- Kezdőlap
- /
- Cikk
Cisco IP telefonbiztonság
Ez a súgócikk a Cisco BroadWorks vállalatnál regisztrált Cisco 9800-as sorozatú asztali telefonra és Cisco 8875-ös videotelefonra vonatkozik.
Egyéni eszköztanúsítvány manuális telepítése
Az egyéni eszköztanúsítványt (CDC) manuálisan is telepítheti a telefonra, ha feltölti a tanúsítványt a telefon felügyeleti weboldaláról.
Mielőtt nekilátna
Ahhoz, hogy egyéni készüléktanúsítványt telepíthessen egy telefonhoz, rendelkeznie kell a következőkkel:
- A számítógépre mentett tanúsítványfájl (.p12 vagy .pfx). A fájl tartalmazza a tanúsítványt és a titkos kulcsot.
- A tanúsítvány kibontási jelszava. A jelszó a tanúsítványfájl visszafejtésére szolgál.
1 |
Lépjen be a telefon adminisztrációs weboldalára. |
2 |
Válassza a Tanúsítvány lehetőséget. |
3 |
A Tanúsítvány hozzáadása szakaszban kattintson a Tallózás... gombra. |
4 |
Keresse meg a tanúsítványt a számítógépen. |
5 |
A Kibontási jelszó mezőbe írja be a tanúsítvány kibontási jelszavát. |
6 |
Kattintson a Feltöltés gombra. Ha a tanúsítványfájl és a jelszó helyes, a "
Tanúsítvány hozzáadva" üzenet jelenik meg. Ellenkező esetben a feltöltés meghiúsul egy hibaüzenettel, amely azt jelzi, hogy a tanúsítvány nem tölthető fel. |
7 |
A telepített tanúsítvány részleteinek ellenőrzéséhez kattintson a Megtekintés gombra a Meglévő tanúsítványok szakaszban. |
8 |
Ha el szeretné távolítani a telepített tanúsítványt a telefonról, kattintson a Törlés gombra a Meglévő tanúsítványok részben. Miután rákattintott a gombra, az eltávolítási művelet megerősítés nélkül azonnal elindul.
Ha a tanúsítványt sikeresen eltávolította, a " |
Egyéni eszköztanúsítvány automatikus telepítése SCEP alapján
Az Egyszerű tanúsítványigénylési protokoll (SCEP) paramétereit beállíthatja az egyéni eszköztanúsítvány (CDC) automatikus telepítésére, ha nem szeretné manuálisan feltölteni a tanúsítványfájlt, vagy ha nem rendelkezik a tanúsítványfájllal.
Ha az SCEP-paraméterek megfelelően vannak konfigurálva, a telefon kéréseket küld az SCEP-kiszolgálónak, és a megadott ujjlenyomat segítségével az eszköz érvényesíti a hitelesítésszolgáltatói tanúsítványt.
Mielőtt nekilátna
A telefon egyéni készüléktanúsítványának automatikus telepítése előtt a következőkkel kell rendelkeznie:
- SCEP-kiszolgáló címe
- Az SCEP-kiszolgáló legfelső szintű hitelesítő kiszolgálótanúsítványának SHA-1 vagy SHA-256 ujjlenyomata
1 |
Lépjen be a telefon adminisztrációs weboldalára. |
2 |
Válassza a Tanúsítvány lehetőséget. |
3 |
Az SCEP-konfiguráció 1 szakaszban állítsa be a paramétereket az alábbi táblázatban leírtak szerint: Az SCEP-konfiguráció paraméterei. |
4 |
Kattintson az Összes változás elküldése lehetőségre. |
Az SCEP-konfiguráció paraméterei
Az alábbi táblázat a telefon webes felületén a Tanúsítvány lap SCEP-konfiguráció 1 szakaszában található SCEP-konfigurációs paraméterek funkcióját és használatát ismerteti. Meghatározza továbbá a telefon konfigurációs fájljában (cfg.xml) a paraméter konfigurálásához hozzáadott karakterlánc szintaxisát is.
Paraméter | Leírás |
---|---|
Szerver |
SCEP-kiszolgáló címe. Ez a paraméter kötelező. Hajtsa végre a következő műveletek egyikét:
Érvényes értékek: URL-cím vagy IP cím. A HTTPS-séma nem támogatott. Alapértelmezett: üres |
Legfelső szintű hitelesítésszolgáltató ujjlenyomata |
A legfelső szintű hitelesítésszolgáltató SHA256 vagy SHA1 ujjlenyomata az SCEP-folyamat során történő érvényesítéshez. Ez a paraméter kötelező. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
Kihívás jelszó |
A Certificate Authority (CA) hitelesítés kérő jelszava a telefonon az SCEP-n keresztüli tanúsítványigénylés során. Ez a paraméter nem kötelező. A tényleges SCEP-környezetnek megfelelően a kihívási jelszó viselkedése változó.
Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
SCEP-paraméterek konfigurálása DHCP 43-as opcióval
Az SCEP-tanúsítványnak a telefon weblapján található manuális konfigurációkkal történő igénylése mellett a 43-as DHCP lehetőséggel is feltöltheti a paramétereket egy DHCP kiszolgálóról. A 43-as DHCP előre konfigurálva van az SCEP-paraméterekkel, később a telefon lekérheti a paramétereket a DHCP-kiszolgálóról az SCEP-tanúsítvány igényléséhez.
