- Početak
- /
- Članak
Ovaj članak pomoći odnosi se na Cisco bežični telefon 9821 registriran na Cisco Unified Communications Manager (Unified CM).
Aplikaciji Cisco Unified Communications Manager (Unified CM) možete omogućiti rad u poboljšanom sigurnosnom okruženju. S pomoću tih poboljšanja telefonska mreža djeluje u skladu sa skupinom strogih kontrola za sigurnost i upravljanje rizicima kako biste vi i vaši korisnici bili zaštićeni.
Poboljšano sigurnosno okruženje uključuje sljedeće značajke:
-
Provjera autentičnosti pretraživanja kontakata
-
TCP kao zadani protokol za zapisivanje daljinskog nadzora
-
Poboljšano pravilo vjerodajnica
-
Podrška obitelji hashova SHA-2 za digitalne potpise
-
Podrška za RSA veličine ključa do 4096 bita
Uz Cisco Unified CM Release 14.0 ili noviji, telefoni podržavaju SIP OAuth provjeru autentičnosti.
OAuth je podržan za proxy trivijalni protokol za prijenos datoteka (TFTP) s Cisco Unified CM Release 14.0 (1) SU1 ili novijim.
Dodatne informacije o sigurnosti potražite u sljedećim vodičima:
-
Vodič za konfiguraciju sustava za Cisco Unified Communications Manager, izdanje 15 i SU-ove
-
Sigurnosni vodič za Cisco Unified Communications Manager, izdanje 15 i SU-ove
Vaš telefon može pohraniti samo ograničeni broj datoteka iz popisa pouzdanih identiteta (engl. Identity Trust List, ITL). ITL datoteke ne mogu prelaziti 64K na telefonu pa ograničite broj datoteka koje Cisco Unified CM šalje na telefon.
Podržane sigurnosne značajke
Sigurnosne značajke štite od prijetnji, uključujući prijetnje identitetu telefona i podacima. Te značajke uspostavljaju i održavaju prijenose komunikacije provjerene autentičnosti između telefona i poslužitelja sustava Cisco Unified Communications Manager te osiguravaju da telefon upotrebljava samo digitalno potpisane datoteke.
Cisco Unified Communications Manager, izdanje 8.5 (1) i kasnije, uključuje sigurnost prema zadanim postavkama, što omogućuje slijedeće sigurnosne mogućnosti za Cisco IP telefone bez funkcioniranja CTL klijenta:
-
Potpisivanje konfiguracijskih datoteka telefona
-
Šifriranje konfiguracijske datoteke telefona
-
HTTPS s uslugom Tomcat i ostalim web-uslugama
Sigurnosna upozorenja i medijske značajke i dalje zahtijevaju od vas da pokrenete CTL klijenta i upotrebljavate hardverske e-tokene.
Provedba sigurnosti u sustavu Cisco Unified Communications Manager sprječava krađu identiteta telefona i poslužitelja sustava Cisco Unified Communications Manager,sprječava neovlašteno mijenjanje podataka i signala poziva i prijenos medijskog sadržaja.
Kako bi ublažili te prijetnje, mreža Cisco IP telefonije uspostavlja i održava sigurne (šifrirane) prijenose komunikacije između telefona i poslužitelja, digitalno potpisuje datoteke prije nego što se prenesu na telefon te šifrira prijenose medijskog sadržaja i signalizaciju poziva između Cisco IP telefona.
Certifikat lokalnog značaja (engl. Locally Significant Certificate, LSC) instalira se na telefone nakon izvršavanja potrebnih zadataka povezanih s Proxy funkcijom izdavatelja certifikata (engl. Certificate Authority Proxy Function, CAPF). Cisco Unified Communications Manager Administration možete koristiti za konfiguriranje LSC, kako je opisano u Vodiču za sigurnost Cisco Unified Communications Manager. Možete pokrenuti i instalaciju pogreške LSC s izbornika Sigurnost na telefonu. Ovaj izbornik omogućuje vam ažuriranje ili uklanjanje LSC-a.
Telefoni upotrebljavaju sigurnosni profil telefona, koji definira je li uređaj siguran. Informacije o primjeni sigurnosnog profila na telefon potražite u dokumentaciji za određeno izdanje sustava Cisco Unified Communications Manager.
Ako konfigurirate postavke vezane uz sigurnost u sustavu Cisco Unified Communications Manager Administration, konfiguracijska datoteka telefona sadrži osjetljive informacije. Kako biste osigurali privatnost konfiguracijske datoteke, morate je konfigurirati za šifriranje. Podrobne informacije potražite u dokumentaciji određenog izdanja sustava Cisco Unified Communications Manager koji imate.
Sljedeća tablica pruža pregled sigurnosnih značajki koje telefoni podržavaju. Dodatne informacije potražite u dokumentaciji određenog izdanja sustava Cisco Unified Communications Manager koji imate.
