- Etusivu
- /
- Artikkeli
Tämä Ohjeen artikkeli on tarkoitettu Cisco Langaton puhelin 9821 -puhelimelle, joka on rekisteröity numeroon Cisco Unified Communications Manager (Unified CM).
Voit ottaa Cisco Unified Communications Manager (Unified CM) käyttöön laajennetussa suojausympäristössä. Näiden parannusten avulla puhelinverkkosi toimii tiukoin suojaus- ja riskinhallintavalvontatoimin, jotka suojaavat sinua ja käyttäjiäsi.
Laajennettu suojausympäristö sisältää seuraavat ominaisuudet:
-
Yhteyshenkilön haun todennus
-
TCP etätarkastuksen kirjautumisen oletusprotokollana
-
Parannettu tunnistetietokäytäntö
-
Digitaalisten allekirjoitusten SHA-2-perheen tuki
-
Tuki RSA-avaimen koolle, enintään 4 096 bittiä
Kun Cisco Unified CM Release 14.0 tai uudempi, puhelimet tukevat SIP OAuth -todennusta.
OAuth on tuettu välityspalvelimen Trivial-tiedostonsiirtoprotokollalle (TFTP) Cisco Unified CM-versiolla 14.0 (1) SU1 tai uudempi.
Lisätietoja suojauksista on seuraavissa oppaissa:
-
Järjestelmämääritysopas : Cisco Unified Communications Manager, release 15 ja SUs
-
Suojausopas : Cisco Unified Communications Manager, release 15 ja SUs
Puhelin voi tallentaa vain rajoitetun määrän ITL (Identity Trust List) -tiedostoja. ITL-tiedostot eivät voi ylittää 64 Kt puhelimessa, joten rajoita Cisco Unified CM puhelimeen lähettämien tiedostojen määrää.
Tuetut suojausominaisuudet
Suojausominaisuudet suojaavat uhilta, kuten puhelimen identiteettiin ja tietoihin kohdistuvilta uhilta. Nämä toiminnot luovat ja ylläpitävät todennettuja viestintävirtoja puhelimen ja Cisco Unified Communications Manager server välillä ja varmistavat, että puhelin käyttää vain digitaalisesti allekirjoitettuja tiedostoja.
Cisco Unified Communications Manager -versio 8.5 (1) ja uudempi sisältää oletusarvoisesti Security-version, joka sisältää seuraavat Cisco IP Phones -suojausominaisuudet suorittamatta CTL -asiakasta:
-
Puhelimen määritystiedostojen allekirjoitus
-
Puhelimen määritystiedoston salaus
-
HTTPS Ja Tomcat ja muut Web-palvelut
Turvallinen signalointi ja mediaominaisuudet edellyttävät edelleen CTL -asiakkaan käyttämistä ja laitteisto-eTokens-toimintojen käyttämistä.
Suojauksen käyttöönotto Cisco Unified Communications Manager system estää puhelimen ja Cisco Unified Communications Manager server-identiteetin varkauden, estää tietojen kajoamisen ja estää puheluiden signaloinnin ja mediavirran kajoamisen.
Näiden uhkien torjumiseksi Cisco IP-puhelinverkko luo ja ylläpitää turvallisia (salattuja) viestintävirtoja puhelimen ja palvelimen välillä, allekirjoita tiedostoja digitaalisesti ennen niiden siirtoa puhelimeen ja salata mediavirtoja ja puheluita Cisco IP Phones välillä.
Locally Significant Certificate (LSC) asennetaan puhelimiin, kun olet suorittanut certificate authority proxy function -kenttään (CAPF) liittyvät tarvittavat tehtävät. Cisco Unified Communications Manager Administration-toiminnolla voit määrittää LSC, kuten Cisco Unified Communications Manager-suojausoppaassa kuvataan. Voit myös aloittaa LSC-asennuksen puhelimen Suojaus-valikosta . Valikon avulla voit myös päivittää tai poistaa LSC.
Puhelimet käyttävät puhelimen suojausprofiilia, joka määrittää, onko laite suojaamaton vai turvallinen. Lisätietoja suojausprofiilin käyttämisestä puhelimessa on kyseisen Cisco Unified Communications Manager -version käyttöoppaissa.
Jos määrität suojausasetukset Cisco Unified Communications Manager Administration-kohdassa, puhelimen määritystiedosto sisältää arkaluonteisia tietoja. Määritystiedoston tietosuojan varmistamiseksi sinun on määritettävä se salausta varten. Lisätietoja on kyseisen Cisco Unified Communications Manager -version käyttöoppaissa.
Seuraavassa taulukossa on yleiskatsaus puhelimien tukemista suojaustoiminnoista. Lisätietoja on kyseisen Cisco Unified Communications Manager -version käyttöoppaissa.
