- בית
- /
- מאמר
תודה על המשוב.
אבטחת טלפון Cisco IP
במאמר זה
משוב?מאמר עזרה זה מיועד לטלפון שולחני של Cisco מסדרת 9800 ו-Cisco Video Phone 8875 הרשום ב-Cisco BroadWorks.
התקן באופן ידני אישור מכשיר מותאם אישית
באפשרותך להתקין באופן ידני אישור מכשיר מותאם אישית (CDC) בטלפון על-ידי העלאת האישור מדף האינטרנט של ניהול הטלפון.
לפני שתתחיל
כדי שתוכל להתקין אישור מכשיר מותאם אישית עבור טלפון, עליך:
- קובץ תעודה (.p12 או .pfx) נשמר במחשב. הקובץ מכיל את התעודה והמפתח הפרטי.
- הסיסמה המוחלטת של התעודה. הסיסמה משמשת לפענוח קובץ התעודה.
| 1 |
קבל גישה לדף האינטרנט של ניהול הטלפון. |
| 2 |
בחר תעודה. |
| 3 |
במקטע הוסף תעודה, לחץ על עיון.... |
| 4 |
עיין לאישור במחשב שלך. |
| 5 |
בשדה חלץ סיסמה, הזן את סיסמת חלץ האישור. |
| 6 |
לחץ על העלה. אם קובץ האישור והסיסמה נכונים, תקבל את ההודעה "תעודה נוספה.". אחרת, ההעלאה נכשלת בהודעת שגיאה המציינת שלא ניתן להעלות את התעודה.
|
| 7 |
כדי לבדוק את הפרטים של התעודה המותקנת, לחץ על הצג בקטע אישורים קיימים. |
| 8 |
כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק בקטע אישורים קיימים. לאחר הלחיצה על הלחצן, פעולת ההסרה תתחיל מיד ללא אישור.
אם התעודה הוסרה בהצלחה, תקבל את ההודעה "תעודה נמחקה.". |
התקן באופן אוטומטי אישור מכשיר מותאם אישית על ידי SCEP
באפשרותך להגדיר את הפרמטרים Simple Certificate Enrollment Protocol (SCEP) כדי להתקין באופן אוטומטי את אישור המכשיר המותאם אישית (CDC), אם אינך רוצה להעלות את קובץ האישור באופן ידני או שקובץ האישור אינו נמצא במקום.
כאשר פרמטרי SCEP מוגדרים כהלכה, הטלפון שולח בקשות לשרת SCEP, ותעודת CA מאומתת על-ידי המכשיר באמצעות טביעת האצבע המוגדרת.
לפני שתתחיל
לפני שתוכל לבצע התקנה אוטומטית של אישור מכשיר מותאם אישית עבור טלפון, עליך:
- כתובת שרת SCEP
- טביעת אצבע SHA-1 או SHA-256 של תעודת CA הבסיס עבור שרת SCEP
| 1 |
קבל גישה לדף האינטרנט של ניהול הטלפון. |
| 2 |
בחר תעודה. |
| 3 |
בקטע תצורת SCEP 1, הגדר את הפרמטרים כמתואר בטבלה הבאה פרמטרים עבור תצורת SCEP. |
| 4 |
לחץ על שלח את כל השינויים. |
פרמטרים עבור תצורת SCEP
הטבלה הבאה מגדירה את הפונקציה והשימוש של פרמטרי תצורת SCEP בקטע תצורת SCEP 1 תחת הלשונית Certificate בממשק האינטרנט של הטלפון. הוא גם מגדיר את התחביר של המחרוזת שנוספה בקובץ התצורה של הטלפון (cfg.xml) כדי להגדיר פרמטר.
| פרמטר | תיאור |
|---|---|
| שרת |
כתובת שרת SCEP. פרמטר זה הוא חובה. בצע אחת מבין האפשרויות הבאות:
ערכים חוקיים: כתובת URL או כתובת IP. סכמת HTTPS אינה נתמכת. ברירת מחדל: ריק |
| טביעת אצבע של CA המהווה בסיס |
טביעת אצבע SHA256 או SHA1 של ה-CA הבסיס לאימות במהלך תהליך SCEP. פרמטר זה הוא חובה. בצע אחת מבין האפשרויות הבאות:
ברירת מחדל: ריק |
| סיסמת אתגר |
סיסמת האתגר עבור הרשאת Certificate Authority (CA) מול הטלפון במהלך הרשמה לאישור באמצעות SCEP. פרמטר זה הוא אופציונלי. בהתאם לסביבת SCEP בפועל, אופן הפעולה של סיסמת האתגר משתנה.
