- בית
- /
- מאמר
מאמר עזרה זה מיועד לטלפון אלחוטי Cisco 9821 הרשום אל Cisco Unified Communications Manager (Unified CM).
באפשרותך להפעיל את Cisco Unified Communications Manager (Unified CM) כדי לפעול בסביבת אבטחה משופרת. עם שיפורים אלה, רשת הטלפון שלך פועלת תחת מערכת בקרות אבטחה וניהול סיכונים קפדניות כדי להגן עליך ועל המשתמשים שלך.
סביבת האבטחה המשופרת כוללת את התכונות הבאות:
-
אימות חיפוש אנשי קשר
-
TCP כפרוטוקול ברירת המחדל עבור רישום ביקורת מרחוק
-
מדיניות אישורים משופרת
-
תמיכה במשפחת SHA-2 של קודי hash עבור חתימות דיגיטליות
-
תמיכה בגודל מקש RSA עד 4096 סיביות
עם Cisco Unified CM מהדורה 14.0 ואילך, הטלפונים תומכים באימות OAuth SIP.
OAuth נתמך עבור Proxy Trivial File Transfer Protocol (TFTP) עם Cisco Unified CM Release 14.0 (1) SU1 ואילך.
לקבלת מידע נוסף אודות אבטחה, עיין במדריכים הבאים:
-
מדריך תצורת מערכת עבור Cisco Unified Communications Manager, מהדורה 15 ו- SUs
-
מדריך אבטחה עבור Cisco Unified Communications Manager, מהדורה 15 ו- SUs
הטלפון שלך יכול לאחסן רק מספר מוגבל של קבצי רשימת אמון זהות (ITL). קבצי ITL לא יכולים לחרוג מ- 64K בטלפון, לכן הגבל את מספר הקבצים ש- Cisco Unified CM שולחת לטלפון.
תכונות אבטחה נתמכות
תכונות אבטחה מגנות מפני איומים, כולל איומים על זהות הטלפון ועל הנתונים. תכונות אלה מייצרות ושומרות על זרמי תקשורת מאומתים בין הטלפון לשרת Cisco Unified Communications Manager, ומבטיחות שהטלפון משתמש רק בקבצים חתומים דיגיטלית.
Cisco Unified Communications Manager מהדורה 8.5(1) ואילך כולל אבטחה כברירת מחדל, המספקת את תכונות האבטחה הבאות עבור טלפונים IP של Cisco מבלי להפעיל את לקוח CTL:
-
חתימה על קבצי התצורה של הטלפון
-
הצפנת קובץ תצורת הטלפון
-
HTTPS עם Tomcat ושירותי אינטרנט אחרים
תכונות איתות ומדיה מאובטחות עדיין מחייבות אותך להפעיל את לקוח CTL ולהשתמש ב-eTokens של חומרה.
הטמעת אבטחה במערכת Cisco Unified Communications Manager מונעת גניבת זהות של הטלפון ושל שרת Cisco Unified Communications Manager, מונעת חבלה בנתונים ומונעת איתות שיחות וחבלה בזרם מדיה.
כדי להקל על איומים אלו, רשת הטלפוניה של Cisco IP מקימה ומתחזקת זרמי תקשורת מאובטחים (מוצפנים) בין טלפון לשרת, חותמת דיגיטלית על קבצים לפני שהם מועברים לטלפון, ומצפינה זרמי מדיה ואיתות שיחות בין טלפונים של Cisco IP.
אישור מקומי משמעותי (LSC) מותקן בטלפונים לאחר ביצוע המשימות הדרושות המשויכות לפונקציית Proxy Authority (CAPF). באפשרותך להשתמש ב- Cisco Unified Communications Manager Administration כדי להגדיר LSC, כמתואר במדריך האבטחה Cisco Unified Communications Manager. לחלופין, תוכל ליזום התקנה של LSC מתפריט אבטחה בטלפון. תפריט זה גם מאפשר לך לעדכן או להסיר LSC.
הטלפונים משתמשים בפרופיל האבטחה של הטלפון, המגדיר אם המכשיר אינו מאובטח או מאובטח. למידע על החלת פרופיל האבטחה על הטלפון, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.
אם תגדיר הגדרות הקשורות לאבטחה ב-Cisco Unified Communications Manager Administration, קובץ התצורה של הטלפון מכיל מידע רגיש. כדי להבטיח את הפרטיות של קובץ תצורה, עליך להגדיר אותו להצפנה. למידע מפורט, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.
הטבלה הבאה מספקת סקירה כללית של תכונות האבטחה שבהן הטלפונים תומכים. לפרטים נוספים, ראה תיעוד עבור גירסת Cisco Unified Communications Manager הספיציפי שלך.