|
Ominaisuus |
Kuvaus |
|---|---|
|
Kuvan todennus |
Allekirjoitetut binääritiedostot estävät laitteisto-ohjelmistokuvan kanssa kajoamisen, ennen kuin kuva ladataan puhelimeen. Kuvan käsitteleminen aiheuttaa sen, että puhelin epäonnistuu todennusprosessissa ja hylkää uuden kuvan. |
|
Asiakassivuston varmenteen asentaminen |
Jokainen Cisco IP Phone edellyttää yksilöivän varmenteen laitteen todennusta varten. Puhelimissa on valmistajan asentama varmenne (MIC), mutta lisäsuojauksen vuoksi voit määrittää varmenteen asennuksen Cisco Unified Communications Manager Administration käyttämällä certificate authority proxy function (CAPF). Voit myös asentaa Locally Significant Certificate (LSC) puhelimen Suojaus-valikosta . |
|
Laitteen todennus |
Tapahtuu Cisco Unified Communications Manager server ja puhelimen välillä, kun kukin yhteisö hyväksyy toisen yhteisön varmenteen. Määrittää, onko puhelimen ja Cisco Unified Communications Manager välinen suojattu yhteys; ja luo tarvittaessa turvallisen signalointipolun entiteettien välille käyttämällä TLS-protokollaa. Cisco Unified Communications Manager ei rekisteröi puhelimia, ellei se voi todentaa niitä. |
|
Tiedoston todennus |
Vahvistaa puhelimen lataamia digitaalisesti allekirjoitettuja tiedostoja. Puhelin vahvistaa allekirjoituksen ja varmistaa, ettei tiedoston väärentämistä tapahdu tiedoston luomisen jälkeen. Todennusta epäonnistuvia tiedostoja ei ole kirjoitettu puhelimen Flash-muistiin. Puhelin hylkää tällaiset tiedostot käsittelemättä niitä enempää. |
|
Tiedostojen salaus |
Salaus estää arkaluonteisten tietojen paljastamisen tiedoston ollessa puhelimen käytössä. Lisäksi puhelin vahvistaa allekirjoituksen varmistaakseen, että tiedoston väärentäminen ei tapahtunut tiedoston luomisen jälkeen. Todennusta epäonnistuvia tiedostoja ei ole kirjoitettu puhelimen Flash-muistiin. Puhelin hylkää tällaiset tiedostot käsittelemättä niitä enempää. |
|
Viestittävä todennus |
Käyttää TLS-protokollaa vahvistaakseen, ettei viestityspakkauksiin ole tapahtunut kajoamista lähetyksen aikana. |
|
Valmistajan asentama varmenne |
Jokainen Cisco IP Phone sisältää yksilöivän valmistajan asentaman varmenteen (MIC), jota käytetään laitteen todennukseen. MIC tarjoaa puhelimelle pysyvän ainutlaatuisen todisteen identiteetistä ja sallii Cisco Unified Communications Manager puhelimen todennuksen. |
|
Median salaus |
Käyttää SRTP-painikkeilla sen varmistamiseksi, että tuettujen laitteiden väliset mediavirrat osoittautuvat turvallisiksi ja että vain suunniteltu laite vastaanottaa ja lukee tiedot. Sisältää median ensisijaisen avainparin luomisen laitteille, avainten toimittamisen laitteisiin ja avainten toimittamisen kuljetuksen aikana. |
|
CAPF (Certificate Authority Proxy Function) |
Toteuttaa varmenteen luomismenettelyn osia, jotka ovat liian käsittelyvaltaisia puhelimelle ja ovat vuorovaikutuksessa puhelimen kanssa avaimen luomisen ja varmenteen asennuksen osalta. CAPF voidaan määrittää pyytämään varmenteita asiakkaan määrittämisvarmenteilta puhelimen puolesta, tai se voidaan määrittää luomaan varmenteita paikallisesti. Sekä EC (Elliptinen käyrä) että RSA-avaintyyppejä tuetaan. Käytä EC-näppäintä varmista, että parametri "Endpoint Advanced Encryption Algorithms Support" (järjestelmästä ) on käytössä. Lisätietoja CAPF ja siihen liittyvistä kokoonpanoista on seuraavissa dokumenteissa: |
|
Suojausprofiili |
Määrittää, onko puhelin suojaamaton, todennettu, salattu vai suojattu. Muut tämän taulukon merkinnät kuvailevat suojausominaisuudet. |
|
Salatut määritystiedostot |
Varmistaa puhelimen määritystiedostojen tietosuojan. |
|
Valinnainen Web-palvelin poistettu käytöstä puhelimessa |
Suojaussyistä voit estää puhelimen (jotka näyttävät puhelimen eri toimintatilastoja) ja itsepalveluportaalin Web-sivujen käytön. |
|
Puhelimen kovetutuminen |
Muita suojausasetuksia, joita hallitset Cisco Unified Communications Manager Administration:
|
|
Suojaa SIP-vikasieto SRST |
Kun olet määrittänyt survivable Remote Site Telephony (SRST) -viittauksen tietoturvaan ja palauttanut riippuvaiset laitteet sijainnissa Cisco Unified Communications Manager Administration, TFTP-palvelin lisää SRST-varmenteen puhelimen varmenteeseen.XML-tiedostoon ja lähettää tiedoston puhelimeen. Suojattu puhelin käyttää TLS-yhteyttä vuorovaikutuksessa SRST-yhteensopivan reitittimen kanssa. |
|
Viestitys salauksesta |
Varmistaa, että kaikki SIP-viestien lähettäminen laitteen ja Cisco Unified Communications Manager server välillä on salattu. |
|
Luottosuhdeluettelon päivityshälytys |
Kun luottosuhdeluettelo päivittyy puhelimessa, Cisco Unified Communications Manager vastaanottaa hälytyksen päivityksen onnistumisen tai vian merkiksi. Lisätietoja on seuraavassa taulukossa. |
|
AES 256 -salaus |
Kun puhelimet on yhdistetty Cisco Unified Communications Manager-versioon 10.5 (2) ja uudempiin, ne tukevat AES 256 -salaustukea TLS- ja SIP signalointiin ja median salaukseen. Tällä tavalla puhelimet voivat aloittaa ja tukea TLS 1.2 -yhteyttä AES-256-pohjaisten salakirjoitusten avulla, jotka ovat SHA-2 (Secure Hash Algorithm) -normien mukaisia ja FIPS -yhteensopivia. Salakirjoitusta ovat:
Lisätietoja on Cisco Unified Communications Manager-dokumentaatiossa. |
|
Ecdsa(Elliptic Curve Digital Signature Algorithm) -varmenteet |
Osana yhteisten kriteerien (CC) sertifiointia, Cisco Unified Communications Manager; lisätty ECDSA-varmenteet versiossa 11.0. Tämä koskee kaikkia LDASIn (Voice Operating System) tuotteita, joiden käytössä on CUCM 11.5 ja uudempia versioita. |
|
Usean palvelimen (SAN) Tomcat-varmenne, Cisco UCM | Puhelin tukee Cisco UCM, kun SAN-Tomcat-varmenteet on määritetty. Oikea TFTP-palvelimen osoite löytyy puhelimen ITL-tiedostosta puhelimen rekisteröintiä varten. Lisätietoja ominaisuudesta on seuraavissa tiedoissa: |
Seuraavassa taulukossa on luottosuhdeluettelon päivityshälytysviestit ja -merkitys. Lisätietoja on Cisco Unified Communications Manager -dokumentaatiossa.
