Sécurité du téléphone cisco IP

Installer manuellement un certificat de périphérique personnalisé

Vous pouvez installer manuellement un certificat de périphérique personnalisé (CDC) sur le téléphone en téléchargeant le certificat à partir de la page Web d'administration du téléphone.

Avant de commencer

Avant de pouvoir installer un certificat de périphérique personnalisé pour un téléphone, vous devez disposer des éléments suivants :

Un fichier de certificat (.p12 ou .pfx) enregistré sur votre PC. Le fichier contient le certificat et la clé privée.
Le mot de passe d'extraction du certificat. Le mot de passe est utilisé pour déchiffrer le fichier de certificat.

1	Accéder à la page Web d'administration du téléphone.
2	Sélectionnez Certificat.
3	Dans la section Ajouter un certificat , cliquez sur Parcourir....
4	Trouvez le certificat sur votre PC.
5	Dans le champ Extraire le mot de passe, saisissez le mot de passe extrait du certificat.
6	Cliquez sur Télécharger. Si le fichier de certificat et le mot de passe sont corrects, vous recevrez le message « `Certificat ajouté".` Sinon, le téléchargement échoue avec un message d'erreur indiquant que le certificat ne peut pas être téléchargé.
7	Pour vérifier les détails du certificat installé, cliquez sur Afficher dans la section Certificats existants.
8	Pour supprimer le certificat installé du téléphone, cliquez sur Supprimer dans la section Certificats existants. Une fois que vous avez cliqué sur le bouton, l'opération de suppression commence immédiatement sans confirmation. Si le certificat est supprimé avec succès, vous recevrez le message « `Certificat supprimé.` ».

Installer automatiquement le certificat de périphérique personnalisé par SCEP

Vous pouvez configurer les paramètres SCEP (Simple Certificate Enrollment Protocol) pour installer automatiquement le certificat de périphérique personnalisé (CDC), si vous ne souhaitez pas télécharger manuellement le fichier de certificat ou si vous ne disposez pas du fichier de certificat.

Lorsque les paramètres SCEP sont correctement configurés, le téléphone envoie des requêtes au serveur SCEP et le certificat d'autorité de certification est validé par le périphérique à l'aide de l'empreinte digitale définie.

Avant de commencer

Avant de pouvoir effectuer une installation automatique d'un certificat de périphérique personnalisé pour un téléphone, vous devez disposer des éléments suivants :

Adresse du serveur SCEP
Empreinte SHA-1 ou SHA-256 du certificat CA de certification racine du serveur SCEP

1	Accéder à la page Web d'administration du téléphone.
2	Sélectionnez Certificat.
3	Dans la section Configuration 1 de PECP , définissez les paramètres comme décrit dans le tableau suivant : Paramètres pour la configuration SCEP.
4	Cliquez sur Envoyer toutes les modifications.

Paramètres de configuration de SCEP

Le tableau suivant définit la fonction et l'utilisation des paramètres de configuration SCEP dans la section Configuration 1 SCEP sous l'onglet Certificat de l'interface Web du téléphone. Elle définit également la syntaxe de la chaîne qui est ajoutée dans le fichier de configuration du téléphone (cfg.xml) pour configurer un paramètre.

Tableau 1. Paramètres de configuration de SCEP
Paramètre	Description
Serveur	Adresse du serveur SCEP. Ce paramètre est obligatoire. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_&gt ;` Dans la page Web du téléphone, saisissez l'adresse du serveur SCEP. Valeurs acceptées : une URL ou une adresse IP. Le schéma HTTPS n'est pas pris en charge. Valeur par défaut : vide
Empreinte digitale de l'autorité de certification racine	Empreinte SHA256 ou SHA1 de l'autorité de certification racine pour validation au cours du processus SCEP. Ce paramètre est obligatoire. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>` Dans la page Web du téléphone, saisissez une empreinte digitale valide. Valeur par défaut : vide
Mot de passe de défi	Le mot de passe de test pour l'autorisation Certificate Authority (CA) sur le téléphone lors de l'enregistrement de certificat via SCEP. Ce paramètre est facultatif. En fonction de l'environnement SCEP réel, le comportement du mot de passe de défi varie. Si le téléphone reçoit un certificat d'un Cisco RA qui communique avec l'autorité de certification, le mot de passe de défi n'est pas pris en charge par l'autorité de certification. Dans ce cas, Cisco RA utilise les MIC/SUDI du téléphone pour l'authentification afin d'accéder à CA. Le téléphone utilise MIC/SUDI pour l'inscription initiale et le renouvellement du certificat. Si le téléphone obtient un certificat en communiquant directement avec l'autorité de certification, le mot de passe de défi est pris en charge par l'autorité de certification. S'il est configuré, il ne sera utilisé que pour l'inscription initiale. Pour le renouvellement du certificat, le certificat installé sera utilisé à la place. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>` Le mot de passe est masqué dans le fichier de configuration. Dans la page Web du téléphone, saisissez le mot de passe de test. Valeur par défaut : vide

Configuration des paramètres SCEP via l DHCP option 43

Outre l'inscription de certificat SCEP par les configurations manuelles sur la page Web du téléphone, vous pouvez également utiliser l'option DHCP 43 pour renseigner les paramètres à partir d'un serveur DHCP. L'option DHCP 43 est préconfigurée avec les paramètres SCEP ; par la suite, le téléphone peut récupérer les paramètres sur le serveur DHCP pour effectuer l'enregistrement du certificat SCEP.

La configuration des paramètres SCEP via DHCP’option 43 n'est disponible que pour le téléphone sur lequel une réinitialisation d'usine est effectuée.
Les téléphones ne doivent pas être placés dans un réseau qui prend en charge à la fois l'Option 43 et la mise à disposition à distance (par exemple, les Options 66,160,159,150, ou la mise à disposition en nuage). Sinon, les téléphones risquent de ne pas obtenir les configurations Option 43.

Pour inscrire un certificat SCEP en configurant les paramètres SCEP dans l'option DHCP 43, procédez comme suit :

Préparer un environnement SCEP.
Pour plus d'informations sur la configuration de l'environnement SCEP, consultez la documentation de votre serveur SCEP.

Configurez DHCP option 43 (définie dans 8.4 Informations spécifiques au fournisseur, RFC 2132).