בצע אחת מבין האפשרויות הבאות:
ברירת מחדל: ריק |
תצורת פרמטרי SCEP דרך DHCP אפשרות 43
בנוסף להרשמה לאישור SCEP על ידי התצורות הישירות בדף האינטרנט של הטלפון, באפשרותך גם להשתמש באפשרות DHCP 43 כדי לאכלס את הפרמטרים משרת DHCP. אפשרות DHCP 43 מוגדרת מראש עם פרמטרי SCEP, מאוחר יותר הטלפון יכול להשיג את הפרמטרים משרת DHCP כדי לבצע את ההרשמה לאישור SCEP.
- תצורת פרמטרי SCEP דרך אפשרות DHCP 43 זמינה רק עבור הטלפון שבו מתבצע איפוס להגדרות יצרן.
- הטלפונים לא יועברו לרשת התומכת הן באפשרות 43 והן בהקצאה מרחוק (לדוגמה, אפשרויות 66,160,159,150, או הקצאת ענן). אחרת, ייתכן שטלפונים לא יקבלו את תצורות האפשרות 43.
כדי לרשום אישור SCEP על-ידי הגדרת פרמטרי SCEP ב-DHCP אפשרות 43, בצע את הפעולות הבאות:
- הכן סביבת SCEP.
לקבלת מידע אודות הגדרת סביבת SCEP, עיין בתיעוד שרת SCEP.
- הגדר את אפשרות DHCP 43 (מוגדרת במידע ספציפי של ספק 8.4, RFC 2132).
אפשרויות משנה (10-15) שמורות לשיטה:
פרמטר בדף האינטרנט של הטלפון אפשרות משנה סוג אורך (בתים) חובה מצב FIPS 10 בוליאני 1 לא* שרת 11 מחרוזת 208 - אורך (סיסמת אתגר) כן טביעת אצבע של CA המהווה בסיס 12 בינארי 20 או 32 כן סיסמת אתגר 13 מחרוזת 208 - אורך (שרת) לא* הפעל אימות 802.1X 14 בוליאני 1 לא בחירת תעודה 15 8 סיביות לא חתומה 1 לא בעת שימוש באפשרות DHCP 43, שים לב למאפיינים הבאים של השיטה:
- אפשרויות משנה (10-15) שמורות לאישור מכשיר מותאם אישית (CDC).
- האורך המקסימלי של אפשרות DHCP 43 הוא 255 בתים.
- האורך המקסימלי של Server + Challenge Password יהיה קטן מ-208 בתים.
- הערך של מצב FIPS יהיה תואם לתצורת הקצאת הצירוף. אחרת, הטלפון לא מצליח לאחזר את האישור שהותקן קודם לכן לאחר קליטה. באופן ספציפי,
- אם הטלפון רשום בסביבה שבה מצב FIPS מושבת, אין צורך להגדיר את הפרמטר מצב FIPS באפשרות DHCP 43. כברירת מחדל, מצב FIPS מושבת.
- אם הטלפון יהיה רשום בסביבה שבה מצב FIPS מופעל, עליך להפעיל את מצב FIPS באפשרות DHCP 43. לפרטים, ראה הפעל מצב FIPS.
- הסיסמה באפשרות 43 נמצאת בטקסט נקי.
אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI לצורך ההרשמה הראשונית וחידוש האישור. אם סיסמת האתגר מוגדרת, היא תשמש רק עבור ההרשמה הראשונית, והאישור המותקן ישמש לחידוש האישור.
- הפעלת אימות 802.1X ובחירת תעודה משמשים רק לטלפונים ברשת קווית.
- DHCP אפשרות 60 (מזהה מחלקה של ספק) משמשת לזיהוי דגם המכשיר.
