- בית
- /
- מאמר
אבטחת טלפון IP של Cisco
מאמר עזרה זה מיועד לטלפון שולחני Cisco מדגם 9800 ולטלפון Cisco Video Phone 8875 הרשומים ב-Cisco BroadWorks.
התקנה ידנית של אישור התקן מותאם אישית
באפשרותך להתקין באופן ידני אישור התקן מותאם אישית (CDC) בטלפון על-ידי העלאת האישור מדף האינטרנט של ניהול הטלפון.
לפני שאתה מתחיל
לפני שתוכל להתקין אישור התקן מותאם אישית עבור טלפון, דרושים לך:
- קובץ אישור ( .p12 או .pfx) נשמר במחשב. הקובץ מכיל את האישור והמפתח הפרטי.
- סיסמת החילוץ של האישור. הסיסמה משמשת לפענוח קובץ האישור.
1 |
גישה אל דף האינטרנט של ניהול הטלפון. |
2 |
בחר אישור. |
3 |
במקטע הוספת אישור , לחץ על עיון.... |
4 |
דפדף אל האישור במחשב האישי שלך. |
5 |
בתוך ה חלץ סיסמה בשדה, הזן את סיסמת חילוץ האישור. |
6 |
נְקִישָׁה העלה. אם קובץ האישור והסיסמה נכונים, תקבל את ההודעה "
אישור נוסף. ". אחרת, ההעלאה נכשלת עם הודעת שגיאה המציינת שלא ניתן להעלות את האישור. |
7 |
כדי לבדוק את פרטי האישור המותקן, לחץ על תצוגה במקטע אישורים קיימים. |
8 |
כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק במקטע אישורים קיימים. לאחר שתלחץ על הכפתור, פעולת ההסרה תתחיל באופן מיידי ללא אישור.
אם האישור הוסר בהצלחה, תקבל את ההודעה " |
התקנה אוטומטית של אישור התקן מותאם אישית על-ידי SCEP
באפשרותך להגדיר את הפרמטרים Simple Certificate Enrollment Protocol (SCEP) כדי להתקין באופן אוטומטי את אישור ההתקן המותאם אישית (CDC), אם אינך מעוניין להעלות את קובץ האישור באופן ידני או אם קובץ האישור אינו במקומו.
כאשר פרמטרי SCEP מוגדרים כראוי, הטלפון שולח בקשות לשרת SCEP, ואישור CA מאומת על-ידי התקן באמצעות טביעת האצבע שהוגדרה.
לפני שאתה מתחיל
לפני שתוכל לבצע התקנה אוטומטית של אישור התקן מותאם אישית עבור טלפון, דרושים לך:
- כתובת שרת SCEP
- טביעת אצבע SHA-1 או SHA-256 של אישור CA השורש עבור שרת SCEP
1 |
גישה אל דף האינטרנט של ניהול הטלפון. |
2 |
בחר אישור. |
3 |
במקטע תצורת SCEP 1 , הגדר את הפרמטרים כמתואר בטבלה הבאה פרמטרים עבור תצורת SCEP. |
4 |
לחץ על שלח את כל השינויים. |
פרמטרים עבור תצורת SCEP
הטבלה הבאה מגדירה את הפונקציה והשימוש של פרמטרי תצורת SCEP בקטע תצורת SCEP 1 תחת הכרטיסיה אישור בממשק האינטרנט של הטלפון. הוא גם מגדיר את תחביר המחרוזת שמתווסף לקובץ תצורת הטלפון (cfg.xml) כדי להגדיר פרמטר.
פרמטר | תיאור |
---|---|
שרת |
כתובת שרת SCEP. פרמטר זה הוא חובה. בצע אחת מהפעולות הבאות:
ערכים חוקיים: כתובת URL או כתובת IP. סכימת HTTPS אינה נתמכת. ברירת מחדל: ריק |
שורש CA טביעת אצבע |
SHA256 או SHA1 טביעת אצבע של CA הבסיס לצורך אימות במהלך תהליך SCEP. פרמטר זה הוא חובה. בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
סיסמת אתגר |
סיסמת האתגר עבור הרשאת Certificate Authority (CA) מול הטלפון במהלך רישום אישור באמצעות SCEP. פרמטר זה הוא אופציונלי. בהתאם לסביבת SCEP בפועל, אופן הפעולה של סיסמת אתגר משתנה.
בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
תצורת פרמטרי SCEP באמצעות אפשרות DHCP 43
בנוסף לרישום אישור SCEP על-ידי התצורות הידניות בדף האינטרנט של הטלפון, באפשרותך גם להשתמש באפשרות DHCP 43 כדי לאכלס את הפרמטרים משרת DHCP. אפשרות DHCP 43 מוגדרת מראש עם פרמטרי SCEP, מאוחר יותר הטלפון יכול להביא את הפרמטרים משרת DHCP כדי לבצע את רישום אישור SCEP.