|
Značajka |
Opis |
|---|---|
|
Provjera autentičnosti slike |
Potpisane binarne datoteke sprječavaju neovlaštene izmjene slike firmvera prije učitavanja slike na telefon. Neovlaštene izmjene slike uzrokuju da telefon ne uspijeva dovršiti postupak provjere autentičnosti i odbacuje nove slike. |
|
Instalacija certifikata web-mjesta klijenta |
Za svaki Cisco IP telefon potreban je jedinstveni certifikat za provjeru autentičnosti uređaja. Telefoni uključuju certifikat instaliran u proizvodnji (engl. manufacturing installed certificate, MIC), ali za dodatnu sigurnost možete odrediti instalaciju certifikata u sustav Cisco Unified Communications Manager Administration s pomoću Proxyja davatelja certifikata (engl. Certificate Authority Proxy, CAPF). Možete i instalirati pogrešku Locally Significant Certificate (LSC) s izbornika Sigurnost na telefonu. |
|
Autentifikacija uređaja |
Prikazuje se između poslužitelja sustava Cisco Unified Communications Manager i telefona kada svaki entitet prihvati certifikat drugog entiteta. Određuje hoće li se prikazati sigurna veza između telefona i sustava Cisco Unified Communications Manager; i, ako je potrebno, stvara sigurnu putanju signalizacija između entiteta s pomoću TLS protokola. Cisco Unified Communications Manager ne registrira telefone ako im ne može provjeriti autentičnost. |
|
Provjera autentičnosti datoteke |
Potvrdjuje digitalno potpisane datoteke koje telefon preuzima. Telefon provjerava valjanost potpisa kako bi bilo sigurno da se nije dogodila neovlaštena izmjena nakon stvaranja datoteke. Datoteke kod kojih provjera autentčnosti ne uspije ne upisuju se u brzu memoriju telefona. Telefon odbacuje takve datoteke bez daljnje obrade. |
|
Šifriranje datoteke |
Šifriranje sprječava otkrivanje osjetljivih informacija za vrijeme prijenosa datoteke na telefon. Uz to, telefon provjerava valjanost potpisa kako bi bilo sigurno da se nije dogodila neovlaštena izmjena nakon stvaranja datoteke. Datoteke kod kojih provjera autentčnosti ne uspije ne upisuju se u brzu memoriju telefona. Telefon odbacuje takve datoteke bez daljnje obrade. |
|
Signalizacija provjere autentičnosti |
Upotrebljava TLS protokol kako bi se provjerilo da tijekom prijenosa nije došlo do neovlaštenih izmjena signalnih pakiranja. |
|
Certifikat koji je instalirao proizvođač |
Svaki Cisco IP telefon sadrži jedinstveni certifikat koji je instalirao proizvođač (MIC) i koji se upotrebljava za provjeru autentičnosti uređaja. MIC pruža stalni jedinstven dokaz identiteta za telefon i omogućuje sustavu Cisco Unified Communications Manager provjeru autentičnosti telefona. |
|
Šifriranje medija |
Upotrebljava SRTP kako bi se osiguralo da prijenos medijskih sadržaja između podržanih uređaja bude siguran i da samo željeni uređaj prima i čita podatke. Uključuje stvaranje para primarnog medijskog ključa za uređaje, isporuku ključeva uređajima i osiguravanje isporuke ključeva tijekom prenošenja ključeva. |
|
CAPF (engl. Certificate Authority Proxy Function, Proxy funkcija izdavatelja certifikata) |
Implementira dijelove postupka za stvaranje certifikata koji su preintenzivno obrađivani za telefon i komunicira s telefonom za stvaranje ključa i instalaciju certifikata. CAPF se može konfigurirati kako bi zatražio potvrde od ovlaštenih korisnika certifikata u ime telefona ili se može konfigurirati za lokalno stvaranje certifikata. Podržane su i vrste tipki EC (eliptična krivulja) i RSA. Da biste koristili ključ EC, provjerite je li omogućen parametar "Endpoint Advanced Encryption Algorithms Support" (iz Enterprise). Dodatne informacije o CAPF i povezanim konfiguracijama potražite u sljedećim dokumentima: |
|
Sigurnosni profil |
Određuje je li telefon nesiguran, je li mu provjerena autentičnost, je li šifriran ili zaštićen. Ostali unosi u ovoj tablici opisuju sigurnosne značajke. |
|
Šifrirane konfiguracijske datoteke |
Omogućuje vam osiguravanje privatnosti konfiguracijskih datoteka telefona. |
|
Onemogućavanje neobveznog web-poslužitelja za telefon |
Iz sigurnosnih razloga možete spriječiti pristup web-mjestima za telefon (što prikazuju razne operacijske statistike za telefon) i portal za samoodržavanje. |
|
Ojačavanje sigurnosti telefona |
Dodatne sigurnosne mogućnosti koje nadzirete iz sustava Cisco Unified Communications Manager Administration:
|
|
Siguran SIP za prebacivanje u slučaju pogreške za SRST |
Nakon konfiguriranja reference za sigurnost Opstanak telefonije na udaljenom mjestu (engl. Survivable Remote Site Telephony, SRST), a zatim vraćanja na izvorne postavke ovisnih uređaja u sustav Cisco Unified Communications Manager Administration, poslužitelj TFTP-a dodaje certifikat SRST datoteci cnf. xml telefona i datoteku šalje telefonu. Siguran telefon zatim upotrebljava TLS vezu za interakciju s usmjerivačem s omogućenim SRST-om. |
|
Šifriranje signalizacije |
Jamči da će sve poruke SIP signalizacije koje se šalju između uređaja i sustava Cisco Unified Communications Manager server biti šifrirane. |
|
Alarm za ažuriranje popisa pouzdanih |
Kada se na telefonu ažurira Popis pouzdanih, Cisco Unified Communications Manager prima alarm koji označuje uspjeh ili neuspjeh ažuriranja. Dodatne informacije potražite u tablicama u nastavku. |
|
Šifriranje AES 256 |
Kada ste spojeni na sustav Cisco Unified Communications Manager Release 10.5 (2) i noviji, telefoni podržavaju šifriranje AES 256 podržano za protokole TLS i SIP za signaliziranje i medijsko šifriranje. Ovo omogućuje telefonima da pokreću i podržavaju TLS 1.2 povezivanja s pomoću šifri koje se temelje na algoritmu AES-256 koji se poklapa sa standardom SHA-2 (engl. Secure Hash Algorithm, Sigurnosni algoritam za pretvaranje vrijednosti) i sukladne su Saveznim standardima za obradu informacija (engl. Federal Information Processing Standards, FIPS). Šifre uključuju:
Za više informacija pogledajte dokumentaciju za Cisco Unified Communications Manager. |
|
Algoritam digitalnog potpisa eliptične krivulje (Certifikati Eliptička krivulja digitalni potpis algoritam, ECDSA) |
Kao dio certifikacije zajedničkih kriterija (engl. Common Criteria, CC), Cisco Unified Communications Manager; dodani ECDSA certifikati u verziji 11.0. To se odnosi na sve proizvode Glasovnog operativnog sustava (engl. Voice Operating System, VOS) koji se odvijaju na CUCM 11.5 i novijim verzijama. |
|
Tomcat certifikat za više poslužitelja (SAN) s Cisco UCM | Telefon podržava Cisco UCM s konfiguriranim Tomcat certifikatima za više poslužitelja (SAN). Ispravnu adresu TFTP poslužitelja možete pronaći u ITL datoteci telefona za registraciju telefona. Dodatne informacije o značajki potražite u sljedećim člancima: |
Tablica u nastavku sadrži Popis pouzdanih poruka s alarmima za ažuriranje i značenjem. Za više informacija pogledajte dokumentaciju za Cisco Unified Communications Manager.