| Koodi ja viesti | Kuvaus |
|---|---|
|
1 - TL_SUCCESS |
Vastaanotettu uusi CTL ja/tai ITL |
|
2 - CTL_INITIAL_SUCCESS |
Vastaanotettu uusi CTL, ei olemassa olevaa TL-numeroa |
|
3 - ITL_INITIAL_SUCCESS |
Vastaanotettu uusi ITL, ei olemassa olevaa TL-numeroa |
|
4 - TL_INITIAL_SUCCESS |
Vastaanotettu uusi CTL ja ITL, ei olemassa olevaa TL-numeroa |
|
5 - TL_FAILED_OLD_CTL |
Päivitys uuteen CTL epäonnistui, mutta aiempi TL |
|
6 - TL_FAILED_NO_TL |
Päivitys uuteen TL:hen epäonnistui, eikä vanhaa TL-numeroa ole |
|
7 - TL_FAILED |
Yleinen virhe |
|
8 - TL_FAILED_OLD_ITL |
Päivitys uuteen ITL:hen epäonnistui, mutta aiempi TL |
|
9 - TL_FAILED_OLD_TL |
Päivitys uuteen TL:hen epäonnistui, mutta aiempi TL |
Puhelusuojaus
Kun puhelimen suojaus on otettu käyttöön, voit tunnistaa suojatut puhelut puhelimen näytön kuvakkeilla. Voit myös määrittää, onko yhdistetty puhelin turvallinen ja suojattu, jos puhelun alussa kuuluu suojausääni.
Suojatussa puhelussa kaikki puheluiden signalointi ja mediavirrat salataan. Suojattu puhelu tarjoaa korkean suojaustason, joka tarjoaa puhelun eheyden ja yksityisyyden. Kun meneillään oleva puhelu on salattu, näet suojatun kuvakkeen
linjalla.
-
Jos puhelu reititetään muun kuin IP-puheluetapin, kuten PSTN:n, kautta, puhelu voi olla suojaamaton, vaikka se on salattu IP-verkossa ja siihen on liitetty lukituskuvake.
-
Suojattua puhelua tuetaan vain kahden puhelimen välisille yhteyksille. Jotkin toiminnot, kuten neuvottelupuhelut ja jaetut linjat, eivät ole käytettävissä, kun turvallinen puhelu on määritetty.
Kohteessa Cisco Unified Communications Manager suojatuksi määritetyille puhelimille (salattu ja luotettu) voidaan määrittää suojattu tila. Kun laitteet on suojattu, ne voidaan määrittää toistamaan suojausääni jokaisen puhelun alussa.
-
Suojattu laite:
Suojatun puhelimen tilan muuttaminen suojatuksi:
- Valitse Cisco Unified Communications Manager Administration .
- Etsi määrittämäsi puhelin.
- Valitse Puhelinmääritykset-ikkunassa Suojattu laite -valintaruutu.
- Valitse Tallenna.
-
Toista turvallinen merkkiääni:
Suojatun puhelimen suojatun tai suojaamattoman merkkiäänen toistaminen:
- Valitse Cisco Unified Communications Manager Administration-kohdassa .
- Valitse palvelin ja sitten Cisco CallManager-palvelu .
- Määritä klusterinlaajuisten parametrien (Ominaisuus - Turvallinen ääni) - alueella Soittoääni-asetukseksi Turvallinen/muu kuin turvallinen puhelun tila -asetus on Tosi .
- Valitse Tallenna.
Suojaa neuvottelupuhelun tunniste
Voit aloittaa suojatun neuvottelupuhelun ja seurata osallistujien suojaustasoa. Suojattu neuvottelupuhelu muodostetaan seuraavalla prosessilla:
-
Käyttäjä aloittaa neuvottelun suojatulla puhelimella.
-
Cisco Unified Communications Manager määrittää puhelulle suojatun puhelinneuvottelusillan.
-
Kun osallistujia lisätään, Cisco Unified Communications Manager tarkistaa kunkin puhelimen suojaustilan ja ylläpitää puhelinneuvottelun turvallista tasoa.
-
Puhelin näyttää puhelinneuvottelun suojaustason. Turvallinen neuvottelu näyttää suojatun kuvakkeen
.
Suojattua puhelua tuetaan kahden puhelimen välillä. Jotkin toiminnot, kuten neuvottelupuhelu, jaetut linjat ja Extension Mobility, eivät ole käytettävissä suojatuissa puhelimissa, kun turvallinen puhelu on määritetty.
Seuraavassa taulukossa on tietoja neuvottelusuojauksen tasoihin muutoksista puhelimen suojaustason, osallistujien suojaustason ja suojattujen neuvottelusiltojen saatavuuden mukaan.
|
Käynnistäjän puhelimen suojaustaso |
Käyt. toiminto |
Osallistujien suojaustaso |
Toiminnon tulokset |
|---|---|---|---|
|
Suojaamaton |
Neuvottelu |
Turvallinen |
Suojaamaton neuvottelusilta Suojaamaton neuvottelu |
|
Turvallinen |
Neuvottelu |
Vähintään yksi jäsen on suojaamaton. |
Turvallinen neuvottelusilta Suojaamaton neuvottelu |
|
Turvallinen |
Neuvottelu |
Turvallinen |
Turvallinen neuvottelusilta Suojattu salatun tason neuvottelu |
|
Suojaamaton |
Meet Me |
Vähimmäissuojaustaso salataan. |
Alustaja vastaanottaa uudelleenjärjestysäänen. |
|
Turvallinen |
Meet Me |
Vähimmäissuojaustaso ei ole suojaamaton. |
Turvallinen neuvottelusilta Neuvottelu hyväksyy kaikki puhelut. |
Suojattu puhelutunnus
Suojattu puhelu on luotu, kun puhelimesi ja sitä vastapuolinen puhelin on määritetty suojaamaan puheluja. Toinen puhelin voi olla samassa Cisco IP-verkossa tai verkossa IP-verkon ulkopuolella. Suojattuja puheluita voi soittaa vain kahden puhelimen välillä. Neuvottelupuhelujen tulee tukea suojattua puhelua, kun suojattu Conference Bridge on määritetty.