הטבלה הבאה מספקת דוגמה של אפשרות DHCP 43 (אפשרויות משנה 10–15):
תת אפשרות עשרונית/הקס אורך ערך (בתים) עשרוני/hex ערך ערך הקסדצימלי 10/0a 1/01 1 (0: מושבת; 1: מופעל) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625c5b755d73f5925285f8f5ff5d55af 12040870625c5b755d73f5925285f8f5ff5d55af 13/0d 16/10 ד233ccf9b9952a15 44323333434346394239393532413135 14/0ה 1/01 1 (0: מס' 1: כן* 01 15/0f 1/01 1 (0: ייצור מותקן; 1: מותקן מותאם אישית) 01 סיכום ערכי הפרמטר:
-
מצב FIPS = מופעל
-
שרת =
http://10.79.57.91 -
טביעת אצבע של CA שורש =
12040870625C5B755D73F5925285F8F5FF5D55AF -
סיסמת אתגר = D233CCF9B9952A15
-
הפעל אימות 802.1X = כן
-
בחירת תעודה = מותקן מותאם אישית
התחביר של ערך הקסדצימלי הסופי הוא:
{<suboption><length><value>}...על פי ערכי הפרמטר לעיל, ערך הקסדצימלי הסופי הוא כדלקמן:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0D10443233334343463942393935324131350E01010F0101 - קבע תצורה של אפשרות DHCP 43 בשרת DHCP.שלב זה מספק דוגמה של תצורות אפשרות DHCP 43 ב-Cisco Network Register.
- הוסף הגדרת אפשרות DHCP.
מחרוזת אפשרות הספק הוא שם הדגם של טלפוני IP. הערך החוקי הוא: DP-9841, DP-9851, DP-9861, DP-9871, או CP-8875.
- הוסף את אפשרות DHCP 43 ואפשרויות המשנה להגדרת ההגדרה של אפשרות DHCP.
דוגמה:
- הוסף אפשרויות 43 למדיניות DHCP והגדר את הערך באופן הבא:
דוגמה:
(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - אמת את ההגדרות. ניתן להשתמש ב-Wireshark כדי ללכוד מעקב של תעבורת הרשת בין הטלפון לשירות.
- הוסף הגדרת אפשרות DHCP.
- בצע איפוס להגדרות יצרן עבור הטלפון.
לאחר איפוס הטלפון, הפרמטרים שרת, טביעת אצבע של Root CA וChallenge Password ימלאו באופן אוטומטי. פרמטרים אלה ממוקמים בקטע תצורת SCEP 1 מתוך בדף האינטרנט של ניהול הטלפון.
כדי לבדוק את הפרטים של התעודה המותקנת, לחץ על הצג בקטע אישורים קיימים.
כדי לבדוק את מצב התקנת התעודה, בחר . מצב הורדה 1 מציג את התוצאה האחרונה. אם מתרחשת בעיה כלשהי במהלך ההרשמה לתעודה, מצב ההורדה יכול להציג את סיבת הבעיה למטרות פתרון בעיות.
אם אימות הסיסמה נכשל, המשתמשים יתבקשו להזין את הסיסמה במסך הטלפון. - (אופציונלי): כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק בקטע אישורים קיימים.לאחר הלחיצה על הלחצן, פעולת ההסרה תתחיל מיד ללא אישור.
חידוש תעודה על-ידי SCEP
ניתן לרענן את אישור המכשיר באופן אוטומטי באמצעות תהליך SCEP.
- הטלפון בודק אם תוקף התעודה יפוג בעוד 15 ימים כל 4 שעות. אם כן, הטלפון מתחיל את תהליך חידוש האישור באופן אוטומטי.
- אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI הן לצורך הרשמה ראשונית והן לצורך חידוש האישור. אם סיסמת האתגר מוגדרת, היא תשמש להרשמה הראשונית בלבד, האישור הקיים/המותקן משמש לחידוש האישור.
- הטלפון אינו מסיר את תעודת המכשיר הישנה עד שהוא מאחזר את תעודת המכשיר החדשה.
- אם חידוש האישור נכשל מכיוון שפג התוקף של תעודת המכשיר או ה-CA, הטלפון מפעיל את ההרשמה הראשונית באופן אוטומטי. בינתיים, אם אימות סיסמת האתגר נכשל, יוצג מסך קלט של סיסמה במסך הטלפון, והמשתמשים יתבקשו להזין את סיסמת האתגר בטלפון.
הפעל מצב FIPS
באפשרותך להפוך טלפון לתואם לתקני עיבוד מידע פדרליים (FIPS).
