |
DHCP -asetus 160 | Provisiointi-URL |
Määritä pienin TLS -versio asiakkaalle ja palvelimelle
Asiakkaan ja palvelimen oletusarvoinen TLS-versio on 1,2. Tämä tarkoittaa, että asiakas ja palvelin voivat muodostaa yhteyden numeroon TLS 1.2 tai uudempi. Asiakkaan ja palvelimen TLS tuettu enimmäisversio on 1,3. Kun se on määritetty, pienin TLS-versio käytetään TLS- ja TLS -palvelimen väliissä neuvotteluissa.
Voit määrittää asiakkaalle ja palvelimelle TLS -vähimmäisversion, esimerkiksi 1.1, 1.2 tai 1.3.
Ennen aloittamista
1 |
Siirry puhelimen hallintaverkkosivulle. |
2 |
Valitse . |
3 |
Määritä Suojausasetukset-osassa parametri TLS Asiakkaan minimiversio.
Voit määrittää tämän parametrin myös määritystiedostossa (cfg.XML): <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Sallitut arvot: TLS 1.1, TLS1.2 ja TLS 1.3. Oletus: TLS 1.2 |
4 |
Määritä Suojausasetukset-osassa parametri TLS Server Min Version. Webex Calling ei tue TLS 1.1.
Voit määrittää tämän parametrin myös määritystiedostossa (cfg.XML): <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
Sallitut arvot: TLS 1.1, TLS1.2 ja TLS 1.3. Oletus: TLS 1.2 |
5 |
Valitse Submit All Changes. |
Ota FIPS-tila käyttöön
Voit tehdä puhelimesta FIPS (Federal Information Processing Standards) -yhteensopivan.
FIPS on joukko standardeja, jotka kuvaavat asiakirjojen käsittelyä, salausalmentteja ja muita tietotekniikkastandardeja, joita käytetään ei-sotilashallituksessa ja hallituksen salaustoimistojen kanssa työskentelevien toimittajien käyttöön. CiscoSSL FOM (FIPS-objektimoduuli) on huolellisesti määritetty ohjelmistoosa, joka on suunniteltu yhteensopivaksi CiscoSSL-kirjaston kanssa, joten CiscoSSL-kirjastoa ja API käyttävät tuotteet voidaan muuntaa käyttämään FIPS 140-2 -validoitua salausta mahdollisimman vähän.
1 |
Siirry puhelimen hallintaverkkosivulle. |
2 |
Valitse . |
3 |
Valitse Suojausasetukset-osassa Kyllä tai Ei FIPS-tilaparametrista . |
4 |
Valitse Submit All Changes. Kun FIPS on käytössä, puhelimen seuraavat ominaisuudet toimivat saumattomasti:
|
Aseta käyttäjän ja järjestelmänvalvojan salasanat
Kun puhelin on rekisteröity puhelujenhallintajärjestelmään ensimmäisen kerran tai olet tehnyt puhelimen tehdasasetusten palautuksen, sinun on asetettava käyttäjän ja järjestelmänvalvojan salasanat puhelimen turvallisuuden parantamiseksi. Kun salasanat on asetettu, voit käyttää puhelimen verkkokäyttöliittymää.
Oletusarvoisesti käyttäjän ja järjestelmänvalvojan salasanat ovat tyhjät. Siksi löydät "Salasanoja ei annettu" -ongelman puhelimen näytöltä kohdasta
.1 |
Siirry puhelimen hallintasivulle |
2 |
Valitse . |
3 |
(Valinnainen) Aseta Järjestelmän kokoonpano -osiossa Näytä salasanavaroitukset -parametrin arvoksi Kyllä ja napsauta sitten Lähetä kaikki muutokset. Voit myös ottaa parametrit käyttöön puhelimen määritystiedostossa (cfg.XML).
Oletusarvo: Kyllä Vaihtoehdot: Kyllä|Ei Jos parametrin arvoksi on asetettu Ei, salasanavaroitusta ei näy puhelimen näytöllä. |
4 |
Etsi parametri Käyttäjän salasana tai Järjestelmänvalvojan salasana ja napsauta parametrin vieressä olevaa Vaihda salasana -painiketta. |
5 |
Kirjoita nykyinen käyttäjän salasana ` Vanha salasana` -kenttään. Jos sinulla ei ole salasanaa, pidä kenttä tyhjänä. Oletusarvo on tyhjä.
|
6 |
Kirjoita uusi salasana kenttään ``Uusi salasana``. Kelvolliset salasanasäännöt:
Jos uusi salasana ei täytä vaatimuksia, asetus hylätään. |
7 |
Valitse Submit. Verkkosivulle ilmestyy viesti Kun olet asettanut käyttäjän salasanan, tämä parametri näyttää seuraavan puhelimen määritystiedostossa XML (cfg.XML):
|
802.1X Todennus
Cisco IP Phones tukee 802.1X-todennusta.