|
תכונה |
תיאור |
|---|---|
|
אימות תמונה |
קבצים בינאריים חתומים מונעים התעסקות בתמונת הקושחה לפני טעינת התמונה בטלפון. התעסקות בתמונה גורמת לטלפון להיכשל בתהליך האימות ולדחות את התמונה החדשה. |
|
התקנת תעודת אתר לקוח |
כל טלפון IP של Cisco דורש אישור ייחודי לאימות המכשיר. טלפונים כוללים אישור מותקן בייצור (MIC), אך ליתר אבטחה, אתה יכול לציין התקנת אישור ב-Cisco Unified Communications Manager Administration באמצעות פונקציית ה-Certificate Authority Proxy Function (CAPF). לחלופין, תוכל להתקין Locally Significant Certificate (LSC) מתפריט אבטחה בטלפון. |
|
אימות מכשיר |
מתרחש בין שרת Cisco Unified Communications Manager לטלפון כאשר כל ישות מקבלת את האישור של הישות האחרת. קובע אם יש להיווצר חיבור מאובטח בין הטלפון למנהל תקשורת מאוחדת של Cisco; ובמידת הצורך, יוצר נתיב איתות מאובטח בין הישויות באמצעות פרוטוקול TLS. Cisco Unified Communications Manager אינו רושם טלפונים אלא אם כן הוא יכול לאמת אותם. |
|
אימות קובץ |
מאמת קבצים חתומים דיגיטלית שהטלפון מוריד. הטלפון מאמת את החתימה כדי לוודא שלא התרחשו שיבוש קבצים לאחר יצירת הקובץ. קבצים שנכשלים באימות אינם נכתבים לזיכרון פלאש בטלפון. הטלפון דוחה קבצים כאלה ללא עיבוד נוסף. |
|
הצפנת קבצים |
ההצפנה מונעת חשיפת מידע רגיש בזמן שהקובץ נמצא במעבר לטלפון. בנוסף, הטלפון מאמת את החתימה כדי לוודא שלא התרחשו שיבוש קבצים לאחר יצירת הקובץ. קבצים שנכשלים באימות אינם נכתבים לזיכרון פלאש בטלפון. הטלפון דוחה קבצים כאלה ללא עיבוד נוסף. |
|
אימות איתות |
משתמש בפרוטוקול TLS כדי לאמת שלא התרחשה התעסקות במנות איתות במהלך השידור. |
|
ייצור אישור מותקן |
כל טלפון IP של Cisco מכיל אישור מותקן ייצור ייחודי (MIC), המשמש לאימות המכשיר. ה-MIC מספק הוכחה ייחודית קבועה של זהות לטלפון ומאפשר ל-Cisco Unified Communications Manager לאמת את הטלפון. |
|
הצפנת מדיה |
משתמש ב-SRTP כדי להבטיח שזרמי מדיה בין מכשירים נתמכים יוכיחו את עצמם מאובטחים ושרק המכשיר המיועד מקבל וקורא את הנתונים. כולל יצירת צמד מפתחות מדיה ראשיים למכשירים, מסירת המפתחות למכשירים ואבטחת מסירת המפתחות בזמן שהמפתחות נמצאים בהובלה. |
|
CAPF (פונקציית פרוקסי של רשות האישורים) |
מיישמת חלקים מהליך הפקת האישורים עתירי עיבוד מדי עבור הטלפון, ומקיימת אינטראקציה עם הטלפון לצורך הפקת מפתחות והתקנת אישורים. ניתן להגדיר את ה-CAPF לבקש אישורים מרשויות אישורים שצוינו על ידי הלקוח מטעם הטלפון, או שהוא יכול להיות מוגדר להפקת אישורים באופן מקומי. שני סוגי המקשים EC (עקומה אליפטית) ו- RSA נתמכים. כדי להשתמש במפתח EC, ודא שהפרמטר "Endpoint Advanced Encryption Algorithms Support" (מתוך Enterprise) מופעל. לקבלת מידע נוסף אודות CAPF ותצורות קשורות, עיין במסמכים הבאים: |
|
פרופיל אבטחה |
מגדיר אם הטלפון אינו מאובטח, מאומת, מוצפן או מוגן. ערכים אחרים בטבלה זו מתארים תכונות אבטחה. |
|
קבצי תצורה מוצפנים |
מאפשר לך להבטיח את הפרטיות של קובצי התצורה של הטלפון. |
|
השבתת שרת אינטרנט אופציונלית עבור טלפון |
למטרות אבטחה, אתה יכול למנוע גישה לדפי האינטרנט של טלפון (המציגים נתונים סטטיסטיים תפעוליים שונים עבור הטלפון) ופורטל טיפול עצמי. |
|
התקשות טלפון |
אפשרויות אבטחה נוספות, שבהן אתה שולט מניהול Cisco Unified Communications Manager:
|
|
Secure SIP Failover עבור SRST |
לאחר שתגדיר התייחסות ל-Survivable Remote Site Telephony (SRST) לאבטחה ולאחר מכן איפוס את ההתקנים התלויים ב-Cisco Unified Communications Manager Administration, שרת TFTP מוסיף את אישור ה-SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. לאחר מכן, טלפון מאובטח משתמש בחיבור TLS כדי ליצור אינטראקציה עם הנתב התומך ב-SRST. |
|
הצפנת איתות |
מבטיח שכל הודעות איתות SIP שנשלחות בין ההתקן לשרת Cisco Unified Communications Manager מוצפנות. |
|
אזעקת עדכון רשימת אמון |
כאשר רשימת האמון מתעדכנת בטלפון, Cisco Unified Communications Manager מקבל אזעקה המציינת הצלחה או כישלון של העדכון. עיין בטבלה הבאה למידע נוסף. |
|
AES 256 הצפנה |
כאשר הם מחוברים ל-Cisco Unified Communications Manager Release 10.5(2) ואילך, הטלפונים תומכים בתמיכה בהצפנה של AES 256 עבור TLS ו-SIP עבור איתות והצפנת מדיה. זה מאפשר לטלפונים ליזום ולתמוך בחיבורי TLS 1.2 באמצעות צפנים מבוססי AES-256 התואמים לתקני SHA-2 (Secure Hash Algorithm) ותואמים לתקני עיבוד מידע פדרליים (FIPS). הצפנים כוללים:
לפרטים נוספים, ראה תיעוד Cisco Unified Communications Manager. |
|
תעודות אלגוריתם חתימה דיגיטלית של עקומה אליפטית (ECDSA). |
כחלק מהסמכת Common Criteria (CC), Cisco Unified Communications Manager; הוסיפו תעודות ECDSA בגרסה 11.0. זה משפיע על כל מוצרי מערכת ההפעלה הקולית (VOS) המריצים CUCM 11.5 ואילך. |
|
אישור Tomcat מרובה שרתים (SAN) עם Cisco UCM | הטלפון תומך Cisco UCM עם אישורי Tomcat מרובי שרתים (SAN) מוגדרים. ניתן למצוא את כתובת השרת הנכונה TFTP בקובץ ה-ITL של הטלפון לצורך רישום הטלפון. לקבלת מידע נוסף אודות התכונה, עיין בנושאים הבאים: |
הטבלה הבאה מכילה את הודעות האזעקה והמשמעות של עדכון רשימת האמון. לפרטים נוספים, ראה תיעוד Cisco Unified Communications Manager.