FIPS הם סדרה של תקנים המתארים עיבוד מסמכים, אלגוריתמי הצפנה וסטנדרטים אחרים של טכנולוגיית מידע לשימוש בתוך ממשלה לא צבאית ועל ידי קבלנים וספקים ממשלתיים שעובדים עם הסוכנויות. CiscoSSL FOM (FIPS Object Module) הוא רכיב תוכנה מוגדר בקפידה המיועד לתאימות עם ספריית CiscoSSL, כך שניתן להמיר מוצרים המשתמשים בספריית CiscoSSL ו-API לשימוש בקריפטוגרפיה מאומתת של FIPS 140-2 במאמץ מינימלי.
| 1 |
קבל גישה לדף האינטרנט של ניהול הטלפון. |
| 2 |
בחר . |
| 3 |
במקטע הגדרות אבטחה, בחר כן או לא מהפרמטר מצב FIPS. |
| 4 |
לחץ על שלח את כל השינויים. בעת הפעלת FIPS, התכונות הבאות פועלות בצורה חלקה בטלפון:
|
הסר ידנית תעודת אבטחה
באפשרותך להסיר ידנית תעודת אבטחה מטלפון אם פרוטוקול Simple Certificate Enrollment Protocol (SCEP) אינו זמין.
| 1 |
מדף האינטרנט של ניהול הטלפון, בחר אישורים. |
| 2 |
אתר את התעודה בדף אישורים. |
| 3 |
לחץ על מחק. |
| 4 |
הפעל מחדש את הטלפון לאחר השלמת תהליך המחיקה. |
הגדר את סיסמת המשתמש והמנהל
לאחר שהטלפון נרשם למערכת בקרת שיחות בפעם הראשונה או שאתה מבצע איפוס להגדרות יצרן בטלפון, עליך להגדיר את המשתמש ואת סיסמת מנהל המערכת כדי לשפר את אבטחת הטלפון. רק כאשר הסיסמה מוגדרת, תוכל לשלוח את השינויים מדף האינטרנט של הטלפון.
כברירת מחדל, אזהרת 'אין סיסמה' מופעלת בטלפון. כאשר לטלפון אין משתמש או סיסמת מנהל מערכת, מוצגת האזהרות הבאות:
- דף האינטרנט של הטלפון מציג את "לא סופק סיסמת מנהל מערכת. האינטרנט נמצא במצב קריאה בלבד, ואין באפשרותך לשלוח שינויים. תשנה את הסיסמה." בפינה השמאלית העליונה.
השדות סיסמת משתמש וסיסמת מנהל מערכת מציגים את האזהרה "לא סופק סיסמה" בהתאמה אם היא ריקה.
- מסך הטלפון בעיות ואבחון מציג את בעיית "לא סופק סיסמה".
| 1 |
קבל גישה לדף האינטרנט של ניהול הטלפון |
| 2 |
בחר . |
| 3 |
(אופציונלי) במקטע תצורת מערכת, הגדר את הפרמטר הצג אזהרות סיסמה לכן ולאחר מכן לחץ על שלח את כל השינויים. ניתן גם להפעיל את הפרמטרים בקובץ התצורה של הטלפון (cfg.xml).
ברירת מחדל: כן אפשרויות: כן|לא כאשר הפרמטר מוגדר כלא, אזהרת הסיסמה לא מופיעה בדף האינטרנט או במסך הטלפון. כמו כן, מצב מוכן בלבד עבור דף האינטרנט לא יופעל למרות שהסיסמה ריקה. |
| 4 |
אתר את הפרמטר סיסמת משתמש או סיסמת מנהל מערכת ולחץ על שנה סיסמה לצד הפרמטר. |
| 5 |
הזן את סיסמת המשתמש הנוכחית בשדה סיסמה ישנה. אם אין לך סיסמה, השאר את השדה ריק. ערך ברירת המחדל ריק.
|
| 6 |
הזן סיסמה חדשה בשדה סיסמה חדשה. |
| 7 |
לחץ על שלח. ההודעה סיסמה שונתה בהצלחה. תוצג בדף האינטרנט. דף האינטרנט יתרענן בעוד כמה שניות. האזהרה לצד הפרמטר תיעלם. לאחר הגדרת סיסמת המשתמש, פרמטר זה מציג את הפרטים הבאים בקובץ XML של תצורת הטלפון (cfg.xml):
אם תקבל את קוד השגיאה 403 בעת ניסיון לגשת לדף האינטרנט של הטלפון, עליך להגדיר את סיסמת המשתמש או מנהל המערכת על-ידי הקצאת קובץ התצורה של הטלפון (cfg.xml). לדוגמה, הזן מחרוזת בתבנית זו:
|
אימות 802.1X
טלפוני Cisco IP תומכים באימות 802.1X.