Cisco IP Phones ja Cisco Catalyst-kytkimet käyttävät perinteisesti Cisco Discovery Protocol-metodia (CDP) tunnistaakseen toisensa ja määrittääkseen parametrit, kuten VLAN -allokoinnin ja linjan sisäiset virrankulutusvaatimukset. CDP ei tunnista paikallisesti liitettyjä työasemia. Cisco IP Phones tarjoaa EAPOL-läpikulkumekanismin. Tämä mekanismi sallii Cisco IP Phone-palvelimeen liitetyn työaseman välittää EAPOL-viestejä lähiverkon kytkimen 802.1X-todentajalle. Läpikulkumekanismi varmistaa, että IP-puhelin ei toimi lähiverkon kytkimenä, joka todentaa datapäätepisteen ennen verkkoon pääsyä.
Cisco IP Phones tarjoaa myös EAPOL-uloskirjautumismekanismin välityspalvelimena. Jos paikallisesti liitetty tietokone katkaisee yhteyden IP-puhelimeen, lähiverkon kytkin ei näe fyysisen yhteyden katkeamista, koska lähiverkon kytkimen ja IP-puhelimen välinen yhteys säilyy. Verkon eheyden vaarantumisen välttämiseksi IP-puhelin lähettää kytkimelle EAPOL-Logoff-viestin alavirran tietokoneen puolesta, mikä laukaisee lähiverkon kytkimen tyhjentämään alavirran tietokoneen todennusmerkinnän.
802.1X-todennuksen tuki vaatii useita komponentteja:
-
Cisco IP Phone: Puhelin aloittaa verkon käyttöpyynnön. Cisco IP Phones sisältää 802.1X-anojan. Tämä pyyntölomake antaa verkonvalvojille mahdollisuuden hallita IP-puhelimien yhteyttä lähiverkon kytkimen portteihin. Puhelimen 802.1X-todennuksen nykyinen versio käyttää verkon todennukseen asetuksia EAP-FAST ja EAP-TLS.
-
Todennuspalvelin: Sekä todennuspalvelimen että kytkimen on oltava määritettynä jaetulla salaisuudella, joka todentaa puhelimen.
-
Kytkin: Kytkimen on tuettava 802.1X:ää, jotta se voi toimia todentajana ja välittää viestejä puhelimen ja todennuspalvelimen välillä. Vaihdon päätyttyä keskus myöntää tai estää puhelimen pääsyn verkkoon.
Sinun on suoritettava seuraavat toimenpiteet 802.1X:n määrittämiseksi.
-
Määritä muut komponentit ennen kuin otat 802.1X-todennuksen käyttöön puhelimessa.
-
Tietokoneen portin konfigurointi: 802.1X-standardi ei ota huomioon VLAN-verkkoja ja suosittelee siksi, että vain yksi laite tulisi todentaa tiettyyn kytkimen porttiin. Jotkin kytkimet kuitenkin tukevat usean verkkotunnuksen todennusta. Kytkimen kokoonpano määrittää, voitko liittää tietokoneen puhelimen PC-porttiin.
-
Käytössä: Jos käytät kytkintä, joka tukee usean verkkotunnuksen todennusta, voit ottaa käyttöön PC-portin ja liittää tietokoneen siihen. Tässä tapauksessa Cisco IP Phones tukee EAPOL-Logoff-välityspalvelinta kytkimen ja liitetyn tietokoneen välisten todennustietojen vaihdon valvomiseksi.
Lisätietoja Cisco Catalyst -kytkimien IEEE 802.1X -tuesta on Cisco Catalyst -kytkimen määritysoppaissa osoitteessa:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Pois käytöstä: Jos kytkin ei tue useita 802.1X-yhteensopivia laitteita samassa portissa, sinun on poistettava PC-portti käytöstä, kun 802.1X-todennus on käytössä. Jos et poista tätä porttia käytöstä ja yrität sitten liittää siihen tietokoneen, kytkin estää verkkoyhteyden sekä puhelimesta että tietokoneesta.
-
- Äänen määrittäminen VLAN: Koska 802.1X-standardi ei huomioi VLAN-verkkoja, sinun tulee määrittää tämä asetus kytkimen tuen perusteella.