| קוד והודעה | תיאור |
|---|---|
|
1 - TL_SUCCESS |
קיבל CTL ו/או ITL חדשים |
|
2 - CTL_INITIAL_SUCCESS |
קיבל CTL חדש, אין TL קיים |
|
3 - ITL_INITIAL_SUCCESS |
קיבל ITL חדש, אין TL קיים |
|
4 - TL_INITIAL_SUCCESS |
קיבלו CTL ו-ITL חדשים, ללא TL קיים |
|
5 - TL_FAILED_OLD_CTL |
עדכון ל-CTL חדש נכשל, אבל יש TL קודם |
|
6 - TL_FAILED_NO_TL |
העדכון ל-TL החדש נכשל, ואין להם TL ישן |
|
7 - TL_FAILED |
כשל גנרי |
|
8 - TL_FAILED_OLD_ITL |
עדכון ל-ITL חדש נכשל, אבל יש TL קודם |
|
9 - TL_FAILED_OLD_TL |
עדכון ל-TL חדש נכשל, אבל יש TL קודם |
אבטחת שיחות טלפון
כאשר מיושמת אבטחה עבור טלפון, אתה יכול לזהות שיחות טלפון מאובטחות על ידי סמלים על מסך הטלפון. אתה יכול גם לקבוע אם הטלפון המחובר מאובטח ומוגן אם נשמע צליל אבטחה בתחילת השיחה.
בשיחה מאובטחת, כל איתות השיחות וזרמי המדיה מוצפנים. שיחה מאובטחת מציעה רמת אבטחה גבוהה, המעניקה שלמות ופרטיות לשיחה. כאשר שיחה מתבצעת מוצפנת, תוכל לראות את הסמל מאובטח
על הקו.
-
אם השיחה מנותבת דרך רגלי שיחה שאינן IP, למשל, PSTN, השיחה עלולה להיות לא מאובטחת למרות שהיא מוצפנת בתוך רשת ה-IP ויש לה סמל מנעול המשויך אליה.
-
שיחות מאובטחות נתמכות עבור חיבורים בין שני טלפונים בלבד. תכונות מסוימות, כגון שיחות ועידה וקווים משותפים, אינן זמינות כאשר מוגדרת שיחות מאובטחות.
ב- Cisco Unified Communications Manager, ניתן להקצות לטלפונים המוגדרים כמאובטחים (מוצפנים ומהימנים) מצב מוגן. לאחר ההגנה, ניתן להגדיר מכשירים אלה כך שישמיעו צליל אבטחה בתחילת כל שיחה.
-
התקן מוגן:
כדי לשנות את הסטטוס של טלפון מאובטח לטלפון מוגן:
- ב- Cisco Unified Communications Manager Administration, בחר .
- אתר את הטלפון שתגדיר.
- בחלון תצורת הטלפון, בחר בתיבת הסימון התקן מוגן.
- לחץ על שמור.
-
הפעל צליל חיווי מאובטח:
כדי לאפשר לטלפון המוגן להשמיע צליל חיווי מאובטח או לא מאובטח:
- ב- Cisco Unified Communications Manager Administration, בחר שירות.
- בחר את השרת ולאחר מכן את שירות Cisco CallManager .
- באזור Clusterwide parameters (Feature - Secure Tone), הגדר את צליל ההשמעה כך שיציין את ההגדרה מצב שיחה מאובטחת/לא מאובטחת כ - True.
- לחץ על שמור.
זיהוי מאובטח של שיחת ועידה
אתה יכול ליזום שיחת ועידה מאובטחת ולנטר את רמת האבטחה של המשתתפים. שיחת ועידה מאובטחת נוצרת באמצעות תהליך זה:
-
משתמש יוזם את הוועידה מטלפון מאובטח.
-
Cisco Unified Communications Manager מקצה גשר ועידה מאובטח לשיחה.
-
עם הוספת משתתפים, Cisco Unified Communications Manager מאמת את מצב האבטחה של כל טלפון ושומר על רמת האבטחה לוועידה.
-
הטלפון מציג את רמת האבטחה של שיחת הועידה. שיחת ועידה מאובטחת מציגה את הסמל המאובטח
.
