- Kezdőlap
- /
- Cikk
Ez a súgócikk a Cisco Unified Communications Manager (Unified CM) számon regisztrált Cisco 9821-es vezeték nélküli telefonról szól.
A Cisco Unified Communications Manager (Unified CM) engedélyezésével fokozott biztonsági környezetben működhet. A fokozott biztonsági szolgáltatásokkal a telefonhálózata szigorú biztonsági és kockázatkezelési felügyelet alatt áll az Ön és a felhasználói védelme érdekében.
A fokozott biztonságú környezet a következő funkciókat tartalmazza:
-
Kapcsolatkeresés hitelesítése
-
TCP mint a távoli naplózás alapértelmezett protokollja
-
Továbbfejlesztett hitelesítőadat-szabályzat
-
A digitális aláírások SHA-2 kivonatcsaládjának támogatása
-
Legfeljebb 4096 bites RSA kulcsméret támogatása
A Cisco Unified CM 14.0-s vagy újabb kiadásával a telefonok támogatják a SIP OAuth-hitelesítést.
Az OAuth a Proxy Trivial File Transfer Protocol (TFTP) esetében támogatott a Cisco Unified CM Release 14.0 (1) SU1 vagy újabb verzióval.
A biztonsággal kapcsolatos további információkért tekintse meg az alábbi útmutatókat:
A telefon csak korlátozott számú Identity Trust List (ITL) fájlt képes tárolni. Az ITL-fájlok nem haladhatják meg a 64K-t a telefonon, ezért korlátozza a Cisco Unified CM által a telefonra küldött fájlok számát.
Támogatott biztonsági funkciók
A biztonsági funkciók védelmet biztosítanak a fenyegetések ellen, ideértve a telefonazonosítással és az adatokkal kapcsolatos veszélyeket is. Ezek a funkciók hitelesített kommunikációs folyamokat hoznak létre és tartanak fenn a telefon és a Cisco Unified Communications Manager server között, és biztosítják, hogy a telefon csak digitálisan aláírt fájlokat használjon.
A Cisco Unified Communications Manager 8.5(1) és későbbi kiadásai már alapértelmezés szerint tartalmazzák a Biztonság szolgáltatást, amely a következő biztonsági funkciókat nyújtja a CTL-ügyfél nélküli Cisco IP Phone készülékek számára:
-
A telefon konfigurációs fájljainak aláírása
-
A telefon konfigurációs fájljának titkosítása
-
HTTPS és Tomcat, valamint egyéb webes szolgáltatások
A biztonságos jelzés és a médiafunkciók továbbra is igénylik a CTL-ügyfél futtatását és a hardveres eTokenek használatát.
A Cisco Unified Communications Manager biztonsági szolgáltatásainak implementálása megakadályozza a telefon és a Cisco Unified Communications Manager-kiszolgáló személyazonosságának ellopását, megakadályozza az adatok, illetve a hívásjelzések és médiafolyamok meghamisítását.
Az ilyen fenyegetések enyhítése érdekében a Cisco IP telefonos hálózat biztonságos (titkosított) kommunikációs folyamokat hoz létre és tart fenn a telefonok és a kiszolgáló között, digitálisan aláírja a fájlokat, mielőtt azokat a rendszer átirányítja a telefonra, és titkosítja a Cisco IP Phone telefonok közötti hívásjelzéseket és médiafolyamokat.
A Certificate Authority Proxy (CAPF) funkcióhoz tartozó szükséges feladatok elvégzése után a rendszer egy Locally Significant Certificate (LSC) tanúsítványt telepít a telefonokra. A Cisco Unified Communications Manager Administration hashtaggel LSC konfigurálhat a Cisco Unified Communications Manager biztonsági útmutatóban leírtak szerint. A LSC telepítését a telefon Biztonság menüjéből is kezdeményezheti. Ez a menü az LSC-k frissítését vagy eltávolítását is lehetővé teszi.
A telefonok a telefonos biztonsági profilt használják, amely meghatározza, hogy az eszköz biztonságos vagy nem. A biztonsági profil telefonra való alkalmazásával kapcsolatban további információt az adott Cisco Unified Communications Manager kiadás dokumentációjában talál.
Ha a Cisco Unified Communications Manager Administration rendszerben a biztonsággal kapcsolatos beállításokat állít be, akkor a telefon konfigurációs fájlja bizalmas információkat tartalmaz. Ha meg szeretne győződni a konfigurációs fájl titkosságáról, akkor ahhoz titkosítást kell beállítania. Részletes információk az adott Cisco Unified Communications Manager-verzió dokumentációjában találhatók.
A következő táblázat áttekintést ad a telefon által támogatott biztonsági funkciókról. További információk az adott Cisco Unified Communications Manager-verzió dokumentációjában találhatók.
