- Kezdőlap
- /
- Cikk
Köszönjük visszajelzését.
Cisco IP-telefonok biztonsága
Ebben a cikkben
Visszajelzés?Ez a súgócikk a Cisco BroadWorks-ben regisztrált Cisco Desk Phone 9800 sorozatú és Cisco Video Phone 8875 telefonokra vonatkozik.
Egyéni eszköztanúsítvány manuális telepítése
Az egyedi eszköz tanúsítványát (CDC) manuálisan telepítheti a telefonra, ha feltölti a tanúsítványt a telefon adminisztrációs weboldaláról.
Mielőtt elkezdené
Mielőtt egyéni eszköztanúsítványt telepítene egy telefonra, rendelkeznie kell a következőkkel:
- A számítógépére mentett tanúsítványfájl (.p12 vagy .pfx). A fájl tartalmazza a tanúsítványt és a titkos kulcsot.
- A tanúsítvány kivonatjelszava. A jelszó a tanúsítványfájl dekódolására szolgál.
| 1 |
Lépjen be a telefon adminisztrációs weboldalára. |
| 2 |
Válassza a Tanúsítványlehetőséget. |
| 3 |
A Tanúsítvány hozzáadása szakaszban kattintson a Tallózás...gombra. |
| 4 |
Keresse meg a tanúsítványt a számítógépen. |
| 5 |
A Jelszó kinyerése mezőben adja meg a tanúsítvány kinyerésének jelszavát. |
| 6 |
Kattintson a Feltöltés opcióra. Ha a tanúsítványfájl és a jelszó helyes, a következő üzenetet fogja kapni: „Tanúsítvány hozzáadva.”. Ellenkező esetben a feltöltés sikertelen egy hibaüzenettel, amely azt jelzi, hogy a tanúsítványt nem lehet feltölteni.
|
| 7 |
A telepített tanúsítvány részleteinek megtekintéséhez kattintson a Nézet gombra a Meglévő tanúsítványok szakaszban. |
| 8 |
Ha el szeretné távolítani a telepített tanúsítványt a telefonról, kattintson a Törlés gombra a Meglévő tanúsítványok részben. A gombra kattintva az eltávolítási művelet azonnal, megerősítés nélkül kezdődik.
Ha a tanúsítványt sikeresen eltávolították, a következő üzenet jelenik meg: „Tanúsítvány törölve.”. |
Egyéni eszköztanúsítvány automatikus telepítése SCEP segítségével
Az Simple Certificate Enrollment Protocol (SCEP) paramétereket állíthatja be az Custom Device Certificate (CDC) automatikus telepítéséhez, ha nem szeretné manuálisan feltölteni a tanúsítványfájlt, vagy nincs a helyén a tanúsítványfájl.
Ha az SCEP-paraméterek helyesen vannak konfigurálva, a telefon kéréseket küld az SCEP-kiszolgálónak, és a CA-tanúsítványt a készülék a meghatározott ujjlenyomat használatával ellenőrzi.
Mielőtt elkezdené
Mielőtt elvégezheti az egyéni eszköztanúsítvány automatikus telepítését egy telefonhoz, rendelkeznie kell a következőkkel:
- SCEP-kiszolgáló címe
- A legfelső szintű CA-tanúsítvány SHA-1 vagy SHA-256 ujjlenyomata az SCEP-kiszolgálóhoz
| 1 |
Lépjen be a telefon adminisztrációs weboldalára. |
| 2 |
Válassza a Tanúsítványlehetőséget. |
| 3 |
Az SCEP-konfiguráció 1 szakaszban állítsa be a paramétereket az alábbi táblázatban ismertetett módon SCEP-konfiguráció paraméterei. |
| 4 |
Kattintson az Összes módosítás elküldése lehetőségre. |
SCEP-konfiguráció paraméterei
Az alábbi táblázat határozza meg az SCEP konfigurációs paraméterek funkcióját és használatát a telefon webinterfészének Tanúsítvány lapján található SCEP Configuration 1 szakaszban. Meghatározza a telefon konfigurációs fájljához (cfg.xml) hozzáadott karakterlánc szintaxisát is.
| Paraméter | Leírás |
|---|---|
| Kiszolgáló |
SCEP-kiszolgáló címe. Ez a paraméter kötelező. Tegye az alábbiak egyikét:
Érvényes értékek: Egy URL vagy IP-cím. A HTTPS séma nem támogatott. Alapértelmezett Üres |
| Legfelső szintű hitelesítésszolgáltató ujjlenyomat |
A legfelső szintű hitelesítésszolgáltató SHA256 vagy SHA1 ujjlenyomata az SCEP-folyamat során történő érvényesítéshez. Ez a paraméter kötelező. Tegye az alábbiak egyikét:
Alapértelmezett Üres |
| A jelszó megváltoztatása |
A hitelesítésszolgáltató (CA) engedélyezésének kihívásjelszava a telefonon az SCEP-en keresztüli tanúsítvány-beiratkozás során. Ez a paraméter opcionális. A tényleges SCEP környezettől függően a kihívást jelentő jelszó viselkedése eltérő.