שיחות מאובטחות נתמכות בין שני טלפונים. עבור טלפונים מוגנים, תכונות מסוימות, כגון שיחות ועידה, קווים משותפים וניידות שלוחות, אינן זמינות כאשר מוגדרת שיחה מאובטחת.
הטבלה הבאה מספקת מידע על שינויים ברמות האבטחה של ועידה בהתאם לרמת האבטחה של הטלפון היוזם, רמות האבטחה של המשתתפים והזמינות של גשרי ועידה מאובטחים.
|
רמת אבטחת טלפון יוזם |
תכונה בשימוש |
רמת אבטחה של המשתתפים |
תוצאות הפעולה |
|---|---|---|---|
|
לא בטוח |
שיחת ועידה |
לבטח |
גשר ועידות לא מאובטח ועידה לא מאובטחת |
|
לבטח |
שיחת ועידה |
לפחות חבר אחד אינו מאובטח. |
גשר ועידות מאובטח ועידה לא מאובטחת |
|
לבטח |
שיחת ועידה |
לבטח |
גשר ועידות מאובטח ועידה ברמה מוצפנת מאובטחת |
|
לא בטוח |
Meet Me |
רמת האבטחה המינימלית מוצפנת. |
היוזם מקבל צליל הזמנה מחדש. |
|
לבטח |
Meet Me |
רמת האבטחה המינימלית אינה מאובטחת. |
גשר ועידות מאובטח ועידה מקבלת את כל השיחות. |
זיהוי שיחות טלפון מאובטח
שיחה מאובטחת נוצרת כאשר הטלפון שלך, והטלפון מהצד השני, מוגדרים לשיחות מאובטחות. הטלפון השני יכול להיות באותה רשת IP של Cisco, או ברשת מחוץ לרשת ה-IP. ניתן לבצע שיחות מאובטחות רק בין שני טלפונים. שיחות ועידה צריכות לתמוך בשיחה מאובטחת לאחר הגדרת גשר ועידה מאובטח.
שיחה מאובטחת נוצרת באמצעות תהליך זה:
-
משתמש יוזם את השיחה מטלפון מאובטח (מצב אבטחה מאובטח).
-
הטלפון מציג את סמל האבטחה
במסך הטלפון. סמל זה מציין שהטלפון מוגדר לשיחות מאובטחות, אך אין זה אומר שגם הטלפון האחר המחובר מאובטח. -
המשתמש שומע צליל אבטחה אם השיחה מתחברת לטלפון מאובטח אחר, המציין ששני קצוות השיחה מוצפנים ומאובטחים. אם השיחה מתחברת לטלפון לא מאובטח, המשתמש לא שומע את צליל האבטחה.
שיחות מאובטחות נתמכות בין שני טלפונים. עבור טלפונים מוגנים, תכונות מסוימות, כגון שיחות ועידה, קווים משותפים וניידות שלוחות, אינן זמינות כאשר מוגדרת שיחה מאובטחת.
רק טלפונים מוגנים משמיעים צלילי חיווי מאובטחים או לא מאובטחים אלה. טלפונים לא מוגנים אף פעם לא משמיעים צלילים. אם סטטוס השיחה הכללי משתנה במהלך השיחה, צליל החיווי משתנה והטלפון המוגן משמיע את הצליל המתאים.
כאשר האפשרות 'צליל השמעה' לציון מצב שיחה מאובטחת/לא מאובטחת מוגדרת כ'נכון ':
-
כאשר נוצרת מדיה מאובטחת מקצה לקצה ומצב השיחה מאובטח, הטלפון משמיע את צליל החיווי המאובטח (שלושה צפצופים ארוכים עם הפסקות).
-
כאשר נוצרת מדיה לא מאובטחת מקצה לקצה ומצב השיחה אינו מאובטח, הטלפון משמיע את צליל החיווי הלא מאובטח (שישה צפצופים קצרים עם הפסקות קצרות).
אם האפשרות ' השמע צליל לציון מצב שיחה מאובטח/לא מאובטח' מוגדרת כ - False, לא יושמע צליל.
ספק הצפנה עבור דוברה
Cisco Unified Communications Manager בודקת את מצב האבטחה של הטלפון בעת הקמת ועידות ומשנה את חיווי האבטחה של הכנס או חוסמת את השלמת השיחה כדי לשמור על שלמות ואבטחה במערכת.
למשתמש אין אפשרות להצטרף לשיחה מוצפנת אם הטלפון המשמש לדוברה אינו מוגדר להצפנה. במקרה זה, כאשר דוברה נכשלת במקרה זה, מושמע צליל סידור מחדש (תפוס מהיר) בטלפון שבו הופעלה הדוברה.
אם הטלפון היוזם מוגדר להצפנה, יוזם הדוברה יכול להצטרף לשיחה לא מאובטחת מהטלפון המוצפן. לאחר התרחשות הדוברה, Cisco Unified Communications Manager מסווג את השיחה כלא מאובטחת.
אם הטלפון היוזם מוגדר להצפנה, יוזם הדוברה יכול להצטרף לשיחה מוצפנת, והטלפון מציין שהשיחה מוצפנת.