- Käytössä: Jos käytät kytkintä, joka tukee usean verkkotunnuksen todennusta, voit jatkaa sen käyttöä äänikomennolla VLAN.
- Pois käytöstä: Jos kytkin ei tue usean verkkotunnuksen todennusta, poista käytöstä ääni VLAN ja harkitse portin määrittämistä natiiville VLAN-kytkimelle.
- (Vain Cisco pöytäpuhelimelle 9800-sarja)
Cisco Pöytäpuhelimen 9800-sarjan PID-etuliite on eri kuin muiden Cisco-puhelimien. Jotta puhelimesi läpäisisi 802.1X-todennuksen, aseta Radius·Käyttäjänimi parametri, joka sisältää Cisco pöytäpuhelimen 9800-sarjan.
Esimerkiksi puhelimen 9841 PID on DP-9841; voit asettaa Radius·Käyttäjänimi että
Aloita DP:llä
taiSisältää DP:tä
. Voit asettaa sen molemmissa seuraavista osioista: -
Ota 802.1X-todennus käyttöön puhelimen verkkosivulla
Kun 802.1X-todennus on käytössä, puhelin käyttää 802.1X-todennusta verkkoyhteyden pyytämiseen. Kun 802.1X-todennus on poistettu käytöstä, puhelin käyttää Cisco Discovery Protocol-tunnistetta (CDP) VLAN-yhteyden hankkimiseen ja verkkoyhteyden muodostamiseen.
Voit valita varmenteen (MIC/SUDI tai CDC), jota käytetään 802.1X-todennuksessa. Lisätietoja CDC:stä on osoitteessa Mukautettu laitesertifikaatti numerossa 9800/8875.
Voit tarkastella maksutapahtuman tilaa ja suojausasetuksia puhelimen näytön valikosta. Lisätietoja on kohdassa Puhelimen suojausasetusten valikko.
1 |
Ota käyttöön 802.1X-todennus. Valitse Ota 802.1X-todennus käyttöön -parametrin arvoksi Kyllä. ja asetaVoit määrittää tämän parametrin myös asetustiedostossa (cfg.XML):
Kelvolliset arvot: Kyllä|Ei Oletus: Ei |
2 |
Valitse jokin seuraavista asennetuista varmenteista, joita käytetään 802.1X-todennuksessa. Arvovaihtoehdot:
Kokoonpano vaihtelee verkon mukaan:
|
3 |
Määritä käyttäjätunnusparametri , , jota käytetään identiteettinä 802.1X-todennuksessa kiinteässä verkossa. Parametrin määritys tulee voimaan vain, kun CDC:tä käytetään langallisessa 802.1X-todennuksessa (Varmenteen valinta on asetettu arvoon Mukautettu asennus). Oletusarvoisesti tämä parametri on tyhjä. Langallisen 802.1X-verkon identiteetti vaihtelee valitun varmenteen mukaan:
Jos ``käyttäjätunnus`` `` on tyhjä ja CDC:n yleinen nimi on määritetty, kiinteä 802.1X käyttää CDC:n yleistä nimeä identiteettinä. Voit määrittää tämän parametrin myös asetustiedostossa (cfg.XML):
Kelvolliset arvot: Enintään 127 merkkiä Oletus: tyhjä Tämä parametri tukee myös makrolaajennusmuuttujia, katso lisätietoja kohdasta Makrolaajennusmuuttujat . Jos haluat käyttää DHCP-asetuksia käyttäjätunnuksen määrittämiseen, katso Yleisen nimen tai käyttäjätunnuksen määrittäminen DHCP-asetuksen 15 kautta. |
4 |
Valitse Submit All Changes. |
Puhelimen suojausasetusten valikko
Voit tarkastella tietoja suojausasetuksista puhelimen valikosta. Navigointipolku on:
. Tietojen saatavuus riippuu organisaatiosi verkkoasetuksista.
Parametrit |
Asetukset |
Oletus |
Kuvaus |
---|---|---|---|
Laitteen todennus |
Milloin: Ei käytössä |
Ei käytössä |
Ottaa käyttöön tai poistaa käytöstä 802.1X-todennuksen puhelimessa. Parametriasetus voidaan säilyttää puhelimen rekisteröinnin jälkeen (OOB). |
Tapahtuman tila | Poissa käytöstä |
Näyttää 802.1X-todennuksen tilan. Osavaltio voi olla (ei rajoittuen):
| |
Protokolla | Ei mitään |
Näyttää 802.1X-todennuksessa käytetyn EAP-metodin. Protokolla voi olla EAP-FAST tai EAP-TLS. | |
Käyttäjävarmenteen tyyppi |
Tuotanto asennettuna Mukautettu asennus |
Tuotanto asennettuna |
Valitsee varmenteen 802.1X-todennusta varten alkuperäisen rekisteröinnin ja varmenteen uusimisen aikana.