- תצורת פרמטרי SCEP באמצעות אפשרות 43 DHCP זמינה רק עבור הטלפון שבו מתבצע איפוס להגדרות היצרן.
- טלפונים לא יוצבו ברשת התומכת הן באפשרות 43 והן בהקצאה מרחוק (לדוגמה, אפשרויות 66,160,159,150 או הקצאת ענן). אחרת, ייתכן שהטלפונים לא יקבלו את התצורות של אפשרות 43.
כדי לרשום אישור SCEP על-ידי קביעת התצורה של פרמטרי SCEP באפשרות DHCP 43, בצע את הפעולות הבאות:
- הכן סביבת SCEP.
לקבלת מידע אודות הגדרת סביבת SCEP, עיין בתיעוד שרת SCEP.
- הגדר DHCP אפשרות 43 (מוגדר ב - 8.4 מידע ספציפי לספק, RFC 2132).
אפשרויות משנה (10–15) שמורות לשיטה:
פרמטר בדף האינטרנט של הטלפון אפשרות משנה סוג אורך (בתים) חובה מצב FIPS 10 בוליאני 1 לא* שרת 11 מחרוזת 208 - אורך (סיסמת אתגר) כן שורש CA טביעת אצבע 12 בינארי 20 או 32 כן סיסמת אתגר 13 מחרוזת 208 - אורך (שרת) לא* הפעל אימות 802.1X 14 בוליאני 1 לא בחירת אישור 15 8 סיביות לא חתומות 1 לא בעת שימוש באפשרות DHCP 43, שים לב למאפיינים הבאים של השיטה:
- אפשרויות משנה (10-15) שמורות לאישור התקן מותאם אישית (CDC).
- האורך המרבי של אפשרות 43 DHCP הוא 255 בתים.
- האורך המרבי של Server + Challenge Password יהיה קטן מ-208 בתים.
- הערך של מצב FIPS יהיה עקבי עם תצורת הקצאת הקליטה. אחרת, הטלפון לא יצליח לאחזר את האישור שהותקן קודם לכן לאחר העלייה לאונייה. במיוחד
- אם הטלפון יירשם בסביבה שבה מצב FIPS מושבת, אין צורך להגדיר את הפרמטר מצב FIPS באפשרות 43 DHCP. כברירת מחדל, מצב FIPS מושבת.
- אם הטלפון יירשם בסביבה שבה מצב FIPS מופעל, עליך להפעיל את מצב FIPS באפשרות 43 DHCP. ראה הפעלת מצב FIPS לקבלת פרטים.
- הסיסמה באפשרות 43 היא בטקסט ברור.
אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI לצורך ההרשמה הראשונית וחידוש האישור. אם סיסמת האתגר מוגדרת, היא משמשת רק להרשמה הראשונית, והאישור המותקן ישמש לחידוש האישור.
- הפעלת אימות 802.1X ובחירת אישור משמשים רק עבור טלפונים ברשת קווית.
- DHCP אפשרות 60 (מזהה מחלקת ספק) משמשת לזיהוי דגם המכשיר.
הטבלה הבאה מספקת דוגמה לאפשרות 43 DHCP (אפשרויות משנה 10-15):
אפשרות משנה עשרונית/הקסדצימאלית אורך ערך (בתים) עשרוני/הקסדצימלי ערך ערך הקסדצימלי 10/0א 1/01 1 (0: מושבת; 1: מופעל) 01 11/0ב 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0ג 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0ד 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0ה 1/01 1 (0: לא; 1: כן) 01 15/0F 1/01 1 (0: ייצור מותקן; 1: מותאם אישית מותקן) 01 סיכום ערכי הפרמטרים:
-
מצב FIPS =
מופעל
-
שרת =
http://10.79.57.91
-
שורש CA טביעת אצבע =
12040870625C5B755D73F5925285F8F5FF5D55AF
-
סיסמת אתגר =
D233CCF9B9952A15
-
הפעל אימות 802.1X =
כן
-
אישור בחר =
מותקן מותאם אישית
התחביר של הערך ההקסדצימלי הסופי הוא:
{<suboption><length><value>}...
על פי ערכי הפרמטרים לעיל, ערך ההקסדצימלי הסופי הוא כדלקמן:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101
- הגדר DHCP אפשרות 43 בשרת DHCP.שלב זה מספק דוגמה לתצורות DHCP אפשרות 43 ב-Cisco Network Register.
- הוסף DHCP הגדרת אפשרויות.
מחרוזת אפשרויות ספק היא שם הדגם של IP טלפונים. הערך החוקי הוא: DP-9841, DP-9851, DP-9861, DP-9871 או CP-8875.
- הוסף את אפשרות DHCP 43 ואת אפשרויות המשנה לערכת הגדרות האפשרויות DHCP.