אבטחת רשת LAN אלחוטית
מכיוון שכל התקני ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN האחרת, אבטחת תקשורת קולית היא קריטית ב-WLAN. כדי להבטיח שפורצים לא יבצעו מניפולציות ולא יירטו תעבורה קולית, ארכיטקטורת האבטחה Cisco SAFE תומכת בטלפון. לקבלת מידע נוסף אודות אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
פתרון הטלפוניה Cisco Wireless IP מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת בסכנה באמצעות שיטות האימות הבאות שבהן תומך הטלפון.
-
פתח את האימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת משתמשים. ייתכן שהתקשורת בין ההתקן האלחוטי לנקודת הגישה (AP) אינה מוצפנת.
-
אימות גמיש-פרוטוקול אימות מורחב באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחה זו של שרת-לקוח מצפינה טרנזקציות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין נקודת הגישה לשרת ה-RADIUS, כגון Identity Services Engine (ISE).
מנהרת TLS משתמשת באישורי גישה מוגנת (PAC) לאימות בין הלקוח (טלפון) לשרת RADIUS. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת RADIUS. השרת מפענח את ה-PAC עם המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח PAC ונוצרת מנהרת TLS. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת RADIUS.
ב- ISE, כברירת מחדל, תוקפו של PAC פג בעוד שבוע. אם לטלפון יש PAC שפג תוקפו, האימות עם שרת RADIUS נמשך זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.
-
אימות פרוטוקול הרחבה-שכבת תחבורה (EAP-TLS) אימות: EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, אישור הלקוח יכול להיות MIC, LSC, או אישור המותקן על-ידי המשתמש.
-
Protected Extensible Authentication Protocol (PEAP): סכימת אימות הדדי מבוססת סיסמאות קניינית של Cisco בין הלקוח (טלפון) לשרת RADIUS. הטלפון יכול להשתמש ב- PEAP לאימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.
-
מפתח משותף מראש (PSK): הטלפון תומך בתבניות ASCII והקסדצימליות (HEX). עליך להשתמש בתבניות אלה בעת הגדרת מפתח משותף מראש של WPA2/SAE.
ASCII: מחרוזת של תווי ASCII באורך של 8 עד 63 תווים (0-9, אותיות קטנות a-z, אותיות גדולות A-Z ותווים מיוחדים). לדוגמה,GREG123567@9ZX
&W.HEX: מחרוזת בעלת תו HEX באורך 64 ספרות הקסדצימאליות (0-9, a-f או A-F).
סכימות האימות הבאות משתמשות בשרת RADIUS לניהול מפתחות אימות:
-
WPA2/WPA3: משתמש במידע שרת RADIUS כדי ליצור מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת ה-RADIUS המרכזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות משותפים מראש של WPA המאוחסנים ב-AP ובטלפון.
-
נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע של שרת תחום אלחוטי (WDS) לניהול ואימות מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור התקני לקוח התומכים ב-FT לצורך אימות מחדש מהיר ומאובטח.
עם WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין נקודת הגישה לטלפון. אבל יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.
כדי לסייע בהגנה על תעבורת הקול דרך הקישור האלחוטי, הטלפון תומך בהצפנה מבוססת AES לאימות WPA2/WPA3. AES הוא צופן בלוקים סימטרי המתוקנן על ידי NIST. AES משתמש בגודל בלוק קבוע של 128 סיביות ותומך בגדלי מפתח של 128 סיביות, 192 סיביות ו- 256 סיביות. ברשתות Wi-Fi, AES משמש חבילות הצפנה כגון CCMP או GCMP, בעוד שהאימות מסופק בנפרד על ידי PSK, SAE או 802.1X/EAP, בהתאם למצב האבטחה WLAN שהוגדר. חבילת הצופן הנתמכת וגודל המפתח תלויים בדגם הטלפון ובתצורת WLAN.
כאשר הטלפון משתמש בהצפנת AES, הן מנות האיתות SIP והן מנות פרוטוקול תעבורה בזמן אמת (RTP) הקוליות מוצפנות בין נקודת הגישה לטלפון.
סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-APs ומציינים שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולסכימת האימות וההצפנה המסוימת. כדי שהתקני לקוח אלחוטיים יוכלו לבצע אימות מוצלח, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם בנקודות הגישה ובטלפון.
סכימות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.
כאשר אתה משתמש במפתח טרום-שיתוף WPA2 או ב-SAE, המפתח הטרום-משותף חייב להיות מוגדר באופן סטטי בטלפון. מפתחות אלה חייבים להתאים למפתחות שנמצאים ב-AP.
ערכות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור Cisco Wireless Phone 9821 המתאים לתצורת נקודת גישה.
| סוג FSR | אימות | ניהול מפתח | הצפנה | מסגרת ניהול מוגנת (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | לא |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | כן |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | לא |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | כן |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | לא |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | כן |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | לא |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | כן |
| לא FT | סוויטה B | WPA-EAP-SUITE-B | GCMP | כן |
| לא FT | סוויטה - B-192 | WPA-EAP-SUITE-B-192 | GCMP | כן |
הגדרת פרופיל Wi-Fi
באפשרותך להגדיר פרופיל Wi-Fi ולהקצות אותו לטלפון אלחוטי Cisco 9821. פרופיל זה מכיל את הפרמטרים הדרושים לטלפון כדי ליצור חיבור Wi-Fi ולאחר מכן להירשם עם Cisco Unified CM. בעת יצירת פרופיל Wi-Fi ושימוש בו, אינך צריך להגדיר את תצורת הרשת האלחוטית עבור טלפונים בודדים.