Tegye az alábbiak egyikét:
Alapértelmezett Üres |
SCEP paraméterek konfigurálása DHCP 43 opcióval
A telefon weblapján a kézi konfigurációk által végzett SCEP tanúsítvány-beiktatás mellett a 43-as DHCP-beállítással is feltöltheti a paramétereket egy DHCP-kiszolgálóról. A 43-as DHCP opció előre konfigurálva van az SCEP paraméterekkel, később a telefon lekérheti a paramétereket a DHCP-kiszolgálóról, hogy elvégezze az SCEP tanúsítvány feliratkozását.
- A 43-as DHCP-beállításon keresztüli SCEP paraméter konfiguráció csak akkor érhető el, ha gyári alaphelyzetbe állítást hajtanak végre.
- A telefonok nem helyezhetők el olyan hálózatban, amely mind a 43-as, mind a távoli szolgáltatást (például 66, 160, 159, 150-es vagy felhőalapú szolgáltatást) támogatja. Ellenkező esetben előfordulhat, hogy a telefonok nem kapják meg a 43-as beállítást.
Ha SCEP-tanúsítványt szeretne regisztrálni a SCEP-paraméterek konfigurálásával a 43-as DHCP-beállításban, tegye a következőket:
- Készítsen elő SCEP környezetet.
Az SCEP környezet beállításáról bővebben lásd az SCEP szerver dokumentációját.
- Állítsa be a 43-as DHCP-beállítást (ezt a 8.4 Vendor-specifikus információk, RFC 2132 adja meg).
Az alopciók (10–15) a módszer számára vannak fenntartva:
Paraméter a telefon weboldalán Alopció Típus Hossz (byte) Kötelező FIPS-mód 10 Logikai 1 Nincs* Kiszolgáló 11 Húr 208 - hossz (Hívásjelszó) Igen Legfelső szintű hitelesítésszolgáltató ujjlenyomat 12 Bináris 20 vagy 32 Igen A jelszó megváltoztatása 13 Húr 208 - hossz (kiszolgáló) Nincs* 802.1X-hitelesítés engedélyezése 14 Logikai 1 Nem Tanúsítvány kiválasztása 15 aláírás nélküli 8 bites 1 Nem Amikor a 43-as DHCP opciót használja, vegye figyelembe a módszer következő jellemzőit:
- Az albeállítások (10–15) a Custom Device Certificate (CDC) számára vannak fenntartva.
- A 43-as DHCP opció maximális hossza 255 bájt.
- A Kiszolgáló + Jelszó kihívása maximális hossza 208 byte-nál kisebb lehet.
- Az FIPS mód értékének összhangban kell lennie a beléptetési szolgáltatás konfigurációjával. Ellenkező esetben a telefon nem tudja lekérni a korábban telepített tanúsítványt a beléptetés után. Így különösen:
- Ha a telefon olyan környezetben lesz regisztrálva, ahol le van tiltva az FIPS mód, akkor nem kell konfigurálnia az FIPS mód paramétert a 43-as DHCP-beállításban. Alapértelmezés szerint az FIPS mód le van tiltva.
- Ha a telefon olyan környezetben lesz regisztrálva, ahol engedélyezve van az FIPS mód, akkor az FIPS módot a 43-as DHCP opcióban kell engedélyeznie. Erről az FIPS mód engedélyezése című oldalon tájékozódhat bővebben.
- A 43-as opcióban lévő jelszó tiszta szövegben van.
Ha a kihívás jelszava üres, a telefon MIC/SUDI protokollt használ a kezdeti regisztrációhoz és a tanúsítvány megújításához. Ha be van állítva a kihívás jelszava, azt csak a kezdeti regisztrációhoz használja a rendszer, és a telepített tanúsítványt fogja használni a tanúsítvány megújításához.
- A 802.1X hitelesítés engedélyezése és a Tanúsítvány kiválasztása csak vezetékes hálózaton lévő telefonoknál használatos.
- Az eszköz modelljének azonosításához a 60-as DHCP-opció (Vendor Class Identifier) használatos.