דוגמה:
- הוסף את אפשרויות 43 למדיניות DHCP והגדר את הערך באופן הבא:
דוגמה:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
- אמת את ההגדרות. באפשרותך להשתמש ב- Wireshark כדי ללכוד מעקב אחר תעבורת הרשת בין הטלפון לשירות.
- הוסף DHCP הגדרת אפשרויות.
- בצע איפוס להגדרות יצרן עבור הטלפון.
לאחר איפוס הטלפון, הפרמטרים שרת, טביעת אצבע CA בסיס וסיסמת אתגר ימולאו באופן אוטומטי. פרמטרים אלה ממוקמים בסעיף תצורת SCEP 1 מתוך בדף האינטרנט של ניהול הטלפון.
כדי לבדוק את פרטי האישור המותקן, לחץ על תצוגה במקטע אישורים קיימים.
כדי לבדוק את מצב התקנת האישור, בחר הורדה 1 מציג את התוצאה האחרונה. אם מתרחשת בעיה כלשהי במהלך רישום האישור, מצב ההורדה יכול להציג את סיבת הבעיה למטרות פתרון בעיות.
מותאם אישית. מצבאם אימות סיסמת האתגר נכשל, המשתמשים יתבקשו להזין את הסיסמה במסך הטלפון. - (אופציונלי): כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק במקטע אישורים קיימים.לאחר שתלחץ על הכפתור, פעולת ההסרה תתחיל באופן מיידי ללא אישור.
חידוש אישור על-ידי SCEP
תהליך SCEP יכול לרענן את אישור ההתקן באופן אוטומטי.
- הטלפון בודק אם תוקף האישור יפוג בעוד 15 יום כל 4 שעות. אם כן, הטלפון מתחיל את תהליך חידוש האישור באופן אוטומטי.
- אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI הן להרשמה ראשונית והן לחידוש אישור. אם סיסמת האתגר מוגדרת, היא משמשת להרשמה ראשונית בלבד, האישור הקיים/מותקן משמש לחידוש אישור.
- הטלפון אינו מסיר את אישור ההתקן הישן עד שהוא מאחזר את החדש.
- אם חידוש האישור נכשל מכיוון שתוקפו של אישור המכשיר או רשות אישורים פגה, הטלפון מפעיל את ההרשמה הראשונית באופן אוטומטי. בינתיים, אם אימות סיסמת האתגר נכשל, מסך קלט סיסמה מוקפץ במסך הטלפון והמשתמשים מתבקשים להזין את סיסמת האתגר בטלפון.
הפעל את מצב FIPS
אתה יכול להפוך את הטלפון הפדרלי לעיבוד מידע (FIPS) תואם.
FIPS הם סט של תקנים המתארים עיבוד מסמכים, אלגוריתמי הצפנה ותקני טכנולוגיית מידע אחרים לשימוש בתוך ממשל לא צבאי ועל ידי קבלנים וספקים ממשלתיים שעובדים עם הסוכנויות. CiscoSSL FOM (FIPS Object Module) הוא רכיב תוכנה מוגדר בקפידה המיועד לתאימות עם ספריית CiscoSSL, כך שניתן להמיר מוצרים המשתמשים בספריית CiscoSSL וב-API לשימוש בקריפטוגרפיה מאומתת FIPS 140-2 במאמץ מינימלי.
1 |
גישה אל דף האינטרנט של ניהול הטלפון. |
2 |
בחר . |
3 |
במקטע הגדרות אבטחה, בחר כן או לא מתוך הפרמטר מצב FIPS . |
4 |
לחץ על שלח את כל השינויים. כאשר אתה מפעיל FIPS, התכונות הבאות פועלות בצורה חלקה בטלפון:
|
הסר באופן ידני אישור אבטחה
אתה יכול להסיר באופן ידני אישור אבטחה מהטלפון אם פרוטוקול Simple Certificate Enrollment (SCEP) אינו זמין.
1 |
מדף האינטרנט של ניהול הטלפון, בחר תעודות. |
2 |
אתר את האישור ב- תעודות עמוד. |
3 |
נְקִישָׁה לִמְחוֹק. |
4 |
הפעל מחדש את הטלפון לאחר סיום תהליך המחיקה. |
הגדרת סיסמת המשתמש ומנהל המערכת
לאחר שהטלפון נרשם למערכת בקרת שיחות בפעם הראשונה או לאחר ביצוע איפוס להגדרות יצרן בטלפון, עליך להגדיר את סיסמת המשתמש ומנהל המערכת כדי לשפר את אבטחת הטלפון. רק כאשר הסיסמה מוגדרת, באפשרותך לשלוח את השינויים מדף האינטרנט של הטלפון.