טלפוני Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי בפרוטוקול הגילוי של Cisco (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות צריכת חשמל. CDP אינו מזהה תחנות עבודה מצורפות באופן מקומי. טלפוני Cisco IP מספקים מנגנון מעבר EAPOL. מנגנון זה מאפשר לתחנת עבודה המחוברת לטלפון Cisco IP להעביר הודעות EAPOL למאמת 802.1X במתג LAN. מנגנון המעבר מבטיח שטלפון ה-IP לא יפעל כמתג LAN לאימות נקודת קצה של נתונים לפני הגישה לרשת.
טלפוני Cisco IP מספקים גם מנגנון לוגוף EAPOL של Proxy. אם המחשב המחובר באופן מקומי מתנתק מטלפון ה-IP, מתג ה-LAN לא רואה את הקישור הפיזי נכשל, מכיוון שהקישור בין מתג ה-LAN לבין טלפון ה-IP נשמר. כדי להימנע מפגיעה בשלמות הרשת, טלפון ה-IP שולח הודעת EAPOL-Logoff למתג מטעם המחשב במורד הזרם, מה שמפעיל את מתג ה-LAN כדי לנקות את ערך האימות עבור המחשב במורד הזרם.
תמיכה באימות 802.1X דורשת מספר רכיבים:
-
טלפוני IP של Cisco הטלפון יוזם את הבקשה לגישה לרשת. טלפוני Cisco IP מכילים מבקש 802.1X. מבקש זה מאפשר למנהלי רשת לשלוט בקישוריות של טלפוני IP ליציאות מתג LAN. המהדורה הנוכחית של מתחנן הטלפון 802.1X משתמשת באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.
-
שרת אימות: יש להגדיר את שרת האימות ואת המתג יחד עם סוד משותף שמאמת את הטלפון.
-
מתג: המתג חייב לתמוך ב-802.1X, כדי שהוא יוכל לפעול כמאמת ולהעביר את ההודעות בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.
עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.
-
קבע את התצורה של הרכיבים האחרים לפני שתפעיל אימות 802.1X בטלפון.
-
קבע תצורה של יציאת מחשב: תקן 802.1X אינו מתייחס לרשתות VLAN ולכן ממליץ שיש לאמת מכשיר יחיד ליציאת מתג ספציפית בלבד. עם זאת, מתגים מסוימים תומכים באימות מרובה תחומים. תצורת המתג קובעת אם ניתן לחבר מחשב ליציאת המחשב של הטלפון.
-
מופעל: אם אתה משתמש במתג שתומך באימות מרובה תחומים, תוכל להפעיל את יציאת המחשב ולחבר אליו מחשב. במקרה זה, טלפוני Cisco IP תומכים ב-PROXY EAPOL-Logoff כדי לנטר את חילופי האימות בין המתג לבין המחשב המחובר.
לקבלת מידע נוסף על תמיכת IEEE 802.1X במתגי Cisco Catalyst, עיין במדריכי התצורה של מתגי Cisco Catalyst בכתובת:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
מושבת: אם המתג אינו תומך במכשירים מרובים התואמים ל-802.1X באותה יציאה, עליך להשבית את יציאת המחשב כאשר מופעל אימות 802.1X. אם לא תשבית יציאה זו ולאחר מכן תנסה לצרף אליה מחשב, המתג ידחה את גישת הרשת הן לטלפון והן למחשב האישי.
-
- קבע תצורה של VLAN קולי: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתג.
- מופעל: אם אתה משתמש במתג שתומך באימות מרובה תחומים, תוכל להמשיך להשתמש ב-VLAN הקולי.
- מושבת: אם המתג אינו תומך באימות מרובה דומיינים, השבת את ה-VLAN הקולי ושקול להקצות את היציאה ל-VLAN המקורי.
- (עבור טלפון שולחני Cisco מסדרת 9800 בלבד)
לטלפון שולחני של Cisco מדגם 9800 יש קידומת שונה ב-PID מזו עבור טלפונים אחרים של Cisco. כדי לאפשר לטלפון שלך להעביר אימות 802.1X, הגדר את הפרמטר שם משתמש כדי לכלול את הטלפון השולחני של Cisco מדגם 9800.
