Certificato dispositivo personalizzato (CDC) su 802.1X

Installare manualmente il certificato del dispositivo personalizzato

È possibile installare manualmente un certificato CDC (Custom Device Certificate) sul telefono caricandolo dalla pagina Web di amministrazione del telefono.

Operazioni preliminari

Prima di poter installare un certificato dispositivo personalizzato per un telefono, è necessario disporre di:

  • Un file di certificato (.p12 o .pfx) salvato sul tuo PC. Il file contiene il certificato e la chiave privata.
  • Password di estrazione del certificato. La password viene utilizzata per decrittografare il file del certificato.
1

Accedere alla pagina Web di amministrazione del telefono.

2

Selezionare Certificato.

3

Nella sezione Aggiungi certificato, fare clic su Sfoglia....

4

Selezionare il certificato sul PC.

5

Nel campo Password di estrazione, immettere la password di estrazione del certificato.

6

Fare clic su Carica.

Se il file e la password del certificato sono corretti, verrà visualizzato il messaggio "Certificato aggiunto.". In caso contrario, il caricamento non riesce e viene visualizzato un messaggio di errore che indica che non è possibile caricare il certificato.
7

Per controllare i dettagli del certificato installato, fare clic su Visualizza nella sezione Certificati esistenti.

8

Per rimuovere il certificato installato dal telefono, fare clic su Elimina nella sezione Certificati esistenti.

Una volta cliccato sul pulsante, l'operazione di rimozione inizia immediatamente senza conferma.

Se il certificato viene rimosso correttamente, verrà visualizzato il messaggio "Certificato eliminato".

Installa automaticamente il certificato del dispositivo personalizzato da SCEP

È possibile impostare i parametri SCEP (Simple Certificate Enrollment Protocol) in modo da installare automaticamente il certificato CDC (Custom Device Certificate), se non si desidera caricare manualmente il file del certificato o se tale file non è disponibile.

Quando i parametri SCEP sono configurati correttamente, il telefono invia richieste al server SCEP e il certificato CA viene convalidato dal dispositivo utilizzando l'impronta digitale definita.

Operazioni preliminari

Prima di poter eseguire un'installazione automatica di un certificato di dispositivo personalizzato per un telefono, è necessario disporre di:

  • Indirizzo server SCEP
  • Firma digitale SHA-1 o SHA-256 oppure certificato CA principale per il server SCEP
1

Accedere alla pagina Web di amministrazione del telefono.

2

Selezionare Certificato.

3

Nella sezione SCEP Configuration 1, impostare i parametri come descritto nella tabella Parametri per la configurazione SCEP più avanti in questo documento.

4

Fare clic su Submit All Changes.

Parametri per la configurazione SCEP

La tabella seguente definisce la funzione e l'utilizzo dei parametri di configurazione SCEP nella sezione Configurazione 1 di SCEP nella scheda Certificato nell'interfaccia Web del telefono. Definisce inoltre la sintassi della stringa aggiunta nel file di configurazione del telefono (cfg.xml) per configurare un parametro.

Tabella 1. Parametri per la configurazione SCEP
ParametroDescrizione
Server

Indirizzo del server SCEP. Questo parametro è obbligatorio.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Nella pagina web del telefono, inserire l'indirizzo del server SCEP.

Valori validi: un URL o un indirizzo IP. Lo schema HTTPS non è supportato.

Impostazione predefinita: vuoto

Impronta digitale CA radice

Impronta digitale SHA256 o SHA1 della CA radice per la convalida durante il processo SCEP. Questo parametro è obbligatorio.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Nella pagina Web del telefono, inserisci un'impronta digitale valida.

Impostazione predefinita: vuoto

Password di verifica

La password di verifica per l'autorizzazione della Certificate Authority (CA) sul telefono durante la registrazione di un certificato tramite SCEP. Questo parametro è opzionale.

Il comportamento della password di verifica varia a seconda dell'ambiente SCEP effettivo.

  • Se il telefono ottiene un certificato da una Cisco RA che comunica con CA, la password di verifica non è supportata su CA. In questo caso, Cisco RA utilizza MIC/SUDI del telefono per l'autenticazione per accedere alla CA. Il telefono utilizza MIC/SUDI sia per la registrazione iniziale che per il rinnovo del certificato.
  • Se il telefono ottiene un certificato comunicando direttamente con CA, la password di verifica è supportata su CA. Se configurato, il certificato verrà utilizzato solo per l'iscrizione iniziale. Per il rinnovo del certificato, verrà utilizzato il certificato installato.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    La password è mascherata nel file di configurazione.

