- Accueil
- /
- Article
Cet article d'aide concerne le téléphone sans fil Cisco 9821 enregistré pour Cisco Unified Communications Manager (Unified CM).
Vous pouvez activer Cisco Unified Communications Manager (Unified CM) pour fonctionner dans un environnement de sécurité amélioré. Grâce à ces améliorations, votre réseau téléphonique fonctionne dans le cadre d'un ensemble de commandes de gestion des risques et de sécurité strictes, pour vous protéger, ainsi que vos utilisateurs.
L'environnement de sécurité renforcée inclut les fonctionnalités suivantes :
-
Authentification de la recherche de contact
-
TCP comme protocole par défaut pour la journalisation d'audit à distance
-
Une stratégie d'informations d'identification améliorée
-
Prise en charge de la famille de hachages SHA-2 pour les signatures numériques
-
Prise en charge d'une taille de clé RSA jusqu'à 4096 bits
Avec Cisco Unified CM version 14.0 ou ultérieure, les téléphones prennent en charge l'authentification OAuth SIP.
OAuth est pris en charge pour le protocole de transfert de fichiers trivial proxy (TFTP) avec Cisco Unified CM version 14.0 (1) SU1 ou ultérieure.
Pour plus d'informations sur la sécurité, consultez les guides suivants :
-
Guide de configuration système pour Cisco Unified Communications Manager, version 15 et les SU
-
Guide de sécurité pour Cisco Unified Communications Manager, version 15 et SU
Le téléphone ne peut stocker qu'un nombre limité de fichiers de liste de confiance d'identité (ITL). Les fichiers ITL ne peuvent pas dépasser 64K sur le téléphone, alors limitez le nombre de fichiers que Cisco Unified CM envoie au téléphone.
Fonctionnalités de sécurité prises en charge
Les fonctionnalités de sécurité offrent une protection contre les menaces, notamment les menaces relatives à l’identité du téléphone et aux données. Ces fonctionnalités établissent et maintiennent des flux de communication authentifiés entre le téléphone et le serveur Cisco Unified Communications Manager. De plus, elles veillent à ce que le téléphone utilise uniquement des fichiers à signature numérique.
Les versions 8.5(1) et ultérieures de Cisco Unified Communications Manager incluent Security par défaut, qui permet aux fonctionnalités de sécurité pour les téléphones IP Cisco d'être utilisées sans le client CTL :
-
Signature des fichiers de configuration du téléphone
-
Chiffrement des fichiers de configuration du téléphone
-
HTTPS avec Tomcat et d'autres services Web
Il est toutefois nécessaire d'exécuter le client CTL et d'utiliser les eTokens matériels pour bénéficier du signalement sécurisé et des fonctionnalités multimédia.
Implémenter la sécurité dans le système Cisco Unified Communications Manager permet de prévenir les usurpations d'identité pour le téléphone et le serveur Cisco Unified Communications Manager, la falsification des données ainsi que la falsification du signalement des appels et des flux multimédia.
Pour se protéger contre ces menaces, le réseau de téléphonie IP Cisco Unified établit et maintient des flux de communication sécurisés (chiffrés) entre un téléphone et le serveur, signe numériquement les fichiers avant leur transfert vers un téléphone et crypte les flux multimédia ainsi que le signalement des appels entre les téléphones IP Cisco Unified.
Lorsque vous effectuez les tâches nécessaires associées au CAPF (fonction proxy de l'autorité de certification), un LSC (certificat valable localement) est installé sur les téléphones. Vous pouvez utiliser Cisco Unified Communications Manager Administration pour configurer un LSC, comme décrit dans le Guide de sécurité Cisco Unified Communications Manager. Vous pouvez également lancer l'installation d'un LSC à partir du menu Sécurité du téléphone. Vous pouvez aussi effectuer dans ce menu la mise à jour ou la suppression du certificat LSC.
Les téléphones utilisent le profil de sécurité du téléphone, qui détermine si le périphérique est sécurisé ou non. Pour plus d'informations sur l'application du profil de sécurité au téléphone, consultez la documentation relative à votre version particulière de Cisco Unified Communications Manager.
Si vous configurez des paramètres de sécurité dans Cisco Unified Communications Manager Administration, sachez que le fichier de configuration du téléphone contient des informations sensibles. Pour garantir la confidentialité d'un fichier de configuration, vous devez configurer son chiffrement. Pour plus d'informations, reportez-vous à la documentation relative à votre version particulière de Cisco Unified Communications Manager.
Le tableau suivant fournit une vue d'ensemble des fonctionnalités de sécurité prises en charge par le téléphone. Pour obtenir plus d’informations, reportez-vous à la documentation de votre version de Cisco Unified Communications Manager.