Suojattu puhelu muodostetaan käyttäen tätä prosessia:
-
Käyttäjä aloittaa puhelun suojatusta puhelimesta (suojattu suojaustila).
-
Puhelin näyttää suojatun kuvakkeen
Puhelimen näytössä. Tämä kuvake ilmaisee, että puhelin on määritetty suojattuihin puheluihin, mutta tämä ei tarkoita, että toinen yhdistetty puhelin olisi myös suojattu. -
Käyttäjä kuulee suojausäänen, jos puhelu yhdistetään toiseen suojattuun puhelimeen, mikä osoittaa, että keskustelun molemmat päät on salattu ja suojattu. Jos puhelu yhdistetään suojaamattomaan puhelimeen, käyttäjä ei kuule suojausääntä.
Suojattua puhelua tuetaan kahden puhelimen välillä. Jotkin toiminnot, kuten neuvottelupuhelut, jaetut linjat ja Extension Mobility, eivät ole käytettävissä suojatuissa puhelimissa, kun turvallinen puhelu on määritetty.
Vain suojatut puhelimet toistavat nämä turvalliset tai suojaamattomat merkkiäänet. Suojaamattomat puhelimet eivät koskaan toista ääniääniä. Jos puhelun kokonaistila muuttuu puhelun aikana, merkkiääni muuttuu ja suojattu puhelin toistaa haluamasi äänen.
Kun Turvallisen /suojaamattoman puhelun tila -asetuksen toistoääni on valittu arvoon Tosi:
-
Kun päästä päähän -suojattu media on luotu ja puhelun tila on turvallinen, puhelin toistaa turvallisen merkkiäänen (kolme pitkää merkkiääntä ja keskeytykset).
-
Kun päästä päähän -suojaamaton media on luotu ja puhelun tila on suojaamaton, puhelin toistaa suojaamattoman merkkiäänen (kuusi lyhyttä merkkiääntä, joissa on lyhyet tauot).
Jos Turvallisen /suojaamattoman puhelun tila -asetuksen Soittoääni -asetukseksi on valittu Epätosi, merkkiääntä ei toteta.
Tarjoa salaus väliintuloa varten
Cisco Unified Communications Manager tarkistaa puhelimen suojaustilan, kun puhelinneuvotteluja muodostetaan, ja muuttaa neuvottelun suojausilmausmerkintää tai estää puhelun päättämisen järjestelmän eheyden ja suojauksen ylläpitämiseksi.
Käyttäjä ei voi liittyä salattuun puheluun, jos väliintuloun käytettävää puhelinta ei ole määritetty salaukseen. Kun väliintulo tässä tapauksessa epäonnistuu, puhelimessa soi uudelleenjärjestäminen (nopea varattu).
Jos aloittajapuhelin on määritetty salausta varten, väliintulon käynnistäjä voi liittyä suojaamattomaan puheluun salatusta puhelimesta. Kun väliintulo tapahtuu, Cisco Unified Communications Manager luokittelee puhelun suojaamattomaksi.
Jos aloittajapuhelin on määritetty salaukseen, väliintulon käynnistäjä voi liittyä salattuun puheluun ja puhelin ilmaisee, että puhelu on salattu.
WLAN-suojaus
Koska kaikki WLAN-laitteet, jotka ovat kantaman sisällä, voivat vastaanottaa kaiken muun WLAN -liikennettä, puheviestinnän ottaminen vakavaksi WLAN-laitteissa on tärkeää. Varmista, etteivät tunkeilijat manipuloi ääniliikennettä eivätkä kaappaa sitä, Cisco SAFE Security -arkkitehtuuri tukee puhelinta. Lisätietoja verkkojen suojauksen toiminnoista on kohdassa http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Cisco Langaton IP -puhelinratkaisu tarjoaa langattoman verkon suojauksen, joka estää luvattomia sisään- ja vaaranna viestejä käyttämällä seuraavia puhelimen tukemia todennusmenetelmiä.
-
Avaa todennus: Kaikki langattomat laitteet voivat pyytää todennusta avoimessa järjestelmässä. Pyynnön vastaanottava käyttöasema voi myöntää todennuksen kenelle tahansa pyynnön esittäjälle tai vain pyynnön esittäjille, jotka ovat käyttäjäluettelossa. Langattoman laitteen ja TUKIASEMAn välistä viestintää ei ehkä salata.
-
Laaja todennusprotokollan joustava todennus suojatun tunnelointitoiminnon (EAP-FAST) avulla- todennus: Tämä asiakas-palvelinsuojausarkkitehtuuli salata EAP-tapahtumat AP:n ja RADIUS-palvelimen välisessä siirtotason suojaustunnelissa (TLS), kuten Identity Services Engine (ISE).
TLS-tunnelissa käytetään suojatun käytön tunnistetietoja (PAC) todennukseen asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Palvelin lähettää asiakkaalle (puhelimella) viranomaisen ID (AID), joka valitsee TURN asianmukaisen PAC-asetuksen. Asiakas (puhelin) palauttaa PAC-kvaque-palvelimen RADIUS-palvelimeen. Palvelin poistaa PAC:n salauksen ensisijaisella näppäimellä. Molemmissa päätepisteissä on nyt PAC-avain ja TLS-tunneli luodaan. EAP-FAST tukee automaattista PAC-valmistelua, mutta sinun on otettava se käyttöön RADIUS-palvelimessa.