כברירת מחדל, אזהרת ללא סיסמה מופעלת בטלפון. כאשר לטלפון אין סיסמת משתמש או סיסמת מנהל מערכת, האזהרות הבאות מוצגות:
- דף האינטרנט של הטלפון מציג את ההודעה "לא סופקה סיסמת מנהל. האינטרנט נמצא במצב קריאה בלבד ואין באפשרותך לשלוח שינויים. אנא שנה את הסיסמה." בפינה השמאלית העליונה.
השדות סיסמת משתמש וסיסמת מנהל מערכת מציגים את האזהרה "לא סופקה סיסמה" בהתאמה אם הם ריקים.
- מסך הטלפון בעיות ואבחון מציג את הבעיה 'לא סופקה סיסמה'.
1 |
גש לדף האינטרנט של ניהול הטלפון |
2 |
בחר . |
3 |
(אופציונלי) במקטע תצורת מערכת, הגדר את הפרמטר הצגת אזהרות סיסמה ככן ולאחר מכן לחץ עלשלח את כל השינויים . אתה יכול גם להפעיל את הפרמטרים בקובץ התצורה של הטלפון (cfg.xml).
ברירת מחדל: כן אפשרויות: כן|לא כאשר הפרמטר מוגדר לא , אזהרת הסיסמה אינה מופיעה בדף האינטרנט או במסך הטלפון. כמו כן, מצב מוכן בלבד עבור דף האינטרנט לא יופעל למרות שהסיסמה ריקה. |
4 |
אתר את הפרמטר User Password או Admin Password, ולחץ על Change Password לצד הפרמטר. |
5 |
הזן את סיסמת המשתמש הנוכחית בשדה Old Password.. אם אין לך סיסמה, השאר את השדה ריק. ערך ברירת המחדל ריק.
|
6 |
הזן סיסמה חדשה בשדה New Password.. |
7 |
לחץ על שלח. ההודעה לאחר הגדרת סיסמת המשתמש, פרמטר זה מציג את הדברים הבאים בקובץ ה-XML של תצורת הטלפון (cfg.xml):
אם אתה מקבל את קוד השגיאה 403 בעת ניסיון לגשת לדף האינטרנט של הטלפון, עליך להגדיר את סיסמת המשתמש או מנהל המערכת על-ידי הקצאת משאבים בקובץ תצורת הטלפון (cfg.xml). לדוגמה, הזן מחרוזת בתבנית הבאה:
|
אימות 802.1X
טלפונים IP של Cisco תומכים באימות 802.1X.
טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות. CDP אינו מזהה תחנות עבודה מחוברות מקומיות. טלפון Cisco IP מספק מנגנון מעבר EAPOL. מנגנון זה מאפשר לתחנת עבודה המחוברת לטלפון Cisco IP להעביר הודעות EAPOL למאמת 802.1X במתג LAN. מנגנון המעבר מבטיח שטלפון ה-IP לא יפעל כמתג LAN לאימות נקודת קצה נתונים לפני הגישה לרשת.
טלפון Cisco IP מספק בנוסף מנגנון התנתקות של פרוקסי EAPOL. אם המחשב המחובר המקומי מתנתק מטלפון ה-IP, מתג ה-LAN לא רואה את הקישור הפיזי נכשל, מכיוון שהקישור בין מתג ה-LAN לטלפון ה-IP נשמר. כדי להימנע מלפגוע בשלמות הרשת, טלפון ה-IP שולח הודעת EAPOL-Logoff למתג מטעם המחשב במורד הזרם, המפעיל את מתג ה-LAN לנקות את ערך האימות של המחשב במורד הזרם.
דרושים מספר רכיבים לתמיכה באימות 802.1X:
-
טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.
-
שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף שמאמת את הטלפון.
-
החלף: המתג חייב לתמוך ב-802.1X, כך שהוא יכול לשמש כמאמת ולהעביר את ההודעות בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.
עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.
-
הגדר את הרכיבים האחרים לפני שתפעיל את אימות 802.1X בטלפון.
-
הגדר את יציאת המחשב: תקן 802.1X אינו מתייחס לרשתות VLAN ולכן ממליץ שרק התקן בודד יעבור אימות ליציאת מתג ספציפית. עם זאת, מתגים מסוימים תומכים באימות מרובה תחומים. תצורת המתג קובעת אם באפשרותך לחבר מחשב ליציאת המחשב של הטלפון.
-
מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להפעיל את יציאת המחשב ולחבר אליו מחשב. במקרה זה, טלפון Cisco IP תומך בפרוקסי EAPOEAPOL-Logoff כדי לנטר את חילופי האימות בין המתג למחשב המחובר.