לדוגמה, ה-PID של הטלפון 9841 הוא DP-9841; באפשרותך להגדיר את שם משתמש ברדיוס כדי להתחיל עם DP או מכיל DP. ניתן להגדיר אותה בשני הקטעים הבאים:
-
הפעל אימות 802.1X
כאשר אימות 802.1X מופעל, הטלפון משתמש באימות 802.1X כדי לבקש גישה לרשת. כאשר אימות 802.1X מושבת, הטלפון משתמש בפרוטוקול גילוי של CISCO (CDP) כדי להשיג גישה ל-VLAN ולרשת. באפשרותך גם להציג את מצב הפעולה ולשנות בתפריט מסך הטלפון.
כאשר אימות 802.1X מופעל, באפשרותך גם לבחור את אישור המכשיר (MIC/SUDI או מותאם אישית) עבור ההרשמה הראשונית וחידוש האישור. בדרך כלל, MIC מיועד לטלפון Cisco Video Phone 8875, SUDI מיועד לטלפון שולחני של Cisco מדגם 9800. ניתן להשתמש ב-CDC לאימות ב-802.1x בלבד.
| 1 |
בצע אחת מהפעולות הבאות כדי להפעיל אימות 802.1X:
| ||||||||||||||||||||
| 2 |
בחר תעודה (MIC או מותאם אישית) עבור אימות 802.1X בדף האינטרנט של הטלפון.
לקבלת מידע אודות בחירת סוג תעודה במסך הטלפון, ראה חיבור הטלפון לרשת Wi-Fi.
|
הפעל מצב יוזם-לקוח עבור משא ומתן של אבטחת מישור מדיה
כדי להגן על מפגשי מדיה, באפשרותך להגדיר את הטלפון כדי ליזום משא ומתן של אבטחת מישור מדיה עם השרת. מנגנון האבטחה תואם לתקנים המפורטים ב-RFC 3329 וטיוטה ההרחבה שלו Security Mechanism Names for Media (ראה https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). תעבורת המשא ומתן בין הטלפון לשרת יכולה להשתמש בפרוטוקול SIP באמצעות UDP, TCP ו-TLS. באפשרותך להגביל את יישום המשא ומתן על אבטחת מישור המדיה רק כאשר פרוטוקול תעבורת האיתות הוא TLS.
| 1 |
קבל גישה לדף האינטרנט של ניהול הטלפון. | ||||||
| 2 |
בחר . | ||||||
| 3 |
במקטע הגדרות SIP, הגדר את השדות בקשת MediaSec וMediaSec Over TLS Only כפי שהוגדר בטבלה הבאה:
| ||||||
| 4 |
לחץ על שלח את כל השינויים. |
אבטחת WLAN
מכיוון שכל מכשירי ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN אחרת, אבטחת תקשורת קולית היא קריטית ברשתות WLAN. כדי להבטיח שפולשים לא יטופלו או יירטו תעבורת קול, ארכיטקטורת האבטחה הבטוחה של Cisco תומכת בטלפון. למידע נוסף על אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
פתרון הטלפוניה האלחוטית של Cisco IP מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת פגומה באמצעות שיטות האימות הבאות התומכות בטלפון:
-
ללא אימות כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת המשתמשים. לא ניתן להצפין תקשורת בין המכשיר האלחוטי לנקודת גישה (AP).
-
פרוטוקול אימות הניתן להרחבה-אימות גמיש באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחת שרת לקוח זו מצפינה עסקאות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין ה-AP לבין שרת RADIUS, כגון מנוע שירותי הזהויות (ISE).
מנהרת TLS משתמשת באישורי גישה מוגנים (PACs) לאימות בין הלקוח (הטלפון) לבין שרת הרדיוס. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת הרדיוס. השרת מפענח את ה-PAC באמצעות המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח ה-PAC ומנהרת TLS נוצרה. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת הרדיוס.
ב-ISE, כברירת מחדל, ה-PAC יפוג בעוד שבוע אחד. אם לטלפון יש PAC פג תוקף, אימות עם שרת הרדיוס לוקח זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.
-
אימות הניתן להרחבת פרוטוקול אימות-אבטחת שכבת תעבורה (EAP-TLS): EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, אישור הלקוח יכול להיות אישור MIC, LSC או מותקן על-ידי המשתמש.
-
פרוטוקול אימות מורחב מוגן (PEAP): סכמת אימות הדדית המבוססת על סיסמה קניינית של Cisco בין הלקוח (הטלפון) לבין שרת RADIUS. הטלפון יכול להשתמש ב-PEAP לאימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.