ISE:ssa PAC vanhenee oletusarvoisesti viikon kuluttua. Jos puhelimen pac on vanhentunut, todennus RADIUS-palvelimella kestää kauemmin, kun puhelin saa uuden PAC:n. Voit välttää PAC-valmistelun viiveet asettamalla PAC-vanhenemisajaksi 90 päivää tai pidempään ISE- tai RADIUS-palvelimessa.
-
Laaja todennusprotokollan ja siirtokerrossuojauksen (EAP-TLS) todennus: EAP-TLS edellyttää asiakasvarmennetta todennusta ja verkkoyhteyttä varten. Langattomassa EAP-TLS asiakasvarmenne voi olla MIC, LSC, tai käyttäjän asentama varmenne.
-
Suojattu laajennustodennusprotokolla (PEAP): Cisco asiakkaan (puhelimen) ja RADIUS-palvelimen välinen oma salasanapohjainen todennusmalli. Puhelin voi käyttää PEAP langattoman verkon todennukseen. Sekä PEAP-MSCHAPV2- että PEAP-GTC-todennusmenetelmiä tuetaan.
-
Esijaettu avain (PSK): Puhelin tukee ASCII- ja heksadesimaalimuotoja (HEX). Näitä muotoja on käytettävä määritettäessä WPA2/SAE-jaettua avainta.
ASCII: ASCII-merkkinen merkkijono, jonka pituus on 8 - 63 merkkiä (0-9, pienet kirjaimia a-z, isot kirjaimet A-Z ja erikoismerkit). Esimerkiksi:
GREG123567@9ZX&w.HEX: HEX-merkkinen merkkijono, jonka pituus on 64 heksaa numeroa (0-9, a-f tai A-F).
Seuraavat todennusmallit käyttävät RADIUS-palvelinta todennusavainten hallintaan:
-
WPA2/WPA3: Luo yksilöllisiä avaimia todennusta varten RADIUS-palvelintietojen avulla. Koska nämä avaimet luodaan keskitetylle RADIUS-palvelimelle, WPA2/WPA3 tarjoaa enemmän suojausta kuin WPA esivalmistetut avaimet, jotka on tallennettu käyttöp. ja puhelimeen.
-
Fast Secure Roaming: Käyttää RADIUS-palvelinta ja WDS -tietoja avainten hallintaan ja todennukseen. WDS luo suojaustunnisteiden välimuistin FT-yhteensopiville asiakaslaitteille, jotta ne voidaan toistaa nopeasti ja turvallisesti.
WPA2/WPA3-salausavaimia ei syötetä puhelimeen, vaan ne johdetaan automaattisesti apin ja puhelimen välillä. Todennukseen käytettävä EAP-nimi ja salasana on kuitenkin annettava kullekin puhelimelle.
Jotta puhelin suojaa puheliikennettä langattoman linkin kautta, se tukee AES-pohjaista salausta WPA2/WPA3-todennusta varten. AES on NIST:n standardoima symmetrinen lohkosalakirjoitus. AES käyttää kiinteää 128-bittistä lohkokokoa ja tukee näppäinkokoja, jotka ovat 128 bittiä, 192 bittiä ja 256 bittiä. Wi-Fi-verkoissa AES on salakirjoitussviiteissä, kuten CCMP tai GCMP, kun taas todennus on erikseen PSK, SAE tai 802.1X/EAP määritetyn WLAN-suojaustilan mukaan. Tuettu salakirjoitussarja ja avaimen koko määräytyvät puhelinmallin ja WLAN -kokoonpanon mukaan.
Kun puhelin käyttää AES-salausta, sekä viestittävät SIP -paketit että reaaliaikainen äänen reaaliaikainen siirtoprotokolla (RTP) -paketit salataan ap:n ja puhelimen välillä.
Todennus- ja salausjärjestelmät on määritetty langattomaan lähiverkkoon. VLAN-numerot on määritetty verkossa ja APS:ssä, ja ne määrittävät eri todennus- ja salausyhdistelmiä. SSID yhdistää ohjelman VLAN ja tiettyyn todennus- ja salausmalliin. Jotta langattomat asiakaslaitteet todennetaan oikein, samat SSID-protokollat on määritettävä todennus- ja salausmalleille APS-laitteissa ja puhelimessa.
Jotkin todennusjärjestelmät edellyttävät tietyntyyppistä salausta.
Kun käytät WPA2-esijaettua avainta tai SAE-näppäintä, esijaetun avaimen on oltava staattisesti määritetty puhelimessa. Näiden avainten on vastattava apissa olevia avaimia.
Seuraavassa taulukossa on lueteltu tukiaseman määrityksiä vastaavat Cisco Langaton puhelin 9821 -verkon määritysvaihtoehdot.
| FSR-tyyppi | Todennus | Avaintenhallinta | Salaus | Suojattu hallintakehys (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Ei |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Kyllä |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Ei |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Kyllä |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Ei |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Kyllä |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Ei |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Kyllä |
| ei-FT | Sviitissä B | WPA-EAP-SUITE-B | GCMP | Kyllä |
| ei-FT | Sviitit-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Kyllä |
Wi-Fi-profiilin määrittäminen
Voit määrittää Wi-Fi-profiilin ja määrittää sen numeroon Cisco Langaton puhelin 9821. Tämä profiili sisältää tarvittavat parametrit, jotta puhelin voi luoda Wi-Fi-yhteyden ja rekisteröityä sen jälkeen Cisco Unified CM-parametrilla. Kun luot Wi-Fi-profiilin ja käytät sitä, sinun tai käyttäjien ei tarvitse määrittää langatonta verkkoa yksittäisille puhelimille.