מומלץ להשתמש בפרופיל מאובטח עם הצפנת TFTP מופעלת כדי להגן על מפתחות וסיסמאות בעת שימוש בפרופיל Wi-Fi.
הטלפונים תומכים באישור שרת אחד לכל שיטת התקנה (ידני, SCEP או TFTP).
זכור את ההערות הבאות לפני שתגדיר את פרופיל ה-WLAN:
-
שם משתמש וסיסמא
-
כאשר הרשת שלך משתמשת ב-EAP-FAST ו-PEAP לאימות משתמש, עליך להגדיר הן את שם המשתמש והן את הסיסמה אם נדרשים ב-Remote Authentication Dial-In Service (RADIUS) ובטלפון.
- האישורים שתזין בפרופיל ה-LAN האלחוטי חייבים להיות זהים לאישורים שהגדרת בשרת RADIUS.
-
אם אתה משתמש בדומיינים בתוך הרשת שלך, עליך להזין את שם המשתמש עם שם הדומיין, בפורמט:
תחום\שם משתמש.
-
-
הפעולות הבאות עלולות לגרום לניקוי סיסמת ה-Wi-Fi הקיימת:
- הזנת מזהה משתמש או סיסמה לא חוקיים
- התקנת אישור בסיס לא חוקי או שפג תוקפו כאשר סוג EAP מוגדר ל-PEAP-MSCHAPV2 או PEAP-GTC
- השבתת סוג EAP בשימוש בשרת RADIUS לפני העברת הטלפון לסוג EAP החדש
- כדי לשנות את סוג EAP, ודא שאתה מפעיל את סוג EAP החדש בשרת RADIUS תחילה, ולאחר מכן העבר את הטלפון לסוג EAP. כאשר כל הטלפונים שונו לסוג EAP החדש, תוכל להשבית את סוג ה-EAP הקודם אם תרצה.
| 1 |
בניהול Cisco Unified Communications Manager, בחר . |
| 2 |
נְקִישָׁה הוסף חדש. |
| 3 |
במקטע מידע פרופיל LAN אלחוטי, הגדר את הפרמטרים:
|
| 4 |
במקטע הגדרות אלחוטיות, הגדר את הפרמטרים:
|
| 5 |
במקטע הגדרות אימות, הגדר את שיטת האימות לאחת משיטות האימות הבאות: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK וללא. Cisco Wireless Phone 9821 אינו תומך ב- WEP. לאחר הגדרת שדה זה, ייתכן שתראה שדות נוספים שעליך להגדיר.
Cisco טלפון אלחוטי 9821 אינו תומך בשדה פרופיל גישה לרשת. |
| 6 |
לחץ על שמור. |
מה לעשות בשלב הבא
אגד את פרופיל ה- LAN האלחוטי לקבוצת פרופילים WLAN ולאחר מכן החל את קבוצת הפרופילים WLAN על מאגר התקנים (התקן).
התקנת אישור משתמש מדף האינטרנט של ניהול הטלפון
באפשרותך להתקין אישור משתמש בטלפון באופן ידני אם פרוטוקול Simple Certificate Enrollment Protocol (SCEP) אינו זמין.
ניתן להשתמש באישור היצרן המותקן מראש (MIC) כאישור המשתמש עבור EAP-TLS.
לאחר התקנת אישור המשתמש, עליך להוסיף את שרשרת CA שהנפיקה את אישור המשתמש לרשימת יחסי האמון של שרת RADIUS.
לפני שאתה מתחיל
לפני שתוכל להתקין אישור משתמש עבור טלפון, עליך להיות בעל:
-
תעודת משתמש שנשמרה במחשב האישי שלך. האישור חייב להיות בפורמט PKCS #12.
-
סיסמת החילוץ של האישור. אורך הסיסמה לא יעלה על 32 תווים.
| 1 |
מדף האינטרנט של ניהול הטלפון, בחר תעודות. |
| 2 |
אתר את משתמש מותקן שדה ולחץ להתקין. |
| 3 |
דפדף אל האישור במחשב האישי שלך. |
| 4 |
בתוך ה חלץ סיסמה בשדה, הזן את סיסמת חילוץ האישור. |
| 5 |
נְקִישָׁה העלה. |
| 6 |
הפעל מחדש את הטלפון לאחר השלמת ההעלאה. |
התקנת CA של שרת אימות מדף האינטרנט של ניהול הטלפון
באפשרותך להתקין באופן ידני CA של שרת אימות בטלפון אם פרוטוקול Simple Certificate Enrollment Protocol (SCEP) אינו זמין.
יש להתקין את אישור CA המשמש כבסיס שהנפיק את אישור שרת RADIUS.