  • Nella pagina Web del telefono, inserisci la password di verifica.

Impostazione predefinita: vuoto

Configurazione dei parametri SCEP tramite l'opzione DHCP 43

Oltre alla registrazione del certificato SCEP mediante le configurazioni manuali sulla pagina Web del telefono, è possibile utilizzare anche l'opzione DHCP 43 per popolare i parametri da un server DHCP. L'opzione DHCP 43 è preconfigurata con i parametri SCEP, in seguito il telefono può recuperare i parametri dal server DHCP per eseguire la registrazione del certificato SCEP.

  • La configurazione dei parametri SCEP tramite l'opzione DHCP 43 è disponibile solo per il telefono in cui viene eseguito un ripristino delle impostazioni di fabbrica.
  • I telefoni non devono essere posizionati nella rete che supporta sia l'opzione 43 che il provisioning remoto (ad esempio, opzioni 66,160,159,150 o cloud provisioning). In caso contrario, i telefoni potrebbero non ottenere le configurazioni dell'opzione 43.

Per registrare un certificato SCEP configurando i parametri SCEP nell'opzione DHCP 43, effettuare le seguenti operazioni:

  1. Preparare un ambiente SCEP.

    Per informazioni sulla configurazione dell'ambiente SCEP, consultare la documentazione del server SCEP.

  2. Impostare l'opzione DHCP 43 (definita in 8.4 Informazioni specifiche del fornitore, RFC 2132).

    Le sottoopzioni (10-15) sono riservate al metodo:

    Parametro nella pagina web del telefonoOpzione secondariaTipoLunghezza (byte)Obbligatorio
    Modalità FIPS10booleano1No*
    Server11stringa208 - lunghezza (Password di verifica)
    Impronta digitale CA radice12binario20 o 32
    Password di verifica13stringa208 - lunghezza (Server)No*
    Abilitazione dell'autenticazione 802.1X14booleano1No
    Selezione certificato15Senza segno a 8 bit1No

    Quando si utilizza l'opzione DHCP 43, notare le seguenti caratteristiche del metodo:

    • Le opzioni secondarie (10-15) sono riservate al certificato CDC (Custom Device Certificate).
    • La lunghezza massima dell'opzione DHCP 43 è 255 byte.
    • La lunghezza massima di Server + Challenge Password deve essere inferiore a 208 byte.
    • Il valore della modalità FIPS deve essere coerente con la configurazione di provisioning dell'onboarding. In caso contrario, il telefono non riesce a recuperare il certificato installato in precedenza dopo l'onboarding. Nello specifico,
      • Se il telefono verrà registrato in un ambiente in cui la modalità FIPS è disabilitata, non è necessario configurare il parametro Modalità FIPS nell'opzione DHCP 43. Per impostazione predefinita, la modalità FIPS è disabilitata.
      • Se il telefono verrà registrato in un ambiente in cui è abilitata la modalità FIPS, è necessario abilitare la modalità FIPS nell'opzione DHCP 43. Per informazioni dettagliate, vedere Abilitazione della modalità FIPS.
    • La password nell'opzione 43 è in testo non crittografato.

      Se la password di verifica è vuota, il telefono utilizza MIC/SUDI per la registrazione iniziale e il rinnovo del certificato. Se la password di verifica è configurata, viene utilizzata solo per la registrazione iniziale e il certificato installato verrà utilizzato per il rinnovo del certificato.

    • Le opzioni Abilita autenticazione 802.1X e Selezione certificato vengono utilizzate solo per i telefoni in rete cablata.
    • L'opzione DHCP 60 (Vendor Class Identifier) viene utilizzata per identificare il modello del dispositivo.