| Šifra i poruka | Opis |
|---|---|
|
1 – TL_SUCCESS |
Primljen novi CTL i/ili ITL |
|
2 – CTL_INITIAL_SUCCESS |
Primljen novi CTL, nema postojećih TL |
|
3 – ITL_INITIAL_SUCCESS |
Primljen novi ITL, nema postojećih TL |
|
4 – TL_INITIAL_SUCCESS |
Primljen novi CTL i ITL, nema postojećih TL |
|
5 – TL_FAILED_OLD_CTL |
Ažuriranje na novi CTL nije uspjelo, ali imaju prethodni TL |
|
6 – TL_FAILED_NO_TL |
Ažuriranje na novi TL nije uspjelo i nemaju stare TL |
|
7 – TL_FAILED |
Generički neuspjeh |
|
8 – TL_FAILED_OLD_ITL |
Ažuriranje na novi ITL nije uspjelo, ali imaju prethodni TL |
|
9 – TL_FAILED_OLD_TL |
Ažuriranje na novi TL nije uspjelo, ali imaju prethodni TL |
Sigurnost telefonskih poziva
Kada se sigurnost za telefon implementira, možete identificirati sigurne telefonske pozive prema ikonama na zaslonu telefona. Također možete utvrditi je li spojeni telefon siguran i zaštićen ako se na početku poziva reproducira sigurnosni ton.
U sigurnom pozivu, šifrirani su svi signali poziva i prijenos medijskog sadržaja. Siguran poziv pruža visoku razinu sigurnosti, pružajući integritet i privatnost poziva. Kada je poziv u tijeku šifriran, možete vidjeti ikonu sigurnosti
Na liniji.
-
Ako je poziv usmjeren putem etape poziva koji nije IP poziv, na primjer, PSTN, poziv može biti nesiguran, iako je šifriran unutar IP mreže i ima ikonu zaključavanja povezanu s njom.
-
Sigurno pozivanje podržano je samo za veze između dva telefona. Neke značajke, kao što su konferencijski poziv i dijeljene linije, nisu dostupni kada je konfigurirano sigurno pozivanje.
U Cisco Unified Communications Manager telefonima konfiguriranim kao sigurni (šifrirani i pouzdani) može se dodijeliti zaštićeni status. Nakon zaštite, ovi se uređaji mogu konfigurirati za reprodukciju sigurnosnog tona na početku svakog poziva.
-
Zaštićeni uređaj:
Da biste status sigurnog telefona promijenili u zaštićeni:
- U Cisco Unified Communications Manager Administration odaberite .
- Pronađite telefon koji ćete postaviti.
- U prozoru Konfiguracija telefona potvrdite okvir Zaštićeni uređaj .
- Kliknite Spremi.
-
Reproduciraj ton sigurne indikacije:
Da biste zaštićenom telefonu omogućili reprodukciju sigurnog ili nesigurnog tona indikacije:
- U Cisco Unified Communications Manager Administration odaberite usluge.
- Odaberite poslužitelj, a zatim uslugu Cisco CallManager .
- U području Parametri za clusterwide (značajka - siguran ton) postavite postavku Reproduciraj da bi naznačio status sigurnog/nesigurnog poziva na Istinito.
- Kliknite Spremi.
Sigurna identifikacija konferencijskih poziva
Možete pokrenuti siguran konferencijski poziv i nadzirati razinu sigurnosti sudionika. Siguran konferencijski poziv uspostavlja se ovim postupkom:
-
Korisnik pokreće konferenciju sa sigurnog telefona.
-
Cisco Unified Communications Manager dodjeljuje pozivu sigurnu konferencijsku vezu.
-
Nakon dodavanja sudionika, Cisco Unified Communications Manager provjerava način sigurnosti svakog telefona i održava sigurnu razinu za konferenciju.
-
Telefon prikazuje razinu sigurnosti konferencijskog poziva. Sigurna konferencija prikazuje ikonu sigurnosti
.
Sigurno pozivanje podržano je između dva telefona. Za zaštićene telefone, neke značajke, kao što su konferencijski poziv, dijeljene linije i značajka Extension Mobility nisu dostupni kada je konfigurirano sigurno pozivanje.