- Az SCEP paraméterek konfigurálása DHCP 43-as opcióval csak azon a telefonon érhető el, amelyen gyári alaphelyzetbe állítás történik.
- A telefonok nem helyezhetők olyan hálózatba, amely támogatja mind a 43-as opciót, mind a távoli létesítést (például az Options 66,160,159,150 vagy a felhőalapú kiosztást). Ellenkező esetben előfordulhat, hogy a telefonok nem kapják meg a 43-as opció konfigurációkat.
SCEP-tanúsítvány igényléséhez az SCEP-paraméterek konfigurálásával a 43 DHCP beállításban tegye a következőket:
- SCEP-környezet előkészítése.
Az SCEP-környezet beállításával kapcsolatos információkért tekintse meg az SCEP-kiszolgáló dokumentációját.
- Állítsa be DHCP 43-as opciót (meghatározását lásd: 8.4 Szállítóspecifikus információk, RFC 2132).
A (10–15) albeállítások a metódus számára vannak fenntartva:
Paraméter a telefon weboldalán Alopció Típus Hossz (bájt) Kötelező FIPS mód 10 Logikai 1 Nem* Szerver 11 string 208 - hossz (Challenge Password) Van Legfelső szintű hitelesítésszolgáltató ujjlenyomata 12 bináris 20 vagy 32 Van Kihívás jelszó 13 string 208 - hossz (szerver) Nem* 802.1X hitelesítés engedélyezése 14 Logikai 1 Nem Tanúsítvány kiválasztása 15 Aláíratlan 8 bites 1 Nem Ha a 43 DHCP opciót használja, figyelje meg a módszer következő jellemzőit:
- A (10–15) albeállítások az egyéni eszköztanúsítvány (CDC) számára vannak fenntartva.
- A 43 DHCP as opció maximális hossza 255 bájt.
- A Server + Challenge Password maximális hossza nem haladhatja meg a 208 bájtot.
- A FIPS-mód értékének konzisztensnek kell lennie a bevezetési kiépítési konfigurációval. Ellenkező esetben a telefon nem tudja lekérni a korábban telepített tanúsítványt a bevezetés után. Kifejezetten
- Ha a telefon olyan környezetben lesz regisztrálva, ahol a FIPS-mód le van tiltva, nem kell konfigurálnia a FIPS-mód paramétert DHCP 43-as beállításban. Alapértelmezés szerint a FIPS mód le van tiltva.
- Ha a telefon olyan környezetben lesz regisztrálva, ahol engedélyezve van a FIPS mód, engedélyeznie kell a FIPS módot DHCP 43-as opcióban. A részletekért lásd: FIPS-mód engedélyezése.
- A 43. opcióban szereplő jelszó tiszta szöveg.
Ha a kérési jelszó üres, a telefon az MIC/SUDI protokollt használja a kezdeti igényléshez és a tanúsítvány megújításához. Ha a kérdésjelszó konfigurálva van, a rendszer csak a kezdeti igényléshez használja, és a telepített tanúsítványt fogja használni a tanúsítvány megújításához.
- A 802.1X hitelesítés engedélyezése és a Tanúsítvány kiválasztása csak vezetékes hálózatban lévő telefonok esetén használatos.
- DHCP 60-as opció (Vendor Class Identifier) az eszközmodell azonosítására szolgál.
Az alábbi táblázat példát mutat be DHCP 43. lehetőségre (10–15. allehetőség):
Alopció tizedesjegy/hexadecimális Érték hossza (bájt) decimális/hexadecimális Érték Hex érték 10/0a 1/01 1 (0: Letiltva; 1: Engedélyezve) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Nem; 1: Igen) 01 15/0F 1/01 1 (0: Gyártó telepítve; 1: Egyéni telepítés) 01 A paraméterértékek összegzése:
-
FIPS mód =
Engedélyezve
-
Kiszolgáló =
http://10.79.57.91
-
Legfelső szintű hitelesítésszolgáltató ujjlenyomata =
12040870625C5B755D73F5925285F8F5FF5D55AF
-
Kihívás jelszó =
D233CCF9B9952A15
-
802.1X hitelesítés engedélyezése =
Igen
-
Tanúsítvány kiválasztása =
Egyéni telepítve
A végső hexadecimális érték szintaxisa:
{<suboption><length><value>}...
A fenti paraméterértékek szerint a végső hexadecimális érték a következő:
0A01010B12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101
- Konfigurálja DHCP 43-as beállítást egy DHCP-kiszolgálón.Ez a lépés egy példát mutat be a Cisco Network Register 43-as opciójának DHCP konfigurációjára.
- Adja hozzá DHCP beállításdefiníciós készletet.
A Vendor Option String a IP telefonok modellneve. Az érvényes érték: DP-9841, DP-9851, DP-9861, DP-9871 vagy CP-8875.
- Adja hozzá a DHCP 43. lehetőséget és alopcióit a DHCP beállításdefiníciós készletéhez.
Példa:
- Adja hozzá a 43. lehetőséget a DHCP házirendhez, és állítsa be az értéket az alábbiak szerint:
Példa:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
- Ellenőrizze a beállításokat. A Wireshark segítségével nyomon követheti a telefon és a szolgáltatás közötti hálózati forgalmat.
- Adja hozzá DHCP beállításdefiníciós készletet.
- Végezze el a gyári beállítások visszaállítását a telefonon.