Az alábbi táblázat példa a 43-as DHCP-beállításra (10–15. alopció):
decimális/hexadecimális részbeállítás Értékhossz (byte) decimális/hexadecimális Érték Hex-érték 10/0a 1/01 1 (0: Letiltva; 1: Engedélyezve) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14-es 12040870625c5b755d73f5925285f8f5ff5d55af 12040870625c5b755d73f5925285f8f5ff5d55af 13/0d 16/10 d233ccf9b9952a15 44323333434346394239393532413135 14/0e 1/01 1 (0: Szám; 1: Igen* 01 15/0f 1/01 1 (0: Gyártó telepítve; 1: Egyéni telepítve) 01 A paraméter értékek összefoglalása:
-
FIPS mód = Engedélyezve
-
Kiszolgáló =
http://10.79.57.91 -
Legfelső szintű hitelesítésszolgáltató ujjlenyomat =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Kihívás jelszava = D233CCF9B9952A15
-
802.1X-hitelesítés engedélyezése = Igen
-
Tanúsítvány kiválasztása = Egyedi telepítve
A végleges hexadecimális érték szintaxisa:
{<suboption><length><value>}...A fenti paraméter értékek alapján a végleges hexadecimális érték a következő:
0a0352b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e0352f0101 - Konfigurálja a 43-as DHCP-beállítást egy DHCP-kiszolgálón.Ez a lépés egy példát nyújt a 43-as DHCP-beállítás konfigurációira a Cisco hálózati beállításaiban.
- DHCP opció definíciós készlet hozzáadása.
A Vendor Option String az IP-telefonok modellneve. Az érvényes érték: DP-9841, DP-9851, DP-9861, DP-9871 vagy CP-8875.
- Adja hozzá a 43-as DHCP-beállítást és az albeállításokat a DHCP opció definíciós készletéhez.
Példa:
- Adja hozzá a 43. opciót a DHCP-házirendhez, és állítsa be az értéket az alábbiak szerint:
Példa:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Ellenőrizze a beállításokat. A Wireshark segítségével nyomon követheti a telefon és a szolgáltatás közötti hálózati forgalmat.
- DHCP opció definíciós készlet hozzáadása.
- Állítsa vissza a telefont gyári alaphelyzetbe.
A telefon alaphelyzetbe állítása után a Kiszolgáló, a Legfelső CA-ujjlenyomat és a Jelszó kihívása paraméterek automatikusan kitöltésre kerülnek. Ezek a paraméterek az SCEP-konfiguráció 1 szakaszban találhatók a lapon a telefon adminisztrációs weboldalán.
A telepített tanúsítvány részleteinek megtekintéséhez kattintson a Nézet gombra a Meglévő tanúsítványok szakaszban.
A tanúsítvány telepítési állapotának ellenőrzéséhez válassza a lehetőséget. A Letöltési állapot 1 megjeleníti a legújabb eredményt. Ha bármilyen probléma merül fel a tanúsítvány regisztrálása során, a letöltési állapot megjelenítheti a probléma okát a hibaelhárítás céljából.
Ha a kihívást jelentő jelszó hitelesítése sikertelen, a felhasználóknak meg kell adniuk a jelszót a telefon képernyőjén. - (Opcionális): Ha el szeretné távolítani a telepített tanúsítványt a telefonról, kattintson a Törlés gombra a Meglévő tanúsítványok részben.A gombra kattintva az eltávolítási művelet azonnal, megerősítés nélkül kezdődik.
Tanúsítvány SCEP általi megújítása
Az eszköz tanúsítványa az SCEP-folyamat által automatikusan frissíthető.
- A telefon 4 óránként ellenőrzi, hogy a tanúsítvány 15 nap múlva lejár-e. Ha igen, a telefon automatikusan megkezdi a tanúsítvány megújítási folyamatát.
- Ha a kihívás jelszava üres, a telefon MIC/SUDI protokollt használ mind a kezdeti regisztrációhoz, mind a tanúsítvány megújításához. Ha a kihívás jelszava be van állítva, akkor csak a kezdeti regisztrációhoz használja, a meglévő/telepített tanúsítványt pedig a tanúsítvány megújításához használja a rendszer.
- A telefon nem távolítja el a régi eszköztanúsítványt, amíg nem kéri le az újat.
- Ha a tanúsítvány megújítása azért sikertelen, mert az eszköz tanúsítványa vagy a hitelesítésszolgáltató lejár, a telefon automatikusan elindítja a kezdeti regisztrációt. Addig is, ha a kihívást jelentő jelszó hitelesítése sikertelen, egy jelszóbeviteli képernyő jelenik meg a telefon képernyőjén, és a felhasználókat arra kéri, hogy adják meg a kihívást jelentő jelszót a telefonon.
FIPS mód engedélyezése
A telefon szövetségi információfeldolgozási szabványainak (FIPS) megfelelővé teheti.
Az FIPS egy sor szabvány, amely leírja a dokumentumfeldolgozás, titkosítási algoritmusok és egyéb információtechnológiai szabványok használatát a nem katonai kormányzaton belül, valamint a kormányzati vállalkozók és beszállítók számára, akik együttműködnek az ügynökségekkel. A CiscoSSL FOM (FIPS Object Module) egy gondosan definiált szoftverkomponens, amelyet a CiscoSSL könyvtárral való kompatibilitásra terveztek, így a CiscoSSL könyvtárat és API-t használó termékek minimális erőfeszítéssel konvertálhatók FIPS 140-2 hitelesített kriptográfiára.