    Nella tabella seguente viene fornito un esempio di opzione DHCP 43 (sottoopzioni 10-15):

    Sottoopzione decimale/esadecimaleLunghezza valore (byte) decimale/esadecimaleValoreValore esadecimale
    10/0a1/011 (0: disabilitato; 1: abilitato)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: No; 1: Sì)01
    15/0f1/011 (0: Installato dal produttore; 1: Con installazione personalizzata) 01

    Riepilogo dei valori dei parametri:

    • Modalità FIPS = Abilitata

    • Server = http://10.79.57.91

    • Impronta digitale CA radice = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Password di verifica = D233CCF9B9952A15

    • Abilitazione dell'autenticazione 802.1X =

    • Selezione certificato = Con installazione personalizzata

    La sintassi del valore esadecimale finale è: {<suboption><length><value>}...

    In base ai valori dei parametri precedenti, il valore esadecimale finale è il seguente:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Configurare l'opzione DHCP 43 su un server DHCP.

    Questo passaggio fornisce un esempio delle configurazioni dell'opzione DHCP 43 su Cisco Network Registrar.

    1. Aggiungere il set di definizioni delle opzioni DHCP.

      La stringa dell'opzione del fornitore è il nome del modello dei telefoni IP. Il valore valido è: DP-9841, DP-9851, DP-9861, DP-9871 o CP-8875.

    2. Aggiungere l'opzione DHCP 43 e le opzioni secondarie al set di definizioni delle opzioni DHCP.

      Esempio:

      Screenshot delle definizioni dell'opzione DHCP 43 nel Registro di rete Cisco

    3. Aggiungere le opzioni 43 al criterio DHCP e impostare il valore come segue:

      Esempio:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Verificare le impostazioni. È possibile utilizzare Wireshark per acquisire una traccia del traffico di rete tra il telefono e il servizio.
  4. Eseguire un ripristino delle impostazioni di fabbrica per il telefono.

    Dopo il ripristino del telefono, i parametri Server, Impronta digitale CA radice e Password di verifica verranno compilati automaticamente. Questi parametri si trovano nella sezione SCEP Configuration 1 da Certificate > Custom nella pagina Web di amministrazione del telefono.

    Per controllare i dettagli del certificato installato, fare clic su Visualizza nella sezione Certificati esistenti.

    Per verificare lo stato di installazione del certificato, selezionare Certificato > Stato certificato personalizzato. Lo stato di download 1 mostra il risultato più recente. Se si verifica un problema durante la registrazione del certificato, lo stato del download può mostrare il motivo del problema ai fini della risoluzione dei problemi.

    Se l'autenticazione della password di verifica non riesce, agli utenti verrà richiesto di immettere la password sullo schermo del telefono.
  5. (Opzionale): per rimuovere il certificato installato dal telefono, fare clic su Elimina nella sezione Certificati esistenti.
    Dopo aver fatto clic sul pulsante, l'operazione di rimozione viene avviata immediatamente senza richiedere conferma.

Rinnovo del certificato da parte di SCEP

Il certificato del dispositivo può essere aggiornato automaticamente dal processo SCEP.

  • Il telefono controlla se il certificato scadrà tra 15 giorni ogni 4 ore. In tal caso, il telefono avvia automaticamente il processo di rinnovo del certificato.
  • Se la password di verifica è vuota, il telefono utilizza MIC/SUDI sia per l'iscrizione iniziale che per il rinnovo del certificato. Se la password di verifica è configurata, viene utilizzata solo per la registrazione iniziale, mentre il certificato esistente/installato viene utilizzato per il rinnovo del certificato.
  • Il telefono non rimuove il certificato del dispositivo precedente finché non recupera quello nuovo.
  • Se il rinnovo del certificato non riesce perché il certificato del dispositivo o la CA scade, il telefono attiva automaticamente l'iscrizione iniziale. Nel frattempo, se l'autenticazione della password di verifica non riesce, sullo schermo del telefono viene visualizzata una schermata di immissione della password e agli utenti viene richiesto di immettere la password di verifica sul telefono.

Impostare la versione TLS minima per client e server

Per impostazione predefinita, la versione TLS minima per client e server è 1.2. Ciò significa che il client e il server accettano di stabilire connessioni con TLS 1.2 o superiore. La versione massima supportata di TLS per client e server è 1.3. Una volta configurata, verrà utilizzata la versione TLS minima per la negoziazione tra il client TLS e il server TLS.

È possibile impostare la versione minima di TLS rispettivamente per client e server, ad esempio 1.1, 1.2 o 1.3.

Operazioni preliminari

Assicurarsi che il server TLS supporti la versione minima TLS configurata. È possibile consultare l'amministratore del sistema di controllo delle chiamate.
1

Accedere alla pagina Web di amministrazione del telefono.