U tablici u nastavku nalaze se informacije o promjenama razina sigurnosti konferencije, ovisno o razini sigurnosti inicijalnog telefona, razinama sigurnosti sudionika te dostupnosti sigurne konferencijske veze.
|
Razina sigurnosti inicijalnog telefona |
Upotrijebljena značajka |
Razina sigurnosti sudionika |
Rezultati djelovanja |
|---|---|---|---|
|
Nije siguran |
Konferencija |
Siguran |
Konferencijska veza nije sigurna Konferencija nije sigurna |
|
Siguran |
Konferencija |
Barem jedan član nije siguran. |
Konferencijska veza je sigurna Konferencija nije sigurna |
|
Siguran |
Konferencija |
Siguran |
Konferencijska veza je sigurna Sigurna šifrirana razina konferencije |
|
Nije siguran |
Meet Me |
Minimalna razina sigurnosti šifrirana je. |
Inicijator prima ton ponovnog naručivanja. |
|
Siguran |
Meet Me |
Minimalna razina sigurnosti nije sigurna. |
Konferencijska veza je sigurna Konferencija prihvaća sve pozive. |
Identifikacija sigurnog telefonskog poziva
Siguran poziv uspostavlja se kada se vaš telefon i telefon s druge strane, konfiguriraju za sigurno pozivanje. Drugi telefon može biti u istoj Cisco IP mreži ili na mreži izvan IP mreže. Sigurni pozivi mogu se uspostaviti samo između dva telefona. Konferencijski pozivi trebali bi podržavati siguran poziv nakon postavljanja sigurne konferencijske veze.
Siguran poziv uspostavlja se ovim postupkom:
-
Korisnik započinje poziv sa sigurnog telefona (zaštićen sigurnosni način rada).
-
Telefon prikazuje ikonu sigurnosti
Na zaslonu telefona. Ova ikona označuje da je telefon konfiguriran za sigurne pozive, ali to ne znači da je i drugi spojeni telefon također siguran. -
Korisnik će čuti sigurnosni ton ako se poziv poveže s drugim sigurnim telefonom, što označuje da su oba kraja razgovora šifrirana i osigurana. Ako se poziv poveže s telefonom koji nije siguran, korisnik neće čuti sigurnosni ton.
Sigurno pozivanje podržano je između dva telefona. Za zaštićene telefone, neke značajke, kao što su konferencijski poziv, dijeljene linije i značajka Extension Mobility nisu dostupni kada je konfigurirano sigurno pozivanje.
Samo zaštićeni telefoni reproduciraju ove tonove indikatora sigurnosti tj. nesigurnosti. Nezaštićeni telefoni nikada ne reproduciraju tonove. Ako se tijekom poziva promijeni ukupnan statusa poziva, mijenja se ton indikatora i zaštićeni telefon reproducira odgovarajući ton.
Kada je mogućnost Reproduciraj ton za označavanje statusa sigurnog/nesigurnog poziva postavljena na Istinito:
-
Kada se uspostavi siguran medij s jednog na drugi kraj i status poziva je siguran, telefon reproducira sigurni ton indikatora (tri duga zvučna signala s pauzama).
-
Kada se uspostavi nesiguran medij s jednog na drugi kraj i status poziva nije siguran, telefon reproducira ton indikatora koji ukazuje na nesigurnost (šest kratkih zvučnih signala s kratkim pauzama).
Ako je mogućnost Reproduciraj ton za označavanje statusa sigurnog/nesigurnog poziva postavljena na False, ton se ne reproducira.
Omogući šifriranje za teglenicu
Cisco Unified Communications Manager provjerava status sigurnosti telefona kada se uspostave konferencije i mijenja sigurnosnu oznaku za konferenciju ili blokira dovršetak poziva radi održavanja integriteta i sigurnosti u sustavu.
Korisnik ne može upasti u šifrirani poziv ako telefon koji se koristi za upadanje nije konfiguriran za šifriranje. Kada teglenica u ovom slučaju ne uspije, na telefonu se reproducira ton za promjenu redoslijeda (brzo zauzet) da je teglenica pokrenuta.
Ako je telefon pokretača konfiguriran za šifriranje, pokretač teglenice može upasti u nesiguran poziv sa šifriranog telefona. Nakon što dođe do teglenice, Cisco Unified Communications Manager klasificira poziv kao nesiguran.
Ako je telefon pokretača konfiguriran za šifriranje, pokretač upada može upasti u šifrirani poziv, a telefon naznačuje da je poziv šifriran.
Bežična LAN sigurnost
Budući da svi uređaji WLAN-a koji su u dometu mogu primati sav drugi WLAN promet, osiguravanje glasovne komunikacije je nužno u WLAN-ovima. Kako uljezi ne bi manipulirali niti presreli glasovni promet, arhitektura Cisco SAFE Security podržava telefon. Dodatne informacije o sigurnosti u mrežama potražite u članku http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Rješenje Cisco Wireless IP telefonije pruža sigurnost bežične mreže koja sprječava neovlaštene prijave i ugroženu komunikaciju pomoću sljedećih metoda provjere autentičnosti koje telefon podržava.
-
Otvori provjeru autentičnosti: svaki bežični uređaj može zatražiti provjeru autentičnosti u otvorenom sustavu. AP koji prima zahtjev može odobriti provjeru autentičnosti svakom tražitelju ili samo tražiteljima koji se nalaze na popisu korisnika. Komunikacija između bežičnog uređaja i pristupne točke (AP) može biti nešifrirana.
-
Proširivi protokol provjere autentičnosti – fleksibilna provjera autentičnosti putem sigurnog tuneliranja (EAP-FAST) Provjera autentičnosti: Ova sigurnosna arhitektura klijent-poslužitelj šifrira EAP transakcije unutar tunela Transport Level Security (TLS) između AP-a i RADIUS poslužitelja, kao što je Identity Services Engine (ISE).
Tunel TLS upotrebljava Vjerodajnice za zaštićeni pristup (engl. Protected Access Credential, PAC) za provjeru autentičnosti između klijenta (telefona) i poslužitelja RADIUS. Poslužitelj šalje ID ovlaštenja (engl. Authority ID, AID) klijentu (telefon), što zauzvrat odabire odgovarajući PAC. Klijent (telefon) vraća neproziran PAC poslužitelju RADIUS-u. Poslužitelj primarnim ključem dešifrira PAC. Obje krajnje točke sada sadrže ključ PAC i stvara se TLS tunel. EAP-FAST podržava automatsku dodjelu PAC-a, ali ga morate omogućiti na poslužitelju RADIUS-u.