-
מפתח משותף מראש (PSK): הטלפון תומך בתבנית ASCII. עליך להשתמש בתבנית זו בעת הגדרת מפתח משותף מראש של WPA/WPA2/SAE:
ASCII: מחרוזת תווים ASCII שאורכה 8 עד 63 תווים (0-9, A-Z קטנה וגדולה ותווים מיוחדים)
דוגמה: גרג123567@9ZX&W
סכימות האימות הבאות משתמשות בשרת הרדיוס כדי לנהל מפתחות אימות:
-
WPA/WPA2/WPA3: משתמש במידע שרת RADIUS כדי ליצור מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת הרדיוס הריכוזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות WPA משותפים מראש המאוחסנים ב-AP ובטלפון.
-
נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע שרת דומיין אלחוטי (WDS) כדי לנהל ולאמת מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור מכשירי לקוח התומכים ב-FT לאימות מחדש מהיר ומאובטח. טלפון שולחני של Cisco 9861 ו-9871 ו-Cisco Video Phone 8875 תומכים ב-802.11r (FT). הן מעל האוויר והן מעל ה-DS נתמכות כדי לאפשר נדידה מהירה ומאובטחת. אבל אנו ממליצים בחום להשתמש ב- 802.11r (FT) מעל שיטת האוויר.
עם WPA/WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין ה-AP לטלפון. אך יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.
כדי לוודא שתעבורת הקול מאובטחת, הטלפון תומך ב-TKIP וב-AES להצפנה. כאשר מנגנונים אלה משמשים להצפנה, הן חבילות SIP לאיתות והן חבילות פרוטוקול תעבורה קולי בזמן אמת (RTP) מוצפנות בין ה-AP לטלפון.
- טקיפ
-
WPA משתמש בהצפנת TKIP שיש לה כמה שיפורים על WEP. TKIP מספק הצפנה לכל מנה וקטורי אתחול ארוכים יותר (IVs) שמחזקים הצפנה. בנוסף, בדיקת תקינות ההודעות (MIC) מבטיחה שהחבילות המוצפנות לא משתנות. TKIP מסיר את יכולת החיזוי של WEP המסייעת לפולשים לפענח את מפתח WEP.
- aes
-
שיטת הצפנה המשמשת לאימות WPA2/WPA3. תקן לאומי זה להצפנה משתמש באלגוריתם סימטרי בעל אותו מפתח להצפנה ולפענוח. AES משתמש בהצפנת שרשרת חסימות הצפנה (CBC) בגודל 128 סיביות, התומכת בגדלי מפתח של 128 סיביות, 192 סיביות ו-256 סיביות, כמינימום. הטלפון תומך בגודל מפתח של 256 סיביות.
טלפון שולחני של Cisco 9861 ו-9871 ו-Cisco Video Phone 8875 אינם תומכים ב-Cisco Key Integrity Protocol (CKIP) עם CMIC.
סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-AP ומציינות שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולתוכנית האימות וההצפנה המסוימת. כדי שמכשירי לקוח אלחוטיים יאומתו בהצלחה, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם ב-AP ובטלפון.
תוכניות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.
- בעת שימוש במפתח משותף מראש של WPA, במפתח משותף מראש של WPA2 או SAE, יש להגדיר את המפתח המשותף מראש בטלפון באופן סטטי. מקשים אלה חייבים להתאים למפתחות שנמצאים ב-AP.
-
הטלפון תומך במשא ומתן אוטומטי של EAP עבור FAST או PEAP, אך לא עבור TLS. עבור מצב EAP-TLS, עליך לציין אותו.
סכימות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור הטלפון התואמות לתצורת AP.
| סוג FSR | אימות | ניהול מפתחות | הצפנה | מסגרת ניהול מוגנת (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK - מצלמה |
WPA-PSK (באנגלית) wpa-psk-sha256 ft-psk | aes | לא |
| 802.11r (FT) | wpa3 |
סאי ft-sae | aes | כן |
| 802.11r (FT) | תרשים 27-1. |
wpa-eap רגל- eap | aes | לא |
| 802.11r (FT) | eap-tls (wpa3) |
wpa-eap-sha256 רגל- eap | aes | כן |
| 802.11r (FT) | eap-מהיר |
wpa-eap רגל- eap | aes | לא |
| 802.11r (FT) | eap-fast (wpa3) |
wpa-eap-sha256 רגל- eap | aes | כן |
| 802.11r (FT) | eap-peap |
wpa-eap רגל- eap | aes | לא |
| 802.11r (FT) | eap-peap (wpa3) |
wpa-eap-sha256 רגל- eap | aes | כן |
הגדר פרופיל Wi-Fi
ניתן להגדיר פרופיל Wi-Fi מדף האינטרנט של הטלפון או מסנכרון מחדש של פרופיל המכשיר המרוחק ולאחר מכן לשייך את הפרופיל לרשתות ה-Wi-Fi הזמינות. באפשרותך להשתמש בפרופיל Wi-Fi זה כדי להתחבר ל-Wi-Fi. נכון לעכשיו, ניתן להגדיר רק פרופיל Wi-Fi אחד.