A telefon alaphelyzetbe állítása után a rendszer automatikusan kitölti a Kiszolgáló , a Legfelső szintű hitelesítésszolgáltató ujjlenyomata ésa Kihívás jelszava paramétereket . Ezek a paraméterek a telefonfelügyeleti weblap Certificate>Custom szakaszának SCEP-konfiguráció 1 . szakaszában
A telepített tanúsítvány részleteinek ellenőrzéséhez kattintson a Megtekintés gombra a Meglévő tanúsítványok szakaszban.
A tanúsítvány telepítési állapotának ellenőrzéséhez válassza a Tanúsítvány Letöltés állapota 1 a legfrissebb eredményt mutatja. Ha bármilyen probléma merül fel a tanúsítvány igénylése során, a letöltési állapot hibaelhárítási célból megjelenítheti a probléma okát.
. AHa a kérő jelszó hitelesítése sikertelen, a rendszer felkéri a felhasználókat, hogy adják meg a jelszót a telefon képernyőjén. - (Nem kötelező): Ha el szeretné távolítani a telepített tanúsítványt a telefonról, kattintson a Törlés gombra a Meglévő tanúsítványok részben.Miután rákattintott a gombra, az eltávolítási művelet megerősítés nélkül azonnal elindul.
Tanúsítvány megújítása SCEP segítségével
Az eszköztanúsítvány automatikusan frissíthető az SCEP-folyamattal.
- A telefon 4 óránként ellenőrzi, hogy a tanúsítvány lejár-e 15 nap múlva. Ebben az esetben a telefon automatikusan elindítja a tanúsítványmegújítási folyamatot.
- Ha a kérdés jelszava üres, a telefon az MIC/SUDI protokollt használja mind a kezdeti igényléshez, mind a tanúsítvány megújításához. Ha a kérési jelszó konfigurálva van, akkor csak a kezdeti igényléshez, a meglévő/telepített tanúsítvány pedig a tanúsítvány megújításához használatos.
- A telefon nem távolítja el a régi eszköztanúsítványt, amíg le nem kéri az újat.
- Ha a tanúsítvány megújítása azért sikertelen, mert az eszköz tanúsítványa vagy a hitelesítésszolgáltató lejár, a telefon automatikusan elindítja a kezdeti regisztrációt. Időközben, ha a kérő jelszó hitelesítése sikertelen, egy jelszóbeviteli képernyő jelenik meg a telefon képernyőjén, és a rendszer felkéri a felhasználókat, hogy adják meg a kérdés jelszavát a telefonon.
FIPS-mód engedélyezése
A telefont a Federal Information Processing Standards (FIPS) szabványnak megfelelővé teheti.
A FIPS olyan szabványok halmaza, amelyek leírják a dokumentumfeldolgozást, a titkosítási algoritmusokat és más informatikai szabványokat a nem katonai kormányzatban, valamint az ügynökségekkel együttműködő kormányzati vállalkozók és szállítók számára. A CiscoSSL FOM (FIPS Object Module) egy gondosan definiált szoftverkomponens, amelyet a CiscoSSL könyvtárral való kompatibilitásra terveztek, így a CiscoSSL könyvtárat és API használó termékek minimális erőfeszítéssel konvertálhatók FIPS 140-2 hitelesített kriptográfia használatára.
1 |
Lépjen be a telefon adminisztrációs weboldalára. |
2 |
Válassza ki a lehetőséget. |
3 |
A Biztonsági beállítások szakaszban válassza az Igen vagy a Nem lehetőséget a FIPS mód paraméterből. |
4 |
Kattintson az Összes változás elküldése lehetőségre. Ha engedélyezi a FIPS szolgáltatást, a következő funkciók működnek zökkenőmentesen a telefonon:
|
Biztonsági tanúsítvány manuális eltávolítása
Manuálisan is eltávolíthat egy biztonsági tanúsítványt a telefonról, ha az egyszerű tanúsítvány-beiktatási protokoll (SCEP) nem érhető el.
1 |
A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget. |
2 |
Keresse meg a tanúsítványt a Tanúsítványok oldalon. |
3 |
Kattintson a Törlés gombra. |
4 |
A törlési folyamat befejezése után indítsa újra a telefont. |
A felhasználói és rendszergazdai jelszó beállítása
Miután a telefont első alkalommal regisztrálta a hívásvezérlő rendszerben, vagy visszaállította a gyári beállításokat, a telefon biztonságának növelése érdekében be kell állítania a felhasználói és rendszergazdai jelszót. Csak a jelszó beállítása után küldheti el a módosításokat a telefon weboldaláról.
Alapértelmezés szerint a jelszó hiánya figyelmeztetés engedélyezve van a telefonon. Ha a telefon nem rendelkezik felhasználói vagy rendszergazdai jelszóval, a következő figyelmeztetések jelennek meg:
- A telefon weboldalán megjelenik a "Nincs megadva rendszergazdai jelszó. A web írásvédett módban van, és nem küldhet módosításokat. Kérjük, módosítsa a jelszót." ikonra a bal felső sarokban.
A Felhasználói jelszó és a Rendszergazdai jelszó mezőben a "Nincs megadva jelszó" figyelmeztetés jelenik meg, ha az üres.
- A telefon képernyőjén megjelenő Problémák és diagnosztika megjeleníti a "Nincs megadva jelszó" problémát.