2

Selezionare Voce > Sistema.

3

Nella sezione Impostazioni di sicurezza, configurare il parametro TLS Client Min Version.

  • TLS 1.1: il client TLS supporta le versioni di TLS dalla 1.1 alla 1.3.

    Se la versione TLS nel server è inferiore alla 1.1, non è possibile stabilire la connessione.

  • TLS 1.2 (predefinito): il client TLS supporta TLS 1.2 e 1.3.

    Se la versione TLS nel server è inferiore a 1.2, ad esempio 1.1, non è possibile stabilire la connessione.

  • TLS 1.3: il client TLS supporta solo TLS 1.3.

    Se la versione TLS nel server è inferiore a 1.3, ad esempio 1.2 o 1.1, non è possibile stabilire la connessione.

    Se si desidera impostare il parametro "TLS Client Min Version" su "TLS 1.3", assicurarsi che il lato server supporti TLS 1.3. Se il lato server non supporta TLS 1.3, ciò potrebbe causare problemi critici. Ad esempio, le operazioni di provisioning non possono essere eseguite sui telefoni.

È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Valori consentiti: TLS 1.1, TLS1.2 e TLS 1.3.

Impostazione predefinita: TLS 1.2

4

Nella sezione Impostazioni di sicurezza, configurare il parametro TLS Server Min Version.

Webex Calling non supporta TLS 1.1.
  • TLS 1.1: il server TLS supporta le versioni di TLS dalla 1.1 alla 1.3.

    Se la versione TLS nel client è inferiore alla 1.1, non è possibile stabilire la connessione.

  • TLS 1.2 (predefinito): il server TLS supporta TLS 1.2 e 1.3.

    Se la versione TLS nel client è inferiore alla 1.2, ad esempio 1.1, non è possibile stabilire la connessione.

  • TLS 1.3: il server TLS supporta solo TLS 1.3.

    Se la versione TLS nel client è inferiore a 1.3, ad esempio 1.2 o 1.1, non è possibile stabilire la connessione.

È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Valori consentiti: TLS 1.1, TLS1.2 e TLS 1.3.

Impostazione predefinita: TLS 1.2

5

Fare clic su Submit All Changes.

Abilitazione della modalità FIPS

È possibile rendere un telefono conforme agli standard FIPS (Federal Information Processing Standard).

L'insieme di standard FIPS definisce l'elaborazione dei documenti e gli algoritmi di crittografia e include altri standard IT destinati all'uso in governi non militari e di appaltatori e fornitori governativi che collaborano con le agenzie. CiscoSSL FOM (FIPS Object Module) è un componente software accuratamente definito e progettato per la compatibilità con la libreria CiscoSSL, in modo che i prodotti che utilizzano la libreria e l'API CiscoSSL possano essere convertiti per utilizzare la crittografia convalidata FIPS 140-2 con il minimo sforzo.

1

Accedere alla pagina Web di amministrazione del telefono.

2

Selezionare Voce > Sistema.

3

Nella sezione Impostazioni di protezione scegliere o No dal parametro Modalità FIPS.

4

Fare clic su Submit All Changes.

Quando si Abilita FIPS, le funzioni riportate di seguito funzionano perfettamente sul telefono:
  • Autenticazione immagine
  • Archiviazione sicura
  • Crittografia del file di configurazione
  • TLS:
    • HTTP
    • Caricamento PRT
    • Aggiornamento del firmware
    • Risincronizzazione del profilo
    • Servizio di onboarding
    • Onboarding di Webex
    • SIP su TLS
    • 802.1x (cablato)
  • Digest SIP (RFC 8760)
  • SRTP
  • Registri chiamate Webex e directory Webex
  • Un solo pulsante da premere (OBTP)

Rimozione manuale di un certificato di sicurezza

Se il protocollo SCEP (Simple Certificate Enrollment Protocol) non è disponibile, è possibile rimuovere manualmente un certificato utente dal telefono.

1

Dalla pagina Web di amministrazione del telefono, selezionare Certificati.

2

Individuare il certificato nella pagina Certificati.

3

Fare clic su Elimina.

4

Una volta completata la procedura di eliminazione, riavviare il telefono.