Suosittelemme, että profiili suojataan TFTP-salauksella, joka suojaa tunnukset ja salasanat Wi-Fi-profiilin käytön aikana.
Puhelimet tukevat yhtä palvelinvarmennetta asennusmenetelmää kohti (manuaalinen, SCEP tai TFTP).
Pidä seuraavat huomautukset mielessä, ennen kuin määrität WLAN-profiilin:
-
Käyttäjänimi ja salasana
-
Kun verkkosi käyttää käyttäjän todennukseen EAP-FAST ja PEAP, sinun on määritettävä sekä käyttäjänimi että salasana, jos sitä vaaditaan etätodennuksen soittopalvelussa (RADIUS) ja puhelimessa.
- Langattomaan LAN-profiiliin annettujen tunnistetietojen on oltava samat kuin RADIUS-palvelimella määritetyt tunnistetiedot.
-
Jos käytät verkon toimialueita, sinun on annettava käyttäjänimi toimialueen nimellä muodossa:
toimialue\käyttäjänimi.
-
-
Seuraavien toimintojen seurauksena nykyinen Wi-Fi-salasana voidaan tyhjentää:
- Virheellisen käyttäjän ID tai salasanan syöttäminen
- Virheellisen tai vanhentuneen varmenteiden päämyöntäjän asentaminen, kun EAP-tyypiksi on määritetty PEAP-MSCHAPV2 tai PEAP-GTC
- Poista käytöstä käytössä oleva EAP-tyyppi RADIUS-palvelimesta ennen puhelimen vaihtamista uuteen EAP -tyyppiin
- Jos haluat muuttaa EAP-tyyppiä, varmista, että otat uuden EAP-tyypin ensin RADIUS-palvelimeen ja vaihdat sitten puhelimen EAP-tyyppiin. Kun kaikki puhelimet on muutettu uudeksi EAP-tyypiksi, voit halutessasi poistaa edellisen EAP -tyypin käytöstä.
| 1 |
Valitse Cisco Unified Communications Manager Administration . |
| 2 |
Valitse Lisää uusi. |
| 3 |
Määritä parametrit WLAN-profiilin tiedot -osassa:
|
| 4 |
Määritä parametrit Langattomat asetukset - osassa:
|
| 5 |
Määritä Todennusasetukset-osassa todennusmenetelmäksi jokin seuraavista todennustavoista: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK ja Ei mitään. Cisco Langaton puhelin 9821 ei tue WEP. Kun tämä kenttä on määritetty, näkyviin voi näkyä ylimääräisiä kenttiä, jotka sinun on määritettävä.
Cisco Langaton puhelin 9821 ei tue Verkon käyttöprofiili - kenttää. |
| 6 |
Valitse Tallenna. |
Mitä tehdä seuraavaksi
Yhdistä WLAN-profiili WLAN-profiiliryhmään ja käytä sitten WLAN-profiiliryhmää laitevarannossa () tai suoraan puhelimeen ().
Käyttäjävarmenteen asentaminen puhelimen hallinnan Web-sivulta
Voit asentaa käyttäjävarmenteen puhelimeen manuaalisesti, jos SCEP (Simple Certificate Enrollment Protocol) ei ole käytettävissä.
Esiasennettua Manufacturing Installed -varmennetta (MIC) voidaan käyttää EAP-TLS -käyttäjävarmenteena.
Kun käyttäjävarmenne on asennettu, sinun on lisättävä myöntäjä ketju, joka myönsi käyttäjävarmenteen RADIUS-palvelimen luottosuhdeluetteloon.
Ennen aloittamista
Ennen kuin voit asentaa puhelimen käyttäjävarmenteen, sinulla on oltava:
-
Tietokoneeseen tallennettu käyttäjävarmenne. Varmenteen on oltava PKCS #12 -muodossa.
-
Varmenteen purun salasana. Salasanan pituus saa olla enintään 32 merkkiä.
| 1 |
Valitse Varmenteet puhelimen hallinnan Web-sivulta. |
| 2 |
Etsi Käyttäjän asentama kenttä ja valitse Asenna. |
| 3 |
Siirry tietokoneen varmenteeseen. |
| 4 |
Anna varmenneuutteen salasana Pura salasana -kenttään. |
| 5 |
Napsauta Lataa. |
| 6 |
Käynnistä puhelin uudelleen, kun lataus on valmis. |
Todennuspalvelimen myöntäjän asentaminen puhelimen hallinnan Web-sivulta
Voit asentaa puhelimen todennuspalvelimen myöntäjän myöntäjän manuaalisesti, jos SCEP (Simple Certificate Enrollment Protocol) ei ole käytettävissä.
RADIUS-palvelinvarmenteen myöntäneen varmenteen päämyöntäjän varmenne on asennettava.
Ennen aloittamista
Ennen kuin voit asentaa varmenteen puhelimeen, tietokoneessa on oltava tallennettuna todennuspalvelimen myöntäjävarmenne. Varmenne on koodattava PEM-koodalla (Base-64) tai DER:ään.
| 1 |
Valitse Varmenteet puhelimen hallinnan Web-sivulta. |
| 2 |
Etsi todennuspalvelimen myöntäjän kenttä ja valitse Asenna. |
| 3 |
Siirry tietokoneen varmenteeseen. |
| 4 |
Napsauta Lataa. |
| 5 |
Käynnistä puhelin uudelleen, kun lataus on valmis. |
Poista suojausvarmenne manuaalisesti puhelimen hallinnan Web-sivulta
Voit poistaa suojausvarmenteen puhelimesta manuaalisesti, jos SCEP (Simple Certificate Enrollment Protocol) ei ole käytettävissä.
| 1 |
Valitse Varmenteet puhelimen hallinnan Web-sivulta. |
| 2 |
Etsi varmenne Varmenteet-sivulla . |
| 3 |
Valitse Poista. |
| 4 |
Käynnistä puhelin uudelleen, kun poistoprosessi on valmis. |
Ota SCEP käyttöön
SCEP (Simple Certificate Enrollment Protocol) on varmenteen automaattisen valmistelun ja uusimisen standardi. Sen avulla vältetään varmenteen manuaalinen asentaminen puhelimiin.