Les sous-options (10 à 15) sont réservées à la méthode :

Paramètre sur la page Web du téléphone	Sous-option	Type	Longueur (octet)	Mandatory
Mode FIPS	10	booléen	1	Non*
Serveur	11	chaîne	208 - longueur (mot de passe du défi)	Oui
Empreinte digitale de l'autorité de certification racine	12	binaire	20 ou 32	Oui
Mot de passe de défi	13	chaîne	208 - longueur (serveur)	Non*
Enable 802.1X Authentication	14	booléen	1	Non
Sélection de certificat	15	Non signé 8 bits	1	Non

Lorsque vous utilisez l'option DHCP 43, notez les caractéristiques suivantes de la méthode :

Les sous-options (10 à 15) sont réservées aux certificats de périphérique personnalisé (CDC).
La longueur maximale de DHCP option 43 est de 255 octets.
La longueur maximale du mot de passe Serveur + Défi doit être inférieure à 208 octets.
La valeur du mode FIPS doit être cohérente avec la configuration de l'approvisionnement d'intégration. Sinon, le téléphone ne parvient pas à récupérer le certificat précédemment installé après l'intégration. Spécifiquement
- Si le téléphone doit être enregistré dans un environnement où le mode FIPS est désactivé, vous n'avez pas besoin de configurer le paramètre Mode FIPS dans DHCP option 43. Par défaut, le mode FIPS est désactivé.
- Si le téléphone doit être enregistré dans un environnement où le mode FIPS est activé, vous devez activer le mode FIPS dans DHCP option 43. Voir Activer le mode FIPS pour plus de détails.
Le mot de passe de l'option 43 est en texte clair.
Si le mot de passe de défi est vide, le téléphone utilise MIC/SUDI pour l'inscription initiale et le renouvellement du certificat. Si le mot de passe de défi est configuré, il n'est utilisé que pour l'inscription initiale et le certificat installé sera utilisé pour le renouvellement du certificat.
Activer l'authentification 802.1X et Certificate Select (Activer l'authentification 802.1X) et Certificate Select (Sélect.) ne sont utilisés que pour les téléphones sur réseau câblé.
DHCP’option 60 (Vendor Class Identifier) est utilisée pour identifier le modèle d'appareil.

Le tableau suivant fournit un exemple de DHCP option 43 (sous-options 10 à 15) :

Sous-option décimale/hexadécimale	Longueur de la valeur (octet) décimale/hexadécimale	Valeur	Valeur hexadécimale
10/0A	1/01	1 (0 : Désactivé ; 1 : Activé)	01
11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
12/0C	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
13/0j	16/10	D233CCF9B9952A15	44323333434346394239393532413135
14/0e	1/01	1 (0 : Non ; 1 : Oui)	01
15/0f	1/01	1 (0 : installé en usine ; 1 : installé sur mesure)	01

Résumé des valeurs des paramètres :

Mode FIPS = Activé
Serveur = http://10.79.57.91
Empreinte digitale de l'autorité de certification racine = 12040870625C5B755D73F5925285F8F5FF5D55AF
Mot de passe de défi = D233CCF9B9952A15
Activer l'authentification 802.1X = Oui
Sélection de certificat = Personnalisé installé

La syntaxe de la valeur hexadécimale finale est : {<suboption><length><value>}...

Selon les valeurs des paramètres ci-dessus, la valeur hexadécimale finale est la suivante :

0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

Configurez DHCP option 43 sur un serveur DHCP.

Cette étape fournit un exemple de configurations de l'option DHCP 43 sur Cisco Network Register.
1. Ajoutez DHCP jeu de définitions d'options.
  La chaîne d'option fournisseur est le nom du modèle des téléphones IP. La valeur valide est : DP-9841, DP-9851, DP-9861, DP-9871 ou CP-8875.
2. Ajoutez l'option DHCP 43 et les sous-options à l'ensemble de définitions d'options DHCP.
  Par exemple :
3. Ajoutez les options 43 à la stratégie de DHCP et définissez la valeur comme suit :
  Par exemple :
  (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
4. Vérifiez les paramètres. Vous pouvez utiliser Wireshark pour capturer une trace du trafic réseau entre le téléphone et le service.
Réinitialisez le téléphone aux valeurs d'usine.
Une fois le téléphone réinitialisé, les paramètres Server, Root CA Fingerprint et Challenge Password seront renseignés automatiquement. Ces paramètres figurent dans la section Configuration 1 SCEP de Certificat > Personnalisé sur la page Web d'administration du téléphone.
Pour vérifier les détails du certificat installé, cliquez sur Afficher dans la section Certificats existants.
Pour vérifier l'état de l'installation du certificat, sélectionnez Certificat > État du certificat personnalisé. L'état de téléchargement 1 affiche le dernier résultat. Si un problème survient lors de l'enregistrement du certificat, l'état de téléchargement peut indiquer la raison du problème à des fins de dépannage.
Si l'authentification du mot de passe de défi échoue, les utilisateurs sont invités à le saisir sur l'écran du téléphone.
(Facultatif) : pour supprimer le certificat installé du téléphone, cliquez sur Supprimer dans la section Certificats existants.
Une fois que vous avez cliqué sur le bouton, l'opération de suppression commence immédiatement sans confirmation.

Renouvellement du certificat par SCEP

Le certificat de l'appareil peut être actualisé automatiquement par le processus SCEP.

Le téléphone vérifie si le certificat expire dans 15 jours toutes les 4 heures. Si tel est le cas, le téléphone démarre automatiquement le processus de renouvellement du certificat.
Si le mot de passe de défi est vide, le téléphone utilise MIC/SUDI pour l'inscription initiale et le renouvellement du certificat. Si le mot de passe de défi est configuré, il est utilisé uniquement pour l'inscription initiale, le certificat existant/installé est utilisé pour le renouvellement du certificat.
Le téléphone ne supprime pas l'ancien certificat d'appareil tant qu'il n'a pas récupéré le nouveau.
Si le renouvellement du certificat échoue parce que le certificat de l'appareil ou l'autorité de certification expire, le téléphone déclenche automatiquement l'inscription initiale. Entre-temps, si l'authentification du mot de passe de défi échoue, un écran de saisie du mot de passe apparaît sur l'écran du téléphone et les utilisateurs sont invités à entrer le mot de passe de test sur le téléphone.