Tämä parametri näkyy puhelimessa vain, kun ``laitteen todennus`` on käytössä. |
Taaksepäin yhteensopiva WPA:n kanssa |
Milloin: Ei käytössä | Ei käytössä |
Määrittää, onko Wi-Fi Protected Accessin (WPA) vanhin versio yhteensopiva puhelimen kanssa langattomaan verkkoon tai tukiasemaan (AP) yhdistämistä varten.
Tämä ominaisuus on käytettävissä vain 9861/9871/8875-puhelimissa. |
Välityspalvelimen määrittäminen
Voit määrittää puhelimen käyttämään välityspalvelinta parantaaksesi suojausta. Yleensä HTTP-välityspalvelin voi tarjota seuraavat palvelut:
- Liikenteen reitittäminen sisäisten ja ulkoisten verkkojen välillä
- Liikenteen suodattaminen, valvonta tai lokitietojen kerääminen
- Vastausten välimuistiin tallentaminen suorituskyvyn parantamiseksi
HTTP-välityspalvelin voi myös toimia palomuurina puhelimen ja internetin välillä. Onnistuneen konfiguroinnin jälkeen puhelin muodostaa yhteyden Internetiin välityspalvelimen kautta, joka suojaa puhelinta kyberhyökkäyksiltä.
Kun HTTP-välityspalvelinominaisuus on määritetty, se koskee kaikkia HTTP-protokollaa käyttäviä sovelluksia. Esimerkki:
- GDS (aktivointikoodin käyttöönotto)
- EDOS-laitteen aktivointi
- Webex-pilvipalvelun käyttöönotto (EDOS:n tai GDS:n kautta)
- Mukautettu CA
- Valmistelu
- Laiteohjelmiston päivitys
- Puhelimen tilaraportti
- PRT-lataus
- XSI-palvelut
- Webex Palvelut
- Tällä hetkellä ominaisuus tukee vain IPv4-tunnistetta.
- HTTP-välityspalvelimen asetukset voidaan säilyttää puhelimen rekisteröinnin jälkeen (OOB).
1 |
Siirry puhelimen hallintaverkkosivulle. |
2 |
Valitse . |
3 |
Osiossa HTTP-välityspalvelimen asetukset, valitse välityspalvelintila avattavasta luettelosta Välityspalvelintila ja määritä siihen liittyvät parametrit. Lisätietoja kunkin välityspalvelintilan parametreista ja pakollisista parametreista on kohdassa HTTP-välityspalvelimen asetusten parametrit . |
4 |
Valitse Submit All Changes. |
HTTP-välityspalvelimen asetusten parametrit
Seuraavassa taulukossa määritellään HTTP-välityspalvelimen parametrien toiminnot ja käyttö puhelimen verkkokäyttöliittymän HTTP-välityspalvelimen asetukset -osiossa, joka on kohdassa Tab. Se määrittää myös puhelimen määritystiedostoon (cfg.XML) XML-koodilla lisättävän merkkijonon syntaksin parametrin konfiguroimiseksi.
Parametri | Kuvaus |
---|---|
Välityspalvelimen tila | Määrittää puhelimen käyttämän HTTP-välityspalvelintilan tai poistaa HTTP-välityspalvelinominaisuuden käytöstä.
Tee jokin seuraavista:
Sallitut arvot: Automaattinen, Manuaalinen ja Pois päältä Oletus: ei käytössä |
Verkkovälityspalvelimen automaattinen etsintä | Määrittää, käyttääkö puhelin Web Proxy Auto Discovery (WPAD) -protokollaa PAC-tiedoston hakemiseen. WPAD-protokolla käyttää DHCP- tai DNS-protokollaa tai molempia verkkoprotokollia paikantaakseen välityspalvelimen automaattisen määritystiedoston (PAC) automaattisesti. PAC-tiedostoa käytetään välityspalvelimen valitsemiseen tietylle URL-osoitteelle. Tämä tiedosto voi olla isännöity paikallisesti tai verkossa.