למידע נוסף על תמיכה ב-IEEE 802.1X על מתגי Cisco Catalyst, עיין במדריכי תצורת מתג Cisco Catalyst בכתובת:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
נָכֶה: אם המתג אינו תומך במספר התקנים תואמי 802.1X באותה יציאה, עליך להשבית את יציאת המחשב כאשר אימות 802.1X מופעל. אם לא תבטל יציאה זו ולאחר מכן תנסה לחבר אליה מחשב, המתג מונע גישה לרשת הן לטלפון והן למחשב.
-
- הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.
- מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להמשיך בו כדי להשתמש ב-VLAN הקולי.
- נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
- (עבור טלפון שולחני Cisco מסדרת 9800 בלבד)
לטלפון השולחני של Cisco מסדרת 9800 יש קידומת שונה ב-PID מזו של טלפונים אחרים של Cisco. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש שיכלול את טלפון Cisco Desk Phone 9800 Series.
לדוגמה, PID של טלפון 9841 הוא DP-9841; באפשרותך להגדיר רדיוס· שם משתמש להתחיל
עם DP
אומכיל DP
. ניתן להגדיר אותו בשני הסעיפים הבאים: -
אפשר אימות 802.1X
כאשר אימות 802.1X מופעל, הטלפון משתמש באימות 802.1X כדי לבקש גישה לרשת. כאשר אימות 802.1X מושבת, הטלפון משתמש ב-Cisco Discovery Protocol (CDP) כדי להשיג VLAN וגישה לרשת. ניתן גם להציג את סטטוס העסקה והשינוי בתפריט מסך הטלפון.
כאשר אימות 802.1X מופעל, באפשרותך גם לבחור את אישור ההתקן (MIC/SUDI או מותאם אישית) עבור ההרשמה הראשונית והחידוש של האישור. בדרך כלל, MIC מיועד לטלפון Cisco Video Phone 8875, SUDI מיועד לטלפון Cisco Desk Phone 9800 Series. CDC יכול לשמש לאימות רק ב- 802.1x.
1 |
בצע אחת מהפעולות הבאות להפעלת אימות 802.1X:
| ||||||||||||||||||||
2 |
בחר אישור (MIC או מותאם אישית) עבור אימות 802.1X בדף האינטרנט של הטלפון.
לקבלת מידע אודות אופן בחירת סוג אישור במסך הטלפון, ראה חיבור הטלפון לרשת Wi-Fi.
|
הגדרת שרת Proxy
באפשרותך להגדיר את הטלפון לשימוש בשרת proxy כדי לשפר את האבטחה. בדרך כלל, שרת proxy של HTTP יכול לספק את השירותים הבאים:
- ניתוב תעבורה בין רשתות פנימיות וחיצוניות
- סינון, ניטור או רישום תעבורה
- אחסון תגובות במטמון לשיפור הביצועים
כמו כן, שרת ה-proxy של HTTP יכול לשמש כחומת אש בין הטלפון לאינטרנט. לאחר תצורה מוצלחת, הטלפון מתחבר לאינטרנט דרך שרת פרוקסי המגן על הטלפון מפני התקפת סייבר.
לאחר קביעת התצורה, תכונת ה-proxy של HTTP חלה על כל היישומים המשתמשים בפרוטוקול HTTP. לדוגמה:
- GDS (הכנסת קוד הפעלה)
- הפעלת מכשיר EDOS
- הצטרפות לענן Webex (דרך EDOS או GDS)
- CA מותאם אישית
- מקצה
- שדרוג קושחה
- דוח מצב טלפון
- העלאת PRT
- שירותי XSI
- שירותי Webex
1 |
גישה אל דף האינטרנט של ניהול הטלפון. | ||||||||||||||||
2 |
בחר . | ||||||||||||||||
3 |
בסעיף הגדרות proxy של HTTP, בחר מצב proxy מהרשימה הנפתחת מצב proxy והגדר את הפרמטרים הקשורים. עבור כל מצב proxy, הפרמטרים הנדרשים שונים. ראה פרטים בטבלה הבאה:
לקבלת מידע נוסף אודות הפרמטרים, ראה פרמטרים עבור הגדרות proxy של HTTP. | ||||||||||||||||
4 |
לחץ על שלח את כל השינויים. |
פרמטרים עבור הגדרות proxy של HTTP
הטבלה הבאה מגדירה את הפונקציה והשימוש של פרמטרי HTTP proxy בקטע הגדרות Proxy של HTTP תחת בממשק האינטרנט של הטלפון. הוא בנוסף מגדיר את תחביר המחרוזת אשר מתווסף אל קובץ התצורה של הטלפון (cfg.xml) עם קוד XML כדי להגדיר תצורת פרמטר.
פרמטר | תיאור |
---|---|
מצב Proxy | מציין את מצב ה-proxy של HTTP שהטלפון משתמש בו, או משבית את תכונת ה-proxy של HTTP.