1 |
Lépjen be a telefon adminisztrációs weboldalára |
2 |
Válassza ki a lehetőséget. |
3 |
(Nem kötelező) A Rendszerkonfiguráció szakaszban állítsa a Jelszavak figyelmeztetése paramétert Igen értékre , majd kattintson azÖsszes módosítás elküldése gombra. A paramétereket a telefon konfigurációs fájljában (cfg.xml) is engedélyezheti.
Alapértelmezett: igen Opciók: Igen|Nem Ha a paraméter értéke Nem, a jelszóval kapcsolatos figyelmeztetés nem jelenik meg sem a weboldalon, sem a telefon képernyőjén. Ezenkívül az oldalweb készenléti módja nem aktiválódik, még akkor sem, ha a jelszó üres. |
4 |
Keresse meg a Felhasználói jelszó vagy a Rendszergazdai jelszó paramétert , majd kattintson a paraméter melletti Jelszó módosítása gombra. |
5 |
Írja be az aktuális felhasználói jelszót a Régi jelszó mezőbe. Ha nincs jelszava, akkor a mezőt hagyja üresen. Az alapértelmezett érték üres.
|
6 |
Adjon meg egy új jelszót az Új jelszó mezőben. |
7 |
Kattintson a Submit (Küldés) lehetőségre. A A felhasználói jelszó beállítása után ez a paraméter a következőket jeleníti meg a telefon konfigurációs XML fájljában (cfg.xml):
Ha a 403-as hibakódot kapja, amikor megpróbálja elérni a telefon weboldalát, be kell állítania a felhasználói vagy rendszergazdai jelszót a telefon konfigurációs fájljában (cfg.xml). Írjon be például egy karakterláncot a következő formátumban:
|
802.1X hitelesítés
A Cisco IP Phone támogatja a 802.1X hitelesítést.
A Cisco IP Phone telefonok és a Cisco Catalyst kapcsolók hagyományosan Cisco Discovery Protocol (CDP) segítségével azonosítják egymást és határozzák meg a paramétereket (például a VLAN-kiosztást és a vonali tápellátási követelményeket). A CDP nem azonosítja a helyileg csatlakoztatott munkaállomásokat. A Cisco IP Phone telefonok EAPOL-átadási mechanizmust használnak. Ez a mechanizmus lehetővé teszi, hogy a Cisco IP Phone-hoz csatlakozó munkaállomás a LAN-kapcsolónál a 802.1X hitelesítő részére EAPOL-üzeneteket küldjön. Az átadó mechanizmus biztosítja, hogy a IP-telefon ne működjön LAN-kapcsolóként, amikor adatvégpont-hitelesítés történik a hálózat elérése előtt.
A Cisco IP Phone telefonok proxy EAPOL kijelentkezési mechanizmust is használnak. Ha a helyileg csatlakoztatott számítógép kapcsolata megszakad a IP telefonnal, a LAN-kapcsoló nem észleli a fizikai kapcsolat megszűnését, mert a LAN-kapcsoló és az IP-telefon közötti kapcsolat megmarad. A hálózati integritás veszélyeztetésének elkerülése érdekében az IP-telefon egy EAPOL-kijelentkezési üzenetet küld a kapcsolónak az alsóbb szintű számítógép nevében, amely a LAN-kapcsolót az alsóbb szintű számítógép hitelesítési bejegyzésének törlésére utasítja.
A 802.1X hitelesítés támogatása több összetevőt is igényel:
-
Cisco IP Phone: a telefon kezdeményezi a hálózatelérési kérést. A Cisco IP Phone telefonok 802.1X kérelmezőt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára az IP telefonok és a LAN-kapcsolóportok közötti kapcsolat vezérlését. A telefon 802.1X kérelmezőjének aktuális kiadása EAP-FAST és EAP-TLS lehetőségeket kínál a hálózati hitelesítéshez.
-
Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót egyaránt konfigurálni kell egy közös titokkal, amely hitelesíti a telefont.
-
Kapcsoló: a kapcsolónak támogatnia kell a 802.1X protokollt, hogy hitelesítőként működhessen, és átadhassa az üzeneteket a telefon és a hitelesítő kiszolgáló között. Miután az adatcsere befejeződött, a kapcsoló engedélyezi vagy megtagadja a telefon számára a hálózat elérését.
A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.
-
A 802.1 X hitelesítés telefonon történő engedélyezése előtt konfigurálja a többi összetevőt.
-
A PC port konfigurálása: a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezért azt ajánlja, hogy csak egyetlen eszköz legyen hitelesítve egy adott kapcsolóporthoz. Egyes kapcsolók azonban támogatják a többtartományos hitelesítést. A kapcsolókonfiguráció határozza meg, hogy csatlakoztathat-e számítógépet a telefon PC-portjához.
-
Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor engedélyezheti a PC-portot, és csatlakoztathat ahhoz számítógépet. Ebben az esetben Cisco IP Phone támogatja a proxy EAPOL-kijelentkezést a kapcsoló és a csatlakoztatott számítógép közötti hitelesítési adatcserék figyelésére.
Ha többet szeretne tudni az IEEE 802.1X Cisco Catalyst kapcsolók általi támogatásáról, tanulmányozza át a Cisco Catalyst kapcsolókonfigurációs útmutatókat a következő címen:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Letiltva: ha a kapcsoló nem támogatja a több 802.1X-kompatibilis eszköz használatát ugyanazon a porton, akkor tiltsa le a PC-portot, amikor a 802.1X hitelesítés engedélyezve van. Ha nem tiltja le ezt a portot, majd megkísérli csatlakoztatni a számítógépet, akkor a kapcsoló megtagadja a hálózatelérést a telefon és a számítógép számára is.