Tee jokin seuraavista:
Sallitut arvot: Kyllä ja Ei Oletusarvo: Kyllä |
PAC-osoite | PAC-tiedoston URL-osoite. Esimerkiksi, TFTP, HTTP ja HTTPS ovat tuettuja. Jos asetat Välityspalvelimen tilaksi Automaattinen ja Verkkovälityspalvelimen automaattinen etsintä arvoksi Ei, sinun on määritettävä tämä parametri. Tee jokin seuraavista:
Oletus: tyhjä |
Välityspalvelimen isäntä | IP Puhelimen käyttämän välityspalvelimen osoite tai isäntänimi. Esimerkki:
Rakennetta ( Jos asetat Välitystila -asetukseksi Manuaalinen, sinun on määritettävä tämä parametri. Tee jokin seuraavista:
Oletus: tyhjä |
Välityspalvelimen portti | Välityspalvelimen porttinumero. Jos asetat Välitystila -asetukseksi Manuaalinen, sinun on määritettävä tämä parametri. Tee jokin seuraavista:
Oletus: 3128 |
Välityspalvelimen todennus | Määrittää, onko käyttäjän annettava välityspalvelimen edellyttämät todennustiedot (käyttäjätunnus ja salasana). Tämä parametri konfiguroidaan välityspalvelimen todellisen toiminnan mukaan. Jos asetat parametrin arvoksi Kyllä, sinun on määritettävä Käyttäjänimi ja Salasana. Lisätietoja parametreista on tässä taulukossa parametreja "Käyttäjänimi" ja "Salasana" käsittelevissä kohdissa. Parametrin määritys tulee voimaan, kun ` Välitystila` on asetettu arvoon ` Manuaalinen` . Tee jokin seuraavista:
Sallitut arvot: Kyllä ja Ei Oletus: Ei |
Käyttäjänimi | Välityspalvelimella olevan tunnistetiedon käyttäjän käyttäjätunnus. Jos ` Välityspalvelimen tila` on asetettu arvoon Manuaalinen` ja ` Välityspalvelimen todennus` on asetettu arvoon Kyllä`, sinun on määritettävä parametri. Tee jokin seuraavista:
Oletus: tyhjä |
Salasana | Välityspalvelimen todennusta varten määritetyn käyttäjänimen salasana. Jos ` Välityspalvelimen tila` on asetettu arvoon Manuaalinen` ja ` Välityspalvelimen todennus` on asetettu arvoon Kyllä`, sinun on määritettävä parametri. Tee jokin seuraavista:
Oletus: tyhjä |
Välityspalvelimen tila | Pakolliset parametrit | Kuvaus |
---|---|---|
Ei käytössä | Ei kelpaa | HTTP-välityspalvelin on poistettu käytöstä puhelimessa. |
Manuaalinen | Välityspalvelimen isäntä Välityspalvelimen portti Välityspalvelimen todennus: Kyllä Käyttäjänimi Salasana | Määritä manuaalisesti välityspalvelin (isäntänimi tai IP-osoite) ja välityspalvelimen portti. Jos välityspalvelin vaatii todennusta, sinun on annettava myös käyttäjätunnus ja salasana. |
Välityspalvelimen isäntä Välityspalvelimen portti Välityspalvelimen todennus: Ei | Määritä välityspalvelin manuaalisesti. Välityspalvelin ei vaadi todennustietoja. | |
Automaattinen | Verkkovälityspalvelimen automaattinen etsintä: Ei PAC-osoite | Anna kelvollinen PAC-URL-osoite hakeaksesi PAC-tiedoston. |
Verkkovälityspalvelimen automaattinen tunnistus: Kyllä |
Käyttää WPAD-protokollaa PAC-tiedoston automaattiseen hakemiseen. |
Ota käyttöön asiakkaan aloittama tila mediatason suojausneuvotteluissa
Mediaistuntojen suojaamiseksi voit määrittää puhelimen aloittamaan mediatason suojausneuvottelut palvelimen kanssa. Suojausmekanismi noudattaa RFC 3329:ssä ja sen laajennuksessa Security Mechanism Names for Media (katso https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Puhelimen ja palvelimen välinen neuvotteluliikenne voi tapahtua SIP-protokollan avulla UDP, TCP,- ja TLS-protokollien kautta. Voit rajoittaa mediatason suojausneuvottelua niin, että sitä käytetään vain silloin, kun signaloinnin siirtoprotokolla on TLS.