בצע אחת מהפעולות הבאות:
ערכים מותרים: אוטומטי, ידני וכבוי ברירת מחדל: כבוי |
גילוי אוטומטי של Web Proxy | קובע אם הטלפון משתמש בפרוטוקול Web Proxy Auto Discovery (WPAD) כדי לאחזר קובץ PAC. פרוטוקול WPAD משתמש DHCP או DNS, או בשני פרוטוקולי הרשת כדי לאתר קובץ תצורה אוטומטית של פרוקסי (PAC) באופן אוטומטי. קובץ PAC משמש לבחירת שרת proxy עבור כתובת URL נתונה. קובץ זה יכול להתארח באופן מקומי או ברשת.
בצע אחת מהפעולות הבאות:
ערכים מותרים: כן/לא ברירת מחדל: כן |
PAC URL | כתובת URL של קובץ PAC. לדוגמה, TFTP, HTTP ו-HTTPS נתמכים. אם תגדיר את מצב ה-proxy לגילוי אוטומטי ואת גילוי אוטומטי של פרוקסי באינטרנט ללא , עליך להגדירפרמטר זה. בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
מארח proxy | כתובת ה-IP או שם המארח של שרת המארח של ה-proxy שאליו ניתן לגשת לטלפון. לדוגמה:
הסכמה ( אם תגדיר את Proxy Mode ל-Manual, עליך להגדיר פרמטר זה. בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
יציאת proxy | מספר יציאה של שרת מארח ה-proxy. אם תגדיר את Proxy Mode ל- Manual, עליך להגדיר פרמטר זה. בצע אחת מהפעולות הבאות:
ברירת מחדל: 3128 |
אימות Proxy | קובע אם המשתמש צריך לספק את אישורי האימות (שם משתמש וסיסמה) ששרת ה-proxy דורש. פרמטר זה מוגדר בהתאם להתנהגות בפועל של שרת ה-proxy. אם תגדיר את הפרמטר ל- Yes, עליך להגדיר Usernameו- Password. לקבלת פרטים על הפרמטרים, עיין בפרמטר "שם משתמש" ו- "סיסמה" בטבלה זו. תצורת הפרמטר נכנסת לתוקף כאשר Proxy Mode מוגדר ל- Manual . בצע אחת מהפעולות הבאות:
ערכים מותרים: כן/לא ברירת מחדל: לא |
שם משתמש | שם משתמש עבור משתמש אישור בשרת ה-proxy. אם מצב Proxy מוגדר ידני ואימות Proxy מוגדר ככן , עליך להגדיר את הפרמטר. בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
סיסמה | הסיסמה של שם המשתמש שצוין למטרת אימות ה-proxy. אם מצב Proxy מוגדר ידני ואימות Proxy מוגדר ככן , עליך להגדיר את הפרמטר. בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
הפעל מצב ייזום-לקוח עבור משא ומתן של אבטחת מישור מדיה
כדי להגן על מושבי מדיה, באפשרותך להגדיר את הטלפון כך שיזום משא ומתן לאבטחת מישור מדיה עם השרת. מנגנון האבטחה פועל בהתאם לתקנים המצוינים ב-RFC 3329 וטיוטת ההרחבה שלו, שמות מנגנוני אבטחה עבור מדיה (ראה https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). תעבורת המשא ומתן בין הטלפון לשרת יכולה להשתמש בפרוטוקול SIP על-גבי UDP, TCP, ו-TLS. ניתן להגביל את החלת משא ומתן אבטחת מישור מדיה כאשר פרוטוקול תעבורת איתות הןא TLS.
1 |
גישה אל דף האינטרנט של ניהול הטלפון. | ||||||
2 |
בחר . | ||||||
3 |
במקטע הגדרות SIP, הגדר את השדות MediaSec Request ו - MediaSec Over TLS Only כמוגדר בטבלה הבאה:
| ||||||
4 |
לחץ על שלח את כל השינויים. |
אבטחת WLAN
מכיוון שכל התקני ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN האחרת, אבטחת תקשורת קולית היא קריטית ב-WLAN. כדי להבטיח שהפורצים לא יבצעו מניפולציות ולא יירטו תעבורה קולית, ארכיטקטורת Cisco SAFE Security תומכת בטלפון. למידע נוסף על אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
פתרון הטלפוניה IP האלחוטית של Cisco מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת בסכנה באמצעות שיטות האימות הבאות שבהן תומך הטלפון:
-
פתח את האימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת משתמשים. ייתכן שהתקשורת בין ההתקן האלחוטי לנקודת הגישה (AP) אינה מוצפנת.
-
Extensible Authentication Protocol-Flexible Authentication באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחה זו של שרת-לקוח מצפינה טרנזקציות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין נקודת הגישה לשרת ה-RADIUS, כגון Identity Services Engine (ISE).