U ISE-u, prema zadanim postavkama, PAC istječe za tjedan dana. Ako telefon ima istekli PAC, provjera autentičnosti na poslužitelju RADIUS traje dulje dok telefon dobije novi PAC. Kako biste izbjegli kašnjenja pri dodjeli PAC-ova, postavite razdoblje trajanja PAC-a na 90 dana ili dulje na ISE-u ili poslužitelju RADIUS.
-
Protokol proširene provjere autentičnosti – Sigurnost na razini prijenosa (engl. Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) za provjeru autentičnosti: EAP-TLS zahtijeva certifikat klijenta za provjeru autentičnosti i pristup mreži. Za bežičnu EAP-TLS certifikat klijenta može biti MIC, LSC, ili certifikat koji je instalirao korisnik.
-
Protokol za zaštićenu proširenu provjeru autentičnosti (engl. Protected Extensible Authentication Protocol, PEAP): Vlasnička shema tvrtke Cisco uzajamne provjere autentičnosti temeljena na lozinci između klijenta (telefona) i poslužitelja RADIUS. Telefon može koristiti PEAP za provjeru autentičnosti s bežičnom mrežom. Podržani su i PEAP-MSCHAPV2 i PEAP-GTC načini provjere autentičnosti.
-
Unaprijed dijeljeni ključ (PSK): telefon podržava formate ASCII i heksadecimalne (HEX). Te oblike morate koristiti prilikom postavljanja unaprijed dijeljenog ključa WPA2/SAE.
ASCII: Niz ASCII znakova duljine od 8 do 63 znaka (0-9, mala slova a-z, velika slova A-Z i posebni znakovi). Na primjer,GREG123567@9ZX
&W.HEX: HEX-znakovni niz sa 64 šesterokutne znamenke duljine (0-9, a-f ili A-F).
Sheme provjere autentičnosti u nastavku upotrebljavaju poslužitelj RADIUS za upravljanje ključevima za provjeru autentičnosti:
-
WPA2/WPA3: upotrebljava podatke poslužitelja RADIUS za stvaranje jedinstvenih ključeva za provjeru autentičnosti. Budući da se ovi ključevi stvaraju na središnjem poslužitelju RADIUS, WPA2/WPA3 pruža više sigurnosti nego unaprijed dijeljeni ključevi WPA pohranjeni na AP-u i telefonu.
-
Brz i siguran roaming: upotrebljava poslužitelj RADIUS i podatke o poslužitelju bežične domene (engl. wireless domain server, WDS) za upravljanje i provjeru autentičnosti ključeva. WDS stvara predmemoriju sigurnosnih vjerodajnica za klijentske uređaje s omogućenim FT-om za brzu i sigurnu ponovnu provjeru autentičnosti.
Uz WPA2/WPA3 ključevi za šifriranje ne unose se na telefon, već se automatski izvode između AP-a i telefona. No, EAP korisničko ime i lozinka koji se upotrebljavaju za provjeru autentičnosti moraju biti unesene u svaki telefon.
Da bi zaštitio glasovni promet putem bežične veze, telefon podržava šifriranje temeljeno na AES-u za WPA2/WPA3 provjeru autentičnosti. AES je simetrična šifra bloka standardizirana od strane NIST-a. AES koristi fiksnu 128-bitnu veličinu bloka i podržava veličine ključeva od 128 bita, 192 bita i 256 bita. U Wi-Fi mrežama AES koriste paketi šifri kao što su CCMP ili GCMP, dok provjeru autentičnosti zasebno pružaju PSK, SAE ili 802.1X/EAP, ovisno o konfiguriranom WLAN sigurnosnom načinu rada. Podržani paket šifri i veličina ključa ovise o modelu telefona i konfiguraciji WLAN.
Kada telefon koristi šifriranje AES, paketi signala SIP i paketi glasovnog protokola prijenosa u stvarnom vremenu (RTP) šifrirani su između AP-a i telefona.
Provjera autentičnosti i sheme šifriranja postavljeni su unutar bežičnog LAN-a. VLAN-ovi su konfigurirani u mreži i na AP-ovima i određuju različite kombinacije provjere autentičnosti i šifriranja. SSID se povezuje s VLAN-om i određenom shemom za provjeru autentičnosti i šifriranje. Da bi bežični klijentski uređaji uspješno provjerili autentičnost, morate konfigurirati iste SSID-ove s njihovim shemama provjere autentičnosti i šifriranja na AP-ovima i na telefonu.
Neke sheme za provjeru autentičnosti zahtijevaju određene vrste šifriranja.
Kada koristite unaprijed dijeljeni ključ WPA2 ili SAE, unaprijed dijeljeni ključ mora biti statički postavljen na telefonu. Ovi ključevi moraju se poklapati s ključevima koji se nalaze na AP-u.
Sheme provjere autentičnosti i šifriranja u sljedećoj tablici prikazuju mogućnosti mrežne konfiguracije za Cisco bežični telefon 9821 koje odgovaraju AP konfiguraciji.
| Vrsta FSR | Provjeru autentičnosti | Upravljanje ključevima | Šifriranje | Zaštićeni okvir upravljanja (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Ne |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Da |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Da |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Da |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Da |
| ne-FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Da |
| ne-FT | Apartman-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Da |
Postavljanje profila Wi-Fi
Možete konfigurirati Wi-Fi profil i dodijeliti ga Cisco bežičnom telefonu 9821. Ovaj profil sadrži potrebne parametre kako bi telefon uspostavio vezu Wi-Fi i nakon toga se registrirao na Cisco Unified CM. Kada stvarate i koristite profil Wi-Fi, vi ili vaši korisnici ne morate konfigurirati bežičnu mrežu za pojedinačne telefone.
Preporučujemo da koristite sigurni profil s omogućenim TFTP šifriranjem za zaštitu tipki i lozinki kada koristite Wi-Fi profil.