Impostare le password utente e amministratore

Dopo che il telefono è stato registrato su un sistema di controllo delle chiamate la prima volta o si esegue un ripristino delle impostazioni di fabbrica sul telefono, è necessario impostare le password utente e amministratore per migliorare la sicurezza del telefono. Dopo aver impostato le password, è possibile accedere all'interfaccia web del telefono.

Per impostazione predefinita, le password utente e amministratore sono vuote. Pertanto, è possibile trovare il problema "Nessuna password fornita" nella schermata del telefono Impostazioni > Problemi e diagnostica > Problemi .

1

Accedere alla pagina Web di amministrazione del telefono

2

Selezionare Voce > Sistema.

3

(Opzionale) Nella sezione Configurazione di sistema impostare il parametro Visualizza avvisi password su , quindi fare clic su Invia tutte le modifiche.

È inoltre possibile abilitare i parametri nel file di configurazione del telefono (cfg.xml).

<Display_Password_Warnings ua="na">Sì</Display_Password_Warnings>

Impostazione predefinita: Yes

Opzioni: Sì|No

Se il parametro è impostato su No, l'avviso relativo alla password non viene visualizzato sullo schermo del telefono.

4

Individuare il parametro User Password o Admin Password e fare clic su Change Password accanto al parametro.

5

Immettere la password utente corrente nel campo Vecchia password.

Se non si dispone di una password, lasciare il campo vuoto. Il valore predefinito è vuoto.
6

Immettere una nuova password nel campo Nuova password.

Regole per password valide:

  • La password deve contenere da 8 a 127 caratteri.
  • Una combinazione (3/4) di lettera maiuscola, lettera minuscola, numero e carattere speciale.
  • Lo spazio non è consentito.
Se la nuova password non soddisfa i requisiti, l'impostazione verrà negata.
7

Fare clic su Submit.

Nella pagina Web viene visualizzato il messaggio La password è stata cambiata. La pagina Web si aggiornerà dopo alcuni secondi.

Dopo avere impostato la password utente in questo campo, nel file XML di configurazione del telefono (cfg.xml) viene visualizzato il seguente parametro:

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Autenticazione 802.1X

Il telefono IP Cisco supporta l'autenticazione 802.1X.

I telefoni IP Cisco e gli switch Cisco Catalyst generalmente utilizzano il protocollo CDP (Cisco Discovery Protocol) per l'identificazione reciproca e per l'individuazione di parametri come l'allocazione VLAN e i requisiti di alimentazione in linea. Il protocollo CDP non identifica le workstation collegate in locale. I telefoni IP Cisco sono dotati di un meccanismo EAPOL pass-through. Questo meccanismo consente alla postazione di lavoro collegata al telefono IP Cisco di trasmettere i messaggi EAPOL all'autenticatore 802.1X sullo switch LAN. Il meccanismo pass-through garantisce che il telefono IP non agisca come switch LAN per l'autenticazione dell'endpoint dei dati prima di accedere alla rete.

I telefoni IP Cisco sono dotati inoltre di un meccanismo di disconnessione EAPOL proxy. Se il PC collegato in locale viene disconnesso dal telefono IP, lo switch LAN non rileva l'errore del collegamento fisico perché il collegamento tra lo switch LAN e il telefono IP viene mantenuto. Per evitare di compromettere l'integrità della rete, il telefono IP invia un messaggio di disconnessione EAPOL allo switch per conto del PC downstream, che attiva lo switch LAN allo scopo di cancellare la voce di autenticazione relativa al PC downstream.

Il supporto dell'autenticazione 802.1X richiede diversi componenti:

  • Telefono IP Cisco: il telefono avvia la richiesta di accesso alla rete. I telefoni IP Cisco sono dotati di un richiedente 802.1X. Tale richiedente consente agli amministratori di rete di controllare la connettività dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella versione corrente del richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST e EAP-TLS.

  • Server di autenticazione: il server di autenticazione e lo switch devono essere entrambi configurati con un segreto condiviso che autentica il telefono.

  • Switch: lo switch deve supportare 802.1X per poter agire come autenticatore e trasmettere i messaggi tra il telefono e il server di autenticazione. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.

Per configurare l'autenticazione 802.1X, è necessario effettuare i passaggi seguenti.

  • Configurare gli altri componenti prima di abilitare l'autenticazione 802.1X sul telefono.