|
Szolgáltatás |
Leírás |
|---|---|
|
Lemezkép-hitelesítés |
Az aláírt bináris fájlok megakadályozzák, hogy a firmware-lemezképet meghamisítsák, mielőtt azt a rendszer betölti a telefonon. A lemezkép meghamisítása esetén a telefonon sikertelen a hitelesítési folyamat, és a rendszer elutasítja az új lemezképet. |
|
Vevői webhelytanúsítvány-telepítés |
Minden Cisco IP Phone egyedi tanúsítványt igényel az eszközök hitelesítéséhez. A telefonok tartalmaznak egy gyártó által telepített tanúsítványt (MIC), de a további biztonság érdekében a tanúsítványtelepítést megadhatja a Cisco Unified Communications Manager Administration rendszer Certificate Authority Proxy Function (CAPF) szolgáltatásával is. Alternatív megoldásként a telefon Biztonság menüjéből is telepíthet egy Locally Significant Certificate (LSC). |
|
Készülékhitelesítés |
Akkor következik be a Cisco Unified Communications Manager-kiszolgáló és a telefon között, amikor a adott entitás elfogadja a másik entitás tanúsítványát. Azt határozza meg, hogy a telefon és a Cisco Unified Communications Manager között történjen-e biztonságos kapcsolat, és szükség esetén a TLS protokoll segítségével létrehoz egy biztonságos jelzésútvonalat az entitások között. A Cisco Unified Communications Manager nem regisztrálja a telefonokat, amíg nem tudja hitelesíteni azokat. |
|
Fájlhitelesítés |
A telefon által letöltött, digitálisan aláírt fájlokat ellenőrzi. A telefon ellenőrzi az aláírást, és meggyőződik arról, hogy a fájl létrehozása után a fájlt nem hamisították meg. A sikertelen hitelesítésű fájlokat a rendszer nem írja a telefon Flash-memóriájába. A telefon az ilyen fájlokat minden további feldolgozás nélkül elutasítja. |
|
Fájltitkosítás |
A titkosítás megakadályozza a bizalmas információk felfedését a fájl telefonra történő átvitele során. Emellett a telefon ellenőrzi az aláírást, és meggyőződik arról, hogy a fájl létrehozása után a fájlt nem hamisították meg. A sikertelen hitelesítésű fájlokat a rendszer nem írja a telefon Flash-memóriájába. A telefon az ilyen fájlokat minden további feldolgozás nélkül elutasítja. |
|
Jelzéshitelesítés |
A TLS protokollt használja annak ellenőrzésére, hogy az átvitel során nem hamisították-e meg a jelzéscsomagokat. |
|
Gyártó által telepített tanúsítvány |
Minden Cisco IP Phone tartalmaz egy egyedi, gyártó által telepített tanúsítványt (MIC), amelyet a rendszer az eszközök hitelesítésére használ. Az MIC állandó, egyedi személyazonosság-igazolást biztosít a telefon számára, és lehetővé teszi Cisco Unified Communications Manager számára a telefon hitelesítését. |
|
Médiatitkosítás |
Az SRTP segítségével biztosítja, hogy a támogatott eszközök közötti média-adatfolyamok biztonságosak legyenek, és hogy csak a kívánt eszköz fogadhassa és olvashassa be az adatokat. Ide tartozik a elsődleges médiakulcspár létrehozása az eszközökhöz, a kulcsok továbbítása az eszközökre, valamint a kulcsok biztonságának garantálása az átvitel során. |
|
CAPF (Certificate Authority Proxy Function) |
A tanúsítvány-generálási eljárás azon részeit valósítja meg, amelyek túlságosan feldolgozásigényesek a telefon számára, és elvégzi a telefonnal a kulcsgenerálásra és tanúsítványtelepítésre vonatkozó kommunikációt. A CAPF beállítható úgy, hogy a telefon nevében az ügyfél által megadott hitelesítésszolgáltatóktól tanúsítványokat igényeljen, illetve úgy is, hogy a tanúsítványokat helyben generálja. A EC (elliptikus görbe) és a RSA kulcstípus is támogatott. A EC kulcs használatához győződjön meg arról, hogy az "Endpoint Advanced Encryption Algorithms Support" paraméter (a System ) engedélyezve van. A CAPF és a kapcsolódó konfigurációkról további információt a következő dokumentumokban talál: |
|
Biztonsági profil |
Megadja, hogy a telefon nem biztonságos, hitelesített, titkosított vagy védett-e. A táblázatban szereplő egyéb bejegyzések a biztonsági funkciókat ismertetik. |
|
Titkosított konfigurációs fájlok |
Lehetővé teszi a telefon konfigurációs fájljainak adatvédelmét. |
|
Opcionális webkiszolgáló-letiltás a telefonhoz |
Biztonsági okokból megakadályozhatja a telefonon és az önkiszolgáló portálon a weboldalakhoz való hozzáférést (amelyek a telefon különböző működési statisztikáit jelenítik meg). |
|
Fokozott telefonbiztonság |
További biztonsági lehetőségek, amelyek a Cisco Unified Communications Manager Administration segítségével vezérelhetők:
|
|
Biztonságos SIP-feladatátvétel SRST-hez |
Miután biztonsági okokból konfigurál egy Survivable Remote Site Telephony (SRST) hivatkozást, majd visszaállítja a függő eszközöket a Cisco Unified Communications Manager Administration használatával, a TFTP-kiszolgáló hozzáadja az SRST-tanúsítványt a telefon cnf.xml fájljához, majd elküldi a fájlt a telefonra. A biztonságos telefonok ezután TLS-kapcsolatot használnak az SRST-kompatibilis routerrel való együttműködésre. |
|
Jelzéstitkosítás |
Biztosítja, hogy a készülék és a Cisco Unified Communications Manager-kiszolgáló közötti összes SIP-jelzésüzenet titkosítva legyen. |
|
A megbízhatósági lista frissítési riasztása |
Amikor a megbízhatósági lista frissül a telefonon, a Cisco Unified Communications Manager riasztást kap a frissítés sikerességének vagy hibájának jelzésére. További információt a következő táblázatban talál. |
|
AES 256 titkosítás |
Amikor a Cisco Unified Communications Manager 10.5 (2) vagy annál újabb kiadásához csatlakozva jelzés- és médiatitkosításkor a telefonok támogatják az AES 256 titkosítást TLS és SIP esetén. Ez lehetővé teszi a telefonok számára TLS 1.2-kapcsolatok kezdeményezését és támogatását olyan AES-256 alapú titkosításokkal, amelyek megfelelnek az SHA-2 (Secure Hash Algorithm) és a Federal Information Processing Standards (FIPS) szabványoknak. A titkosítások a következők:
További információért lásd a Cisco Unified Communications Manager dokumentációját. |
|
Elliptic Curve Digital Signature Algorithm (ECDSA) tanúsítványok |
A Common Criteria (CC) tanúsítvány részeként a Cisco Unified Communications Manager ECDSA-tanúsítványokkal bővült a 11.0-ás verzióban. Ez hatással van az összes olyan Voice Operating System (VOS) termékre, amelyen a CUCM 11.5-ös vagy annál újabb verziója fut. |
|
Többkiszolgálós (SAN) Tomcat-tanúsítvány Cisco UCM | A telefon támogatja a Cisco UCM funkciót, ha többkiszolgálós (SAN) Tomcat-tanúsítványok vannak konfigurálva. A helyes TFTP kiszolgálócím megtalálható a telefon ITL fájljában a telefon regisztrációjához. A szolgáltatásról további információt a következő témakörökben talál: |
A következő táblázat tartalmazza a megbízhatósági lista frissítésriasztási üzeneteit és azok jelentését. További információért lásd a Cisco Unified Communications Manager dokumentációját.