-
- Hang VLAN konfigurálása: mivel a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezt a beállítást a kapcsolótámogatás alapján kell beállítania.
- Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor folytathatja azon a hang VLAN használatát.
- Letiltva: ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a hang VLAN-t, és fontolja meg a port natív VLAN-hoz való hozzárendelését.
- (Csak 9800-as sorozatú Cisco asztali telefon esetén)
A 9800-as sorozatú Cisco asztali telefonok PID előtagja eltér a többi Cisco telefonétól. Ha engedélyezni szeretné, hogy telefonja átmenjen a 802.1X hitelesítésen, állítsa be a Sugár· User-Name paraméter a Cisco 9800-as sorozatú asztali telefon felvételéhez.
Például a 9841-es telefon PID-je DP-9841; beállíthatja a sugarat· A felhasználónév DP-vel kezdődik vagy
DP-t
tartalmaz. A következő szakaszokban állíthatja be:
-
802.1X hitelesítés engedélyezése
Ha a 802.1X hitelesítés engedélyezve van, a telefon 802.1X hitelesítést használ a hálózati hozzáférés kéréséhez. Ha a 802.1X hitelesítés le van tiltva, a telefon a Cisco Discovery Protocol (CDP) segítségével szerzi meg a VLAN-t és a hálózati hozzáférést. A tranzakció állapotát és módosítását a telefon képernyőjének menüjében is megtekintheti.
Ha a 802.1X hitelesítés engedélyezve van, kiválaszthatja az eszköz tanúsítványát (MIC/SUDI vagy egyéni) a kezdeti igényléshez és a tanúsítvány megújításához. A MIC általában a Cisco 8875-ös videotelefonhoz, a SUDI pedig a 9800-as sorozatú Cisco asztali telefonhoz való. A CDC csak a 802.1x szabványban használható hitelesítésre.
1 |
A 802.1X hitelesítés engedélyezéséhez hajtsa végre az alábbi műveletek egyikét:
| ||||||||||||||||||||
2 |
Válasszon ki egy tanúsítványt (MIC vagy egyéni) a 802.1X hitelesítéshez a telefon weboldalán.
A tanúsítványtípusok telefon képernyőjén történő kiválasztásáról további információt A telefon csatlakoztatása Wi-Fi hálózathoz című témakörben talál.
|
Proxykiszolgáló beállítása
A biztonság növelése érdekében beállíthatja a telefont proxykiszolgáló használatára. A HTTP-proxykiszolgálók általában a következő szolgáltatásokat nyújtják:
- A forgalom útválasztása a belső és külső hálózatok között
- Forgalom szűrése, figyelése vagy naplózása
- Gyorsítótárazási válaszok a teljesítmény javítása érdekében
A HTTP proxykiszolgáló tűzfalként is működhet a telefon és az internet között. A sikeres konfigurálás után a telefon csatlakozik az internethez a proxy szerveren keresztül, amely megvédi a telefont a számítógépes támadásoktól.
Ha konfigurálva van, a HTTP-proxy szolgáltatás a HTTP protokollt használó összes alkalmazásra vonatkozik. Például:
- GDS (aktiválási kód bevezetése)
- EDOS eszköz aktiválása
- Bevezetés a Webex Cloudba (EDOS vagy GDS segítségével)
- Egyéni hitelesítésszolgáltató
- Beszerzés
- Firmware frissítése
- Telefonállapot-jelentés
- PRT-feltöltés
- XSI szolgáltatások
- Webex szolgáltatások
1 |
Lépjen be a telefon adminisztrációs weboldalára. | ||||||||||||||||
2 |
Válassza ki a lehetőséget. | ||||||||||||||||
3 |
A HTTP-proxybeállítások szakaszbanválasszon ki egy proxy módot a legördülő listából Proxy mód , és konfigurálja a kapcsolódó paramétereket. Minden proxy módban a szükséges paraméterek eltérőek. A részleteket lásd az alábbi táblázatban:
További információ a paraméterekről: HTTP-proxybeállítások paraméterei. | ||||||||||||||||
4 |
Kattintson az Összes változás elküldése lehetőségre. |
A HTTP-proxybeállítások paraméterei
Az alábbi táblázat a telefon webes felületén a Hang>rendszer lap HTTPproxybeállítások szakaszában használatát határozza meg. Meghatározza továbbá a telefon konfigurációs fájljába (cfg.xml) a paraméter konfigurálásához XML-kóddal hozzáadott karakterlánc szintaxisát.
Paraméter | Leírás |
---|---|
Proxy mód | Megadja a telefon által használt HTTP proxy módot, vagy letiltja a HTTP proxy funkciót.
Hajtsa végre a következő műveletek egyikét:
Megengedett értékek: Automatikus, Kézi és Ki Alapértelmezett: ki |
Webproxy automatikus észlelése | Ez a beállítás határozza meg, hogy a telefon a WPAD (Web Proxy Auto Discovery) protokollt használja-e a PAC-fájlok beolvasásához. A WPAD protokoll DHCP vagy DNS, vagy mindkét hálózati protokollt használja az automatikus proxykonfigurációs (PAC) fájlok automatikus megkereséséhez. A PAC fájl egy adott URL proxykiszolgálójának kiválasztására szolgál. Ez a fájl tárolható helyben vagy hálózaton.