  • Configurare la porta del PC: lo standard 802.1X non prende in considerazione le reti VLAN e pertanto è consigliabile autenticare un solo dispositivo su una porta dello switch specifica. Tuttavia, alcuni switch supportano l'autenticazione multidominio. In base alla configurazione dello switch, è possibile o meno collegare un PC alla porta PC del telefono.

    • Abilitato: se si sta utilizzando uno switch in grado di supportare l'autenticazione multidominio, è possibile abilitare la porta del PC e connettervi il PC. In questo caso, i telefoni IP Cisco supportano la disconnessione EAPOL del proxy per monitorare gli scambi di autenticazione tra lo switch e il PC collegato.

      Per ulteriori informazioni sul supporto di IEEE 802.1X sugli switch Cisco Catalyst, consultare le guide di configurazione dello switch Cisco Catalyst all'indirizzo:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html.

    • Disabilitato: se lo switch non supporta più dispositivi conformi allo standard 802.1X sulla stessa porta, è consigliabile disabilitare la porta del PC quando l'autenticazione 802.1X è abilitata. Se questa porta non viene disabilitata e successivamente si tenta di collegarvi un PC, lo switch nega l'accesso alla rete sia al telefono sia al PC.

  • Configura rete VLAN vocale: dal momento che lo standard 802.1X non prende in considerazione le reti VLAN, è consigliabile configurare questa impostazione in base al tipo di supporto dello switch in uso.
    • Abilitato: se si sta utilizzando uno switch in grado di supportare l'autenticazione multidominio, è possibile continuare a utilizzare la VLAN vocale.
    • Disabilitato: se lo switch non supporta l'autenticazione multidominio, disabilitare la VLAN vocale e valutare di assegnare la porta alla rete VLAN nativa.
  • (Solo per Cisco Desk Phone serie 9800)

    Cisco Desk Phone serie 9800 ha un prefisso nel PID diverso da quello degli altri telefoni Cisco. Per consentire al telefono di superare l'autenticazione 802.1X, impostare il raggio· Parametro User-Name per includere il Cisco Desk Phone serie 9800.

    Ad esempio, il PID del telefono 9841 è DP-9841; è possibile impostare Radius· Nome utente per iniziare con DP o Contiene DP. È possibile impostarlo in entrambe le sezioni seguenti:

    • Politica > Condizioni > Condizioni della biblioteca

    • Criteri > Set di criteri> Criteri di autorizzazione> Regola di autorizzazione 1

Abilitazione dell'autenticazione 802.1X

Quando l'autenticazione 802.1X è abilitata, il telefono utilizza l'autenticazione 802.1X per richiedere l'accesso alla rete. Quando l'autenticazione 802.1X è disabilitata, il telefono utilizza Cisco Discovery Protocol (CDP) per acquisire VLAN e accesso alla rete. È inoltre possibile visualizzare lo stato della transazione e modificarlo nel menu dello schermo del telefono.

Quando l'autenticazione 802.1X è abilitata, è anche possibile selezionare il certificato del dispositivo (MIC/SUDI o personalizzato) per la registrazione iniziale e il rinnovo del certificato. In genere, MIC è per Cisco Video Phone 8875, SUDI è per Cisco Desk Phone serie 9800. CDC può essere utilizzato per l'autenticazione solo in 802.1x.

1

Per abilitare l'autenticazione 802.1X, eseguire una delle azioni riportate di seguito.

  • Nell'interfaccia Web del telefono, selezionare Voice > System e impostare il parametro Abilita autenticazione 802.1X su . Fare clic su Submit All Changes.
  • Nel file di configurazione (cfg.xml), immettere una stringa in questo formato:

    <Enable_802.1X_Authentication ua="rw">Sì</Enable_802.1X_Authentication>

    Valori validi: Yes|No

    Impostazione predefinita: No

  • Sul telefono, premere Impostazioni the Settings hard keye passare a Rete e servizi > Impostazioni di sicurezza>autenticazione 802.1X. Impostare il campo Autenticazione dispositivo su Attivato, quindi selezionare Applica.

    Per ulteriori informazioni sui parametri, vedere Parametri per le impostazioni proxy HTTP.

2

Selezionare un certificato (MIC o personalizzato) per l'autenticazione 802.1X nella pagina Web del telefono.