Activer le mode FIPS

Vous pouvez mettre un téléphone aux normes FIPS (normes fédérales de traitement d’informations).

FIPS est un ensemble de normes qui décrivent le traitement des documents, les algorithmes de chiffrement et d’autres normes de technologies de l’information dans le cadre d’une utilisation au sein d’un gouvernement non militaire et par les sous-traitants ou fournisseurs qui collaborent avec ces instances. CiscoSSL FOM (FIPS Object Module) est un composant logiciel soigneusement défini et conçu pour être compatible avec la bibliothèque CiscoSSL, de sorte que les produits utilisant la bibliothèque et la API CiscoSSL peuvent être convertis pour utiliser la cryptographie validée FIPS 140-2 avec un minimum d'effort.

1	Accéder à la page Web d'administration du téléphone.
2	Sélectionnez Voix > Système.
3	Dans la section Paramètres de sécurité, choisissez Oui ou Non dans le paramètre Mode FIPS.
4	Cliquez sur Envoyer toutes les modifications. Lorsque vous activez le mode FIPS, les fonctionnalités suivantes fonctionnent harmonieusement sur le téléphone : Authentification de l’image Stockage sécurisé Chiffrement du fichier de configuration TLS : HTTPS Chargement PRT Mise à niveau du micrologiciel Resynchronisation du profil Service d’intégration Webex d'intégration SIP sur TLS 802.1x (filaire) Résumé SIP (RFC 8760) SRTP Webex des journaux d'appels et du répertoire d’Webex Un bouton à appuyer (OBTP)

Supprimer manuellement un certificat de sécurité

Vous pouvez supprimer manuellement un certificat de sécurité à partir d'un téléphone si le Protocole d'inscription des certificats simples (SCEP) n'est pas disponible.

1	À partir de la page web d'administration du téléphone, choisissez Certificats.
2	Localisez le certificat sur la page Certificats.
3	Cliquez sur Supprimer.
4	Redémarrez le téléphone une fois terminé le processus de suppression.

Définir les mots de passe utilisateur et admin

Lorsque le téléphone est enregistré pour la première fois dans un système de contrôle d'appels ou lorsque vous effectuez une réinitialisation d'usine du téléphone, vous devez définir les mots de passe utilisateur et administrateur pour renforcer la sécurité du téléphone. Ce n'est que lorsque le mot de passe est défini que vous pouvez soumettre les modifications à partir de la page Web du téléphone.

Par défaut, l'avertissement d'absence de mot de passe est activé sur le téléphone. Si le téléphone ne possède aucun mot de passe utilisateur ou administrateur, les avertissements suivants s'affichent :

La page Web du téléphone affiche le message "Aucun mot de passe administrateur fourni. Le Web est en mode lecture seule et vous ne pouvez pas soumettre de modifications. Veuillez changer le mot de passe. » dans le coin supérieur gauche.
Les champs Mot de passe utilisateur et Mot de passe administrateur affichent respectivement l'avertissement "Aucun mot de passe fourni" s'il est vide.
L'écran du téléphone Problèmes et diagnostics affiche le problème "Aucun mot de passe fourni".

1	Accéder à la page web d'administration du téléphone
2	Sélectionnez Voix > Système.
3	(Facultatif) Dans la section Configuration système, définissez le paramètre Afficher les avertissements de mot de passe sur Oui, puis cliquez sur Soumettre toutes les modifications. Vous pouvez également activer ces paramètres dans le fichier de configuration du téléphone (cfg.xml). `<Display_Password_Warnings ua="na">Oui</Display_Password_Warnings>` Par défaut : Oui Options : Oui\|Non Lorsque le paramètre est défini sur Non, l'avertissement de mot de passe n'apparaît ni sur la page Web ni sur l'écran du téléphone. En outre, le mode prêt uniquement pour la page Web ne sera pas activé même si le mot de passe est vide.
4	Recherchez le paramètre User Password ou Admin Password, puis cliquez sur Change Password (Modifier le mot de passe ) en regard du paramètre.
5	Saisissez le mot de passe d'utilisateur actuel dans le champ Ancien mot de passe. Si vous n'avez pas de mot de passe, laissez le champ vide. Aucune valeur par défaut n'est définie.
6	Saisissez un nouveau mot de passe dans le champ Nouveau mot de passe.
7	Cliquez sur Soumettre. Le message `Password has been changed successfully.` s'affiche sur la page Web. L'actualisation de la page Web prendra quelques secondes. L'avertissement en regard du paramètre disparaîtra. Une fois que vous avez défini le mot de passe d'utilisateur, ce paramètre affiche les informations suivantes dans le fichier XML de configuration téléphonique (cfg.xml) : `<!-- <Admin_Password ua="na">***********</Admin_Password> <User_Password ua="rw">***********</User_Password> -->` Si vous recevez le code d'erreur 403 lorsque vous tentez d'accéder à la page Web du téléphone, vous devez définir le mot de passe utilisateur ou administrateur par mise à disposition dans le fichier de configuration du téléphone (cfg.xml). Par exemple, entrez une chaîne au format suivant : `<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>` `<User_Password ua="rw">Abc123</User_Password>`

Authentification 802.1x

Les téléphones IP Cisco prennent en charge l’authentification 802.1X.

Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole de découverte Cisco (CDP) pour s’identifier entre eux et pour déterminer des paramètres tels que l’allocation d’un réseau VLAN et les exigences relatives à l'alimentation en ligne. CDP n’identifie pas localement les postes de travail raccordés. Les téléphones IP Cisco fournissent un mécanisme de connexion directe à EAPOL. Grâce à ce mécanisme, un poste de travail raccordé au téléphone IP Cisco peut faire passer des messages EAPOL à l’authentifiant 802.1X et au commutateur LAN. Le mécanisme de connexion directe assure que le téléphone IP n’agisse pas en tant que commutateur LAN pour authentifier un terminal de données avant d'accéder au réseau.