| 1 |
Lépjen be a telefon adminisztrációs weboldalára. |
| 2 |
Válassza a lehetőséget. |
| 3 |
A Biztonsági beállítások szakaszban válassza az Igen vagy a Nem lehetőséget az FIPS mód paraméterből. |
| 4 |
Kattintson az Összes módosítás elküldése lehetőségre. Az FIPS engedélyezésekor a következő funkciók zökkenőmentesen működnek a telefonon:
|
Biztonsági tanúsítvány manuális eltávolítása
Ha az SCEP (Simple Certificate Enrollment Protocol) nem érhető el, kézzel is eltávolíthat biztonsági tanúsítványt a telefonról.
| 1 |
A telefon adminisztrációs weboldalán válassza a Tanúsítványoklehetőséget. |
| 2 |
Keresse meg a tanúsítványt a Tanúsítványok oldalon. |
| 3 |
Kattintson a Törlés lehetőségre. |
| 4 |
A törlési folyamat befejezését követően indítsa újra a telefont. |
Állítsa be a felhasználó és a rendszergazda jelszavát
Miután a telefont első alkalommal regisztrálták egy hívásvezérlő rendszerbe, vagy gyári alaphelyzetbe állította vissza a telefont, a telefon biztonságának növelése érdekében be kell állítania a felhasználói és rendszergazdai jelszót. Csak a jelszó beállítása esetén küldheti el a módosításokat a telefon weboldaláról.
Alapértelmezés szerint a telefonon engedélyezve van a jelszó nélküli figyelmeztetés. Ha a telefonon nincs felhasználói vagy rendszergazdai jelszó, a következő figyelmeztetések jelennek meg:
- A telefon weboldalán a „Nincs megadva rendszergazdai jelszó. A web írásvédett módban van, és nem küldhet be módosításokat. Kérjük, módosítsa a jelszót.” a bal felső sarokban.
A Felhasználói jelszó és az Rendszergazdai jelszó mező a „Nincs megadva jelszó” figyelmeztetést jeleníti meg, ha üres.
- A telefon Problémák és diagnosztika képernyőjén a „Nincs jelszó megadva” probléma jelenik meg.
| 1 |
Lépjen be a telefon adminisztrációs weboldalára |
| 2 |
Válassza a lehetőséget. |
| 3 |
(Nem kötelező) A Rendszerkonfiguráció szakaszban állítsa a Jelszófigyelmeztetések megjelenítése paramétert Igen értékre, majd kattintson az Összes módosítás elküldése gombra. A telefon konfigurációs fájljában (cfg.xml) lévő paramétereket is engedélyezheti.
Alapértelmezett Igen Beállítások Igen|Nem Ha a paraméter beállítása Nem, a jelszófigyelmeztetés nem jelenik meg sem a weblapon, sem a telefon képernyőjén. Továbbá a weboldal csak kész üzemmódja nem aktiválódik, még akkor sem, ha a jelszó üres. |
| 4 |
Keresse meg a Felhasználói jelszó vagy Rendszergazdai jelszó paramétert, és kattintson a Jelszó módosítása elemre a paraméter mellett. |
| 5 |
Adja meg az aktuális felhasználói jelszót a Régi jelszó mezőben. Ha nincs jelszava, hagyja üresen a mezőt. Az alapértelmezett érték üres.
|
| 6 |
Adjon meg egy új jelszót az Új jelszó mezőben. |
| 7 |
Kattintson a Küldés lehetőségre. A Jelszó sikeresen módosítva. üzenet megjelenik a weblapon. A weboldal frissül néhány másodpercen belül. A paraméter melletti figyelmeztetés el fog tűnni. A felhasználói jelszó beállítása után ez a paraméter a következőket jeleníti meg a telefon konfigurációs XML fájljában (cfg.xml):
Ha a 403-as hibakódot kapja, amikor megpróbálja elérni a telefon weboldalát, akkor be kell állítania a felhasználói vagy rendszergazdai jelszót a telefon konfigurációs fájljában (cfg.xml) való szolgáltatással. Például írjon be egy karakterláncot ebben a formátumban:
|
802.1X hitelesítés
A Cisco IP-telefonok támogatják a 802.1x hitelesítést.
A Cisco IP-telefonok és a Cisco Catalyst kapcsolók hagyományosan a Cisco Discovery Protocol (CDP) protokollt használják egymás azonosítására és az olyan paraméterek meghatározására, mint a VLAN-kiosztás és a beépített tápellátás követelményei. A CDP nem azonosítja a helyileg csatlakoztatott munkaállomásokat. A Cisco IP-telefonok EAPOL átvezető mechanizmust biztosítanak. Ez a mechanizmus lehetővé teszi, hogy a Cisco IP telefonhoz csatlakoztatott munkaállomás továbbítsa az EAPOL üzeneteket a 802.1X hitelesítőnek a LAN kapcsolón. Az átvezető mechanizmus biztosítja, hogy az IP-telefon ne működjön LAN-kapcsolóként az adatvégpont hitelesítéséhez a hálózat elérése előtt.