| Kód és üzenet | Leírás |
|---|---|
|
1 - TL_SUCCESS |
Új CTL és/vagy ITL érkezett |
|
2 - CTL_INITIAL_SUCCESS |
Új CTL érkezett, nincs meglévő TL |
|
3 - ITL_INITIAL_SUCCESS |
Új ITL érkezett, nincs meglévő TL |
|
4 - TL_INITIAL_SUCCESS |
Új CTL és ITL érkezett, nincs meglévő TL |
|
5 - TL_FAILED_OLD_CTL |
Az új CTL frissítése sikertelen volt, de van korábbi TL |
|
6 - TL_FAILED_NO_TL |
Az új TL frissítése sikertelen volt, és nincs régi TL |
|
7 - TL_FAILED |
Általános hiba |
|
8 - TL_FAILED_OLD_ITL |
Az új ITL frissítése sikertelen volt, de van korábbi TL |
|
9 - TL_FAILED_OLD_TL |
Az új TL frissítése sikertelen volt, de van korábbi TL |
Telefonhívás-biztonság
Amikor a telefonon biztonsági szolgáltatás van implementálva, a telefon kijelzőjén látható ikonok segítségével azonosíthatók a biztonságos hívások. Az alapján is meghatározhatja, hogy a csatlakoztatott telefon biztonságos és védett-e, ha a hívás elején a telefon biztonsági hangjelzést ad.
Biztonságos hívás esetén az összes hívásjelzés és médiafolyam titkosítva van. A biztonságos hívás magas szintű biztonságot nyújt, garantálva a hívás integritását és titkosítását. Ha egy folyamatban lévő hívás titkosítva van, a biztonságos ikon látható
A vonalon.
-
Ha a hívást a rendszer nem IP hívási szakaszokon (például a PSTN-en) irányítja át, akkor előfordulhat, hogy a hívás annak ellenére sem biztonságos, hogy titkosítva van az IP-hálózaton belül, és hogy rendelkezik lakat ikonnal.
-
A biztonságos hívás csak két telefon közötti kapcsolat esetén támogatott. Bizonyos funkciók, mint például a konferenciahívás és a megosztott vonalak, nem érhetők el, ha a biztonságos hívás be van állítva.
A Cisco Unified Communications Manager-ben a biztonságosként (titkosítottként és megbízhatóként) konfigurált telefonokhoz védett státusz rendelhető. A védelem után ezek az eszközök beállíthatók úgy, hogy minden hívás elején biztonsági hangjelzést adjanak le.
-
Védett eszköz:
Biztonságos telefon védettre állapotának módosítása:
- A Cisco Unified Communications Manager Administration helyen válassza a Device .
- Keresse meg a beállítani kívánt telefont.
- A Telefon konfigurációja ablakban jelölje be a Védett eszköz jelölőnégyzetet.
- Kattintson a Mentés gombra.
-
Biztonságos jelzés lejátszása:
A védett telefon biztonságos vagy nem biztonságos jelzőhangjelzésének engedélyezése:
- A Cisco Unified Communications Manager Administration területen válassza a Rendszer .
- Válassza ki a kiszolgálót, majd a Cisco CallManager szolgáltatást.
- A Fürtszintű paraméterek (funkció - Biztonságos hang) területen állítsa a Biztonságos/nem biztonságos hívásállapotot jelző lejátszási hang beállítást Igaz értékre.
- Kattintson a Mentés gombra.
Biztonságos konferenciahívás-azonosítás
Lehetősége van biztonságos konferenciahívás kezdeményezésére és a résztvevők biztonsági szintjének figyelésére . A következő folyamattal biztonságos konferenciahívás jön létre:
-
A felhasználó egy biztonságos telefonról kezdeményezi a konferenciát.
-
A Cisco Unified Communications Manager biztonságos konferenciahidat rendel a híváshoz.
-
A résztvevők hozzáadásakor a Cisco Unified Communications Manager ellenőrzi az egyes telefonok biztonsági módját, és fenntartja a konferencia biztonsági szintjét.
-
A telefon megjeleníti a konferenciahívás biztonsági szintjét. A biztonságos konferenciákon a biztonságos ikon látható
.
A biztonságos hívás két telefon között támogatott. A védett telefonok esetében bizonyos funkciók (például a konferenciahívás, a megosztott vonalak és a Extension Mobility) nem érhetők el, ha a biztonságos hívás be van állítva.
A következő táblázat a konferencia biztonsági szintjeinek változásairól nyújt tájékoztatást a kezdeményező telefon biztonsági szintjének, a résztvevők biztonsági szintjének és a biztonságos konferenciahidak elérhetőségének függvényében.
|
Kezdeményező telefon biztonsági szintje |
Használt funkció |
A résztvevők biztonsági szintje |
A művelet eredménye |
|---|---|---|---|
|
Nem biztonságos |
Konferenciabeszélgetés |
Biztonságos |
Nem biztonságos konferenciahíd Nem biztonságos konferencia |
|
Biztonságos |
Konferenciabeszélgetés |
Legalább egy tag nem biztonságos. |
Biztonságos konferenciahíd Nem biztonságos konferencia |
|
Biztonságos |
Konferenciabeszélgetés |
Biztonságos |
Biztonságos konferenciahíd Biztonságos titkosítási szintű konferencia |
|
Nem biztonságos |
KonfHíd |
A minimális biztonsági szint van titkosítva. |
A kezdeményező újrarendezési hangot kap. |
|
Biztonságos |
KonfHíd |
A minimális biztonsági szint nem biztonságos. |
Biztonságos konferenciahíd A konferencia minden hívást elfogad. |
Biztonságos telefonoshívás azonosítása
Biztonságos hívás jön létre, amikor a telefonja és a másik telefon biztonságos hívásra van konfigurálva. A másik telefon ugyanazon a Cisco IP-hálózaton és egy, az IP-hálózaton kívüli hálózaton is lehet. Biztonságos hívások csak két telefon között lehetséges. A konferenciahívásoknak a biztonságos konferenciahíd beállítása után támogatniuk kell a biztonságos hívást.