Telefoni podržavaju jedan certifikat poslužitelja po načinu instalacije (ručno, SCEP ili TFTP).
Imajte na umu sljedeće bilješke prije nego što konfigurirate WLAN profil:
-
Korisničko ime i lozinka
-
Kada vaša mreža upotrebljava EAP-FAST i PEAP za provjeru autentičnosti korisnika, morate konfigurirati i korisničko ime i lozinku, ako je to potrebno, na Korisničkoj usluzi biranja za daljinsku provjeru autentičnosti (engl. Remote Authentication Dial-In User Service, RADIUS) i telefonu.
- Vjerodajnice koje unesete u profil bežičnog LAN-a moraju biti identične vjerodajnicama koje ste konfigurirali na poslužitelju RADIUS.
-
Ako upotrebljavate domene unutar svoje mreže, morate unijeti korisničko ime s nazivom domene, u formatu:
domena\korisničkoime.
-
-
Sljedeće radnje mogle bi rezultirati poništavanjem postojeće Wi-Fi lozinke:
- Unos nevaljanog ID-a korisnika ili lozinke
- Instaliranje nevaljanog ili isteklog Korijenskog CA kada je vrsta EAP postavljena na PEAP-MSCHAPV2 ili PEAP-GTC
- Onemogućivanje EAP vrste koja se upotrebljava na poslužitelju RADIUS prije prebacivanja telefona na novu vrstu EAP-a
- Za promjenu vrste EAP-a provjerite jeste li najprije omogućili novu vrstu EAP-a na poslužitelju RADIUS, a zatim prebacite telefon na vrstu EAP. Kada su svi telefoni promijenjeni na novu vrstu EAP-a, možete onemogućiti prethodnu vrstu EAP-a, ako želite.
| 1 |
U sustavu Cisco Unified Communications Manager Administration odaberite stavke . |
| 2 |
Kliknite Dodaj novo. |
| 3 |
U odjeljku Wireless LAN Profile Information (Informacije o bežičnom LAN profilu ) postavite parametre:
|
| 4 |
U odjeljku Bežične postavke postavite parametre:
|
| 5 |
U odjeljku Postavke provjere autentičnosti postavite metodu provjere autentičnosti na jednu od sljedećih metoda provjere autentičnosti: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK i Ništa. Cisco bežični telefon 9821 ne podržava WEP. Nakon što postavite ovo polje, možda ćete vidjeti dodatna polja koja trebate postaviti.
Cisco Bežični telefon 9821 ne podržava polje profila pristupa mreži. |
| 6 |
Kliknite Spremi. |
Što sljedeće učiniti
Povežite bežični LAN profil s grupom profila WLAN, a zatim grupu profila WLAN primijenite na skupinu uređaja (System>Device PoolPhone
Instaliranje korisničkog certifikata s web-stranice administracije telefona
Korisnički certifikat možete ručno instalirati na telefon ako nije dostupan protokol Simple Certificate Enrollment Protocol (SCEP).
Predinstalirani certifikat instalirane proizvodnje (MIC) može se koristiti kao korisnički certifikat za EAP-TLS.
Nakon instalacije korisničkog certifikata morate dodati lanac ca koji je izdao korisnički certifikat na popis pouzdanosti RADIUS poslužitelja.
Prije nego što počnete
Prije nego što instalirate certifikat korisnika za telefon, morate imati:
-
Certifikat korisnika spremljen na računalu. Certifikat mora biti u formatu PKCS #12.
-
Lozinka za izdvajanje certifikata. Duljina lozinke ne smije prelaziti 32 znaka.
| 1 |
Na web-stranici za administraciju telefona odaberite mogućnost Certifikati. |
| 2 |
Pronađite polje Korisnički instalirano i kliknite mogućnost Instaliraj. |
| 3 |
Potražite certifikat na vašem računalu. |
| 4 |
U polje Izdvoji lozinku unesite lozinku izdvojenu iz certifikata. |
| 5 |
Kliknite na Prijenos. |
| 6 |
Ponovno pokrenite telefon nakon dovršetka prijenosa. |
Instalirajte CA poslužitelja za provjeru autentičnosti s web-stranice administracije telefona
Ako SCEP (Simple Certificate Enrollment Protocol) nije dostupan, na telefon možete ručno instalirati CA (Simple Certificate Enrollment Protocol).
Potrebno je instalirati korijenski CA certifikat koji je izdao certifikat poslužitelja RADIUS.
Prije nego što počnete
Da biste mogli instalirati certifikat na telefon, na PC-ju morate spremiti CA za poslužitelj za provjeru autentičnosti. Certifikat mora biti šifriran u PEM (Base-64) ili DER.
| 1 |
Na web-stranici za administraciju telefona odaberite mogućnost Certifikati. |
| 2 |
Pronađite polje CA poslužitelja za provjeru autentičnosti i kliknite stavku Instaliraj. |
| 3 |
Potražite certifikat na vašem računalu. |
| 4 |
Kliknite na Prijenos. |
| 5 |
Ponovno pokrenite telefon nakon dovršetka prijenosa. |
Ručno uklanjanje sigurnosnog certifikata s web-stranice administracije telefona
Možete ručno ukloniti sigurnosni certifikat s telefona ako Jednostavan protokol za upisivanje certifikata (engl. Simple Certificate Enrollment Protocol, SCEP) nije dostupan.
| 1 |
Na web-stranici za administraciju telefona odaberite mogućnost Certifikati. |
| 2 |
Pronađite certifikat na stranici Certifikati. |
| 3 |
Kliknite Izbriši. |
| 4 |
Nakon dovršetka procesa brisanja ponovno pokrenite telefon. |
Uspostavite SCEP
Simple Certificate Enrollment Protocol (SCEP) je standard za automatsku dodjelu i obnavljanje certifikata. Izbjegava ručnu instalaciju certifikata na vašim telefonima.