Hajtsa végre a következő műveletek egyikét:
Megengedett értékek: Igen és Nem Alapértelmezett: igen |
PAC URL | PAC-fájl URL-címe. Például, A TFTP, HTTP és HTTPS támogatott. Ha a Proxy Mode (Proxy mód ) beállítása Auto , a Web Proxy Auto Discovery (Webproxy automatikus észlelése ) beállítása pedig Nem , konfigurálnia kell ezt aparamétert. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
Proxyállomás | IP telefon által elérendő proxygazda-kiszolgáló címe vagy állomásneve. Például:
A rendszer ( Ha a Proxy módot Manuálisra állítja, konfigurálnia kell ezt aparamétert. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
Proxyport | A proxy állomáskiszolgáló portszáma. Ha a Proxy módot Manuálisra állítja, konfigurálnia kell ezt aparamétert. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: 3128 |
Proxyhitelesítés | Ez a beállítás határozza meg, hogy a felhasználónak meg kell-e adnia a proxykiszolgáló által megkövetelt hitelesítő adatokat (felhasználónevet és jelszót). Ez a paraméter a proxykiszolgáló tényleges viselkedésének megfelelően van konfigurálva. Ha a paramétert Igen értékre állítja, konfigurálniakell a felhasználónevet és a jelszót . A paraméterekkel kapcsolatos részletekért tekintse meg a táblázat "Felhasználónév" és "Jelszó" paraméterét. A paraméterkonfiguráció akkor lép érvénybe, ha a Proxy mód beállítása Manuális . Hajtsa végre a következő műveletek egyikét:
Megengedett értékek: Igen és Nem Alapértelmezett: Nem |
Felhasználónév | A proxykiszolgálón lévő hitelesítőadat-felhasználó felhasználóneve. Ha a Proxy Mode (Proxy mód ) beállítása Manual (Kézi), a Proxy Authentication ( Proxyhitelesítés ) beállítása pedig Yes, konfigurálnia kell a paramétert. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
Jelszó | A megadott felhasználónév jelszava proxyhitelesítési célra. Ha a Proxy Mode (Proxy mód ) beállítása Manual (Kézi), a Proxy Authentication ( Proxyhitelesítés ) beállítása pedig Yes, konfigurálnia kell a paramétert. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
Ügyfél által kezdeményezett mód engedélyezése a médiasík biztonsági egyeztetéseihez
A média-munkamenetek védelme érdekében beállíthatja a telefont úgy, hogy médiasík-biztonsági egyeztetéseket kezdeményezzen a kiszolgálóval. A biztonsági mechanizmus az RFC 3329-ben és annak kiterjesztési tervezetében, a Biztonsági mechanizmusok nevei adathordozókhoz (lásd# https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2) meghatározott szabványokat követi. A telefon és a szerver közötti egyeztetések átvitele SIP protokollt használhat UDP, TCP és TLS. Korlátozhatja, hogy a médiasík biztonsági egyeztetése csak akkor legyen alkalmazva, ha a jelzésátviteli protokoll TLS.
1 |
Lépjen be a telefon adminisztrációs weboldalára. | ||||||
2 |
Válassza ki a lehetőséget. | ||||||
3 |
A SIP-beállítások szakaszban állítsa be a MediaSec-kérelem és a Csak TLS MediaSec mezőket az alábbi táblázatban meghatározottak szerint:
| ||||||
4 |
Kattintson az Összes változás elküldése lehetőségre. |
WLAN biztonság
Mivel az összes hatókörön belüli WLAN-eszköz képes fogadni minden egyéb WLAN-forgalmat, a hangkommunikáció biztonságossá tétele alapvető fontosságú a WLAN-hálózatok esetén. Annak érdekében, hogy a behatolók ne manipulálhassák és ne foghassák el a hangforgalmat, a Cisco SAFE Security architektúra támogatja a telefont. A hálózati biztonsággal kapcsolatos további információkért lásd: http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
A Cisco vezeték nélküli IP telefonos megoldás vezeték nélküli hálózati biztonságot nyújt, amely megakadályozza az illetéktelen bejelentkezéseket és a kommunikáció sérülését a telefon által támogatott alábbi hitelesítési módszerek használatával:
-
Nyílt hitelesítés: egy nyitott rendszerben bármely vezeték nélküli eszköz kérhet hitelesítést. A kérést fogadó hozzáférési pont jóváhagyhatja a hitelesítést bármely kérelmező számára, vagy csak a felhasználók listáján található kérelmezőknek. Előfordulhat, hogy a vezeték nélküli eszköz és az Access Point (AP) közötti kommunikáció titkosítatlan.
-
Bővíthető hitelesítési protokoll – Rugalmas hitelesítés biztonságos bújtatási (EAP-FAST) hitelesítéssel: Ez az ügyfél-kiszolgáló biztonsági architektúra titkosítja a EAP tranzakciókat az AP és a RADIUS-kiszolgáló közötti Transport Level Security (TLS) alagútban, például az Identity Services Engine (ISE) motorban.