A Cisco IP-telefonok proxy EAPOL kijelentkezési mechanizmust is biztosítanak. Ha a helyileg csatlakoztatott számítógép bontja a kapcsolatot az IP-telefonnal, a LAN-kapcsoló nem látja a fizikai kapcsolatot, mert megmarad a LAN-kapcsoló és az IP-telefon közötti kapcsolat. A hálózati integritás veszélyeztetésének elkerülése érdekében az IP-telefon egy EAPOL-Logoff üzenetet küld a kapcsolónak a downstream PC nevében, amely elindítja a LAN kapcsolót, hogy törölje a downstream PC hitelesítési bejegyzését.
A 802.1X hitelesítés támogatásához több összetevő szükséges:
-
Cisco IP-telefonok A telefon kezdeményezi a hálózat elérésére irányuló kérést. A Cisco IP-telefonok 802.1X kérvényt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára, hogy szabályozzák az IP-telefonok csatlakozását a LAN-kapcsoló portokhoz. A telefon 802.1X kérvényező jelenlegi kiadása az EAP-FAST és EAP-TLS opciókat használja a hálózati hitelesítéshez.
-
hitelesítési szolgáltatás A hitelesítési kiszolgálót és a kapcsolót is olyan megosztott titkos kóddal kell konfigurálni, amely hitelesíti a telefont.
-
Váltás: A kapcsolónak támogatnia kell a 802.1X-et, hogy hitelesítőként működhessen, és továbbíthassa az üzeneteket a telefon és a hitelesítési kiszolgáló között. Miután a csere befejeződött, a kapcsoló megadja vagy megtagadja a telefonnak a hálózathoz való hozzáférést.
A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.
-
Konfigurálja a többi összetevőt, mielőtt engedélyezi a 802.1X hitelesítést a telefonon.
-
PC port konfigurálása: A 802.1X szabvány nem veszi figyelembe a VLAN-t, ezért azt javasolja, hogy csak egy eszközt kell hitelesíteni egy adott kapcsolóportra. Egyes kapcsolók azonban támogatják a többtartományos hitelesítést. A kapcsolókonfiguráció határozza meg, hogy csatlakoztathat-e számítógépet a telefon PC portjához.
-
Engedélyezve: Ha a többtartományos hitelesítést támogató kapcsolót használ, engedélyezheti a PC portot, és csatlakoztathat hozzá egy PC-t. Ebben az esetben a Cisco IP-telefonok támogatják az EAPOL-Logoff proxy protokollt a kapcsoló és a csatlakoztatott PC közötti hitelesítési cserék figyeléséhez.
A Cisco Catalyst kapcsolók IEEE 802.1X támogatásával kapcsolatos további információkért tekintse meg a Cisco Catalyst kapcsoló konfigurációs útmutatóját:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Letiltva: Ha a kapcsoló nem támogat több 802.1X-kompatibilis eszközt ugyanazon a porton, akkor a 802.1X-hitelesítés engedélyezésekor tiltsa le a PC-portot. Ha nem tiltja le ezt a portot, majd megpróbál PC-t csatolni hozzá, a kapcsoló megtagadja a hálózati hozzáférést a telefonhoz és a PC-hez is.
-
- Hang VLAN konfigurálása: Mivel a 802.1X szabvány nem tartalmazza a VLAN-okat, ezt a beállítást a kapcsolási támogatás alapján kell konfigurálnia.
- Engedélyezve: Ha a többtartományos hitelesítést támogató kapcsolót használ, továbbra is használhatja a hang VLAN-t.
- Letiltva: Ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a Voice VLAN-t, és fontolja meg a port hozzárendelését a natív VLAN-hoz.
- (Csak a Cisco Desk Phone 9800 Series telefonokhoz)
A Cisco 9800 sorozatú asztali telefonok előhívóazonosítójában más előhívószám található, mint a többi Cisco telefoné. Ha engedélyezni szeretné, hogy a telefon átadhassa a 802.1x azonosítást, állítsa be a Radius·Felhasználónév paramétert úgy, hogy az tartalmazza a Cisco Desk Phone 9800 Series telefont.
Például a 9841-es telefon PID-je DP-9841; a Radius·Felhasználónév beállítása DP-vel kezdődik vagy DP-t tartalmaz. Az alábbi két szakaszban állíthatja be:
-
802.1X-hitelesítés engedélyezése
Amikor engedélyezve van a 802.1X-hitelesítés, a telefon 802.1X-hitelesítést használ a hálózati hozzáférés kéréséhez. Amikor a 802.1X hitelesítés le van tiltva, a telefon a Cisco Discovery Protocol (CDP) protokollt használja a VLAN és a hálózati hozzáférés megszerzéséhez. A tranzakció állapotát is megtekintheti, és módosíthatja a telefon képernyő menüjében.