Aktivirajte konfiguracijske parametre specifične za SCEP proizvod
Sljedeće SCEP parametre morate konfigurirati na Cisco Unified Communications Manager (Unified CM).
-
RA IP adresa ili naziv glavnog računala
-
SHA-1 ili SHA-256 otisak otiska korijenskog CA certifikata za poslužitelj SCEP
Cisco IOS ovlaštenje za registraciju (engl. Registration Authority, RA) služi kao proxy na poslužitelj SCEP. SCEP klijent na telefonu koristi parametre preuzete s Cisco Unified CM. Nakon što konfigurirate parametre, telefon šalje SCEP getcs zahtjev RA-u, a korijenski CA certifikat se provjerava pomoću definiranog otiska prsta.
| 1 |
U odjeljku Cisco Unified Communications Manager Administration odaberite . |
| 2 |
Pronađite telefon. |
| 3 |
Pomaknite se do područja Prikaz konfiguracije specifične za proizvod. |
| 4 |
Potvrdite okvir WLAN SCEP Server da biste aktivirali SCEP parametar. |
| 5 |
Potvrdite okvir WLAN Root CA otisak prsta (SHA256 ili SHA1) da biste aktivirali parametar SCEP QED. |
Podrška za SCEP poslužitelj
Ako koristite SCEP (Simple Certificate Enrollment Protocol) poslužitelj, poslužitelj može automatski održavati vaše korisničke i poslužiteljske certifikate. Na poslužitelju SCEP konfigurirajte agenta SCEP-a za registraciju (engl. Registration Agent, RA) na:
-
Djelovanje kao PKI točka povjerenja
-
Djelovanje kao PKI RA
-
Izvođenje provjere autentičnosti uređaja s pomoću poslužitelja RADIUS
Dodatne informacije potražite u dokumentaciji o poslužitelju SCEP.
Postavljanje cenrtifikata lokalnog značaja (LSC)
Postoji nekoliko načina za instaliranje pogreške LSC. Ovaj ogledni zadatak primjenjuje se na postavljanje pogreške LSC s metodom niza za provjeru autentičnosti na Cisco bežičnom telefonu 9821.
Prije nego što počnete
Provjerite jesu li dovršene odgovarajuće sigurnosne konfiguracije Cisco Unified CM i certificate authority proxy function (CAPF).
-
Datoteka CTL ili ITL ima certifikat CAPF.
-
U administraciji sustava Cisco Unified Communications Operating provjerite je li instaliran ceetifikat CAPF.
-
CAPF je konfiguriran i radi.
Dodatne informacije o tim postavkama potražite u dokumentaciji za određeno izdanje aplikacije Cisco Unified CM.
| 1 |
Pribavite niz za provjeru autentičnosti CAPF koji je postavljen prilikom konfiguracije CAPF. |
| 2 |
Na telefonu pristupite postavkama |
| 3 |
Odaberite . |
| 4 |
Unesite niz za provjeru autentičnosti. |
| 5 |
Pritisnite više Telefon počinje instalirati, ažurirati ili uklanjiti LSC, ovisno o tome kako je konfiguriran CAPF. Kada se postupak dovrši, na telefonu se prikaže poruka instaliran ili nije instaliran. Postupak instaliranja, ažuriranja ili uklanjanja LSC-a može potrajati dugo vremena. Kada je postupak instaliranja telefona uspješan, prikazuje se poruka |
802.1X Provjera autentičnosti za žičane mreže
Cisco bežični telefon 9821 podržava provjeru autentičnosti 802.1X za žičane mreže. To se obično koristi tijekom automatskog dodjeljivanja resursa kada je telefon povezan s stolnim punjačem putem podržanog adaptera USB-to-Ethernet.
Podrška za provjeru autentičnosti 802.1X na žičanim mrežama zahtijeva nekoliko komponenti kako slijedi:
-
Cisco IP telefoni: telefon inicira zahtjev za pristup mreži. Cisco IP telefoni sadrže alt za slanje zamolbe u protokolu 802.1X Ovaj alat za slanje zamolbe omogućuje administratorima mreže kontrolu povezanosti IP telefona s LAN ulazima za prespajanje. Trenutačno izdanje alata za slanje zamolbe u protokolu 802.1X telefona upotrebljava mogućnosti EAP-FAST i EAP-TLS za provjeru autentičnosti mreže.
-
Poslužitelj za provjeru autentičnosti: Poslužitelj za provjeru autentičnosti i skretnica moraju biti konfigurirani s zajedničkom tajnom RADIUS-a.
-
Prekidač: skretnica mora podržavati 802.1X kako bi mogla djelovati kao autentifikator i prenositi poruke EAP između telefona i poslužitelja za provjeru autentičnosti. Nakon dovršetka razmjene, prespojnik odobrava ili odbija odobriti pristup telefona mreži.
Cisco IP telefoni i prespojnici Cisco Catalyst uobičajeno upotrebljavaju Cisco protokol za otkrivanje (engl. Cisco Discovery Protocol, CDP) kako bi identificirali jedni druge i utvrditi parametre kao što su alokacija VLAN-a i zahtjevi za linijsko napajanje.
Kako biste konfigurirali protokol 802.1X, morate izvršiti radnje navedene u nastavku.
-
Konfigurirajte CDP/LLDP glas VLAN zaobiđi.
-
Konfigurirajte poslužitelj za provjeru autentičnosti i skretnicu prije omogućivanja provjere autentičnosti 802.1X za ožičene mreže na telefonu.
-
Konfiguriranje Glasovnog VLAN-a: Budući da standard 802.1X ne računa na VLAN-ove, trebali biste konfigurirati ovu postavku na temelju podrške prespojnika.
- Omogućeno: ako koristite skretnicu koja podržava provjeru autentičnosti više korisnika, možete je konfigurirati tako da koristi glas VLAN.