  • Per la rete cablata, selezionare Voice>System, scegliere un tipo di certificato dall'elenco a discesa Certificate Select nella sezione Autenticazione 802.1X.

    È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):

    <Certificate_Select ua="rw">Custom installed</Certificate_Select>

    Valori validi: Produzione installata|Installazione personalizzata

    Impostazione predefinita: produzione installata

  • Per la rete wireless, selezionare Voce > Sistema, scegliere un tipo di certificato dall'elenco a discesa Seleziona certificato nella sezione Profilo Wi-Fi 1.

    È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Custom installed</Wi-Fi_Certificate_Select_1_>

    Valori validi: Produzione installata|Installazione personalizzata

    Impostazione predefinita: produzione installata

Per informazioni su come selezionare un tipo di certificato sullo schermo del telefono, vedere Connettere il telefono a una rete Wi-Fi.

Parametri per l'autenticazione 802.1X

Parametri

Opzioni

Impostazione predefinita

Descrizione

Autenticazione dispositivo

Attivato

Spento

Spento

Abilitare o disabilitare l'autenticazione 802.1X sul telefono.

L'impostazione dei parametri può essere mantenuta dopo la registrazione Out-Of-Box (OOB) del telefono.

Stato transazione

Disabilitato

Visualizza lo stato dell'autenticazione 802.1X. Lo stato può essere (non limitato a):

  • Connessione in corso: indica che la procedura di autenticazione è in corso.
  • Autenticato: indica che il telefono è autenticato.
  • Disabilitata: indica che l'autenticazione 802.1x è disabilitata sul telefono.

Protocollo

Nessuno

Visualizza il metodo EAP utilizzato per l'autenticazione 802.1X. Il protocollo può essere EAP-FAST o EAP-TLS.

Tipo di certificato utente

Installato dal produttore

Installazione personalizzata

Installato dal produttore

Scegliere il certificato per l'autenticazione 802.1X durante la registrazione iniziale e il rinnovo del certificato.

  • Installato dal produttore: vengono utilizzati i certificati MIC (Manufacturing Installed Certificate) e SUDI (Secure Unique Device Identifier).
  • Con installazione personalizzata: viene utilizzato il certificato CDC (Custom Device Certificate). Questo tipo di certificato può essere installato mediante caricamento manuale sulla pagina Web del telefono o installazione da un server SCEP (Simple Certificate Enrollment Protocol).

Questo parametro viene visualizzato sul telefono solo quando l'opzione Autenticazione dispositivo è abilitata.

Visualizzare le informazioni sulle impostazioni di sicurezza sul telefono

Tabella 2. Parametri per le impostazioni di sicurezza

Parametri

Descrizione

Autenticazione 802.1XAbilita o disabilita l'autenticazione IEEE 802.1X.

Per informazioni dettagliate, vedere Abilitare l'autenticazione 802.1X.

Compatibilità con le versioni precedenti di WPA

Determina se la versione meno recente di WPA (Wi-Fi Protected Access) è compatibile sul telefono per la connessione a una rete wireless o a un punto di accesso (AP).

  • Se abilitato, il telefono può cercare e connettersi a reti wireless con tutte le versioni di WPA supportate, incluse WPA, WPA2 e WPA3. Inoltre, il telefono può cercare e connettersi ad AP che supportano solo la versione meno recente di WPA.
  • Se disabilitato (impostazione predefinita), il telefono può cercare e connettersi solo alle reti wireless e agli AP che supportano WPA2 e WPA3.

Questa funzione è disponibile solo sui telefoni 9861/9871/8875.

Operazioni preliminari

È possibile visualizzare le informazioni sulle impostazioni di sicurezza nel menu del telefono. La disponibilità delle informazioni dipende dalle impostazioni di rete dell'organizzazione.

1

Premere Impostazioni.the Settings key.

2

Passare a Impostazioni di rete e servizio > Sicurezza.

3

In Impostazioni di protezione, visualizzare le informazioni di sicurezza.

Configurare un server proxy

È possibile configurare il telefono per l'utilizzo di un server proxy per migliorare la sicurezza. In genere, un server proxy HTTP può fornire i seguenti servizi:

  • Instradamento del traffico tra reti interne ed esterne
  • Filtraggio, monitoraggio o registrazione del traffico
  • Memorizzazione delle risposte nella cache per migliorare le prestazioni

Inoltre, il server proxy HTTP può fungere da firewall tra il telefono e Internet. Dopo una corretta configurazione, il telefono si connette a Internet attraverso il server proxy che protegge il telefono da attacchi informatici.