מנהרת TLS משתמשת באישורי גישה מוגנת (PAC) לאימות בין הלקוח (טלפון) לשרת RADIUS. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת RADIUS. השרת מפענח את ה-PAC עם המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח PAC ונוצרת מנהרת TLS. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת RADIUS.
ב- ISE, כברירת מחדל, תוקפו של PAC פג בעוד שבוע. אם לטלפון יש PAC שפג תוקפו, האימות עם שרת RADIUS נמשך זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.
-
אימות פרוטוקול הרחבה-שכבת תחבורה (EAP-TLS) אימות: EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, ניתן MIC אישור הלקוח, אישור LSC או אישור המותקן על-ידי המשתמש.
-
Protected Extensible Authentication Protocol (PEAP): סכימת אימות הדדי מבוססת סיסמאות קניינית של Cisco בין הלקוח (טלפון) לשרת RADIUS. הטלפון יכול להשתמש ב-PEAP לצורך אימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.
-
מפתח טרום-משותף (PSK): הטלפון תומך בתבנית ASCII. עליך להשתמש בתבנית זו בעת הגדרת מפתח משותף מראש של WPA/WPA2/SAE:
ASCII: מחרוזת תווים ASCII באורך של 8 עד 63 תווים (0-9, אותיות קטנות ואותיות גדולות AZ, ותווים מיוחדים)
דוגמה: GREG123567@9ZX&W
סכימות האימות הבאות משתמשות בשרת RADIUS לניהול מפתחות אימות:
-
WPA/WPA2/WPA3: משתמש במידע שרת RADIUS ליצירת מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת ה-RADIUS המרכזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות משותפים מראש של WPA המאוחסנים ב-AP ובטלפון.
-
נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע של שרת תחום אלחוטי (WDS) לניהול ואימות מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור התקני לקוח התומכים ב-FT לצורך אימות מחדש מהיר ומאובטח. טלפון שולחני Cisco 9861 ו- 9871 וטלפון Cisco Video Phone 8875 תומכים ב- 802.11r (FT). הן דרך האוויר והן מעל DS נתמכות כדי לאפשר נדידה מהירה ומאובטחת. אבל אנו ממליצים בחום להשתמש בשיטת 802.11r (FT) מעל האוויר.
עם WPA/WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין נקודת הגישה לטלפון. אבל יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.
כדי להבטיח שתעבורת הקול מאובטחת, הטלפון תומך ב-TKIP וב-AES להצפנה. כאשר מנגנונים אלה משמשים להצפנה, הן מנות SIP האיתות והן מנות פרוטוקול תעבורה בזמן אמת (RTP) קוליות מוצפנות בין נקודת הגישה והטלפון.
- TKIP
-
WPA משתמש בהצפנת TKIP הכוללת מספר שיפורים במהלך WEP. TKIP מספקת הצפנת מפתח לכל מנה ווקטורי אתחול ארוכים יותר (IVs) המחזקים את ההצפנה. בנוסף, בדיקת תקינות ההודעה (MIC) מבטיחה שמנות מוצפנות אינן משתנות. TKIP מסיר את יכולת החיזוי של WEP המסייעת לפולשים לפענח את מפתח ה-WEP.
- AES
-
שיטת הצפנה המשמשת לאימות WPA2/WPA3. תקן לאומי זה להצפנה משתמש באלגוריתם סימטרי בעל אותו מפתח להצפנה ולפענוח. AES משתמש בהצפנת Chipher Blocking Chain (CBC) בגודל 128 סיביות, התומך בגדלים של מפתחות של 128 סיביות, 192 סיביות ו-256 סיביות, כמינימום. הטלפון תומך בגודל מפתח של 256 סיביות.
Cisco Desk Phone דגמים 9861 ו-9871 ו-Cisco Video Phone 8875 אינם תומכים בפרוטוקול תקינות מפתחות של Cisco (CKIP) עם CMIC.
סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-APs ומציינים שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולסכימת האימות וההצפנה המסוימת. כדי שהתקני לקוח אלחוטיים יוכלו לבצע אימות מוצלח, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם בנקודות הגישה ובטלפון.
סכימות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.
- כאשר אתה משתמש במפתח טרום-שיתוף WPA, מפתח שיתוף מראש של WPA2 או SAE, המפתח הטרום-משותף חייב להיות מוגדר באופן סטטי בטלפון. מפתחות אלה חייבים להתאים למפתחות שנמצאים ב-AP.
-
הטלפון תומך במשא ומתן EAP אוטומטי עבור FAST או PEAP, אך לא עבור TLS. עבור מצב EAP-TLS, יש לציין אותו.
סכימות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור הטלפון המתאים לתצורת נקודת גישה.