Les téléphones IP Cisco fournissent également un mécanisme de déconnexion d’EAPOL par proxy. Si l’ordinateur raccordé localement est déconnecté du téléphone IP, le commutateur LAN ne détecte pas l’interruption de la liaison physique, car la liaison entre le commutateur LAN et le téléphone IP est maintenue. Pour éviter de compromettre l’intégrité du réseau, le téléphone IP envoie au commutateur un message EAPOL-Logoff au nom de l’ordinateur en aval, pour que le commutateur LAN efface la valeur d’authentification correspondant à l'ordinateur en aval.

La prise en charge de l’authentification 802.1X requiert plusieurs composants :

Téléphone IP Cisco : le téléphone envoie la requête d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux autoriser de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l’authentification réseau.
Serveur d'authentification : le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé qui authentifie le téléphone.
Commutateur : le commutateur doit prendre en charge la norme 802.1X, afin de pouvoir agir comme authentifiant et transmettre les messages entre le téléphone et le serveur d'authentification. Une fois l’échange terminé, le commutateur accorde ou refuse au téléphone l’autorisation d’accéder au réseau.

Vous devez effectuer les actions suivantes pour configurer 802.1X.

Configurez les autres composants avant d'activer l’authentification 802.1X sur le téléphone.
Configure PC Port (Configurer le port PC) : La norme 802.1X ne tenant pas compte des VLAN, il est recommandé qu’un seul périphérique soit authentifié pour un port de commutation donné. Toutefois, certains commutateurs prennent en charge l’authentification sur plusieurs domaines. La configuration du commutateur détermine si vous pouvez brancher un ordinateur dans le port PC du téléphone.
- Activé : si vous utilisez un commutateur qui prend en charge l'authentification multi-domaine, vous pouvez activer le port PC et y connecter un ordinateur. Dans ce cas, les téléphones IP Cisco prennent en charge la déconnexion d’EAPOL par proxy pour surveiller les échanges d’authentification entre le commutateur et l’ordinateur relié.
  
  Pour obtenir plus d’informations sur la prise en charge de la norme IEEE 802.1X sur les commutateurs Catalyst Cisco, reportez-vous aux guides de configuration des commutateurs Catalyst Cisco, disponibles à l'adresse :
  
  Http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- Désactivé : si le commutateur ne prend pas en charge plusieurs périphériques conformes à 802.1x sur le même port, vous devez désactiver le port PC lorsque l'authentification 802.1x est activée. Si vous ne désactivez pas ce port et tentez ensuite d’y raccorder un ordinateur, le commutateur refusera l'accès réseau au téléphone et à l’ordinateur.
Configure Voice VLAN (Configurer le VLAN voix) : la norme 802.1X ne tenant pas compte des VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.
- Activé : si vous utilisez un commutateur qui prend en charge l’authentification sur plusieurs domaines, vous pouvez continuer à utiliser le VLAN voix.
- Désactivé : si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port à un VLAN natif.
(Pour téléphone de bureau Cisco série 9800 uniquement)
Le PID du téléphone de bureau Cisco 9800 Series comporte un préfixe différent de celui des autres téléphones Cisco. Pour activer votre téléphone avec succès l'authentification 802.1x, définissez le Rayon· Nom d'utilisateur pour inclure votre téléphone de bureau Cisco série 9800.
Par exemple, le PID du téléphone 9841 est DP-9841 ; vous pouvez définir Radius· Nom d'utilisateur commençant par DP ou contient DP. Vous pouvez le définir dans les deux sections suivantes :
- Stratégie > Conditions > Conditions de la bibliothèque
- Stratégie > Ensembles de stratégies > Autorisation Stratégie > Règle d'autorisation 1

Activer l'authentification 802.1X

Lorsque l'authentification 802.1X est activée, le téléphone utilise l'authentification 802.1X pour demander l'accès réseau. Lorsque l'authentification 802.1X est désactivée, le téléphone utilise Cisco Discovery Protocol (CDP) pour obtenir un accès réseau et VLAN. Vous pouvez également afficher l'état et la modification de la transaction dans le menu de l'écran du téléphone.

Lorsque l'authentification 802.1X est activée, vous pouvez également sélectionner le certificat de l'appareil (MIC/SUDI ou personnalisé) pour l'inscription initiale et le renouvellement du certificat. En général, MIC est utilisé pour le téléphone vidéo Cisco 8875, SUDI pour le téléphone de bureau Cisco série 9800. CDC ne peut être utilisé pour l'authentification que dans 802.1x.

Effectuez l'une des actions suivantes pour activer l'authentification 802.1 X :

Dans l'interface Web du téléphone, sélectionnez Système> voix et définissez le paramètre Enable 802.1X Authentication (Activer l'authentification 802.1X) sur Oui. Cliquez ensuite sur Envoyer toutes les modifications.
Dans le fichier de configuration du téléphone (cfg.xml), entrez une chaîne au format suivant :
<Enable_802.1X_Authentication ua="rw">Oui</Enable_802.1X_Authentication>
Valeurs valides : Oui | Non
Paramètre par défaut : non
Sur le téléphone, appuyez sur Paramètres , puis accédez à Réseau et service > Paramètres de sécurité> Authentification 802.1x. Activez le champ Authentification dupériphérique et sélectionnez Appliquer.

Tableau 2. Paramètres de l'authentification 802.1X sur l'écran du téléphone
Paramètres	Options	Par défaut	Description
Authentification du périphérique	Activé Désactivé	Désactivé	Activer ou désactiver l'authentification 802.1X sur le téléphone.
État de la transaction		Désactivé	Affiche l'état de l'Authentification 802.1x. L'état peut être (sans s'y limiter) : En cours d'authentifiaction : indique que le processus d'authentification est en cours. Authentifié : indique que le téléphone est authentifié. Désactivé : indique que l'authentification 802.1 x est désactivée sur le téléphone.
Protocole		Aucun	Affiche la méthode EAP utilisée pour l'Authentification 802.1X. Il peut s’agir du protocole EAP-FAST ou EAP-TLS.
Type de certificat utilisateur	Installation de fabrication Installé sur mesure	Installation de fabrication	Choisissez le certificat pour l'authentification 802.1X lors de l'inscription initiale et du renouvellement du certificat. Installé en usine : le certificat installé en usine (MIC) et l'identifiant SUDI (Secure Unique Device Identifier) sont utilisés. Personnalisé installé : le certificat CDC (Custom Device Certificate) est utilisé. Ce type de certificat peut être installé par téléchargement manuel sur la page Web du téléphone ou par installation à partir d'un serveur SCEP (Simple Certificate Enrollment Protocol). Ce paramètre apparaît uniquement sur le téléphone lorsque l'authentification du périphérique est activée.