Amikor engedélyezve van a 802.1X hitelesítés, kiválaszthatja az eszköz tanúsítványát (MIC/SUDI vagy egyéni) a kezdeti regisztrációhoz és a tanúsítvány megújításához. Jellemzően a MIC a Cisco Video Phone 8875, a SUDI a Cisco Desk Phone 9800 Series telefonokhoz használatos. A CDC csak a 802.1x-es verziójában használható hitelesítésre.
| 1 |
A 802.1X-hitelesítés engedélyezéséhez hajtsa végre az alábbi műveletek egyikét:
| ||||||||||||||||||||
| 2 |
Válasszon ki egy tanúsítványt (MIC vagy egyéni) a 802.1X hitelesítéshez a telefon weboldalán.
A telefon kijelzőjén lévő tanúsítvány típusának kiválasztásával kapcsolatban a Telefon csatlakoztatása Wi-Fi-hálózathoz című részben talál bővebb tájékoztatást.
|
Ügyfél által kezdeményezett mód engedélyezése a médiaszabályok biztonsági tárgyalásaihoz
A médiaszolgáltatások védelme érdekében beállíthatja, hogy a telefon médiaszolgáltató biztonsági tárgyalásokat kezdeményezzen a kiszolgálóval. A biztonsági mechanizmus az RFC 3329 szabványban és annak kiterjesztési tervezetében a médiára vonatkozó biztonsági mechanizmus neve (lásd: https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2) meghatározott szabványokat követi. A tárgyalások átvitele a telefon és a szerver között SIP protokollt használhat UDP, TCP és TLS protokollon keresztül. Korlátozhatja, hogy a médiaszabályok biztonsági tárgyalása csak akkor kerüljön alkalmazásra, ha a jelzésátviteli protokoll TLS.
| 1 |
Lépjen be a telefon adminisztrációs weboldalára. | ||||||
| 2 |
Válassza a lehetőséget. | ||||||
| 3 |
A SIP-beállítások szakaszban állítsa be a MediaSec-kérelem és a MediaSec Csak TLS felett mezőket az alábbi táblázatban meghatározottak szerint:
| ||||||
| 4 |
Kattintson az Összes módosítás elküldése lehetőségre. |
WLAN-biztonság
Mivel a hatótávolságon belüli összes WLAN-eszköz fogadni tudja az összes többi WLAN-forgalmat, a hangkommunikáció biztosítása kritikus fontosságú a WLAN-hálózatokon. A Cisco SAFE Security architektúra támogatja a telefont, hogy a behatolók ne manipulálják és ne blokkolják a hangforgalmat. A hálózatok biztonságával kapcsolatos további információért lásd: http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
A Cisco vezeték nélküli IP-telefonos megoldás a következő, a telefon által támogatott hitelesítési módszerek segítségével biztosítja a vezeték nélküli hálózat biztonságát, amely megakadályozza a jogosulatlan bejelentkezést és a sérült kommunikációt:
-
Hitelesítés megnyitása: Bármely vezeték nélküli eszköz kérheti a hitelesítést egy nyitott rendszerben. A kérelmet fogadó AP engedélyezheti a hitelesítést bármely kérelmezőnek vagy csak a felhasználók listáján szereplő kérelmezőknek. A vezeték nélküli eszköz és a hozzáférési pont (AP) közötti kommunikáció nem titkosítható.
-
Bővíthető hitelesítési protokoll-Flexible Authentication via Secure Tunneling (EAP-FAST) hitelesítés: Ez a kliens-szerver biztonsági architektúra az AP és a RADIUS szerver közötti Transport Level Security (TLS) alagútban titkosítja az EAP-tranzakciókat, mint például az Identity Services Engine (ISE).
A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC-kat) használ a hitelesítéshez az ügyfél (telefon) és a RADIUS szerver között. A szerver egy Authority azonosítót (AID) küld az ügyfélnek (telefonnak), amely viszont kiválasztja a megfelelő PAC-t. A kliens (telefon) PAC-átlátszatlan értéket ad vissza a RADIUS szervernek. A kiszolgáló visszafejti a PAC-t az elsődleges kulccsal. Mostantól mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC kiépítést, de engedélyeznie kell a RADIUS szerveren.
ISE esetén a PAC alapértelmezés szerint egy hét alatt lejár. Ha a telefon lejárt PAC-val rendelkezik, a RADIUS szerverrel történő hitelesítés hosszabb időt vesz igénybe, amíg a telefon új PAC-t kap. A PAC-szolgáltatás késéseinek elkerülése érdekében állítsa be a PAC lejárati idejét 90 napra vagy annál hosszabb időre az ISE vagy a RADIUS szerveren.
-
Bővíthető hitelesítési protokoll-Transport Layer Security (EAP-TLS) hitelesítés: Az EAP-TLS kliens tanúsítványt igényel a hitelesítéshez és a hálózati hozzáféréshez. Vezeték nélküli EAP-TLS esetén a kliens tanúsítvány lehet MIC, LSC vagy felhasználó által telepített tanúsítvány.