Parametri | Kuvaus |
---|---|
MediaSec-pyyntö |
Määrittää, aloittaako puhelin mediatason suojausneuvottelut palvelimen kanssa. Tee jokin seuraavista:
Sallitut arvot: Kyllä | Ei
Oletus: Ei |
Vain MediaSec over TLS |
Määrittää viestittävän siirtoprotokollan, jonka kautta mediatason turvaneuvottelua käytetään. Varmista, että signalointisiirtoprotokolla on TLS, ennen kuin määrität tälle kentässä Kyllä. Tee jokin seuraavista:
Sallitut arvot: Kyllä | Ei
Oletus: Ei |
1 |
Siirry puhelimen hallintaverkkosivulle. |
2 |
Valitse . |
3 |
Määritä SIP Asetukset - osassa MediaSec-pyyntö ja MediaSec over TLS - kentät siten, että ne on määritetty yllä olevassa taulukossa. |
4 |
Valitse Submit All Changes. |
WLAN-suojaus
Koska kaikki WLAN -laitteet voivat vastaanottaa kaiken muun WLAN -liikennettä, puheviestinnän ottaminen käyttöön on WLAN-laitteissa erittäin tärkeää. Varmista, etteivät tunkeilijat manipuloi ääniliikennettä eivätkä kaappaa sitä, Cisco SAFE Security -arkkitehtuuri tukee puhelinta. Lisätietoja verkkojen suojauksen toiminnoista on kohdassa http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Cisco Langaton IP -puhelinratkaisu tarjoaa langattoman verkon suojauksen, joka estää luvattomia sisään- ja vaaranna viestintää käyttämällä seuraavia puhelimen tukemia todennusmenetelmiä:
-
Avaa todennus: Kaikki langattomat laitteet voivat pyytää todennusta avoimessa järjestelmässä. Pyynnön vastaanottava käyttöasema voi myöntää todennuksen kenelle tahansa pyynnön esittäjälle tai vain pyynnön esittäjille, jotka ovat käyttäjäluettelossa. Langattoman laitteen ja TUKIASEMAn välistä viestintää ei ehkä salata.
-
Laaja todennusprotokollan joustava todennus suojatun tunnelointitoiminnon (EAP-FAST) avulla -todennus: Tämä asiakas-palvelinsuojausarkkitehtuuli salata EAP-tapahtumat AP:n ja RADIUS-palvelimen välisessä siirtotason suojaustunnelissa (TLS), kuten Identity Services Engine (ISE).
TLS-tunneli käyttää suojatun käytön tunnistetietoja (PAC) todennukseen asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Palvelin lähettää asiakkaalle (puhelimella) viranomaisen tunnuksen (AID), joka TURN valitsee asianmukaisen PAC-yhteyden. Asiakas (puhelin) palauttaa PAC-kvaque-palvelimen RADIUS-palvelimeen. Palvelin poistaa PAC:n salauksen ensisijaisella näppäimellä. Molemmissa päätepisteissä on nyt PAC-avain ja TLS-tunneli luodaan. EAP-FAST tukee automaattista PAC-valmistelua, mutta sinun on otettava se käyttöön RADIUS-palvelimessa.
ISE:ssa PAC vanhenee oletusarvoisesti viikon kuluttua. Jos puhelimen pac on vanhentunut, todennus RADIUS-palvelimella kestää kauemmin, kun puhelin saa uuden PAC:n. Voit välttää PAC-valmistelun viiveet asettamalla PAC-vanhenemisajaksi 90 päivää tai pidempään ISE- tai RADIUS-palvelimessa.
-
Laaja todennusprotokollan ja siirtokerrossuojauksen (EAP-TLS) todennus: EAP-TLS edellyttää asiakasvarmennetta todennusta ja verkkoyhteyttä varten. Langattomassa EAP-TLS asiakasvarmenne voi olla MIC, LSC, tai käyttäjän asentama varmenne.
-
Suojattu laajennustodennusprotokolla (PEAP): Cisco asiakkaan (puhelimen) ja RADIUS-palvelimen välinen oma salasanapohjainen todennusmalli. Puhelin voi käyttää PEAP langattoman verkon todennukseen. Sekä PEAP-MSCHAPV2- että PEAP-GTC-todennusmenetelmiä tuetaan.
-
Esijaettu avain (PSK): Puhelin tukee ASCII -muotoa. Tätä muotoa on käytettävä määritettäessä WPA/WPA2/SAE Esijaettua avainta:
ASCII: ASCII-merkkinen merkkijono, jonka pituus on 8 - 63 merkkiä (0-9, pieni ja iso kirjaiminen A-Z sekä erikoismerkit)
Esimerkki: GREG123567@9ZX&W
Seuraavat todennusmallit käyttävät RADIUS-palvelinta todennusavainten hallintaan:
-
WPA/WPA2/WPA3: Käyttää RADIUS-palvelimen tietoja yksilöllisiä avaimia todennusta varten. Koska nämä avaimet luodaan keskitetylle RADIUS-palvelimelle, WPA2/WPA3 tarjoaa enemmän suojausta kuin WPA esivalmistetut avaimet, jotka on tallennettu käyttöp. ja puhelimeen.