|
Fonctionnalité |
Description |
|---|---|
|
Authentification de l’image |
Des fichiers binaires signés permettent de prévenir la falsification du fichier image du micrologiciel avant que celui-ci ne soit chargé sur un téléphone. La modification de l’image entraînerait l’échec du processus d'authentification du téléphone et le rejet de la nouvelle image. |
|
Installation d'un certificat sur site client |
Un certificat unique doit être affecté à chaque téléphone IP Cisco pour l’authentification de périphérique. Les téléphones comportent un certificat installé par le fabricant (MIC), mais pour plus de sécurité, vous pouvez spécifier l'installation d'un certificat dans Cisco Unified Communications Manager Administration en utilisant la fonctionnalité proxy d'autorité de certificat (CAPF). Vous pouvez également installer un Locally Significant Certificate (LSC) à partir du menu Sécurité du téléphone. |
|
Authentification du périphérique |
A lieu entre le serveur Cisco Unified Communications Manager et le téléphone lorsque chaque entité accepte le certificat de l'autre entité. Détermine si une connexion sécurisée peut être établie entre le téléphone et un Cisco Unified Communications Manager. Si nécessaire, elle crée un chemin de signalement sécurisé entre ces entités grâce au protocole TLS. Cisco Unified Communications Manager n'enregistre que les téléphones qu'il peut authentifier. |
|
Authentification des fichiers |
Valide les fichiers signés numériquement qui ont été téléchargés sur le téléphone. Le téléphone valide la signature pour garantir qu'aucune falsification n'a eu lieu après la création du fichier. Les fichiers qui ne peuvent pas être authentifiés ne sont pas inscrits dans la mémoire flash du téléphone. Le téléphone rejette ces fichiers, sans traitement supplémentaire. |
|
Chiffrement des fichiers |
Le chiffrement garantit la confidentialité des informations sensibles lorsque le fichier est en transit vers le téléphone. De plus, le téléphone valide la signature pour confirmer qu'aucune falsification n'a eu lieu après la création du fichier. Les fichiers qui ne peuvent pas être authentifiés ne sont pas inscrits dans la mémoire flash du téléphone. Le téléphone rejette ces fichiers, sans traitement supplémentaire. |
|
Authentification du signalement |
Utilise le protocole TLS pour vérifier qu'aucune falsification des paquets de signalement n'a eu lieu pendant la transmission. |
|
Certificat installé en usine |
Chaque téléphone IP Cisco contient un certificat unique installé en usine (MIC), qui est utilisé pour l’authentification du périphérique. Le MIC agit comme une preuve unique et permanente d'identité pour le téléphone et permet à Cisco Unified Communications Manager d'authentifier le téléphone. |
|
Chiffrement multimédia |
Utilise SRTP pour garantir la sécurité des flux multimédia entre les périphériques pris en charge et pour garantir que seul l'appareil souhaité peut recevoir et lire les données. Implique la création d’une paire de clés multimédia principales pour les périphériques, la remise de ces clés sur les périphériques, et la sécurisation de la remise des clés pendant leur transport. |
|
CAPF (fonction proxy de l'autorité de certification) |
Met en œuvre des parties de la procédure de génération de certificat qui nécessitent un traitement trop intensif pour le téléphone, et interagit avec le téléphone pour générer des clés et pour installer des certificats. La fonctionnalité CAPF peut être configurée pour demander à la place du téléphone, des certificats provenant d'autorités de certification spécifiées par le client, ou pour générer des certificats localement. Les types de touches EC (courbe elliptique) et RSA sont pris en charge. Pour utiliser la clé EC, assurez-vous que le paramètre "Endpoint Advanced Encryption Algorithms Support" (à partir du Enterprise) est activé. Pour plus d'informations sur CAPF et les configurations associées, consultez les documents suivants : |
|
Profil de sécurité |
Détermine si un téléphone n'est pas sécurisé, s'il est authentifié, chiffré ou protégé. Les autres entrées de ce tableau décrivent des fonctionnalités de sécurité. |
|
Fichiers de configuration chiffrés |
Permettent d'assurer la confidentialité des fichiers de configuration du téléphone. |
|
Désactivation optionnelle d'un serveur web pour un téléphone |
Pour des raisons de sécurité, vous pouvez empêcher l'accès aux pages web pour un téléphone (qui révèlent plusieurs statistiques opérationnelles pour le téléphone) ainsi qu'au portail d'aide en libre-service. |
|
Renforcement de la sécurité du téléphone |
Options de sécurité supplémentaires, paramétrables depuis Cisco Unified Communications Manager Administration :
|
|
Basculement SIP sécurisé pour SRST |
Lorsque vous configurez une référence de sécurité Survivable Remote Site Telephony (SRST) et que vous réinitialisez les périphériques associés dans Cisco Unified Communications Manager Administration, le serveur TFTP ajoute le certificat SRST au fichier cnf.xml du téléphone et envoie ce fichier au téléphone. Un téléphone sécurisé utilise alors une connexion TLS pour interagir avec le routeur compatible SRST. |
|
Chiffrement du signalement |
Garantit le chiffrement de tous les messages de signalement SIP transmis entre l'appareil et le serveur Cisco Unified Communications Manager. |
|
Alerte Liste de confiance mise à jour |
Lorsque la liste de confiance est mise à jour sur le téléphone, Cisco Unified Communications Manager reçoit une alerte indiquant la réussite ou l'échec de la mise à jour. Pour plus d'informations, reportez-vous au tableau suivant. |
|
Chiffrement AES 256 |
S'ils sont connectés à Cisco Unified Communications Manager version 10.5(2) ou ultérieure, les téléphones peuvent utiliser le chiffrement AES 256 pour TLS et SIP lors du chiffrement du signalement et des flux multimédia. Les téléphones peuvent ainsi établir et prendre en charge des connexions TLS 1.2 à l'aide de codes AES-256 conformes aux normes SHA-2 (algorithme de hachage sécurisé) et respectant les normes fédérales de traitement d’informations (FIPS). Les codes de chiffrement sont les suivants :
Pour plus d'informations, reportez-vous à la documentation de Cisco Unified Communications Manager. |
|
Certificats ECDSA (Elliptic Curve Digital Signature Algorithm ) |
Dans le cadre de la certification de critères communs (CC), Cisco Unified Communications Manager a ajouté des certificats ECDSA dans la version 11.0. Cela affecte tous les produits de système d'exploitation vocal (VOS) fonctionnant avec les versions CUCM 11.5 et versions ultérieures. |
|
Certificat Tomcat multiserveur (SAN) avec Cisco UCM | Le téléphone prend en charge Cisco UCM avec les certificats Tomcat multi-serveurs (SAN) configurés. L'adresse correcte du serveur TFTP se trouve dans le fichier ITL du téléphone pour l'enregistrement du téléphone. Pour plus d'informations sur la fonctionnalité, consultez les rubriques suivantes : |
Le tableau suivant contient les différents messages d'alerte de mise à jour de la liste de confiance ainsi que leur signification. Pour plus d'informations, reportez-vous à la documentation de Cisco Unified Communications Manager.