Biztonságos hívás a következő folyamattal jön létre:
-
A felhasználó a hívást biztonságos telefonról kezdeményezi („biztonságos” biztonsági mód).
-
A telefonon megjelenik a biztonságos ikon
A telefon képernyőjén. Ez az ikon azt jelzi, hogy a telefon konfigurálva van biztonságos hívásokra, azonban ez nem jelenti azt, hogy a másik csatlakoztatott telefon is biztonságos. -
A felhasználó egy biztonsági hangjelzést hall, ha egy másik biztonságos telefonnal jön létre kapcsolat; ez jelzi, hogy a beszélgetés mindkét végpontja titkosított és biztonságos. Ha a kapcsolat egy nem biztonságos telefonnal jön létre, a felhasználó nem hallja a biztonsági hangjelzést.
A biztonságos hívás két telefon között támogatott. A védett telefonok esetében bizonyos funkciók (például a konferenciahívás, a megosztott vonalak és a Extension Mobility) nem érhetők el, ha a biztonságos hívás be van állítva.
Csak a védett telefonok adnak biztonságos és nem biztonságos hangjelzést. A nem védett telefonok sosem adnak hangjelzést. Ha az általános hívásállapot a hívás során megváltozik, akkor a jelzőhang megváltozik, és a védett telefon lejátssza a megfelelő hangjelzést.
Ha a Biztonságos/nem biztonságos hívásállapotot jelző lejátszási hang beállítása Igaz:
-
Ha a végpontok között biztonságos médiakapcsolat jön létre, és a hívás állapota biztonságos, a telefon a biztonságos hangjelzést játssza le (három hosszú sípszó, szünetekkel).
-
Ha a végpontok között nem biztonságos médiakapcsolat jön létre, és a hívás állapota nem biztonságos, a telefon a nem biztonságos hangjelzést játssza le (hat rövid sípszó, rövid szünetekkel).
Ha a Biztonságos/nem biztonságos hívásállapotot jelző hangjelzés lejátszása beállítás értéke Hamis, akkor nem hallható hangjelzés.
Titkosítás biztosítása az uszályhoz
Cisco Unified Communications Manager Ellenőrzi a telefon biztonsági állapotát a konferenciák létrehozásakor, és megváltoztatja a konferencia biztonsági jelzését, vagy blokkolja a hívás befejezését a rendszer integritásának és biztonságának fenntartása érdekében.
A felhasználó nem tud titkosított hívásba belépni, ha az uszályhoz használt telefon nincs beállítva titkosításra. Ha ebben az esetben az uszály meghibásodik, az átrendezés (gyors foglaltság) hangjelzés hallható azon a telefonon, amelyen az uszályt elindították.
Ha a kezdeményező telefon titkosításra van beállítva, akkor a belépés kezdeményezője a titkosított telefonról nem biztonságos hívásba léphet be. Az uszály után a Cisco Unified Communications Manager nem biztonságosnak minősíti a hívást.
Ha a kezdeményező telefon titkosításra van konfigurálva, akkor a belépés kezdeményezője beleléphet egy titkosított hívásba, és a telefon jelzi, hogy a hívás titkosítva van.
Vezeték nélküli LAN biztonság
Mivel az összes hatókörön belüli WLAN-eszköz képes fogadni minden egyéb WLAN-forgalmat, a hangkommunikáció biztonságossá tétele alapvető fontosságú a WLAN-hálózatok esetén. Annak érdekében, hogy a behatolók ne manipulálják és ne fogják el a hangforgalmat, a Cisco SAFE Security architektúra támogatja a telefont. A hálózatok biztonságáról további információt a http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html című témakörben talál.
A Cisco vezeték nélküli IP telefonos megoldás vezeték nélküli hálózati biztonságot nyújt, amely megakadályozza a jogosulatlan bejelentkezéseket és a kommunikáció feltörését a telefon által támogatott alábbi hitelesítési módszerek használatával.
-
Nyílt hitelesítés: egy nyitott rendszerben bármely vezeték nélküli eszköz kérhet hitelesítést. A kérést fogadó hozzáférési pont jóváhagyhatja a hitelesítést bármely kérelmező számára, vagy csak a felhasználók listáján található kérelmezőknek. Előfordulhat, hogy a vezeték nélküli eszköz és az Access Point (AP) közötti kommunikáció titkosítatlan.
-
Bővíthető hitelesítési protokoll – Rugalmas hitelesítés biztonságos bújtatási (EAP-FAST) hitelesítéssel: Ez az ügyfél-kiszolgáló biztonsági architektúra EAP tranzakciókat titkosít az AP és a RADIUS-kiszolgáló közötti Transport Level Security (TLS) alagúton belül, például az Identity Services Engine (ISE) esetében.
A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC) használ az ügyfél (telefon) és a RADIUS-kiszolgáló közötti hitelesítéshez. A kiszolgáló egy Authority ID (AID) azonosítót küld az ügyfélnek (telefon), amely kiválasztja a megfelelő PAC-ot. Az ügyfél (telefon) egy PAC-Opaque választ ad vissza a RADIUS-kiszolgálónak. A kiszolgáló az elsődleges kulccsal visszafejti a PAC-ot. Ekkor már mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC-létesítést, de Önnek engedélyeznie kell azt a RADIUS-kiszolgálón.