- Onemogućeno: ako prespojnik ne podržava provjeru autentičnosti višestukih domena, onemogućite glasovni VLAN i razmislite o dodjeljivanju ulaza izvornom VLAN-u.
-
Cisco Bežični telefon 9821 ima drugačiji prefiks u PID-u od onog za ostale Cisco telefone. Da biste telefonu omogućili prolazak provjere autentičnosti 802.1X, postavite radij· Parametar korisničkog imena koji uključuje vaš Cisco bežični telefon 9821.
Na primjer, PID Cisco bežičnog telefona 9821 je WP-9821. Možete postaviti radijus· Korisničko ime za
početak s WPilisadrži WPu oba sljedeća odjeljka: -
Omogućivanje provjere autentičnosti 802.1X za ožičene mreže na telefonu
Slijedite ove korake da biste omogućili provjeru autentičnosti 802.1X za ožičene mreže na telefonu. Imajte na umu da je provjera autentičnosti 802.1X za Wi-Fi omogućena prema zadanim postavkama i da ne zahtijeva ručnu konfiguraciju.
| 1 |
Pristup postavkama |
| 2 |
Ako se to od vas zatraži, unesite lozinku za pristup izborniku Postavke . Lozinku možete dobiti od administratora. |
| 3 |
Odaberite . |
| 4 |
Označite provjeru autentičnosti uređaja i pritisnite Uključeno. |
Omogući provjeru autentičnosti 802.1X za ožičene mreže u aplikaciji Cisco Unified Communications Manager Administration
Slijedite ove korake da biste omogućili provjeru autentičnosti 802.1X za ožičene mreže na Cisco Unified CM. Imajte na umu da je provjera autentičnosti 802.1X za Wi-Fi omogućena prema zadanim postavkama i ne zahtijeva ručnu konfiguraciju.
Status transakcije i sigurnosne postavke možete pregledati na izborniku zaslona telefona. Dodatne informacije potražite u odjeljku Izbornik sigurnosnih postavki na telefonu.
| 1 |
U Cisco Unified Communications Manager Administration odaberite Uređaj > Telefon. |
| 2 |
Pronađite telefon koji ćete postaviti. |
| 3 |
Pomaknite se do područja izgleda konfiguracije specifične za proizvod. |
| 4 |
Na padajućem izborniku provjere autentičnosti 802.1x odaberite Omogućeno . Kada je konfigurirana na omogućeno ili onemogućeno, mogućnost provjere autentičnosti uređaja na Cisco bežičnom telefonu 9821 postaje samo za čitanje, što korisnicima onemogućuje izmjenu postavki provjere autentičnosti 802.1X. |
| 5 |
Izaberite Spremi. |
| 6 |
Odaberite Primijeni konfiguraciju. |
Izbornik sigurnosnih postavki na telefonu
Za pregled informacija o sigurnosnim postavkama s izbornika telefona pristupite Postavkama
i odaberite . Dostupnost informacija ovisi o mrežnim postavkama u vašoj tvrtki ili ustanovi.
|
Parametri |
Mogućnosti |
Zadano |
Opis |
|---|---|---|---|
|
Autentifikacija uređaja |
Uključi Off |
Off |
Omogućuje ili onemogućuje provjeru autentičnosti 802.1X na telefonu. Postavka parametra može se zadržati nakon registracije telefona Out-Of-Box (OOB). |
|
Status transakcije | Onemogućeni |
Prikazuje stanje provjere autentičnosti 802.1X. Država može biti (ne ograničavajući se na):
| |
|
Protokol | Ništa |
Prikazuje metodu EAP koja se koristi za provjeru autentičnosti 802.1X. Protokol može biti EAP-FAST ili EAP-TLS. |
Postavite podržane verzije programa TLS
Možete postaviti minimalnu verziju TLS potrebnu za klijenta, odnosno poslužitelj.
Prema zadanim postavkama minimalna TLS verzija poslužitelja i klijenta je 1.2. Postavka utječe na sljedeće funkcije:
- Veza za HTTPS web pristup
- Uvođenje za lokalni telefon
- HTTPS usluge, kao što su imenički servisi
- Datagram Transport Layer Security (DTLS)
- Entitet pristupa priključku (PAE)
- Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
Dodatne informacije o kompatibilnosti s TLS 1.3 za Cisco IP Phones potražite u članku TLS 1.3 Matrica kompatibilnosti za Cisco Proizvodi za suradnju.
| 1 |
U Cisco Unified Communications Manager Administration po potrebi izvršite jednu od sljedećih radnji:
Konfiguracija slijedi hijerarhijsku strukturu:
|
| 2 |
Postavite polje TLS Client Min Version : Opcija TLS 1.3 dostupna je na Cisco Unified CM 15SU2 ili novijem.
|
| 3 |
Postavite polje TLS Server Min Version :
|
| 4 |
Kliknite Spremi. |
| 5 |
Kliknite Primijeni konfiguraciju. |
| 6 |
Ponovo pokrenite telefone. |
TURN isključen zvučnik i slušalice na Cisco bežičnom telefonu 9821
Imate mogućnosti trajno TURN isključiti zvučnik i slušalice na Cisco bežičnom telefonu 9821 za vašeg korisnika. Isključivanje tih audioizlaza osigurava da drugi u blizini ne čuju razgovore, što je važno u zajedničkim ili otvorenim uredskim okruženjima.
| 1 |
U Cisco Unified Communications Manager Administration odaberite . |
| 2 |
Pronađite telefon koji ćete postaviti. |
| 3 |
Pomaknite se do područja izgleda konfiguracije specifične za proizvod. |
| 4 |
Potvrdite jedan ili više sljedećih potvrdnih okvira da biste TURN isključili mogućnosti telefona:
Prema zadanim postavkama ti potvrdni okviri nisu potvrđeni. |
| 5 |
Izaberite Spremi. |
| 6 |
Odaberite Primijeni konfiguraciju. |