-
Fast Secure Roaming: Käyttää RADIUS-palvelinta ja WDS -tietoja avainten hallintaan ja todennukseen. WDS luo suojaustunnisteiden välimuistin FT-yhteensopiville asiakaslaitteille, jotta ne voidaan toistaa nopeasti ja turvallisesti. Cisco Desk -puhelin 9861 ja 9871 ja Cisco VideoPuhelin 8875 tukevat 802.11r (FT). Sekä ilmassa että DS:n yllä tuetaan, jotta verkkovierailu on nopea suojattu. Suosittelemme kuitenkin vahvasti, että käytät 802.11r (FT) ilmamenetelmää.
WPA/WPA2/WPA3 -näppäimellä salausavaimia ei syötetä puhelimeen, vaan ne johdetaan automaattisesti apin ja puhelimen välillä. Todennukseen käytettävä EAP-käyttäjänimi ja salasana on kuitenkin annettava kullekin puhelimelle.
Jotta ääniliikenne on turvallista, puhelin tukee TKIP-koodausta ja AES salausta varten. Kun näitä salausohjeita käytetään salaukseen, sekä viestittävät SIP -paketit että reaaliaikainen äänisiirtoprotokolla (RTP) -paketit salataan ap:n ja puhelimen välillä.
- TKIP
-
WPA käyttää TKIP-salausta, jossa on useita parannusta WEP-salaukseen. TKIP tarjoaa per-paketti-avainsalakirjoitusta ja pidempiä alustusvektoreita (IVs), jotka vahvistavat salausta. Lisäksi viestin eheystarkistus (MIC) varmistaa, ettei salattuja pakkauksia muuteta. TKIP poistaa WEP -näppäimen ennustettavuuden, joka auttaa tunkeilijoille WEP-avaimen tulkitsemisen.
- AES
-
WPA2/WPA3-todennuksessa käytettävä salausmenetelmä. Tämä kansallinen salausnormi käyttää symmetristä algoritmia, jolla on sama avain salaukseen ja salauksen purkamiseen. AES käyttää kooltaan 128 bitin salausta ( Cipher Blocking Chain, CBC), joka tukee vähintään 128 bitin, 192 bitin ja 256 bitin avainkokoja. Puhelin tukee 256 bitin näppäinkokoa.
Cisco Desk -puhelin 9861 ja 9871 ja Cisco Videopuhelin 8875 eivät tue CMIC:n kanssa Cisco Key Integrity Protocolia (CKIP).
Todennus- ja salausjärjestelmät on määritetty langattomaan lähiverkkoon. VLAN-numerot on määritetty verkossa ja APS:ssä, ja ne määrittävät eri todennus- ja salausyhdistelmiä. SSID yhdistää ohjelman VLAN ja tietyn todennus- ja salausmallin. Jotta langattomat asiakaslaitteet todennetaan oikein, samat SSID-protokollat on määritettävä todennus- ja salausmalleille APS-laitteissa ja puhelimessa.
Jotkin todennusjärjestelmät edellyttävät tietyntyyppistä salausta.
- Kun käytät WPA esijaettua avainta, WPA2-esijaettua avainta tai SAE-näppäintä, esijaetun avaimen on oltava staattisesti määritetty puhelimessa. Näiden avainten on vastattava apissa olevia avaimia.
-
Puhelin tukee automaattista EAP-neuvottelua FAST- tai PEAP-kohteelle, mutta ei TLS. Määritä EAP-TLS -tilassa.
Seuraavassa taulukossa on lueteltu tukiasemamäärityksiä vastaavat puhelimen verkkomääritykset.
FSR-tyyppi | Todennus | Avaintenhallinta | Salaus | Suojattu hallintakehys (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Ei |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Kyllä |
802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Ei |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Kyllä |
802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Ei |
802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Kyllä |
802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Ei |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Kyllä |
Määritä Wi-Fi-profiili
Voit määrittää Wi-Fi-profiilin puhelimen verkkosivulla tai synkronoimalla etälaitteen profiilin uudelleen ja liittämällä sen sitten käytettävissä olevaan Wi-Fi-verkkoon. Määritetyn profiilin avulla voit muodostaa Wi-Fi-verkkoyhteyden. Tällä hetkellä voidaan määrittää vain yksi Wi-Fi-profiili.