Sélectionnez un certificat (MIC ou personnalisé) pour l'authentification 802.1X sur la page Web du téléphone.

Pour un réseau câblé, sélectionnez Système> voix, choisissez un type de certificat dans la liste déroulante. Certificat sélectionné dans la section Authentification 802.1X.
Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).
<Certificate_Select ua="rw">Installé sur mesure</Certificate_Select>
Valeurs valides : Fabrication installée|Installé sur mesure
Valeur par défaut : Installation en usine
Pour un réseau sans fil, sélectionnez Système> vocal, choisissez un type de certificat dans la liste déroulante. Certificat sélectionné dans la section Wi-Fi Profil 1.
Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).
<Wi-Fi_Certificate_Select_1_ ua="rw">Installé sur mesure</Wi-Fi_Certificate_Select_1_>
Valeurs valides : Fabrication installée|Installé sur mesure
Valeur par défaut : Installation en usine

Pour plus d'informations sur la sélection d'un type de certificat à l'écran du téléphone, voir Connecter votre téléphone à un réseau Wi-Fi.

Configuration d'un serveur proxy

Vous pouvez configurer le téléphone de manière à utiliser un serveur proxy afin d'améliorer la sécurité. En règle générale, un serveur proxy HTTP peut fournir les services suivants :

Routage du trafic entre les réseaux interne et externe
Filtering (Filtrage, surveillance ou journalisation du trafic)
Réponses de mise en cache pour améliorer les performances

En outre, le serveur proxy HTTP peut agir comme un pare-feu entre le téléphone et Internet. Après une configuration réussie, le téléphone se connecte à Internet via le serveur proxy qui protège le téléphone contre les cyberattaques.

Lorsqu'elle est configurée, la fonctionnalité proxy HTTP s'applique à toutes les applications qui utilisent le protocole HTTP. Par exemple :

GDS (Embarquement du code d'activation)
Activation du périphérique EDOS
Intégration à Webex Cloud (via EDOS ou GDS)
Autorité de certification personnalisée
Mise à disposition
Mise à niveau du micrologiciel
Rapport d'état du téléphone
Chargement PRT
Services XSI
Services Webex

Actuellement, la fonctionnalité ne prend en charge que IPv4.

Accéder à la page Web d'administration du téléphone.

Sélectionnez Voix > Système.

Dans la section Paramètres proxy HTTP, sélectionnez un mode proxy dans la liste déroulante Mode proxy et configurez les paramètres associés.

Pour chaque mode proxy, les paramètres requis sont différents. Voir les détails dans le tableau suivant :

Mode proxy	Paramètres requis	Description
Désactivé	S.O.	Le proxy HTTP est désactivé sur le téléphone.
Manuelle	Hôte proxy Port proxy Authentification proxy : Oui Nom d'utilisateur Mot de passe	Spécifiez manuellement un serveur proxy (un nom d'hôte ou une adresse IP) et un port proxy. Si le serveur proxy requiert une authentification, vous devez saisir le nom d'utilisateur et le mot de passe.
Manuelle	Hôte proxy Port proxy Authentification proxy : Non	Spécifiez manuellement un serveur proxy. Le serveur proxy ne nécessite pas d'informations d'authentification.
Auto	Détection automatique du proxy Web : Non URL PAC	Entrez une URL PAC valide pour récupérer le fichier PAC.
Auto	Détection automatique du proxy Web : Oui	Utilise le protocole WPAD pour récupérer automatiquement un fichier PAC.

Pour plus d'informations sur les paramètres, voir Paramètres des paramètres de proxy HTTP.

Cliquez sur Envoyer toutes les modifications.

Paramètres des paramètres de proxy HTTP

Le tableau suivant définit la fonction et l'utilisation des paramètres du proxy HTTP dans la section Paramètres du proxy HTTP sous l'onglet Voix > Système de l'interface Web du téléphone. Il définit également la syntaxe de la chaîne ajoutée au fichier de configuration du téléphone (cfg.xml) à l'aide du code XML pour configurer un paramètre.