A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC) használ az ügyfél (telefon) és a RADIUS-kiszolgáló közötti hitelesítéshez. A kiszolgáló egy Authority ID (AID) azonosítót küld az ügyfélnek (telefon), amely kiválasztja a megfelelő PAC-ot. Az ügyfél (telefon) egy PAC-Opaque választ ad vissza a RADIUS-kiszolgálónak. A kiszolgáló az elsődleges kulccsal visszafejti a PAC-ot. Ekkor már mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC-létesítést, de Önnek engedélyeznie kell azt a RADIUS-kiszolgálón.
Az ISE-ben alapértelmezés szerint a PAC egy hét múlva lejár. Ha a telefon lejárt PAC-kal rendelkezik, akkor a RADIUS-kiszolgálóval való hitelesítés hosszabb időt vesz igénybe, mert a telefon új PAC-ot kap. A PAC-létesítési késleltetések elkerülése érdekében a PAC lejárati időszakát 90 napra vagy hosszabb időszakra kell beállítani az ISE- vagy RADIUS-kiszolgálón.
-
Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: az EAP-TLS esetén egy ügyféltanúsítvány szükséges a hitelesítéshez és a hálózati eléréshez. Vezeték nélküli EAP-TLS esetén az ügyféltanúsítvány lehet MIC, LSC vagy felhasználó által telepített tanúsítvány.
-
Protected Extensible Authentication Protocol (PEAP): a Cisco saját jelszóalapú kölcsönös hitelesítési sémája az ügyfél (telefon) és egy RADIUS-kiszolgáló között. A telefon PEAP használhatja a vezeték nélküli hálózattal való hitelesítéshez. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.
-
Előmegosztott kulcs (PSK): A telefon ASCII formátumot támogat. Ezt a formátumot kell használnia az WPA/WPA2/SAE előmegosztott kulcs beállításakor:
ASCII: egy ASCII-karakterből álló karakterlánc, amely 8–63 karakter hosszú (0–9, kis és nagy A-Z, ill. speciális karakterek)
Példa: GREG123567@9ZX&W
A következő hitelesítési sémák a RADIUS-kiszolgáló használatával kezelik a hitelesítési kulcsokat:
-
WPA/WPA2/WPA3: A RADIUS-kiszolgáló adatai alapján egyedi kulcsokat hoz létre a hitelesítéshez. Mivel ezek a kulcsok a központosított RADIUS-kiszolgálón jönnek létre, a WPA2/WPA3 nagyobb biztonságot nyújt, mint a hozzáférési ponton és a telefonon tárolt előmegosztott WPA-kulcsok.
-
Gyors biztonságos barangolás: a RADIUS-kiszolgáló és egy vezeték nélküli tartományi kiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehozza az FT-kompatibilis ügyféleszközök biztonsági hitelesítő adatainak gyorsítótárát a gyors és biztonságos újrahitelesítés érdekében. A Cisco 9861-es és 9871-es asztali telefon és a Cisco 8875-ös videotelefon támogatja a 802.11r (FT) szabványt. Mind a vezeték nélküli, mind a DS támogatott a gyors, biztonságos barangolás érdekében. Azonban nyomatékosan javasoljuk, hogy használja a 802.11r (FT) Over Air módszert.
A WPA/WPA2/WPA3 esetében a titkosítási kulcsok nem kerülnek be a telefonra, hanem automatikusan származnak a hozzáférési pont és a telefon között. A hitelesítéshez használt EAP-felhasználónevet és -jelszót azonban minden telefonon meg kell adni.
A hangforgalom biztonsága érdekében a telefon támogatja a TKIP és a AES titkosítást. Amikor ezeket a mechanizmusokat titkosításra használják, mind a jelző SIP-csomagok, mind a hangalapú Real-Time Transport Protocol (RTP) csomagok titkosítva vannak a hozzáférési pont és a telefon között.
- TKIP
-
A WPA TKIP titkosítást használ, amely számos fejlesztést tartalmaz a WEP képest. A TKIP a titkosítást megerősítő, csomagonkénti kulcsos titkosítást és hosszabb inicializálási vektorokat (IV) tartalmaz. Emellett az üzenet épségének ellenőrzése (MIC) biztosítja, hogy a titkosított csomagok ne módosuljanak. A TKIP megszünteti a WEP kiszámíthatóságát, amely segíthet a behatolóknak a WEP-kulcs megfejtésében.
- AES
-
A WPA2/WPA3 hitelesítéshez használt titkosítási módszer. Ez a titkosításhoz használt nemzeti szabvány szimmetrikus algoritmust alkalmaz, amely azonos kulcsot használ a titkosításhoz és a visszafejtéshez. Az AES 128 bites cipher block-chain (CBC) titkosítást használ, amely minimális kulcsméretként támogatja a 128, 192 és 256 bites méretet is. A telefon 256 bites kulcsméretet támogat.
A Cisco 9861-es és 9871-es asztali telefon, valamint a Cisco 8875-ös videotelefon nem támogatja a CMIC-kel rendelkező Cisco Key Integrity Protocol (CKIP) protokollt.
A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-beállítások a hálózaton és a hozzáférési ponton vannak konfigurálva, és a hitelesítés és titkosítás különböző kombinációit határozzák meg. A rendszer egy SSID-t társít egy VLAN-hoz és az adott hitelesítési és titkosítási rendszerhez. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia hitelesítési és titkosítási sémáikkal a hozzáférési pontokon és a telefonon.
Egyes hitelesítési sémák adott típusú titkosítást igényelnek.