לפני שאתה מתחיל
לפני שתוכל להתקין אישור בטלפון, עליך לשמור CA של שרת אימות במחשב. האישור חייב להיות מקודד ב-PEM (Base-64) או DER.
| 1 |
מדף האינטרנט של ניהול הטלפון, בחר תעודות. |
| 2 |
אתר את שרת אימות CA שדה ולחץ להתקין. |
| 3 |
דפדף אל האישור במחשב האישי שלך. |
| 4 |
נְקִישָׁה העלה. |
| 5 |
הפעל מחדש את הטלפון לאחר השלמת ההעלאה. |
הסרה ידנית של אישור אבטחה מדף האינטרנט של ניהול הטלפון
אתה יכול להסיר באופן ידני אישור אבטחה מהטלפון אם פרוטוקול Simple Certificate Enrollment (SCEP) אינו זמין.
| 1 |
מדף האינטרנט של ניהול הטלפון, בחר תעודות. |
| 2 |
אתר את האישור ב- תעודות עמוד. |
| 3 |
נְקִישָׁה לִמְחוֹק. |
| 4 |
הפעל מחדש את הטלפון לאחר סיום תהליך המחיקה. |
הגדרת SCEP
Simple Certificate Enrollment Protocol (SCEP) הוא התקן להקצאה וחידוש אוטומטיים של אישורים. הוא מונע התקנה ידנית של אישורים בטלפונים שלך.
הפעלת פרמטרי התצורה הספציפיים למוצר SCEP
עליך להגדיר את פרמטרי SCEP הבאים ב- Cisco Unified Communications Manager (Unified CM).
-
RA IP כתובת או שם מארח
-
טביעת אצבע SHA-1 או SHA-256 של אישור CA השורש עבור שרת SCEP
רשות הרישום של Cisco IOS (RA) משמשת כפרוקסי לשרת SCEP. לקוח SCEP בטלפון משתמש בפרמטרים שהורדו מ- Cisco Unified CM. לאחר קביעת התצורה של הפרמטרים, הטלפון שולח בקשת SCEP getcs ל-RA ואישור CA הבסיס מאומת באמצעות טביעת האצבע שהוגדרה.
| 1 |
מתוך Cisco Unified Communications Manager Administration, בחר . |
| 2 |
אתר את הטלפון. |
| 3 |
גלול אל ה- פריסת תצורה ספציפית למוצר אֵזוֹר. |
| 4 |
בחר בתיבת הסימון WLAN SCEP Server כדי להפעיל את הפרמטר SCEP. |
| 5 |
בחר בתיבת הסימון WLAN Root CA Fingerprint (SHA256 או SHA1) כדי להפעיל את הפרמטר SCEP QED. |
תמיכה בשרת SCEP
אם אתה משתמש בשרת Simple Certificate Enrollment Protocol (SCEP), השרת יכול לתחזק באופן אוטומטי את אישורי המשתמש והשרת שלך. בשרת SCEP, הגדר את סוכן הרישום של SCEP (RA) כך:
-
פעל כנקודת אמון PKI
-
פעל בתור PKI RA
-
בצע אימות מכשיר באמצעות שרת RADIUS
למידע נוסף, עיין בתיעוד שרת SCEP שלך.
הגדר אישור מקומי משמעותי (LSC)
קיימות מספר שיטות להתקנת LSC. משימה לדוגמה זו חלה על הגדרת LSC עם שיטת מחרוזת האימות בטלפון אלחוטי Cisco 9821.
לפני שאתה מתחיל
ודא שתצורות האבטחה המתאימות Cisco Unified CM ו- certificate authority proxy function (CAPF) הושלמו.
-
לקובץ CTL או ITL יש אישור CAPF.
-
ב-Cisco Unified Communications Operating System Administration, ודא שאישור CAPF מותקן.
-
ה-CAPF פועל ומוגדר.
לקבלת מידע נוסף אודות הגדרות אלה, עיין בתיעוד עבור מהדורת Cisco Unified CM המסוימת שלך.
| 1 |
השג את מחרוזת האימות CAPF שהוגדרה בעת קביעת התצורה של CAPF. |
| 2 |
בטלפון, גש אל הגדרות |
| 3 |
בחר . |
| 4 |
הזן את מחרוזת האימות. |
| 5 |
לחץ עוד הטלפון מתחיל להתקין, לעדכן או להסיר את ה-LSC, בהתאם לאופן תצורת ה-CAPF. כאשר ההליך הושלם, מותקן או לא מותקן יופיע בטלפון. תהליך ההתקנה, העדכון או ההסרה של LSC עשוי להימשך זמן רב. כאשר הליך התקנת הטלפון מצליח, ה |
אימות 802.1X עבור רשתות קוויות
Cisco טלפון אלחוטי 9821 תומך באימות 802.1X עבור רשתות קוויות. בדרך כלל משתמשים בו במהלך הקצאה אוטומטית כאשר הטלפון מחובר למטען השולחני באמצעות מתאם USB-אל-Ethernet נתמך.
תמיכה באימות 802.1X ברשתות קוויות דורשת מספר רכיבים כדלקמן:
-
טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.
-
שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף מסוג RADIUS.
-
מתג: המתג חייב לתמוך ב- 802.1X, כך שהוא יכול לפעול כמאמת ולהעביר את הודעות EAP בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.
טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות.
עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.
-
הגדר CDP/LLDP מעקף קול VLAN.
-
הגדר את שרת האימות ואת המתג לפני שתפעיל אימות 802.1X עבור רשתות קוויות בטלפון.
-
הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.
- מופעל: אם אתה משתמש במתג התומך באימות מרובה תחומים, באפשרותך להגדיר אותו לשימוש בקול VLAN.
- נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
-
Cisco טלפון אלחוטי 9821 יש קידומת שונה PID מזה עבור טלפונים Cisco אחרים. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש כדי לכלול את הטלפון האלחוטי Cisco שלך 9821.