הפרופיל מכיל את הפרמטרים הדרושים לטלפונים להתחברות לשרת הטלפון באמצעות Wi-Fi. בעת יצירת פרופיל Wi-Fi ושימוש בו, אתה או המשתמשים שלך לא צריכים להגדיר את הרשת האלחוטית עבור טלפונים בודדים.
פרופיל Wi-Fi מאפשר לך למנוע או להגביל שינויים בתצורת Wi-Fi בטלפון על-ידי המשתמש.
מומלץ להשתמש בפרופיל מאובטח עם פרוטוקולים התומכים בהצפנה כדי להגן על מפתחות וסיסמאות בעת שימוש בפרופיל Wi-Fi.
בעת הגדרת הטלפונים לשימוש בשיטת אימות EAP-FAST במצב אבטחה, המשתמשים שלך זקוקים לאישורים נפרדים כדי להתחבר לנקודת גישה.
| 1 |
גש לדף האינטרנט של הטלפון. |
| 2 |
בחר . |
| 3 |
בקטע פרופיל Wi-Fi (n), הגדר את הפרמטרים כמתואר בטבלה הבאה פרמטרים עבור פרופיל Wi-Fi. תצורת פרופיל ה-Wi-Fi זמינה גם לכניסה של המשתמש.
|
| 4 |
לחץ על שלח את כל השינויים. |
פרמטרים עבור פרופיל Wi-Fi
הטבלה הבאה מגדירה את הפונקציה והשימוש של כל פרמטר בקטע פרופיל Wi-Fi(n) תחת לשונית מערכת בדף האינטרנט של הטלפון. הוא גם מגדיר את התחביר של המחרוזת שנוספה בקובץ התצורה של הטלפון (cfg.xml) כדי להגדיר פרמטר.
| פרמטר | תיאור |
|---|---|
| שם רשת | מאפשר לך להזין שם עבור ה-SSID שיוצג בטלפון. פרופילים מרובים יכולים להיות בעלי שם רשת זהה עם מצב אבטחה שונה. בצע אחת מבין האפשרויות הבאות:
ברירת מחדל: ריק |
| מצב אבטחה | מאפשר לך לבחור את שיטת האימות המשמשת לאבטחת גישה לרשת ה-Wi-Fi. בהתאם לשיטה שתבחר, יופיע שדה סיסמה כדי שתוכל לספק את האישורים הנדרשים כדי להצטרף לרשת ה-Wi-Fi הזו. בצע אחת מבין האפשרויות הבאות:
ברירת מחדל: אוטומטי |
| מזהה משתמש Wi-Fi | מאפשר לך להזין מזהה משתמש עבור פרופיל הרשת. שדה זה זמין בעת הגדרת מצב האבטחה למצב אוטומטי, EAP-FAST או EAP-PEAP. זהו שדה חובה והוא מאפשר אורך מרבי של 32 תווים אלפאנומריים. בצע אחת מבין האפשרויות הבאות:
ברירת מחדל: ריק |
| סיסמת Wi-Fi | מאפשר לך להזין את הסיסמה עבור מזהה משתמש Wi-Fi שצוין. בצע אחת מבין האפשרויות הבאות:
ברירת מחדל: ריק |
| פס תדרים | מאפשר לך לבחור את פס תדר האות האלחוטי שבו משתמש ה-WLAN. בצע אחת מבין האפשרויות הבאות:
ברירת מחדל: אוטומטי |
| בחירת תעודה | מאפשר לך לבחור סוג תעודה עבור הרשמה ראשונית של תעודה וחידוש תעודה ברשת האלחוטית. תהליך זה זמין רק לאימות 802.1X. בצע אחת מבין האפשרויות הבאות:
ברירת מחדל: ייצור מותקן |