| Code et message | Description |
|---|---|
|
1 - TL_SUCCESS |
Nouveau CTL et/ou ITL reçu |
|
2 - CTL_INITIAL_SUCCESS |
Nouveau CTL reçu, pas de TL existant |
|
3 - ITL_INITIAL_SUCCESS |
Nouveau ITL reçu, pas de TL existant |
|
4 - TL_INITIAL_SUCCESS |
Nouveaux CTL et ITL reçus, pas de TL existant |
|
5 - TL_FAILED_OLD_CTL |
Échec de la MàJ du nouveau CTL, mais TL précédent présent |
|
6 - TL_FAILED_NO_TL |
Échec de la MàJ du nouveau TL, pas de TL précédent présent |
|
7 - TL_FAILED |
Échec générique |
|
8 - TL_FAILED_OLD_ITL |
Échec de la MàJ du nouveau ITL, mais TL précédent présent |
|
9 - TL_FAILED_OLD_TL |
Échec de la MàJ de la nouveau TL, mais TL précédent présent |
Sécurité des appels téléphoniques
Lorsque la sécurité est appliquée à un téléphone, une icône s'affiche à l’écran du téléphone. Une tonalité de sécurité est également émise au début des appels lorsque le téléphone connecté est sécurisé et protégé.
Lors d’un appel sécurisé, tous les flux de signalisation d’appel et multimédia sont chiffrés. Les appels sécurisé offrent un niveau élevé de sécurité, ce qui assure leur intégrité et leur confidentialité. Lorsqu'un appel en cours est chiffré, l'icône de sécurité apparaît
Sur la ligne.
-
Si l’appel est acheminé au moyen de tronçons autres que des tronçons IP, par exemple, par PSTN, l'appel risque de ne pas être sécurisé même s’il est chiffré sur le réseau IP et que l’icône représentant un verrou y est associée.
-
Les appels sécurisés ne sont pris en charge que pour les connexions entre deux téléphones. Certaines fonctionnalités, comme la conférence téléphonique et la ligne partagée, ne sont pas disponibles lorsque l'appel sécurisé est configuré.
Dans Cisco Unified Communications Manager, les téléphones configurés comme sécurisés (chiffrés et approuvés) peuvent se voir attribuer un état protégé. Une fois protégés, ces appareils peuvent être configurés pour émettre une tonalité de sécurité au début de chaque appel.
-
Dispositif protégé :
Pour remplacer l'état d'un téléphone sécurisé par protégé :
- Dans Cisco Unified Communications Manager Administration, sélectionnez .
- Localisez le téléphone à configurer.
- Dans la fenêtre Configuration du téléphone, activez la case à cocher Périphérique protégé.
- Cliquez sur Enregistrer.
-
Play Secure Indication Tone (Émettre la tonalité de sécurisation) :
Pour que le téléphone protégé émette une tonalité indiquant que le téléphone protégé émet une tonalité de sécurisation ou de non-sécurisation :
- Dans Cisco Unified Communications Manager Administration, sélectionnez Service.
- Sélectionnez le serveur, puis le service Cisco CallManager .
- Dans la zone Paramètres pour tout le cluster (fonctionnalité - tonalité de sécurité), définissez le paramètre Tonalité de lecture pour indiquer l'état de l'appel sécurisé/non sécurisé sur Vrai.
- Cliquez sur Enregistrer.
Identification d'une conférence téléphonique sécurisée
Vous pouvez lancer une conférence téléphonique sécurisée et surveiller le niveau de sécurité des participants. Le processus d’établissement d’une conférence téléphonique sécurisée est le suivant :
-
Un utilisateur lance la conférence sur un téléphone sécurisé.
-
Cisco Unified Communications Manager attribue un pont de conférence sécurisé à l'appel.
-
À mesure que les participants sont ajoutés à la conférence, Cisco Unified Communications Manager vérifie le mode de sécurité de chaque téléphone et maintient le niveau de sécurité de la conférence.
-
Le téléphone affiche le niveau de sécurité de la conférence téléphonique. Lors d'une conférence sécurisée, l'icône de sécurité s'affiche
.
Les appels sécurisés sont pris en charge entre deux téléphones. Pour les téléphones sécurisés, certaines fonctionnalités, comme la conférence téléphonique, la ligne partagée et Extension Mobility (Mobilité de poste), ne sont pas disponibles lorsque l'appel sécurisé est configuré.