Az ISE-ben alapértelmezés szerint a PAC egy hét múlva lejár. Ha a telefon lejárt PAC-kal rendelkezik, akkor a RADIUS-kiszolgálóval való hitelesítés hosszabb időt vesz igénybe, mert a telefon új PAC-ot kap. A PAC-létesítési késleltetések elkerülése érdekében a PAC lejárati időszakát 90 napra vagy hosszabb időszakra kell beállítani az ISE- vagy RADIUS-kiszolgálón.
-
Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: az EAP-TLS esetén egy ügyféltanúsítvány szükséges a hitelesítéshez és a hálózati eléréshez. Vezeték nélküli EAP-TLS esetén az ügyféltanúsítvány lehet MIC, LSC, vagy felhasználó által telepített tanúsítvány.
-
Protected Extensible Authentication Protocol (PEAP): a Cisco saját jelszóalapú kölcsönös hitelesítési sémája az ügyfél (telefon) és egy RADIUS-kiszolgáló között. A telefon a PEAP hashtaggel hitelesítheti magát a vezeték nélküli hálózaton. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.
-
Előmegosztott kulcs (PSK): A telefon támogatja a ASCII és a hexadecimális (HEX) formátumokat. Ezeket a formátumokat kell használnia WPA2/SAE előmegosztott kulcs beállításakor.
ASCII: ASCII-karakterlánc 8–63 karakter hosszúsággal (0-9, kisbetűs a-z, nagybetűs A-Z és speciális karakterek). Például,GREG123567@9ZX
&W.HEX: 64 hexadecimális számjegyből álló hexadecimális karakterlánc (0-9, a-f vagy A-F).
A következő hitelesítési sémák a RADIUS-kiszolgáló használatával kezelik a hitelesítési kulcsokat:
-
WPA2/WPA3: a RADIUS-kiszolgáló adatait használja egyedi kulcsok előállításához a hitelesítéskor. Mivel ezek a kulcsok a központosított RADIUS-kiszolgálón jönnek létre, a WPA2/WPA3 nagyobb biztonságot nyújt, mint a hozzáférési ponton és a telefonon tárolt előmegosztott WPA-kulcsok.
-
Gyors biztonságos barangolás: a RADIUS-kiszolgáló és egy vezeték nélküli tartományi kiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehozza az FT-kompatibilis ügyféleszközök biztonsági hitelesítő adatainak gyorsítótárát a gyors és biztonságos újrahitelesítés érdekében.
A WPA2/WPA3 titkosítás esetén a titkosítási kulcsok nem kerülnek be a telefonra, hanem automatikusan származnak a hozzáférési pont és a telefon között. A hitelesítéshez használt EAP-felhasználónevet és -jelszót azonban minden telefonon meg kell adni.
A vezeték nélküli kapcsolaton keresztüli hangforgalom védelme érdekében a telefon támogatja az AES-alapú titkosítást a WPA2/WPA3 hitelesítéshez. A AES a NIST által szabványosított szimmetrikus blokkrejtjel. A AES rögzített 128 bites blokkméretet használ, és támogatja a 128 bites, 192 bites és 256 bites kulcsméreteket. A Wi-Fi hálózatokban a AES értéket olyan titkosítási csomagok használják, mint a CCMP vagy a GCMP, míg a hitelesítést külön biztosítja a PSK, SAE vagy 802.1X/EAP, a beállított WLAN biztonsági módtól függően. A támogatott titkosítási csomag és kulcsméret a telefon típusától és a WLAN konfigurációtól függ.
Ha a telefon AES titkosítást használ, mind a SIP jelátviteli csomagok, mind a hangalapú Real-Time Transport Protocol (RTP) csomagok titkosítva vannak a hozzáférési pont és a telefon között.
A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-beállítások a hálózaton és a hozzáférési ponton vannak konfigurálva, és a hitelesítés és titkosítás különböző kombinációit határozzák meg. A rendszer egy SSID-t társít egy VLAN-hoz és az adott hitelesítési és titkosítási rendszerhez. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia hitelesítési és titkosítási sémáikkal a hozzáférési pontokon és a telefonon.
Egyes hitelesítési sémák adott típusú titkosítást igényelnek.
WPA2 előmegosztott kulcs vagy SAE használata esetén az előmegosztott kulcsot statikusan kell beállítani a telefonon. Ezeknek a kulcsoknak meg kell egyezniük a hozzáférési ponton megadott kulcsokkal.
A következő táblázatban látható hitelesítési és titkosítási sémák az AP konfigurációnak megfelelő Cisco vezeték nélküli telefon 9821-es hálózati konfigurációs beállításait mutatják be.
| FSR Típus | Hitelesítés | Kulcskezelés | Titkosítás | Védett felügyeleti keret (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nem |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Van |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nem |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Van |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nem |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Van |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nem |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Van |
| FT-n kívüli | Lakosztály-B | WPA-EAP-SUITE-B | GCMP | Van |
| FT-n kívüli | Lakosztály-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Van |
Wi-Fi-profil beállítása
Beállíthat egy Wi-Fi profilt, és hozzárendelheti a Cisco Wireless Phone 9821 telefonhoz. Ez a profil tartalmazza azokat a paramétereket, amelyek ahhoz szükségesek, hogy a telefon Wi-Fi kapcsolatot létesítsen, majd ezt követően regisztráljon a Cisco Unified CM. Wi-Fi profil létrehozásakor és használatakor sem Önnek, sem a felhasználóknak nem kell konfigurálniuk a vezeték nélküli hálózatot az egyes telefonokhoz.
Javasoljuk, hogy egy biztonságos profilt használjon engedélyezett TFTP titkosítással, hogy védje a Wi-Fi profil használatakor a kulcsokat és jelszavakat.
A telefonok telepítési módszerenként (manuális, SCEP vagy TFTP) egy kiszolgálótanúsítványt támogatnak.