Paramètre	Description
Mode proxy	Spécifie le mode proxy HTTP utilisé par le téléphone, ou désactive la fonctionnalité Proxy HTTP. Auto Le téléphone récupère automatiquement un fichier PAC (Proxy Auto-Configuration) pour sélectionner un serveur de proxy. Dans ce mode, vous pouvez déterminer s'il faut utiliser le protocole WPAD (Web Proxy Auto Discovery) pour récupérer un fichier PAC ou saisir manuellement une URL valide du fichier PAC. Pour plus d'informations sur les paramètres, reportez-vous aux paramètres "Web Proxy Auto Discovery" et "PAC URL" de ce tableau. Manuelle Vous devez spécifier manuellement un serveur (nom d'hôte ou adresse IP) et un port d'un serveur de proxy. Pour plus de détails sur les paramètres, voir Hôte du proxy et Port du proxy. Désactivé Vous désactivez la fonctionnalité de proxy HTTP sur le téléphone. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Proxy_Mode ua="rw">Désactivé</Proxy_Mode>` Sur l'interface Web du téléphone, sélectionnez un mode proxy ou désactivez la fonctionnalité. Valeurs autorisées : Auto, Manuel, et Désactivé Par défaut : Désactivé
Détection automatique du proxy Web	Détermine si le téléphone utilise le protocole WPAD (Web Proxy Auto Discovery) pour récupérer un fichier PAC. Le protocole WPAD utilise les protocoles DHCP ou DNS, ou les deux, pour localiser automatiquement un fichier PAC (Proxy Auto Configuration). Le fichier PAC est utilisé pour sélectionner un serveur de proxy pour une URL donnée. Ce fichier peut être hébergé localement ou sur un réseau. La configuration du paramètre prend effet lorsque le mode Proxy est défini sur Auto. Si vous définissez le paramètre sur Non, vous devez spécifier une URL PAC. Pour plus d'informations sur le paramètre, reportez-vous à la section "URL PAC" de ce tableau. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Web_Proxy_Auto_Discovery ua="rw">Oui</Web_Proxy_Auto_Discovery>` Dans l'interface Web du téléphone, sélectionnez Oui ou Non selon les besoins. Valeurs autorisées : Oui et Non. Par défaut : Oui
URL PAC	URL d'un fichier PAC. Par exemple, `http://proxy.department.branch.example.com` TFTP, HTTP et HTTPS sont pris en charge. Si vous définissez le mode proxy sur Auto et la détection automatique du proxy Web sur Non, vous devez configurer ce paramètre. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL&gt ;` Sur l'interface Web du téléphone, entrez une URL valide qui permet de localiser un fichier PAC. Valeur par défaut : vide
Hôte proxy	Adresse IP ou nom d'hôte du serveur hôte proxy auquel le téléphone doit accéder. Par exemple : `proxy.example.com` Le schéma (`http://` or `https://`) n'est pas requis. Si vous définissez le mode Proxy sur Manuel, vous devez configurer ce paramètre. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Proxy_Host ua="rw">proxy.example.com</Proxy_Host>` Sur l'interface Web du téléphone, entrez l'adresse IP ou le nom d'hôte du serveur de proxy. Valeur par défaut : vide
Port proxy	Numéro de port du serveur hôte proxy. Si vous définissez le mode Proxy sur Manuel, vous devez configurer ce paramètre. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Proxy_Port ua="rw">3128</Proxy_Port>` Sur l'interface Web du téléphone, entrez un port de serveur. Par défaut : 3128
Authentification proxy	Détermine si l'utilisateur doit fournir les informations d'authentification (nom d'utilisateur et mot de passe) requises par le serveur de proxy. Ce paramètre est configuré selon le comportement actuel du serveur de proxy. Si vous définissez ce paramètre sur Oui, vous devez configurer Nom d'utilisateur et Mot de passe. Pour plus de détails sur les paramètres, reportez-vous aux paramètres "Nom d'utilisateur" et "Mot de passe" de ce tableau. La configuration du paramètre prend effet lorsque le mode Proxy est défini sur Manuel. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Proxy_Authentication ua="rw">Non</Proxy_Authentication>` Dans l'interface Web du téléphone, définissez ce champ Oui ou Non selon vos besoins. Valeurs autorisées : Oui et Non. Paramètre par défaut : non
Nom d'utilisateur	Nom d'utilisateur pour un utilisateur d'identifiant sur le serveur de proxy. Si le mode proxy est défini sur Manuel et l'authentification proxy sur Oui, vous devez configurer le paramètre. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Proxy_Username ua="rw">Exemple</Proxy_Username>` Sur l'interface Web du téléphone, saisissez le nom d'utilisateur. Valeur par défaut : vide
Mot de passe	Mot de passe du nom d'utilisateur spécifié à des fins d'authentification sur le serveur de proxy. Si le mode proxy est défini sur Manuel et l'authentification proxy sur Oui, vous devez configurer le paramètre. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Proxy_Password ua="rw">Exemple</Proxy_Password>` Sur l’interface Web du téléphone, saisissez un mot de passe valide pour l’authentification proxy de l’utilisateur. Valeur par défaut : vide

Activer le mode initié par le client pour les négociations de sécurité du plan média

Pour protéger les sessions multimédias, vous pouvez configurer le téléphone pour qu'il initie les négociations de sécurité du plan de support avec le serveur. Le mécanisme de sécurité suit les normes énoncées dans la RFC 3329 et son projet d'extension Security Mechanism Names for Media (Voir https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Le transport des négociations entre le téléphone et le serveur peut utiliser le protocole SIP sur UDP, TCP et TLS. Vous pouvez limiter la négociation de la sécurité du plan de support pour qu'elle ne s'applique que lorsque le protocole de transport de signalisation est TLS.

Accéder à la page Web d'administration du téléphone.

Sélectionnez Voix > Poste(n).

Dans la section Paramètres SIP, définissez les champs Demande MediaSec et MediaSec sur TLS uniquement comme défini dans le tableau suivant :

Tableau 3. Paramètres de négociation de sécurité du plan média
Paramètre	Description
Demande MediaSec	Indique si le téléphone initie des négociations de sécurité du plan de support avec le serveur. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<MediaSec_Request_1_ ua="na">Oui</MediaSec_Request_1_>` Dans l'interface Web du téléphone, définissez ce champ sur Oui ou Non en fonction des besoins. Valeurs autorisées : Oui \| Non Oui : mode initié par le client. Le téléphone initie des négociations de sécurité du plan de support. Non : mode initié par le serveur. Le serveur initie des négociations de sécurité du plan de support. Le téléphone n'initie pas de négociations, mais peut traiter les demandes de négociation provenant du serveur pour établir des appels sécurisés. Paramètre par défaut : non
MediaSec sur TLS uniquement	Spécifie le protocole de transport de signalisation sur lequel la négociation de sécurité du plan de média est appliquée. Avant de définir ce champ sur Oui, assurez-vous que le protocole de transport de signalisation est TLS. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<MediaSec_Over_TLS_Only_1_ ua="na">Non</MediaSec_Over_TLS_Only_1_>` Dans l'interface Web du téléphone, définissez ce champ sur Oui ou Non en fonction des besoins. Valeurs autorisées : Oui \| Non Oui : le téléphone initie ou traite les négociations de sécurité du plan de support uniquement lorsque le protocole de transport de signalisation est TLS. Non : le téléphone initie et traite les négociations de sécurité du plan de support indépendamment du protocole de transport de signalisation. Paramètre par défaut : non

Cliquez sur Envoyer toutes les modifications.