Le tableau suivant présente des informations sur les modifications du niveau de sécurité en fonction du niveau de sécurité du téléphone de l’initiateur, le niveau de sécurité des participants, et la disponibilité des ponts de conférence sécurisés.
|
Niveau de sécurité du téléphone de l’initiateur |
Fonctionnalité utilisée |
Niveau de sécurité des participants |
Résultat de l'action |
|---|---|---|---|
|
Non sécurisé |
Conférence |
Sécurisé |
Pont de conférence non sécurisé Conférence non sécurisée |
|
Sécurisé |
Conférence |
Au moins un membre n’est pas sécurisé. |
Pont de conférence sécurisé Conférence non sécurisée |
|
Sécurisé |
Conférence |
Sécurisé |
Pont de conférence sécurisé Conférence de niveau sécurisé chiffré |
|
Non sécurisé |
MultConf |
Le niveau de sécurité minimum est chiffré. |
L'initiateur reçoit une tonalité de réorganisation. |
|
Sécurisé |
MultConf |
Le niveau de sécurité minimum est non sécurisé. |
Pont de conférence sécurisé La conférence accepte tous les appels. |
Identification d’un appel téléphonique sécurisé
Un appel sécurisé est établi lorsque votre téléphone et le téléphone distant sont configurés avec la sécurisation des appels. L'autre téléphone peut résider sur le même réseau IP Cisco, ou sur un autre réseau hors du réseau IP. Il n’est possible de passer des appels sécurisés qu’entre deux téléphones. Il est nécessaire de configurer un pont de conférence sécurisé pour que les conférences téléphoniques prennent en charge les appels sécurisés.
Le processus d’établissement d’un appel sécurisé est le suivant :
-
Un utilisateur passe l’appel sur un téléphone sécurisé (mode de sécurité sécurisé).
-
Le téléphone affiche l'icône de sécurisation
Sur l'écran du téléphone. Cette icône indique que le téléphone est configuré pour les appels sécurisés, mais cela ne signifie pas que l’autre téléphone connecté est sécurisé. -
L’utilisateur entend une tonalité de sécurité si l’appel est connecté à un autre téléphone sécurisé, indiquant que les deux extrémités de la conversation sont chiffrées et sécurisées. Si l’appel est connecté à un téléphone non sécurisé, l'utilisateur n’entend pas la tonalité de sécurité.
Les appels sécurisés sont pris en charge entre deux téléphones. Pour les téléphones sécurisés, certaines fonctionnalités, comme la conférence téléphonique, la ligne partagée et Extension Mobility (Mobilité de poste), ne sont pas disponibles lorsque l'appel sécurisé est configuré.
Seuls les téléphones protégés émettent ces tonalités de sécurisation ou de non-sécurisation. Les téléphones non protégés n'émettent jamais les tonalités. Si l'état global de l'appel change au cours d'un appel, la tonalité indicative change et le téléphone protégé émet la tonalité adéquate.
Lorsque l'option Tonalité de lecture indiquant l'état de l'appel sécurisé/non sécurisé est définie sur Vrai :
-
Lorsqu'une connexion sécurisée de bout en bout est établie et que l'état de l'appel est sécurisé, le téléphone émet la tonalité de sécurisation (trois bips longs avec des pauses).
-
Lorsqu'une connexion n’est pas sécurisée de bout en bout et que l'appel n’est pas sécurisé, le téléphone émet la tonalité de non-sécurisation (six bips courts avec de brèves pauses).
Si l'option Jouer la tonalité pour indiquer l'état de l'appel sécurisé/non sécurisé est définie sur Faux, vous n'entendez aucune tonalité.
Fourniture de chiffrement pour l'insertion
Cisco Unified Communications Manager vérifie le statut de sécurité du téléphone lorsque des conférences sont établies et modifie les indications de sécurité pour la conférence ou bloque la réalisation de l'appel pour maintenir l'intégrité et la sécurité du système.
Un utilisateur ne peut pas s'insérer dans un appel chiffré si le téléphone utilisé pour l'insertion n'est pas configuré pour le chiffrement. Lorsque l'insertion échoue dans ce cas, une tonalité de réorganisation (Tonalité occupé rapide) sort du téléphone sur lequel a été lancée l'insertion.
Si le téléphone de l'initiateur est configuré pour le chiffrement, l'initiateur de l'insertion peut s'insérer dans un appel non sécurisé à partir du téléphone chiffré. Après l'insertion, Cisco Unified Communications Manager classe l'appel comme étant non sécurisé.
Si le téléphone de l'initiateur est configuré pour le chiffrement, l'initiateur de l'insertion peut s'insérer dans un appel chiffré et le téléphone indique que l'appel est chiffré.
Sécurité LAN sans fil
Tout périphérique WLAN étant à portée peut recevoir n'importe quel trafic WLAN : en conséquence, la sécurisation des communications voix est un élément essentiel des réseaux WLAN. Pour s'assurer que les intrus ne manipulent ni n'interceptent le trafic vocal, l'architecture Cisco SAFE Security prend en charge le téléphone. Pour plus d'informations sur la sécurité dans les réseaux, reportez-vous à http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
La solution de téléphonie Cisco Wireless IP assure la sécurité des réseaux sans fil, empêchant les connexions non autorisées et les communications dangereuses à l'aide des méthodes d'authentification suivantes prises en charge par le téléphone.
-
Authentification ouverte : tout périphérique sans fil peut demander une authentification dans un système ouvert. Le point d'accès qui reçoit la requête peut accorder l'authentification à n'importe quel demandeur ou seulement aux demandeurs présents sur une liste d'utilisateurs. Les communications entre le périphérique sans fil et le point d'accès (AP) peuvent être non chiffrées.