לדוגמה, ה-PID של Cisco Wireless Phone 9821 הוא WP-9821. באפשרותך להגדיר רדיוס· שם משתמש להתחיל
עם WPאומכיל WPבשני הסעיפים הבאים: -
הפעל אימות 802.1X עבור רשתות קוויות בטלפון שלך
בצע שלבים אלה כדי להפעיל אימות 802.1X עבור רשתות קוויות בטלפון שלך. שים לב שאימות 802.1X עבור Wi-Fi מופעל כברירת מחדל ואינו דורש קביעת תצורה ידנית.
| 1 |
גישה להגדרות |
| 2 |
אם תתבקש, הזן את הסיסמה כדי לגשת לתפריט הגדרות . באפשרותך לקבל את הסיסמה ממנהל המערכת שלך. |
| 3 |
בחר . |
| 4 |
סמן את אימות התקן ולחץ על מופעל. |
הפעל אימות 802.1X עבור רשתות קוויות ב- Cisco Unified Communications Manager Administration
בצע שלבים אלה כדי להפעיל אימות 802.1X עבור רשתות קוויות ב- Cisco Unified CM. שים לב שאימות 802.1X עבור Wi-Fi מופעל כברירת מחדל ואינו דורש קביעת תצורה ידנית.
באפשרותך להציג את סטטוס העסקה והגדרות האבטחה בתפריט מסך הטלפון. לקבלת מידע נוסף, ראה תפריט הגדרות אבטחה בטלפון.
| 1 |
ב- Cisco Unified Communications Manager Administration, בחר מכשיר > טלפון. |
| 2 |
אתר את הטלפון שתגדיר. |
| 3 |
נווט לאזור פריסת תצורה ספציפית למוצר. |
| 4 |
בחר מופעל מהתפריט הנפתח אימות 802.1x. כאשר היא מוגדרת כמופעלת או מושבתת, אפשרות אימות ההתקן בטלפון אלחוטי Cisco 9821 הופכת לקריאה בלבד, ומונעת מהמשתמשים לשנות את הגדרות אימות 802.1X. |
| 5 |
בחר שמור. |
| 6 |
בחר החל תצורה. |
תפריט הגדרות אבטחה בטלפון
כדי להציג את המידע אודות הגדרות האבטחה מתפריט הטלפון, גש אל הגדרות
אפליקציה ובחר . זמינות המידע תלויה בהגדרות הרשת בארגון שלך.
|
פרמטרים |
אפשרויות |
ברירת מחדל |
תיאור |
|---|---|---|---|
|
אימות מכשיר |
מופעל כבוי |
כבוי |
הפעלה או השבתה של אימות 802.1X בטלפון. ניתן לשמור את הגדרת הפרמטר לאחר הרישום המוכן לשימוש (OOB) של הטלפון. |
|
מצב פעולה | מושבת |
מציג את המצב של אימות 802.1X. המדינה יכולה להיות (לא רק):
| |
|
פרוטוקול | ללא |
מציג את השיטה EAP המשמשת לאימות 802.1X. הפרוטוקול יכול להיות EAP-FAST או EAP-TLS. |
הגדר את הגירסאות הנתמכות של TLS
ניתן להגדיר את הגרסה המינימלית של TLS הנדרשת עבור לקוח ושרת בהתאמה.
כברירת מחדל, גירסת TLS המינימלית של השרת והלקוח היא גם 1.2. להגדרה יש השפעות על הפונקציות הבאות:
- חיבור גישה לאינטרנט HTTPS
- קליטה בטלפון מקומי
- שירותי HTTPS, כגון, שירותי מדריך הכתובות
- אבטחת שכבת תעבורה של Datagram (DTLS)
- ישות גישה ליציאה (PAE)
- אבטחת שכבת תעבורה של פרוטוקול אימות מורחב (EAP-TLS)
לקבלת מידע נוסף אודות תאימות TLS 1.3 עבור Cisco IP Phones, ראה TLS 1.3 תאימות Matrix for Cisco Collaboration Products.
| 1 |
ב- Cisco Unified Communications Manager Administration, בצע אחת מהפעולות הבאות לפי הצורך:
התצורה עוקבת אחר מבנה היררכי:
|
| 2 |
הגדר את השדה TLS Client Min Version : האפשרות TLS 1.3 זמינה ב- Cisco Unified CM 15SU2 ואילך.
|
| 3 |
הגדר את השדה TLS Server Min Version :
|
| 4 |
לחץ על שמור. |
| 5 |
לחץ על החל תצורה. |
| 6 |
הפעל מחדש את הטלפונים. |
TURN לכבות את הרמקול והאוזניות בטלפון אלחוטי Cisco 9821
יש לך את האפשרויות TURN לצמיתות את הרמקול והאוזניות בטלפון אלחוטי Cisco 9821 עבור המשתמש שלך. כיבוי יציאות שמע אלה מבטיח ששיחות לא יישמעו על-ידי אנשים אחרים בקרבת מקום, דבר חשוב בסביבות משרדיות משותפות או פתוחות.
| 1 |
ב- Cisco Unified Communications Manager Administration, בחר . |
| 2 |
אתר את הטלפון שתגדיר. |
| 3 |
נווט לאזור פריסת תצורה ספציפית למוצר. |
| 4 |
סמן אחת או יותר מתיבות הסימון הבאות כדי TURN את יכולות הטלפון:
כברירת מחדל, תיבות סימון אלה אינן מסומנות. |
| 5 |
בחר שמור. |
| 6 |
בחר החל תצורה. |