Sécurité WLAN

Tout périphérique WLAN étant à portée peut recevoir n'importe quel trafic WLAN : en conséquence, la sécurisation des communications voix est un élément essentiel des réseaux WLAN. Pour garantir qu'aucun intrus ne manipule ou n'intercepte le trafic voix, l'architecture de sécurité SAFE de Cisco prend en charge le téléphone. Pour plus d'informations sur la sécurité dans les réseaux, consultez http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solution de téléphonie Cisco Wireless IP assure la sécurité des réseaux sans fil, empêchant les connexions non autorisées et les communications dangereuses à l'aide des méthodes d'authentification suivantes prises en charge par le téléphone :

Authentification ouverte : tout périphérique sans fil peut demander une authentification dans un système ouvert. Le point d'accès qui reçoit la requête peut accorder l'authentification à n'importe quel demandeur ou seulement aux demandeurs présents sur une liste d'utilisateurs. Les communications entre le périphérique sans fil et le point d'accès (AP) peuvent être non chiffrées.
Authentification EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) : cette architecture de sécurité client-serveur chiffre EAP transactions circulant par un tunnel de sécurité au niveau du transport (TLS) entre le point d'accès et le serveur RADIUS, tel que le moteur des services de vérification d'identité (ISE).

Le tunnel TLS utilise des identifiants PAC (Protected Access Credentials) lors de l'authentification du client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au client (téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux terminaux détiennent alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le provisionnement automatique de PAC, mais vous devez activer cette option sur le serveur RADIUS.

Dans ISE, par défaut, le PAC expire au bout d'une semaine. Si le téléphone détient un PAC qui a expiré, l'authentification avec le serveur RADIUS prend plus de temps, car le téléphone doit obtenir un nouveau PAC. Pour éviter les délais de provisionnement de PAC, configurez la durée de vie du PAC à 90 jours ou plus sur le serveur ISE ou RADIUS.
L'authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) : EAP-TLS requiert un certificat client pour l'authentification et l'accès au réseau. Pour les EAP-TLS sans fil, le certificat client peut être MIC, LSC ou installé par l'utilisateur.
Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Le téléphone peut utiliser PEAP pour s'authentifier auprès du réseau sans fil. Les méthodes d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.
Pre-Shared Key (PSK) : le téléphone prend en charge ASCII format. Vous devez utiliser ce format lors de la configuration d'une clé pré-partagée WPA/WPA2/SAE :

ASCII : chaîne de caractères ASCII de 8 à 63 caractères en longueur (0-9, minuscules et majuscules A-Z, et caractères spéciaux)

Exemple : GREG123567@9ZX&W

Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :

WPA/WPA2/WPA3 : utilise les informations du serveur RADIUS pour générer des clés d'authentification uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA2/WPA3 assure une sécurité renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.
Itinérance sécurisée rapide : utilise le serveur RADIUS et les informations d'un serveur de domaine sans fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations d'identification pour les périphériques clients compatibles FT, permettant ainsi une ré-authentification rapide et sécurisée. Les téléphones de bureau Cisco 9861 et 9871 et les téléphones vidéo Cisco 8875 prennent en charge 802.11r (FT). La DS est prise en charge à la fois sur les ondes et sur la DS pour permettre une itinérance rapide et sécurisée. Mais nous recommandons vivement d'utiliser la méthode 802.11r (FT) aérienne.

Avec WPA/WPA2/WPA3, les clés de chiffrement ne sont pas saisies sur le téléphone, mais sont automatiquement dérivées entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP utilisés pour l'authentification doivent être saisis sur chaque téléphone.

Pour garantir la sécurité du trafic voix, le téléphone prend en charge TKIP et AES pour le chiffrement. Lorsque ces mécanismes sont utilisés pour le chiffrement, les paquets de signalement SIP et les paquets de RTP (Real-Time Transport Protocol) vocal sont chiffrés entre le point d'accès et le téléphone.

TKIP: WPA utilise un chiffrement TKIP qui bénéficie de nombreux avantages par rapport à WEP. TKIP assure un chiffrement des clés par paquet et des vecteurs d'initialisation (IV) plus longs qui renforcent le chiffrement. De plus, un message de vérification d'intégrité (MIC) garantit la non-altération des paquets chiffrés. TKIP permet de supprimer le caractère prévisible de WEP, qui faciliterait le déchiffrage de la clé WEP par des intrus.
AES: Une méthode de codage utilisée pour l'authentification WPA2/WPA3. Ce standard national de chiffrement utilise un algorithme symétrique qui emploie une clé identique pour le chiffrement et le décodage. AES utilise un chiffrement CBC (Cipher Blocking Chain) de 128 bits et prend ainsi en charge les tailles de clé de 128, 192 et 256 bits au minimum. Le téléphone prend en charge une taille de clé de 256 bits.

Les téléphones de bureau Cisco 9861 et 9871 et les téléphones vidéo Cisco 8875 ne prennent pas en charge le protocole CKIP (Cisco Key Integrity Protocol) avec CMIC.

Les modèles d'authentification et de chiffrement sont configurés dans le LAN sans fil. Les VLAN sont configurés dans le réseau et sur les points d'accès. Ils spécifient différentes combinaisons d'authentification et de chiffrement. Un SSID s'associe avec un VLAN et avec un modèle spécifique d'authentification et de chiffrement. Pour que les périphériques clients sans fil réussissent à s'authentifier, vous devez configurer les mêmes SSID avec leurs modèles d'authentification et de chiffrement sur les points d'accès et le téléphone.

Certains modèles d'authentification nécessitent des types de chiffrement spécifiques.

Lorsque vous utilisez WPA clé pré-partagée, WPA2 ou SAE, la clé pré-partagée doit être configurée de manière statique sur le téléphone. Ces clés doivent correspondre à celles présentes sur le point d'accès.
Le téléphone prend en charge la négociation EAP automatique pour FAST ou PEAP, mais pas pour TLS. Pour EAP-TLS mode, vous devez le préciser.

Les modèles d'authentification et de chiffrement présentés dans le tableau suivant indiquent les options de configuration réseau pour le téléphone correspondant à la configuration du point d'accès.