-
Authentification EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) : cette architecture de sécurité client-serveur chiffre les transactions EAP dans un tunnel de sécurité de niveau de transport (TLS) entre le point d'accès et le serveur RADIUS, tel que Identity Services Engine (ISE).
Le tunnel TLS utilise des identifiants PAC (Protected Access Credentials) lors de l'authentification du client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au client (téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux terminaux détiennent alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le provisionnement automatique de PAC, mais vous devez activer cette option sur le serveur RADIUS.
Dans ISE, par défaut, le PAC expire au bout d'une semaine. Si le téléphone détient un PAC qui a expiré, l'authentification avec le serveur RADIUS prend plus de temps, car le téléphone doit obtenir un nouveau PAC. Pour éviter les délais de provisionnement de PAC, configurez la durée de vie du PAC à 90 jours ou plus sur le serveur ISE ou RADIUS.
-
L'authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) : EAP-TLS requiert un certificat client pour l'authentification et l'accès au réseau. Pour le sans fil EAP-TLS, le certificat client peut être un certificat MIC, LSC, ou installé par l'utilisateur.
-
Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Le téléphone peut utiliser PEAP pour s'authentifier auprès du réseau sans fil. Les méthodes d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.
-
Pre-Shared Key (PSK) : le téléphone prend en charge les formats ASCII et hexadécimal (HEX). Vous devez utiliser ces formats lorsque vous configurez une clé pré-partagée WPA2/SAE.
ASCII : chaîne de caractères ASCII de 8 à 63 caractères (0 à 9, lettres a-z minuscules, lettres A-Z majuscules et caractères spéciaux). Par exemple,
GREG123567@9ZX&W.HEX : chaîne de caractères hexadécimaux comportant 64 chiffres hexadécimaux (0 à 9, a-f ou A à F).
Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :
-
WPA2/WPA3 : utilise les informations du serveur RADIUS pour générer des clés d'authentification uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA2/WPA3 assure une sécurité renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.
-
Itinérance sécurisée rapide : utilise le serveur RADIUS et les informations d'un serveur de domaine sans fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations d'identification pour les périphériques clients compatibles FT, permettant ainsi une ré-authentification rapide et sécurisée.
Avec WPA2/WPA3, les clés de chiffrement ne sont pas saisies sur le téléphone, mais sont automatiquement dérivées entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP utilisés pour l'authentification doivent être saisis sur chaque téléphone.
Pour protéger le trafic vocal sur la liaison sans fil, le téléphone prend en charge le chiffrement AES pour l'authentification WPA2/WPA3. AES est un chiffrement par bloc symétrique standardisé par le NIST. AES utilise une taille de bloc fixe de 128 bits et prend en charge les tailles de clé de 128 bits, 192 bits et 256 bits. Dans les réseaux Wi-Fi, AES est utilisé par des suites de chiffrement telles que CCMP ou GCMP, tandis que l'authentification est fournie séparément par PSK, SAE ou 802.1X/EAP, selon le mode de sécurité WLAN configuré. La suite de chiffrement prise en charge et la taille de la clé dépendent du modèle du téléphone et de la configuration WLAN.
Lorsque le téléphone utilise le chiffrement AES, les paquets de signalisation SIP et les paquets vocaux du protocole de transport en temps réel (RTP) sont chiffrés entre le point d'accès et le téléphone.
Les modèles d'authentification et de chiffrement sont configurés dans le LAN sans fil. Les VLAN sont configurés dans le réseau et sur les points d'accès. Ils spécifient différentes combinaisons d'authentification et de chiffrement. Un SSID s'associe avec un VLAN et avec un modèle spécifique d'authentification et de chiffrement. Pour que les périphériques clients sans fil réussissent à s'authentifier, vous devez configurer les mêmes SSID avec leurs modèles d'authentification et de chiffrement sur les points d'accès et le téléphone.
Certains modèles d'authentification nécessitent des types de chiffrement spécifiques.
Lorsque vous utilisez une clé pré-partagée WPA2 ou SAE, cette clé doit être configurée de manière statique sur le téléphone. Ces clés doivent correspondre à celles présentes sur le point d'accès.
Les modèles d'authentification et de chiffrement dans le tableau suivant montrent les options de configuration réseau pour le téléphone sans fil Cisco 9821 qui correspond à la configuration du point d'accès.
| FSR Type | Authentification | Gestion des clés | Cryptage | Cadre de gestion protégé (CMR) |
|---|---|---|---|---|
| 802.11r (FT) | Clé pré-partagée |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Non |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Oui |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Non |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Oui |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Non |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Oui |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Non |
| 802.11r (FT) | PAE-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Oui |
| non-FT | Suite-B | WPA-EAP-SUITE-B | Le | Oui |
| non-FT | Suite B-192 | WPA-EAP-SUITE-B-192 | Le | Oui |
Configurer un profil Wi-Fi
Vous pouvez configurer un profil Wi-Fi et l'affecter au téléphone sans fil Cisco 9821. Ce profil contient les paramètres nécessaires pour que le téléphone établisse une connexion Wi-Fi et s'enregistre ensuite avec Cisco Unified CM. Lorsque vous créez et utilisez un profil Wi-Fi, vous ou vos utilisateurs n'avez pas besoin de configurer le réseau sans fil pour des téléphones individuels.