Aktivoi SCEP-tuotekohtaiset määritysparametrit
Sinun on määritettävä seuraavat SCEP-parametrit parametrille Cisco Unified Communications Manager (Unified CM).
-
RA IP-osoite tai isäntänimi
-
SCEP-palvelimen varmenteen päävarmenteen SHA-1 tai SHA-256-tunniste
Cisco IOS Registration Authority (RA) toimii SCEP-palvelimen välityspalvelimena. Puhelimen SCEP-asiakas käyttää Cisco Unified CM -sovelluksesta ladattuja parametreja. Kun parametrit on määritetty, puhelin lähettää SCEP getcs -pyynnön RA:lle ja varmenteen päävarmenne tarkistetaan määritetyllä sormenjäljellä.
| 1 |
Valitse Cisco Unified Communications Manager Administration . |
| 2 |
Etsi puhelin. |
| 3 |
Siirry tuotekohtaisten määritysten asettelualueeseen . |
| 4 |
Aktivoi SCEP-parametri valitsemalla WLAN SCEP-palvelin -valintaruutu. |
| 5 |
Aktivoi SCEP QED -parametri valitsemalla WLAN Varmenteiden päämyöntäjän tunnisteen (SHA256 tai SHA1) -valintaruutu. |
SCEP-palvelimen tuki
Jos käytät SCEP (Simple Certificate Enrollment Protocol) -palvelinta, palvelin voi automaattisesti ylläpitää käyttäjän ja palvelimen varmenteita. Määritä SCEP-rekisteröintiedustajalle SCEP-rekisteröintiedustajaksi seuraavat:
-
Toimi PKI-luottamuspisteenä
-
Toimi PKI RA:na
-
Suorita laitteen todennus RADIUS-palvelimella
Lisätietoja on SCEP-palvelimen käyttöoppaissa.
Locally Significant Certificate (LSC)-asetuksen määrittäminen
LSC voidaan asentaa muutamalla tavalla. Tämä esimerkkitehtävä koskee LSC-määritystä todennusmerkkijonomenetelmällä Cisco Langaton puhelin 9821.
Ennen aloittamista
Varmista, että asianmukaiset Cisco Unified CM- ja certificate authority proxy function (CAPF) -suojausmääritykset ovat täydelliset.
-
CTL- tai ITL-tiedostolla on CAPF-varmenne.
-
VarmistaCisco Unified Communications Operating System Administration -kohdassa, että CAPF-varmenne on asennettu.
-
CAPF on käynnissä ja määritetty.
Lisätietoja näistä asetuksista on kyseisen Cisco Unified CM -version käyttöoppaissa.
| 1 |
Hae CAPF-todennusmerkkijono, joka asetettiin, kun CAPF määritettiin. |
| 2 |
Avaa asetukset puhelimessa. |
| 3 |
Valitse . |
| 4 |
Anna todennusmerkkijono. |
| 5 |
Paina lisää Puhelin alkaa asentaa, päivittää tai poistaa LSC sen mukaan, miten CAPF on määritetty. Kun toimintosarja on valmis, puhelimen näytöt ovat Asennettu tai Ei asennettu. LSC-ohjelman asentaminen, päivittäminen tai poistaminen voi kestää kauan. Kun puhelimen asennus onnistui, Näyttöön tulee Asennettu-sanoma |
802.1X Langallisen verkon todennus
Cisco Langaton puhelin 9821 tukee langattomien verkkojen 802.1X-todennusta. Tätä käytetään yleensä automaattisen valmistelun aikana , kun puhelin liitetään työpöytälaturiin tuetun USB-to-Ethernet-sovittimen kautta.
Tuki 802.1X-todennukselle langallallisille verkoille vaatii useita osia seuraavasti:
-
Cisco IP Phone: Puhelin aloittaa verkkoyhteyspyynnön. Cisco IP Phones sisältää 802.1X-ant. Tämän anomuksen avulla verkonvalvojat voivat hallita IP-puhelinten yhteyttä LAN-kytkinportteihin. Puhelimen 802.1X-supplicant nykyinen versio käyttää verkon todennusasetuksia EAP-FAST ja EAP-TLS.
-
Todennuspalvelin: Todennuspalvelin ja kytkin on määritettävä jaetulle RADIUS-salaisuudelta.
-
Kytkin: Kytkimen on tuettava 802.1X-protokollaa, jotta se voi toimia todentajana ja välittää EAP-viestit puhelimen ja todennuspalvelimen välillä. Kun vaihto on valmis, kytkin myöntää tai hylkää puhelinyhteyden verkkoon.
Cisco IP Phones- ja Cisco Catalyst-kytkimet käyttävät yleensä Cisco Discovery Protocol (CDP) -painikkeita tunnistaakseen toisensa ja määrittääkseen parametreja, kuten VLAN allokaatio- ja linjavirtavaatimukset.
Sinun on määritettävä 802.1X seuraavilla toiminnoilla.
-
Määritä CDP/LLDP-äänen VLAN ohitus.
-
Määritä todennuspalvelin ja kytkin ennen kuin otat 802.1X-todennuksen käyttöön puhelimen langallisille verkoille.
-
Määritä puheposti VLAN: Koska 802.1X-standardi ei vastaa VLAN-standardista, määritä asetus kytkintuen perusteella.
- Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit määrittää sen käyttämään ääntä VLAN.
- Poissa käytöstä: Jos kytkin ei tue monitoimitodennusta, poista puheposti VLAN käytöstä ja harkitse portin määrittämistä natiiville VLAN.