Profiili sisältää parametrit, joita puhelin tarvitsee puhelinpalvelinyhteyden muodostamiseen Wi-Fi-verkon kautta. Kun luot Wi-Fi-profiilin ja käytät sitä, sinun tai käyttäjien ei tarvitse määrittää langatonta verkkoa yksittäisille puhelimille.
Wi-Fi-profiilin käytön avulla voit estää käyttäjiä tekemästä muutoksia Wi-Fi-kokoonpanon puhelimella tai rajoittaa parametreja, joita käyttäjät voivat muuttaa.
Suosittelemme, että käytät suojattua profiilia salausprotokollalla avainten ja salasanojen suojaamiseksi, kun käytät Wi-Fi-profiilia.
Kun määrität puhelimet käyttämään EAP-FAST-todennusmenetelmää suojaustilassa, käyttäjät tarvitsevat yksittäisiä tunnistetietoja muodostaakseen yhteyden tukipisteeseen.
1 |
Avaa puhelimen Web-sivu. |
2 |
Valitse . |
3 |
Määritä Wi-Fi-profiili (n) -osassa parametrit seuraavassa taulukossa Parametrit kohteelle Wi-Fi profiili. Wi-Fi-profiilin määritykset ovat myös käyttäjän kirjautumisen käytettävissä.
|
4 |
Valitse Submit All Changes. |
Wi-Fi-profiilin parametrit
Seuraavassa taulukossa on kaikki puhelimen verkkosivulla olevan Järjestelmä-välilehden Wi-Fi-profiili(n)-osion toiminnot ja käyttökuvaukset. Se määrittää myös puhelimen määritystiedostoon (cfg.XML) lisätyn merkkijonon syntaksin parametrin määrittämiseksi.
Parametri | Kuvaus |
---|---|
Verkon nimi | Voit antaa puhelimessa näytettävän SSID-tunnuksen nimen. Usealla profiililla voi olla sama nimi, kun niiden suojaustilat ovat erilaiset. Tee jokin seuraavista:
Oletus: tyhjä |
Suojaustila | Voit valita Wi-Fi-verkkoyhteyksien suojaamiseen käytettävän todennusmenetelmän. Valitsemasi menetelmän mukaan näyttöön tulee salasanakenttä, jonka avulla voit antaa tunnistetiedot, jotka vaaditaan liittymään tähän Wi-Fi-verkkoon. Tee jokin seuraavista:
Oletusarvo: Automaattinen |
Wi-Fi-käyttäjätunnus | Voit syöttää tähän verkkoprofiilin käyttäjätunnuksen. Tämä kenttä on käytettävissä, kun määrität suojaustilaksi Automaattinen, EAP-FAST tai EAP-PEAP. Tämä on pakollinen kenttä, jonka arvon enimmäispituus on 32 aakkosnumeerista merkkiä. Tee jokin seuraavista:
Oletus: tyhjä |
Wi-Fi-salasana | Voit tähän syöttää määritetyn Wi-Fi-käyttäjätunnuksen salasanan. Tee jokin seuraavista:
Oletus: tyhjä |
Taajuusalue | Voit valita tästä WLAN-verkon käyttämän langattoman signaalin taajuusalueen. Tee jokin seuraavista:
Oletusarvo: Automaattinen |
Varmenteen valitseminen | Voit valita varmennetyypin varmenteen alkurekisteröintiä ja varmenteen uusimista varten langattomassa verkossa. Tämä prosessi on käytettävissä vain 802.1X-todennusta varten. Tee jokin seuraavista:
Oletus: Valmistajan asentama |
Tarkista puhelimen laitteen suojaustila
Puhelin tarkistaa laitteen suojaustilan automaattisesti. Jos se havaitsee puhelimen mahdolliset turvallisuusuhat, Ongelmat ja diagnostiikka -valikko voi näyttää ongelmien tiedot. Ilmoitettujen ongelmien perusteella järjestelmänvalvoja voi tehdä toimintoja puhelimen suojaamiseksi ja kovettumiseksi.
Laitteen suojaustila on käytettävissä, ennen kuin puhelin rekisteröidään puhelunhallintajärjestelmään (Webex Calling tai BroadWorks).
Jos haluat tarkastella suojausongelmien tietoja puhelimen näytössä, tee seuraavaa:
1 |
Valitse Asetukset. |
2 |
Valitse .Tällä hetkellä laitteen suojausraportti sisältää seuraavat ongelmat:
|
3 |
Kysy järjestelmänvalvojalta tukea suojausongelmien ratkaisemiseksi. |