Nous vous recommandons d'utiliser un profil de sécurité avec le cryptage TFTP activé pour protéger les clés et les mots de passe lorsque vous utilisez un profil de réseau Wifi.
Les téléphones prennent en charge un certificat de serveur par méthode d'installation (manuelle, SCEP ou TFTP).
Gardez à l'esprit les remarques suivantes avant de configurer le profil WLAN :
-
Nom d'utilisateur et mot de passe
-
Lorsque votre réseau utilise EAP-FAST et PEAP pour l'authentification de l'utilisateur, vous devez configurer le nom d'utilisateur et le mot de passe si nécessaire sur le service d'authentification de l'utilisateur à distance (RADIUS) et le téléphone.
- Les informations d'authentification que vous entrez dans le profil de réseau local sans fil doivent être les mêmes que celles que vous avez configurées sur le serveur RADIUS.
-
Si vous utilisez des domaines à l'intérieur du réseau, vous devez saisir le nom d'utilisateur avec le nom de domaine au format :
domaine\nomutilisateur.
-
-
Les actions suivantes pourraient entraîner la suppression du mot de passe Wifi existant :
- Entrez un id utilisateur ou un mot de passe non valide
- L'installation d'une autorité de certification racine expirée ou non valide lorsque le type EAP est défini sur PEAP-MSCHAPV2 ou PEAP-GTC
- Désactiver le type EAP en cours d'utilisation sur le serveur RADIUS avant de basculer le téléphone vers le nouveau type EAP
- Pour modifier le type de EAP, assurez-vous d'activer d'abord le nouveau type de EAP sur le serveur RADIUS, puis basculez le téléphone vers le type de EAP. Lorsque tous les téléphones sont passés au nouveau type EAP, vous pouvez désactiver le type EAP précédent si vous le souhaitez.
| 1 |
Dans Cisco Unified Communications Manager Administration, sélectionnez . |
| 2 |
Cliquez sur Ajouter nouveau. |
| 3 |
Dans la section informations de profil de réseau local sans fil, définissez les paramètres :
|
| 4 |
Dans la section Paramètres sans fil, définissez les paramètres :
|
| 5 |
Dans la section Paramètres d'authentification , définissez la méthode d'authentification sur l'une de ces méthodes d'authentification : EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK et Aucune. Cisco Le téléphone sans fil 9821 ne prend pas en charge WEP. Après avoir défini ce champ, vous pouvez voir affichés de nouveaux champs que vous devez configurer.
Cisco Le téléphone sans fil 9821 ne prend pas en charge le champ Profil d'accès réseau. |
| 6 |
Cliquez sur Enregistrer. |
Les étapes suivantes
Liez le profil LAN sans fil à un groupe de profils WLAN, puis appliquez le groupe de profils WLAN à un pool de périphériques (Pool de périphériques système>
Installation d'un certificat utilisateur à partir de la page Web d'administration du téléphone
Vous pouvez installer manuellement un certificat utilisateur sur le téléphone si le protocole d'enregistrement simple des certificats (SCEP) n'est pas disponible.
Le certificat installé en usine préinstallé (MIC, Manufacturing Installed Certificate) est utilisable en tant que certificat utilisateur pour EAP-TLS.
Une fois le certificat utilisateur installé, vous devez ajouter la chaîne d'autorité de certification qui a émis le certificat utilisateur à la liste de confiance du serveur RADIUS.
Avant de commencer
Avant d'installer un certificat utilisateur pour un téléphone, vous devez avoir :
-
Un certificat utilisateur enregistré sur votre PC. Le certificat doit être au format PKCS #12.
-
Le mot de passe extrait du certificat. La longueur du mot de passe ne doit pas dépasser 32 caractères.
| 1 |
À partir de la page web d'administration du téléphone, choisissez Certificats. |
| 2 |
Localisez le champ Installation par l'utilisateur et cliquez sur Installer. |
| 3 |
Trouvez le certificat sur votre PC. |
| 4 |
Dans le champ Extraire le mot de passe, saisissez le mot de passe extrait du certificat. |
| 5 |
Cliquez sur Télécharger. |
| 6 |
Redémarrez le téléphone une fois que le téléchargement est terminé. |
Installer une autorité de certification du serveur d'authentification à partir de la page Web d'administration du téléphone
Vous pouvez installer manuellement une autorité de certification du serveur d'authentification sur le téléphone si le protocole d'enregistrement simple des certificats (SCEP) n'est pas disponible.
Le certificat d'autorité de certification racine qui a émis le certificat de serveur RADIUS doit être installé.
Avant de commencer
Avant de pouvoir installer un certificat sur un téléphone, vous devez disposer d'une autorité de certification du serveur d'authentification enregistrée sur votre PC. Le certificat doit être codé en PEM (Base-64) ou DER.
| 1 |
À partir de la page web d'administration du téléphone, choisissez Certificats. |
| 2 |
Localisez le champ serveur d'authentification de l'autorité de certification et cliquez sur Installer. |
| 3 |
Trouvez le certificat sur votre PC. |
| 4 |
Cliquez sur Télécharger. |
| 5 |
Redémarrez le téléphone une fois que le téléchargement est terminé. |
Supprimer manuellement un certificat de sécurité de la page Web d'administration du téléphone
Vous pouvez supprimer manuellement un certificat de sécurité à partir d'un téléphone si le Protocole d'inscription des certificats simples (SCEP) n'est pas disponible.
| 1 |
À partir de la page web d'administration du téléphone, choisissez Certificats. |
| 2 |
Localisez le certificat sur la page Certificats. |
| 3 |
Cliquez sur Supprimer. |
| 4 |
Redémarrez le téléphone une fois terminé le processus de suppression. |
Configuration de SCEP
Le protocole simple d'enregistrement de certificats (SCEP) représente la norme pour la mise à disposition et le renouvellement automatiques de certificats. Il permet d’éviter l’installation manuelle des certificats sur vos téléphones.