Tableau 4. Modèles d'authentification et de chiffrement
Type de FSR	Authentification	Gestion des clés	Chiffrement	Cadre de gestion protégé (CMR)
802.11r (FT)	Clé pré-partagée	WPA-PSK WPA-PSK-SHA256 FT-PSK	AES	Non
802.11r (FT)	WPA3	SAE FT-SAE	AES	Oui
802.11r (FT)	EAP-TLS	WPA-EAP FT-EAP	AES	Non
802.11r (FT)	EAP-TLS (WPA3)	WPA-EAP-SHA256 FT-EAP	AES	Oui
802.11r (FT)	EAP-FAST	WPA-EAP FT-EAP	AES	Non
802.11r (FT)	EAP-FAST (WPA3)	WPA-EAP-SHA256 FT-EAP	AES	Oui
802.11r (FT)	EAP-PEAP	WPA-EAP FT-EAP	AES	Non
802.11r (FT)	PAE-PEAP (WPA3)	WPA-EAP-SHA256 FT-EAP	AES	Oui

Configuration Wi-Fi profil

Vous pouvez configurer un profil de réseau Wi-Fi à partir de la page web du téléphone ou de la resynchronisation de profil de périphérique distant et ensuite associer le profil aux réseaux Wi-Fi disponibles. Vous pouvez utiliser ce profil Wi-Fi pour vous connecter à un réseau Wi-Fi. Actuellement, un seul profil Wi-Fi peut être configuré.

Le profil contient les paramètres requis par les téléphones pour se connecter au serveur téléphonique en Wi-fi. Lorsque vous créez et utilisez un profil Wi-Fi, vous ou vos utilisateurs n'avez pas besoin de configurer le réseau sans fil pour des téléphones individuels.

Un profil de réseau Wifi vous permet de prévenir ou de limiter les modifications apportées à la configuration du réseau Wifi sur le téléphone par l'utilisateur.

Nous vous recommandons d'utiliser un profil sécurisé avec des protocoles de chiffrement activés pour protéger les clés et les mots de passe lorsque vous utilisez un profil Wi-Fi.

Lorsque vous configurez les téléphones pour utiliser la méthode d'authentification EAP-FAST en mode de sécurité, vos utilisateurs ont besoin d'informations d'identification individuelles pour se connecter à un point d'accès.

1	Accéder à la page Web du téléphone
2	Sélectionnez Voix > Système.
3	Dans la section Wi-Fi Profil (n), définissez les paramètres comme décrit dans le tableau suivant Paramètres pour Wi-Fi profil. La configuration du profil Wi-Fi est également disponible pour la connexion de l'utilisateur.
4	Cliquez sur Envoyer toutes les modifications.

Paramètres de Wi-Fi profil

Le tableau ci-dessous indique la fonction et l'utilisation de chaque paramètre dans la section Profil Wi-Fi sous l'onglet Système de la page Web du téléphone. Elle définit également la syntaxe de la chaîne qui est ajoutée dans le fichier de configuration du téléphone (cfg.xml) pour configurer un paramètre.

Paramètre	Description
Nom du réseau	Permet d'entrer un nom pour le SSID qui s'affiche sur le téléphone. Plusieurs profils peuvent avoir le même nom de réseau avec plusieurs modes de sécurité. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Network_Name_1_ua="rw">cisco</Network_Name_1_>` Dans la page Web du téléphone, saisissez le nom de l’SSID. Valeur par défaut : vide
Mode de sécurité	Vous permet de sélectionner la méthode d'authentification qui permet de sécuriser l'accès au réseau Wi-Fi. Selon la méthode choisie, un champ de mot de passe apparaît afin que vous puissiez fournir les informations d'identification requises pour rejoindre ce Wi-Fi réseau. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- options disponibles : Auto\|EAP-FAST\|\|\|PSK\|\|Aucun\|EAP-PEAP\|EAP-TLS -->` Dans la page Web du téléphone, sélectionnez l'une des méthodes suivantes : Auto EAP-FAST Clé pré-partagée Aucun EAP-PEAP EAP-TLS Valeur par défaut : automatique
ID utilisateur Wi-Fi	Vous permet d'entrer un nom d'utilisateur pour le profil réseau. Ce champ est disponible lorsque vous définissez le mode de sécurité sur Auto, EAP-FAST ou EAP-PEAP. Ce champ est obligatoire et il peut comporter une longueur maximale de 32 caractères alphanumériques. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>` Dans la page Web du téléphone, saisissez un ID utilisateur pour le profil réseau. Valeur par défaut : vide
Mot de passe Wi-Fi	Permet de saisir le mot de passe pour l'ID utilisateur Wi-Fi spécifié. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>` Dans la page Web du téléphone, saisissez un mot de passe pour l'ID utilisateur que vous avez ajouté. Valeur par défaut : vide
Plage de fréquences	Vous permet de sélectionner la plage de fréquence du signal sans fil qui est utilisée par le réseau local sans fil. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>` Dans la page Web du téléphone, sélectionnez l'une des options suivantes : Auto 2,4 GHz 5 GHz Valeur par défaut : automatique
Sélection de certificat	Permet de sélectionner un type de certificat pour l'enregistrement initial du certificat et le renouvellement du certificat sur le réseau sans fil. Ce processus n'est disponible que pour l'authentification 802.1x. Exécutez l'une des actions suivantes : Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant : `<Certificate_Select_1_ ua="rw">Fabrication installée</Certificate_Select_1_>` Dans la page Web du téléphone, sélectionnez l'une des options suivantes : Installation de fabrication Installé sur mesure Valeur par défaut : Installation en usine

Vérification de l'état de sécurité du périphérique sur le téléphone

Votre téléphone vérifie automatiquement l'état de sécurité de l'appareil. S'il détecte des menaces de sécurité potentielles sur le téléphone, le menu Problèmes et diagnostics peut afficher les détails des problèmes. En fonction des problèmes signalés, votre administrateur peut prendre des mesures pour sécuriser et renforcer votre téléphone.

L'état de sécurité de l'appareil peut toujours être disponible si le téléphone n'est pas enregistré auprès du système de contrôle des appels (Webex Calling ou BroadWorks).

Pour afficher des détails sur les problèmes de sécurité sur le téléphone, procédez comme suit :

Appuyez sur Paramètres Settings button

Sélectionnez Problèmes et diagnostics > Problèmes.

Actuellement, le rapport de sécurité du périphérique comporte les problèmes suivants :

Catégorie	Problème
Approbation de l'appareil	Échec de l'authentification du périphérique
Approbation de l'appareil	Matériel altéré
Configuration vulnérable	Aucun mot de passe fourni
	SSH actif
	Telnet activé
Événement d'anomalie réseau détecté	Tentatives excessives de connexion
Émission de certificat	Le certificat CDC expirera bientôt

Contactez votre administrateur pour obtenir de l'aide afin de résoudre les problèmes de sécurité.

Merci pour votre commentaire.

cisco IP