A WLAN-profil konfigurálása előtt tartsa szem előtt a következőket:
-
Felhasználónév és jelszó
-
Amikor a hálózat EAP-FAST és PEAP protokollt használ a felhasználói hitelesítéshez, szükség esetén a felhasználónevet és a jelszót is konfigurálnia kell a Remote Authentication Dial-In User Service (RADIUS) szolgáltatásban és a telefonon.
- A vezeték nélküli LAN-profilban megadott hitelesítő adatoknak meg kell egyezniük a RADIUS-kiszolgálón beállított hitelesítő adatokkal.
-
Ha a hálózaton belüli tartományokat használ, akkor a felhasználónevet a tartománynévvel együtt, a következő formátumban kell megadnia: tartomány
tartomány\felhasználónév.
-
-
A következő műveletek a meglévő Wi-Fi-jelszó törléséhez vezethetnek:
- Érvénytelen felhasználói azonosító vagy jelszó megadása
- Érvénytelen vagy lejárt legfelső szintű hitelesítésszolgáltató telepítése, ha az EAP típusaként PEAP-MSCHAPV2 vagy PEAP-GTC van megadva
- A használatban lévő EAP-típus letiltása a RADIUS-kiszolgálón, mielőtt a telefont átkapcsolná az új EAP-típusra
- Az EAP-típus módosításához először engedélyezze az új EAP-típust a RADIUS-kiszolgálón, majd a telefont kapcsolja át az új EAP-típusra. Amikor az összes telefont átkapcsolta az új EAP-típusra, szükség esetén letilthatja az előző EAP-típust.
| 1 |
A Cisco Unified Communications Manager Administration felületen válassza az lehetőséget. |
| 2 |
Kattintson az Új hozzáadása gombra. |
| 3 |
A Wireless LAN Profile Information (Vezeték nélküli LAN profil adatai) részben állítsa be a paramétereket:
|
| 4 |
A Vezeték nélküli beállítások részben állítsa be a paramétereket:
|
| 5 |
A Hitelesítési beállítások szakaszban állítsa a Hitelesítési módszer beállítást a következő hitelesítési módszerek egyikére: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK és Nincs. Cisco A 9821-es vezeték nélküli telefon nem támogatja a WEP. Miután beállította ezt a mezőt, további mezőket láthat, amelyeket be kell állítania.
Cisco A 9821-es vezeték nélküli telefon nem támogatja a Hálózatelérési profil mezőt. |
| 6 |
Kattintson a Mentés gombra. |
A következő teendő
Kösse a vezeték nélküli helyi hálózati profilt egy WLAN profilcsoporthoz, majd alkalmazza a WLAN profilcsoportot egy eszközkészletre (Rendszer>EszközkészletTelefon
Felhasználói tanúsítvány telepítése a telefon felügyeleti weboldaláról
A felhasználói tanúsítványt manuálisan is telepítheti a telefonra, ha az SCEP (Simple Certificate Enrollment Protocol) nem érhető el.
Az előre telepített gyártási tanúsítvány (MIC) használható a EAP-TLS felhasználói tanúsítványaként.
A felhasználói tanúsítvány telepítése után hozzá kell adnia a felhasználói tanúsítványt kiállító hitelesítésszolgáltatói láncot a RADIUS-kiszolgáló megbízhatósági listájához.
Mielőtt nekilátna
Ahhoz, hogy egy telefonhoz felhasználói tanúsítványt telepítsen, rendelkeznie kell az alábbiakkal:
-
Egy, a számítógépen mentett felhasználói tanúsítvány. A tanúsítvány csak PKCS #12 formátumú lehet.
-
A tanúsítvány kibontási jelszava. A jelszó hossza nem haladhatja meg a 32 karaktert.
| 1 |
A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget. |
| 2 |
Keresse meg a Felhasználó által telepített mezőt, majd kattintson a Telepítés gombra. |
| 3 |
Keresse meg a tanúsítványt a számítógépen. |
| 4 |
A Kibontási jelszó mezőbe írja be a tanúsítvány kibontási jelszavát. |
| 5 |
Kattintson a Feltöltés gombra. |
| 6 |
A feltöltés befejezése után indítsa újra a telefont. |
Hitelesítés-kiszolgáló hitelesítésszolgáltatójának telepítése a telefon felügyeleti weboldaláról
A hitelesítés-kiszolgálói hitelesítésszolgáltatót manuálisan is telepítheti a telefonra, ha az SCEP protokoll nem érhető el.
A RADIUS-kiszolgáló tanúsítványát kiállító legfelső szintű hitelesítésszolgáltatói tanúsítványt telepíteni kell.
Mielőtt nekilátna
Mielőtt tanúsítványt telepíthetne a telefonra, mentenie kell a számítógépen a hitelesítő kiszolgáló hitelesítésszolgáltatóját. A tanúsítvány csak PEM (Base-64) vagy DER kódolású lehet.
| 1 |
A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget. |
| 2 |
Keresse meg a Hitelesítő kiszolgáló CA mezőt, és kattintson a Telepítés lehetőségre. |
| 3 |
Keresse meg a tanúsítványt a számítógépen. |
| 4 |
Kattintson a Feltöltés gombra. |
| 5 |
A feltöltés befejezése után indítsa újra a telefont. |
Biztonsági tanúsítvány manuális eltávolítása a telefon felügyeleti weboldaláról
Manuálisan is eltávolíthat egy biztonsági tanúsítványt a telefonról, ha az egyszerű tanúsítvány-beiktatási protokoll (SCEP) nem érhető el.
| 1 |
A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget. |
| 2 |
Keresse meg a tanúsítványt a Tanúsítványok oldalon. |
| 3 |
Kattintson a Törlés gombra. |
| 4 |
A törlési folyamat befejezése után indítsa újra a telefont. |
SCEP beállítása
Az SCEP (Simple Certificate Enrollment Protocol – Egyszerű tanúsítvány-beiktatási protokoll) a tanúsítványok automatikus biztosításának és megújításának szabványa. Ezzel elkerülhető a tanúsítványok kézi telepítése a telefonokra.