Activer les paramètres de configuration spécifiques au produit SCEP
Vous devez configurer les paramètres SCEP suivants sur Cisco Unified Communications Manager (Unified CM).
-
Adresse ou nom d'hôte RAIP
-
Empreinte SHA-1 ou SHA-256 du certificat CA de certification racine du serveur SCEP
L'autorité d'inscription (Registration Authority, RA) Cisco IOS fait office de proxy pour le serveur SCEP. Le client SCEP du téléphone utilise les paramètres téléchargés depuis Cisco Unified CM. Une fois les paramètres configurés, le téléphone envoie une requête SCEP getcs à la RA et le certificat d'autorité de certification racine est validé à l'aide de l'empreinte digitale définie.
| 1 |
Dans Cisco Unified Communications Manager Administration, sélectionnez . |
| 2 |
Localisez le téléphone. |
| 3 |
Faites défiler la page jusqu'à la zone Configuration spécifique au produit. |
| 4 |
Cochez la case WLAN Serveur SCEP pour activer le paramètre SCEP. |
| 5 |
Cochez la case WLAN Root CA Fingerprint (SHA256 ou SHA1) pour activer le paramètre SCEP QED. |
Prise en charge du serveur SCEP
Si vous utilisez un serveur de protocole d'inscription du certificat simple (SCEP), le serveur peut gérer automatiquement vos certificats d'utilisateur et le serveur. Sur le serveur SCEP, configurez le SCEP Agent d'inscription à :
-
Se comporter comme un point de confiance d'infrastructure de clé publique
-
Agir en tant qu'infrastructure de clé publique RA
-
Réaliser l'authentification du périphérique à l'aide d'un serveur RADIUS
Pour plus d'informations, consultez votre documentation de serveur SCEP.
Configuration d’un certificat localement important (LSC)
Il existe plusieurs méthodes pour installer un LSC. Cet exemple de tâche s'applique à la configuration d'un LSC avec la méthode de chaîne d'authentification sur le téléphone sans fil Cisco 9821.
Avant de commencer
Assurez-vous que les configurations de sécurité Cisco Unified CM et certificate authority proxy function (CAPF) appropriées sont terminées.
-
Le fichier CTL ou ITL doit être doté d'un certificat CAPF.
-
Les certificats CAPF doivent être installés dans Cisco Unified Communications Operating System Administration.
-
CAPF doit être configuré et en cours d’exécution.
Pour plus d'informations sur ces paramètres, consultez la documentation de votre version Cisco Unified CM particulière.
| 1 |
Obtenez la chaîne d'authentification CAPF qui a été définie lors de la configuration du CAPF. |
| 2 |
Sur le téléphone, accédez à la page Paramètres |
| 3 |
Sélectionnez . |
| 4 |
Saisissez la chaîne d'authentification. |
| 5 |
Appuyez sur d'autres Le téléphone commence à installer, mettre à jour ou supprimer le certificat valable localement, selon le mode de configuration du CAPF. Lorsque la procédure est terminée, le texte Installé ou Non installé s'affiche à l’écran du téléphone. Le processus d’installation, de mise à jour ou de suppression du certificat valable localement peut prendre un certain temps. Lorsque l’installation sur le téléphone réussit, le message |
Authentification 802.1x pour les réseaux câblés
Cisco Le téléphone sans fil 9821 prend en charge l'authentification 802.1X pour les réseaux filaires. Ce paramètre est généralement utilisé lors de la mise à disposition automatique lorsque le téléphone est connecté au chargeur de bureau via un adaptateur USB-Ethernet pris en charge.
La prise en charge de l'authentification 802.1X sur les réseaux câblés requiert plusieurs composants :
-
Téléphone IP Cisco : le téléphone envoie la requête d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux autoriser de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l’authentification réseau.
-
Serveur d'authentification : le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé RADIUS.
-
Commutateur : le commutateur doit prendre en charge 802.1X, de sorte qu'il peut agir en tant qu'authentifiant et relayer les messages EAP entre le téléphone et le serveur d'authentification. Une fois l’échange terminé, le commutateur accorde ou refuse au téléphone l’autorisation d’accéder au réseau.
Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole de découverte Cisco (CDP) pour s’identifier entre eux et pour déterminer des paramètres tels que l’allocation d’un réseau VLAN et les exigences relatives à l'alimentation en ligne.
Vous devez effectuer les actions suivantes pour configurer 802.1X.
-
Configurez le contournement CDP/LLDP voice VLAN.
-
Configurez le serveur d'authentification et le commutateur avant d'activer l'authentification 802.1X pour les réseaux câblés sur le téléphone.
-
Configure Voice VLAN (Configurer le VLAN voix) : la norme 802.1X ne tenant pas compte des VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.
- Activé : Si vous utilisez un commutateur qui prend en charge l'authentification sur plusieurs domaines, vous pouvez le configurer pour utiliser la voix VLAN.
- Désactivé : si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port à un VLAN natif.