סוג FSR | אימות | ניהול מפתח | הצפנה | מסגרת ניהול מוגנת (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | לא |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | כן |
802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | לא |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | כן |
802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | לא |
802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | כן |
802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | לא |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | כן |
הגדרת פרופיל Wi-Fi
ניתן להגדיר פרופיל Wi-Fi מדף האינטרנט של הטלפון או מנסכרון מחדש של מפרופיל התקן מרוחק ושיוך הפרופיל לרשתות ה-Wi-Fi הזמינות. ניתן להשתמש בפרופיל Wi-Fi זה כדי להתחבר אל Wi-Fi. נכון לעכשיו, ניתן להגדיר פרופיל Wi-Fi אחד בלבד.
הפרופיל כולל את הפרמטרים הדרושים לטלפונים על מנת להתחבר לשרת הטלפון באמצעות Wi-Fi. בעת יצירת פרופיל Wi-Fi ושימוש בו, אינך צריך להגדיר את תצורת הרשת האלחוטית עבור טלפונים בודדים.
פרופיל Wi-Fi מאפשר לך למנוע או להגביל שינויים לתצורת ה-Wi-Fi בטלפון על-ידי המשתמש.
מומלץ להשתמש בפרופיל מאובטח עם פרוטוקולים התומכים בהצפנה כדי להגן על מפתחות וסיסמאות בעת שימוש בפרופיל Wi-Fi.
כאשר אתה מגדיר את הטלפונים לשימוש בשיטת אימות EAP-FAST במצב אבטחה, המשתמשים שלך זקוקים לאישורים נפרדים כדי להתחבר לנקודת גישה.
1 |
עבור אל דף האינטרנט של הטלפון. |
2 |
בחר . |
3 |
בקטע Wi-Fi פרופיל (n), הגדר את הפרמטרים כמתואר בטבלה הבאה פרמטרים עבור פרופיל Wi-Fi. תצורת פרופיל Wi-Fi זמינה גם לכניסת המשתמש.
|
4 |
לחץ על שלח את כל השינויים. |
פרמטרים עבור פרופיל Wi-Fi
הטבלה הבאה מגדירה את הפונקציה והשימוש של כל פרמטר בקטע פרופיל Wi-Fi תחת כרטיסייה מערכת בדף האינטרנט של הטלפון. הוא גם מגדיר את תחביר המחרוזת שמתווסף לקובץ תצורת הטלפון (cfg.xml) כדי להגדיר פרמטר.
פרמטר | תיאור |
---|---|
שם רשת | מאפשר לך להזין שם עבור ה-SSID שיוצג בטלפון. פרופילים מרובים יכולים להיות בעלי שם רשת זהה עם מצבי אבטחה שונים. בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
מצב אבטחה | מאפשר לך לבחור את שיטת האימות המשמשת לאבטחת גישה לרשת ה-Wi-Fi. בהתאם לשיטה שתבחר, יופיע שדה סיסמה כדי שתוכל לספק את האישורים הדרושים להצטרפות לרשת Wi-Fi זו. בצע אחת מהפעולות הבאות:
ברירת מחדל: אוטומטי |
מזהה משתמש של Wi-Fi | מאפשר להזין מזהה משתמש לפרופיל הרשת. שדה זה זמין בעת הגדרת מצב האבטחה כאוטומטי, EAP-FAST או EAP-PEAP. זהו שדה חובה והוא מאפשר אורך מרבי של 32 תווים אלפא נומריים. בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
סיסמת Wi-Fi | מאפשר לך להזין את הסיסמה עבור מזהה המשתמש של Wi-Fi שצוין. בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
פס תדרים | מאפשר לך לבחור את פס תדר האות האלחוטי עבור ה-WLAN. בצע אחת מהפעולות הבאות:
ברירת מחדל: אוטומטי |
בחירת אישור | מאפשר לך לבחור סוג אישור עבור הרשמה ראשונית של אישור וחידוש אישור ברשת האלחוטית. תהליך זה זמין רק עבור אימות 802.1X. בצע אחת מהפעולות הבאות:
ברירת מחדל: ייצור מותקן |
בדיקת מצב אבטחת המכשיר בטלפון
הטלפון בודק את מצב האבטחה של המכשיר באופן אוטומטי. אם הוא מזהה איומי אבטחה פוטנציאליים בטלפון, תפריט בעיות ואבחון יכול להציג את פרטי הבעיות. בהתאם לבעיות שדווחו, מנהל המערכת יכול לנקוט פעולות כדי לאבטח ולהקשיח את הטלפון שלך.
כדי להציג פרטים של בעיות אבטחה בטלפון, בצע את הפעולות הבאות:
1 |
לחץ על Settings. | |||||||||||||
2 |
בחר .נכון לעכשיו, דוח אבטחת המכשיר מכיל את הבעיות הבאות:
| |||||||||||||
3 |
פנה למנהל המערכת לקבלת תמיכה כדי לפתור את בעיות האבטחה. |