Az SCEP termékspecifikus konfigurációs paramétereinek aktiválása
A következő SCEP-paramétereket kell konfigurálnia a Cisco Unified Communications Manager (Unified CM).
-
RA IP cím vagy állomásnév
-
Az SCEP-kiszolgáló legfelső szintű hitelesítő kiszolgálótanúsítványának SHA-1 vagy SHA-256 ujjlenyomata
A Cisco IOS regisztrációs szervezet (RA) proxyként szolgál az SCEP-kiszolgáló számára. A telefon SCEP-ügyfele a Cisco Unified CM webhelyről letöltött paramétereket használja. A paraméterek konfigurálása után a telefon SCEP getcs kérést küld az RA-nak, és a legfelső szintű hitelesítésszolgáltatói tanúsítványt a megadott ujjlenyomattal érvényesíti.
| 1 |
A Cisco Unified Communications Manager Administration helyen válassza az Eszköz . |
| 2 |
Keresse meg a telefont. |
| 3 |
Görgessen a Termékspecifikus konfigurációs elrendezés területre. |
| 4 |
Jelölje be a WLAN SCEP-kiszolgáló jelölőnégyzetet az SCEP paraméter aktiválásához. |
| 5 |
Jelölje be a WLAN legfelső szintű hitelesítésszolgáltató ujjlenyomata (SHA256 vagy SHA1) jelölőnégyzetet az SCEP QED paraméter aktiválásához. |
SCEP-kiszolgálók támogatása
Egyszerű tanúsítványigénylési protokoll (SCEP) kiszolgáló használata esetén a kiszolgáló automatikusan képes karbantartani a felhasználói és kiszolgálói tanúsítványokat. Az SCEP kiszolgálón állítsa be a SCEP regisztrációs ügynököt (RA) a következőre:
-
PKI megbízhatósági pontként működik
-
PKI regisztrációs ügynökként működik
-
Eszközhitelesítés RADIUS-kiszolgálóval
További információkért lásd az SCEP dokumentációját.
Helyi jelentőségű tanúsítvány (LSC) beállítása
A LSC telepítésére több módszer is létezik. Ez a mintafeladat LSC hitelesítési karakterlánc módszerrel történő beállítására vonatkozik a Cisco 9821-es vezeték nélküli telefonon.
Mielőtt nekilátna
Győződjön meg arról, hogy a megfelelő Cisco Unified CM és certificate authority proxy function (CAPF) biztonsági beállítások befejeződtek.
-
A CTL- vagy ITL-fájl rendelkezik CAPF-tanúsítvánnyal.
-
A Cisco Unified Communications Operating System Administration felületen ellenőrizze, hogy a CAPF-tanúsítvány telepítve van-e.
-
A CAPF fut és konfigurálva van.
Ezekről a beállításokról további információt az adott Cisco Unified CM kiadás dokumentációjában talál.
| 1 |
Szerezze be a CAPF konfigurálásakor beállított CAPF hitelesítési karakterláncot. |
| 2 |
A telefonon nyissa meg a Beállítások |
| 3 |
Válassza a Rendszergazdai beállítások . |
| 4 |
Adja meg a hitelesítési karakterláncot. |
| 5 |
Nyomja meg a Továbbiak gombot A telefon megkezdi a LSC telepítését, frissítését vagy eltávolítását attól függően, hogy a CAPF hogyan van konfigurálva. Ha az eljárás befejeződött, a Telepítve vagy Nincs telepítve felirat jelenik meg a telefonon. Az LSC telepítésének, frissítésének és eltávolításának folyamata hosszú időt vehet igénybe. Amikor a telefon telepítési eljárása sikeres, a |
802.1X hitelesítés vezetékes hálózatokhoz
Cisco A 9821-es vezeték nélküli telefon támogatja a vezetékes hálózatok 802.1X hitelesítését. Ez általában az automatikus létesítés során használatos, amikor a telefon támogatott USB–Ethernet adapteren keresztül csatlakozik az asztali töltőhöz.
A vezetékes hálózatokon a 802.1X hitelesítés támogatásához több összetevőre van szükség, az alábbiak szerint:
-
Cisco IP Phone: a telefon kezdeményezi a hálózatelérési kérést. A Cisco IP Phone telefonok 802.1X kérelmezőt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára az IP telefonok és a LAN-kapcsolóportok közötti kapcsolat vezérlését. A telefon 802.1X kérelmezőjének aktuális kiadása EAP-FAST és EAP-TLS lehetőségeket kínál a hálózati hitelesítéshez.
-
Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót egyaránt RADIUS közös titokkal kell konfigurálni.
-
Kapcsoló: A kapcsolónak támogatnia kell a 802.1X szabványt, hogy hitelesítőként működhessen, és továbbíthassa a EAP üzeneteket a telefon és a hitelesítési kiszolgáló között. Miután az adatcsere befejeződött, a kapcsoló engedélyezi vagy megtagadja a telefon számára a hálózat elérését.
A Cisco IP Phone telefonok és a Cisco Catalyst kapcsolók hagyományosan Cisco Discovery Protocol (CDP) segítségével azonosítják egymást és határozzák meg a paramétereket (például a VLAN-kiosztást és a vonali tápellátási követelményeket).
A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.
-
Konfigurálja a CDP/LLDP hang VLAN megkerülését.
-
Konfigurálja a hitelesítési kiszolgálót és a kapcsolót, mielőtt engedélyezné a 802.1X hitelesítést a telefon vezetékes hálózatain.
-
Hang VLAN konfigurálása: mivel a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezt a beállítást a kapcsolótámogatás alapján kell beállítania.
- Engedélyezve: Ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, konfigurálhatja úgy, hogy a VLAN hangot használja.
- Letiltva: ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a hang VLAN-t, és fontolja meg a port natív VLAN-hoz való hozzárendelését.
-
Cisco A 9821-es vezeték nélküli telefon PID előtagja eltér a többi Cisco telefon előtagjától. Ha engedélyezni szeretné, hogy telefonja átmenjen a 802.1X hitelesítésen, állítsa be a Sugár· User-Name paraméter a Cisco 9821-es vezeték nélküli telefon felvételéhez.