-
Cisco Le téléphone sans fil 9821 a un préfixe différent dans le PID de celui des autres téléphones Cisco. Pour activer votre téléphone avec succès l'authentification 802.1x, définissez le Rayon· Paramètre Nom d'utilisateur pour inclure votre téléphone sans fil Cisco 9821.
Par exemple, le PID du téléphone sans fil Cisco 9821 est WP-9821. Vous pouvez définir Radius· Nom d'utilisateur pour
commencer par WPoucontient WPdans les deux sections suivantes : -
Activer l'authentification 802.1X pour les réseaux câblés sur votre téléphone
Procédez comme suit pour activer l'authentification 802.1X pour les réseaux câblés sur votre téléphone. Notez que l'authentification 802.1X pour Wi-Fi est activée par défaut et ne nécessite aucune configuration manuelle.
| 1 |
Accès aux paramètres |
| 2 |
Si vous y êtes invité, entrez le mot de passe pour accéder au menu Paramètres . Vous pouvez obtenir le mot de passe auprès de votre administrateur. |
| 3 |
Sélectionnez 802.1X. |
| 4 |
Mettez en surbrillance Device authentication (Authentification du périphérique) et appuyez sur Activé. |
Activer l'authentification 802.1X pour les réseaux câblés dans Cisco Unified Communications Manager Administration
Suivez ces étapes pour activer l'authentification 802.1X pour les réseaux câblés sur Cisco Unified CM. Notez que l'authentification 802.1X pour Wi-Fi est activée par défaut et ne nécessite aucune configuration manuelle.
Vous pouvez afficher l'état de la transaction et les paramètres de sécurité dans le menu de l'écran du téléphone. Pour plus d'informations, voir Menu Paramètres de sécurité sur le téléphone.
| 1 |
Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone. |
| 2 |
Localisez le téléphone à configurer. |
| 3 |
Accédez à la zone Présentation de la configuration spécifique au produit. |
| 4 |
Sélectionnez Activé dans le menu déroulant Authentification 802.1x. Lorsqu'elle est configurée sur Activé ou Désactivé, l'option d'authentification du périphérique sur le téléphone sans fil Cisco 9821 devient en lecture seule, empêchant les utilisateurs de modifier les paramètres d'authentification 802.1X. |
| 5 |
Sélectionnez Enregistrer. |
| 6 |
Sélectionnez Appliquer la configuration. |
Menu des paramètres de sécurité du téléphone
Pour afficher les informations sur les paramètres de sécurité dans le menu du téléphone, accédez à la page Paramètres
et sélectionnez 802.1X. La disponibilité des informations dépend des paramètres réseau de votre organisation.
|
Paramètres |
Options |
Par défaut |
Description |
|---|---|---|---|
|
Authentification du périphérique |
Activé Désactivé |
Désactivé |
Active ou désactive l'authentification 802.1X sur le téléphone. Le paramètre peut être conservé après l'enregistrement OOB (Out-Of-Box) du téléphone. |
|
État de la transaction | Désactivé |
Affiche l'état de l'Authentification 802.1x. L'état peut être (sans s'y limiter) :
| |
|
Protocole | Aucun |
Affiche la méthode EAP utilisée pour l'authentification 802.1x. Il peut s’agir du protocole EAP-FAST ou EAP-TLS. |
Configurer les versions prises en charge de TLS
Vous pouvez configurer la version minimale de TLS requise respectivement pour le client et le serveur.
Par défaut, la version minimale TLS du serveur et du client est toutes deux 1.2. Ce paramètre a des répercussions sur les fonctions suivantes :
- Connexion d'accès Web HTTPS
- Intégration des téléphones locaux
- Les services HTTPS, tels que les services d'annuaire
- Sécurité de la couche de transport de datagramme (DTLS)
- Entité d'accès au port (PAE)
- Protocole d'authentification extensible - Sécurité de la couche de transport (EAP-TLS)
Pour plus d'informations sur la compatibilité TLS 1.3 pour Cisco IP Phones, voir Matrice de compatibilité TLS 1.3 pour les produits de collaboration Cisco.
| 1 |
Dans Cisco Unified Communications Manager Administration, effectuez l'une des actions suivantes selon vos besoins :
La configuration suit une structure hiérarchique :
|
| 2 |
Configurez le champ Version minimale du client TLS : L'option TLS 1.3 est disponible sur Cisco Unified CM 15SU2, ou version ultérieure.
|
| 3 |
Configurez le champ Version minimale du serveur TLS :
|
| 4 |
Cliquez sur Enregistrer. |
| 5 |
Cliquez sur Appliquer la configuration. |
| 6 |
Redémarrez les téléphones. |
TURN désactivé le haut-parleur et le casque sur le téléphone sans fil Cisco 9821
Vous avez la possibilité d'éteindre définitivement TURN le haut-parleur et le casque sur un téléphone sans fil Cisco 9821 pour votre utilisateur. La désactivation de ces sorties audio garantit que les conversations ne sont pas entendues par d'autres personnes à proximité, ce qui est important dans les environnements de bureau partagés ou ouverts.
| 1 |
Dans Cisco Unified Communications Manager Administration, sélectionnez . |
| 2 |
Localisez le téléphone à configurer. |
| 3 |
Accédez à la zone Présentation de la configuration spécifique au produit. |
| 4 |
Cochez une ou plusieurs des cases suivantes pour TURN désactiver les fonctionnalités du téléphone :
Par défaut, ces cases sont désactivées. |
| 5 |
Sélectionnez Enregistrer. |
| 6 |
Sélectionnez Appliquer la configuration. |