-
Védett bővíthető hitelesítési protokoll (PEAP): A Cisco saját, jelszó alapú kölcsönös hitelesítési rendszere az ügyfél (telefon) és a RADIUS szerver között. A telefon a PEAP protokollt használhatja a vezeték nélküli hálózaton történő hitelesítéshez. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.
-
Előre megosztott kulcs (PSK): A telefon támogatja az ASCII formátumot. Ezt a formátumot kell használnia az előre megosztott WPA/WPA2/SAE kulcs beállításakor:
ASCII: 8–63 karakteres ASCII-karakterlánc (0–9, kisbetű és nagybetű A–Z, speciális karakterek)
Példa: GREG123567@9ZX&W
A következő hitelesítési sémák a RADIUS kiszolgálót használják a hitelesítési kulcsok kezelésére:
-
wpa/wpa2/wpa3: A RADIUS-kiszolgáló adatait használja a hitelesítéshez szükséges egyedi kulcsok létrehozásához. Mivel ezek a kulcsok a központosított RADIUS szerveren generálódnak, a WPA2/WPA3 nagyobb biztonságot nyújt, mint az AP-n és a telefonon tárolt WPA előre mentett kulcsok.
-
Gyors biztonságos barangolás: A RADIUS szerver és egy vezeték nélküli tartománykiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehoz egy biztonsági hitelesítő adatok gyorsítótárát az FT-kompatibilis ügyféleszközök számára a gyors és biztonságos ismételt hitelesítés érdekében. A Cisco 9861-es és 9871-es asztali telefon és a Cisco 8875-ös videotelefon támogatja a 802.11r (FT) szabványt. A gyors biztonságos barangolás érdekében mind a levegőben, mind a DS-en keresztül támogatott. De határozottan javasoljuk a 802.11r (FT) levegő alapú módszer használatát.
A WPA/WPA2/WPA3 esetén a titkosítási kulcsok nincsenek megadva a telefonon, de automatikusan származtatják az AP és a telefon között. A hitelesítéshez használt EAP felhasználónevet és jelszót azonban minden telefonon meg kell adni.
A hangforgalom biztonságának biztosítása érdekében a telefon támogatja a TKIP és az AES titkosítást. Amikor ezeket a mechanizmusokat titkosításra használják, a jelátviteli SIP-csomagok és a voice Real-Time Transport Protocol (RTP) csomagok egyaránt titkosítva vannak az AP és a telefon között.
- tkip
-
A WPA TKIP titkosítást használ, amely számos fejlesztéssel rendelkezik a WEP-n keresztül. A TKIP csomagonként kulcstitkosítást és hosszabb inicializációs vektorokat (IV-ket) biztosít, amelyek erősítik a titkosítást. Emellett az üzenet integritásának ellenőrzése (MIC) biztosítja, hogy a titkosított csomagok nem változnak. A TKIP eltávolítja a WEP kiszámíthatóságát, amely segít a behatolóknak megfejteni a WEP-kulcsot.
- Aes megye
-
A WPA2/WPA3 hitelesítéshez használt titkosítási módszer. Ez a titkosítási szabvány egy szimmetrikus algoritmust használ, amely azonos kulccsal rendelkezik a titkosításhoz és a visszafejtéshez. Az AES 128 bites Cipher Blocking Chain (CBC) titkosítást használ, amely minimálisan támogatja a 128, 192 és 256 bites kulcsméretet. A telefon 256 bites kulcsméretet támogat.
A Cisco 9861-es és 9871-es asztali telefon és a Cisco 8875-ös videotelefon nem támogatja a Cisco Key Integrity Protocol (CKIP) CMIC protokollt.
A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-k konfigurálva vannak a hálózaton és az AP-eken, és megadják a hitelesítés és a titkosítás különböző kombinációit. Az SSID egy VLAN-hoz és az adott hitelesítési és titkosítási sémához kapcsolódik. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia a hitelesítési és titkosítási sémájukkal az AP-n és a telefonon.
Egyes hitelesítési rendszerek bizonyos típusú titkosítást igényelnek.
- WPA előre megosztott kulcs, WPA2 előre megosztott kulcs vagy SAE használata esetén az előre megosztott kulcsot statikusan be kell állítani a telefonon. Ezeknek a kulcsoknak meg kell egyezniük az AP-n szereplő kulcsokkal.
-
A telefon támogatja az automatikus EAP egyeztetést FAST vagy PEAP esetén, de a TLS esetén nem. EAP-TLS mód esetén meg kell adnia.