Például a Cisco 9821 vezeték nélküli telefon PID-je WP-9821. Beállíthatja a sugarat·
A felhasználónév WP-velkezdődik, vagyWP-ttartalmaz mindkét alábbi szakaszban: -
802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a telefonon
Kövesse az alábbi lépéseket a telefon vezetékes hálózatainak 802.1X hitelesítésének engedélyezéséhez. Ne feledje, hogy a Wi-Fi 802.1X hitelesítése alapértelmezés szerint engedélyezve van, és nem igényel kézi konfigurálást.
| 1 |
Nyissa meg a beállításokat |
| 2 |
Ha a rendszer kéri, adja meg a jelszót a Beállítások menü eléréséhez. A jelszót a rendszergazdától szerezheti be. |
| 3 |
Válassza a Rendszergazda beállítások . |
| 4 |
Jelölje ki az Eszközhitelesítés elemet , és nyomja meg a Be gombot. |
802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a Cisco Unified Communications Manager Administration
Kövesse az alábbi lépéseket a vezetékes hálózatok 802.1X hitelesítésének engedélyezéséhez a Cisco Unified CM. Ne feledje, hogy a Wi-Fi 802.1X hitelesítése alapértelmezés szerint engedélyezve van, és nem igényel kézi konfigurálást.
A tranzakció állapotát és a biztonsági beállításokat a telefon képernyőjének menüjében tekintheti meg. További információt a telefon Biztonsági beállítások menüje című témakörben talál.
| 1 |
A Cisco Unified Communications Manager Administration mezőben válassza a Device > Phone lehetőséget. |
| 2 |
Keresse meg a beállítani kívánt telefont. |
| 3 |
Lépjen a Termékspecifikus konfigurációs elrendezés területre. |
| 4 |
Válassza az Engedélyezve lehetőséget a 802.1x hitelesítés legördülő menüből. Ha Engedélyezve vagy Letiltva értékrevan állítva, a Cisco 9821-es vezeték nélküli telefon Eszközhitelesítés beállítása írásvédetté válik, megakadályozva, hogy a felhasználók módosítsák a 802.1X hitelesítési beállításokat. |
| 5 |
Válassza a Mentés lehetőséget. |
| 6 |
Válassza ki az Apply Config (Konfig. alkalmazása) elemet. |
Biztonsági beállítások menü a telefonon
A biztonsági beállításokkal kapcsolatos információkat a telefon menüjéből a Beállítások
alkalmazást, és válassza a Rendszergazdai beállítások . Az információk elérhetősége a szervezet hálózati beállításaitól függ.
|
Paraméterek |
Beállítások |
Alapértelmezett |
Leírás |
|---|---|---|---|
|
Készülékhitelesítés |
Be Off |
Off |
Engedélyezi vagy letiltja a 802.1X hitelesítést a telefonon. A paraméterbeállítás a telefon Out-Of-Box (OOB) regisztrációja után is megtartható. |
|
Tranzakció állapota | Letiltva |
Megjeleníti a 802.1X hitelesítés állapotát. Az állapot lehet (nem kizárólagosan):
| |
|
Protokoll | Nincs |
Megjeleníti a 802.1X hitelesítéshez használt EAP módszert. A protokoll lehet EAP-FAST vagy EAP-TLS. |
A TLS támogatott verzióinak beállítása
Beállíthatja az TLS minimális verzióját, amely az ügyfélhez, illetve a kiszolgálóhoz szükséges.
Alapértelmezés szerint a kiszolgáló és az ügyfél minimális TLS verziója egyaránt 1.2. A beállítás a következő funkciókra van hatással:
- HTTPS webelérési kapcsolat
- Bevezetés helyszíni telefonhoz
- HTTPS-szolgáltatások, például a címtárszolgáltatások
- Datagram Transport Layer Security (DTLS)
- Porthozzáférési entitás (PAE)
- Bővíthető hitelesítési protokoll-Transport Layer Security (EAP-TLS)
A Cisco IP Phones TLS 1.3 kompatibilitásáról további információt a TLS 1.3 kompatibilitási mátrix a Cisco együttműködési termékekhez című témakörben talál.
| 1 |
A Cisco Unified Communications Manager Administration részben szükség szerint hajtsa végre az alábbi műveletek egyikét:
A konfiguráció hierarchikus struktúrát követ:
|
| 2 |
Állítsa be a TLS ügyfél minimális verziója mezőt: A TLS 1.3 opció a Cisco Unified CM 15SU2 vagy újabb verzión érhető el.
|
| 3 |
Állítsa be a TLS Server Min Version mezőt:
|
| 4 |
Kattintson a Mentés gombra. |
| 5 |
Kattintson a Apply Config (Konfiguráció alkalmazása) gombra. |
| 6 |
Indítsa újra a telefonokat. |
TURN ki a kihangosítót és a fejhallgatót a Cisco vezeték nélküli 9821-es telefonon
Lehetősége van arra, hogy véglegesen TURN kikapcsolja a kihangosítót és a fejhallgatót a Cisco Wireless Phone 9821 telefonon a felhasználó számára. Ezeknek a hangkimeneteknek a kikapcsolása biztosítja, hogy a beszélgetéseket a közelben lévők ne hallják, ami fontos a megosztott vagy nyitott irodai környezetekben.
| 1 |
A Cisco Unified Communications Manager Administration helyen válassza a Device . |
| 2 |
Keresse meg a beállítani kívánt telefont. |
| 3 |
Lépjen a Termékspecifikus konfigurációs elrendezés területre. |
| 4 |
Az alábbi jelölőnégyzetek bejelölésével TURN ki a telefon képességeit:
Alapértelmezés szerint ezek a jelölőnégyzetek nincsenek bejelölve. |
| 5 |
Válassza a Mentés lehetőséget. |
| 6 |
Válassza ki az Apply Config (Konfig. alkalmazása) elemet. |