- Ha előmegosztott kulcsot, WPA2 előmegosztott kulcsot vagy WPA SAE kulcsot használ, az előmegosztott kulcsot statikusan kell beállítani a telefonon. Ezeknek a kulcsoknak meg kell egyezniük a hozzáférési ponton megadott kulcsokkal.
-
A telefon támogatja az automatikus EAP egyeztetést FAST vagy PEAP esetén, de TLS esetén nem. EAP-TLS módhoz meg kell adnia azt.
Az alábbi táblázatban látható hitelesítési és titkosítási sémák a hozzáférési pont beállításának megfelelő telefon hálózati konfigurációs beállításait mutatják be.
FSR típusa | Hitelesítés | Kulcskezelés | Titkosítás | Védett felügyeleti keret (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nem |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Van |
802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nem |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Van |
802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nem |
802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Van |
802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nem |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Van |
Állítsa be Wi-Fi profilt
A Wi-Fi profilt a telefon weboldaláról vagy egy távoli eszközprofil újraszinkronizálásával konfigurálhatja, majd a profilt hozzárendelheti a rendelkezésre álló Wi-Fi hálózatokhoz. Ezzel a Wi-Fi profillal csatlakozhat egy Wi-Fi hálózathoz. Jelenleg csak egy Wi-Fi profil konfigurálható.
A profil tartalmazza azokat a paramétereket, amelyekre a telefonnak szüksége a telefonszerverre való csatlakozáshoz Wi-Fi hálózaton keresztül. Amikor létrehoz és használ egy Wi-Fi profilt, sem Önnek, sem a felhasználóknak nem kell konfigurálniuk a vezeték nélküli hálózatot az egyes telefonokhoz.
Egy Wi-Fi profillal megakadályozhatja vagy korlátozhatja, hogy a felhasználók módosításokat végezzenek a Wi-Fi konfiguráción.
Javasoljuk, hogy Wi-Fi profil használata esetén titkosítást engedélyező protokollokkal rendelkező biztonságos profilt használjon a kulcsok és jelszavak védelme érdekében.
Amikor biztonsági módban a EAP-FAST hitelesítési módszer használatára állítja be a telefonokat, a felhasználóknak egyéni hitelesítő adatokra van szükségük a hozzáférési ponthoz való csatlakozáshoz.
1 |
Nyissa meg a telefon weboldalát. |
2 |
Válassza ki a lehetőséget. |
3 |
A Wi-Fi Profil (n)) szakaszban állítsa be a paramétereket az alábbi táblázatbanleírtak szerint Paraméterek Wi-Fi profilhoz . A Wi-Fi profil konfigurációja a felhasználói bejelentkezés számára is elérhető.
|
4 |
Kattintson az Összes változás elküldése lehetőségre. |
A Wi-Fi profil paraméterei
Az alábbi táblázat határozza meg az egyes paraméterek funkcióját és használatát a Wi-Fi profil (n) szakaszban a Rendszer fülön a telefon weblapján. Meghatározza továbbá a telefon konfigurációs fájljában (cfg.xml) a paraméter konfigurálásához hozzáadott karakterlánc szintaxisát is.
Paraméter | Leírás |
---|---|
Hálózat neve | Lehetővé teszi a telefonon megjelenő SSID nevének megadását. Több profilnak is lehet ugyanaz a hálózati neve más biztonsági móddal. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
Biztonsági mód | Kiválaszthatja a Wi-Fi hálózat biztonságos hozzáféréséhez használt hitelesítési módot. A választott módszertől függően megjelenik egy jelszómező, ahol megadhatja a Wi-Fi hálózathoz való csatlakozáshoz szükséges hitelesítő adatokat. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: automatikus |
Wi-Fi a Felhasználóazonosító | Megadhatja a hálózati profil felhasználói azonosítóját. Ez a mező akkor érhető el, ha a biztonsági módot Auto, EAP-FAST vagy EAP-PEAP értékre állítja. Ez egy kötelező mező, amelybe legfeljebb 32 alfanumerikus karaktert lehet beírni. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
Wi-Fi jelszó | Lehetővé teszi a megadott Wi-Fi felhasználói azonosító jelszavának megadását. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
Frekvenciasáv | Itt választhatja ki a WLAN hálózaton használt vezeték nélküli jel frekvenciasávját. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: automatikus |
Tanúsítvány kiválasztása | Lehetővé teszi a tanúsítvány típusának kiválasztását a tanúsítvány kezdeti igényléséhez és megújításához a vezeték nélküli hálózaton. Ez a folyamat csak 802.1X hitelesítés esetén érhető el. Hajtsa végre a következő műveletek egyikét:
Alapértelmezés: A gyártó telepítve van |
Ellenőrizze az eszköz biztonsági állapotát a telefonon
A telefon automatikusan ellenőrzi az eszköz biztonsági állapotát. Ha potenciális biztonsági fenyegetést észlel a telefonon, a Problémák és diagnosztika menü megjelenítheti a problémák részleteit. A jelentett problémák alapján a rendszergazda műveleteket végezhet a telefon biztonságossá tétele és megerősítése érdekében.
A telefon biztonsági problémáinak részleteinek megtekintéséhez tegye a következőket:
1 |
Nyomja meg a Beállítások gombot | |||||||||||||
2 |
Válassza a Problémák és diagnosztika .Az eszközbiztonsági jelentés jelenleg a következő problémákat tartalmazza:
| |||||||||||||
3 |
A biztonsági problémák megoldásához forduljon a rendszergazdához. |