A következő táblázatban található hitelesítési és titkosítási sémák a telefon AP konfigurációjának megfelelő hálózati konfigurációs beállításait mutatják.
| FSR típusa | Hitelesítés | Kulcskezelés | Titkosítás | Védett kezelési keret (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | Pszk |
wpa-pszk wpa-psk-sha256 ft-psk | Aes megye | Nem |
| 802.11r (FT) | wpa3-as |
Szász Ft-szo | Aes megye | Igen |
| 802.11r (FT) | eap-tls-ek |
WPA-csoport ft-eap | Aes megye | Nem |
| 802.11r (FT) | eap-tls (wpa3) |
wpa-eap-sha256 ft-eap | Aes megye | Igen |
| 802.11r (FT) | eap-gyors |
WPA-csoport ft-eap | Aes megye | Nem |
| 802.11r (FT) | eap-fast (wpa3) |
wpa-eap-sha256 ft-eap | Aes megye | Igen |
| 802.11r (FT) | eap-peap |
WPA-csoport ft-eap | Aes megye | Nem |
| 802.11r (FT) | eap-peap (wpa3) |
wpa-eap-sha256 ft-eap | Aes megye | Igen |
Wi-Fi profil beállítása
A Wi-Fi profilt a telefon weboldaláról vagy a távoli eszközprofil újraszinkronizálásával konfigurálhatja, majd hozzárendelheti a profilt a rendelkezésre álló Wi-Fi hálózatokhoz. Ezzel a Wi-Fi profillal csatlakozhat egy Wi-Fi-hez. Jelenleg csak egy Wi-Fi profil konfigurálható.
A profil tartalmazza azokat a paramétereket, amelyek szükségesek ahhoz, hogy a telefonok csatlakozzanak a telefon szerveréhez Wi-Fi-vel. Wi-Fi profil létrehozásakor és használatakor Önnek vagy a felhasználóinak nem kell konfigurálniuk a vezeték nélküli hálózatot az egyes telefonokhoz.
A Wi-Fi profil segítségével megakadályozhatja vagy korlátozhatja, hogy a felhasználó módosítsa a Wi-Fi konfigurációt a telefonon.
Javasoljuk, hogy használjon biztonságos profilt, titkosítási protokollokkal, hogy megvédje a kulcsokat és jelszavakat a Wi-Fi profil használatakor.
Amikor úgy állítja be a telefonokat, hogy biztonsági módban az EAP-FAST hitelesítési módszert használják, a felhasználóknak egyedi hitelesítő adatokra van szükségük a hozzáférési ponthoz való csatlakozáshoz.
| 1 |
Lépjen be a telefon weboldalára. |
| 2 |
Válassza a lehetőséget. |
| 3 |
A Wi-Fi profil (n) szakaszban állítsa be a paramétereket a következő táblázatban ismertetett módon Wi-Fi profil paraméterei. A Wi-Fi profil konfigurációja a felhasználói bejelentkezéshez is elérhető.
|
| 4 |
Kattintson az Összes módosítás elküldése lehetőségre. |
A Wi-Fi profil paraméterei
Az alábbi táblázat határozza meg az egyes paraméterek funkcióját és használatát a Wi-Fi profil(ok) szakaszban a Rendszer lapon a telefon weboldalán. Meghatározza a telefon konfigurációs fájljához (cfg.xml) hozzáadott karakterlánc szintaxisát is.
| Paraméter | Leírás |
|---|---|
| Hálózat neve | Lehetővé teszi a telefonon megjelenő SSID nevének megadását. Több profilnak is lehet ugyanaz a hálózati neve más biztonsági móddal. Tegye az alábbiak egyikét:
Alapértelmezett Üres |
| Biztonsági mód | Lehetővé teszi a Wi-Fi-hálózathoz való hozzáférés biztonságossá tételéhez használt hitelesítési módszer kiválasztását. A választott módszertől függően megjelenik egy jelszó mező, így megadhatja a Wi-Fi hálózathoz való csatlakozáshoz szükséges hitelesítő adatokat. Tegye az alábbiak egyikét:
Alapértelmezett Automatikus |
| Wi-Fi-felhasználói azonosító | Lehetővé teszi a hálózati profil felhasználói azonosítójának megadását. Ez a mező akkor érhető el, ha a biztonsági módot Auto, EAP-FAST vagy EAP-PEAP értékre állítja. Ez egy kötelező mező, és legfeljebb 32 alfanumerikus karaktert engedélyez. Tegye az alábbiak egyikét:
Alapértelmezett Üres |
| Wi-Fi jelszó | Lehetővé teszi a megadott Wi-Fi felhasználói azonosító jelszavának megadását. Tegye az alábbiak egyikét:
Alapértelmezett Üres |
| Frekvenciasáv | Lehetővé teszi a WLAN által használt vezeték nélküli jel frekvenciasáv kiválasztását. Tegye az alábbiak egyikét:
Alapértelmezett Automatikus |
| Tanúsítvány kiválasztása | Lehetővé teszi, hogy kiválasszon egy tanúsítványtípust a tanúsítvány kezdeti regisztrációjához és megújításához a vezeték nélküli hálózaton. Ez a folyamat csak 802.1X-hitelesítéshez érhető el. Tegye az alábbiak egyikét:
Alapértelmezett Gyártás telepítve |