-
Cisco Langaton puhelin 9821 -puhelimessa on eri etuliite kuin muissa Cisco-puhelimissa. Määritä säde, jotta puhelin läpäisee 802.1X-todennuksen . Käyttäjänimiparametri , joka sisältää Cisco Langaton puhelin 9821 -parametrin.
Esimerkiksi Cisco Langaton puhelin 9821 -merkki on WP-9821. Voit asettaa säteellä olevan aset. Käyttäjänimi , joka
aloitetaan WP:stä taijoka sisältää WP:n molemmissa seuraavissa osioissa: -
Ota käyttöön 802.1X-todennus puhelimen langallisille verkoille
Ota 802.1X-todennus käyttöön puhelimen langallisille verkoille seuraavien ohjeiden mukaisesti. Huomaa, että 802.1X-todennus kohteelle Wi-Fi on oletusarvon mukaan käytössä eikä siihen tarvitse tehdä manuaalisia määrityksiä.
| 1 |
Asetusten käyttäminen |
| 2 |
Avaa Asetukset-valikko antamalla salasana , jos sitä pyydetään. Saat salasanan järjestelmänvalvojalta. |
| 3 |
Valitse . |
| 4 |
Korosta laitteen todennus ja paina Käytössä. |
Ota 802.1X-todennus käyttöön langattomista verkoista kohteessa Cisco Unified Communications Manager Administration
Ota 802.1X-todennus käyttöön langattomista verkoista Cisco Unified CM seuraavien ohjeiden mukaisesti. Huomaa, että 802.1X-todennus kohteelle Wi-Fi on oletusarvon mukaan käytössä eikä siihen tarvitse tehdä manuaalisia määrityksiä.
Voit tarkastella tapahtuman tilaa ja suojausasetuksia puhelimen näyttövalikossa. Lisätietoja on puhelimen Suojausasetukset-valikossa.
| 1 |
Valitse Cisco Unified Communications Manager Administration Laite > Puhelin. |
| 2 |
Etsi määrittämäsi puhelin. |
| 3 |
Siirry tuotekohtaisten määritysten asettelualueeseen . |
| 4 |
Valitse käytössä avattavasta 802.1x-todennus-valikosta . Kun laite on määritetty käyttöön tai poistettu käytöstä, Cisco Langaton puhelin 9821 -laitteen todennusasetus muuttuu vain luku -tilaksi, mikä estää käyttäjiä muokkaamasta 802.1X-todennusasetuksia. |
| 5 |
Valitse Tallenna. |
| 6 |
Valitse Käytä määrityksiä. |
Puhelimen Suojausasetukset-valikko
Jos haluat tarkastella suojausasetusten tietoja puhelinvalikosta, valitse Asetukset
sovellus ja valitse . Tietojen saatavuus määräytyy organisaation verkkoasetusten mukaan.
|
Parametrit |
Asetukset |
Oletus |
Kuvaus |
|---|---|---|---|
|
Laitteen todennus |
Käytössä Ei käytössä |
Ei käytössä |
Ottaa käyttöön tai poistaa käytöstä puhelimen 802.1X-todennuksen. Parametriasetus voidaan säilyttää puhelimen OOB-rekisteröinnin jälkeen. |
|
Tapahtuman tila | Poissa käytöstä |
Näyttää 802.1X-todennuksen tilan. Tila voi olla (ei rajoitu):
| |
|
Protokolla | Ei mitään |
Näyttää EAP -menetelmän, jota käytetään 802.1X-todennukseen. Protokolla voi olla EAP-FAST tai EAP-TLS. |
TLS -version tuetut versiot
Voit määrittää asiakkaalle ja palvelimelle tarvittavan TLS -vähimmäisversion.
Palvelimen ja asiakkaan oletusarvoinen TLS-versio on molemmat 1,2. Asetus vaikuttaa seuraaviin toimintoihin:
- HTTPS-verkkoyhteys
- On-Premise-puhelimen kyydissäolo
- HTTPS-palvelut, kuten luettelopalvelut
- Datagrammin siirtokerrossuojaus (DTLS)
- Portin käyttöyksikkö (PAE)
- Laaja todennusprotokollan ja siirtokerrossuojauksen (EAP-TLS)
Lisätietoja TLS 1.3 -yhteensopivuudesta Cisco IP Phones -toiminnolle on kohdassa TLS 1.3 Yhteensopivuusmatriisi Cisco Collaboration Products -tuotteissa.
| 1 |
Tee Cisco Unified Communications Manager Administration jokin seuraavista toimista tarpeen mukaan:
Määritys noudattaa hierarkkista rakennetta:
|
| 2 |
MääritäTLS Client Min Version -kenttä: TLS 1.3 -vaihtoehto on saatavilla numerossa Cisco Unified CM 15SU2 tai uudempi.
|
| 3 |
MääritäTLS Server Min Version -kenttä:
|
| 4 |
Valitse Tallenna. |
| 5 |
Valitse Käytä määrityksiä. |
| 6 |
Käynnistä puhelimet uudelleen. |
TURN kaiutinpuhelimesta ja korvakuulokkeista pois Cisco Langaton puhelin 9821
Voit poistaa kaiutinpuhelimen ja kuulokkeet TURN käytöstä pysyvästi Cisco langattomassa puhelimessa 9821 käyttäjälle. Näiden äänilähtöjen poistaminen käytöstä varmistaa sen, etteivät muut lähistöllä olevat kuule keskusteluja, mikä on tärkeää jaetuissa tai avoimilla toimistoympäristöissä.
| 1 |
Valitse Cisco Unified Communications Manager Administration . |
| 2 |
Etsi määrittämäsi puhelin. |
| 3 |
Siirry tuotekohtaisten määritysten asettelualueeseen . |
| 4 |
Voit TURN pois puhelimen ominaisuuksista valitsemalla yhden tai usean seuraavista valintaruuduista:
Oletusarvoisesti näitä valintaruutuja ei ole valittuna. |
| 5 |
Valitse Tallenna. |
| 6 |
Valitse Käytä määrityksiä. |