Se configurata, la funzionalità proxy HTTP si applica a tutte le applicazioni che utilizzano il protocollo HTTP. Ad esempio:

  • GDS (onboarding tramite codice di attivazione)
  • Attivazione del dispositivo EDOS
  • Onboarding su Webex Cloud (tramite EDOS o GDS)
  • CA personalizzata
  • Provisioning
  • Aggiornamento del firmware
  • Report sullo stato del telefono
  • Caricamento PRT
  • Servizi XSI
  • Servizi Webex

  • Attualmente, la funzione supporta solo IPv4.
  • Le impostazioni proxy HTTP possono essere conservate dopo la registrazione Out-Of-Box (OOB) del telefono.

1

Accedere alla pagina Web di amministrazione del telefono.

2

Selezionare Voce > Sistema.

3

Nella sezione Impostazioni proxy HTTP, selezionare una modalità proxy dall'elenco a discesa Modalità proxy e configurare i parametri correlati.

Per ulteriori informazioni sui parametri e sui parametri obbligatori per ogni modalità proxy, vedere Parametri per le impostazioni proxy HTTP.

4

Fare clic su Submit All Changes.

Parametri per le impostazioni proxy HTTP

La tabella seguente definisce la funzione e l'utilizzo dei parametri proxy HTTP nella sezione Impostazioni proxy HTTP nella scheda Voice > System dell'interfaccia Web del telefono. Definisce inoltre la sintassi della stringa aggiunta nel file di configurazione del telefono con codice XML (cfg.xml) per la configurazione di un parametro.

ParametroDescrizione
Modalità proxySpecifica la modalità proxy HTTP utilizzata dal telefono o disabilita la funzione proxy HTTP.
  • Auto

    Il telefono recupera automaticamente un file PAC (Impostazioni proxy HTTP) per selezionare un server proxy. In questa modalità, è possibile determinare se utilizzare il protocollo WPAD (Web Proxy Auto Discovery) per recuperare un file PAC o immettere manualmente un URL valido del file PAC.

    Per informazioni dettagliate sui parametri, vedere i parametri "Web Proxy Auto Discovery" e "PAC URL" in questa tabella.

  • Manual

    È necessario specificare manualmente un server (nome host o indirizzo IP) e una porta di un server proxy.

    Per informazioni dettagliate sui parametri, vedere Host proxy e Porta proxy.

  • Spento

    Viene disabilitata la funzione proxy HTTP sul telefono.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Proxy_Mode ua="rw">Off</Proxy_Mode>

  • Nell'interfaccia Web del telefono selezionare una modalità proxy o disabilitare la funzione.

Valori consentiti: Auto, Manuale e No

Impostazione predefinita: Off

Rilevamento automatico del proxy WebDetermina se il telefono utilizza il protocollo WPAD (Web Proxy Auto Discovery) per recuperare un file PAC.

Il protocollo WPAD utilizza protocolli di rete DHCP o DNS o entrambi per individuare automaticamente un file PAC (Proxy Auto Configuration). Il file PAC viene utilizzato per selezionare un server proxy per un determinato URL. Questo file può essere memorizzato in locale o in rete.

  • La configurazione dei parametri avviene quando Modalità proxy è impostato su Auto.
  • Se il parametro è impostato su No, è necessario specificare un URL PAC.

    Per informazioni dettagliate sul parametro, vedere il parametro "PAC URL" in questa tabella.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Web_Proxy_Auto_Discovery ua="rw">Sì</Web_Proxy_Auto_Discovery>

  • Nell'interfaccia Web del telefono, selezionare o No in base alle esigenze.

Valori consentiti: Yes e No

Impostazione predefinita: Yes

URL PACURL di un file PAC.

Ad esempio, http://proxy.department.branch.example.com

Sono supportati i protocolli TFTP, HTTP e HTTPS

Se si imposta la modalità proxy su Auto e Individuazione automatica proxy Web su No, è necessario configurare questo parametro.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • Nell'interfaccia Web del telefono, immettere un URL valido che permetta di individuare un file PAC.

Impostazione predefinita: vuoto

Host proxyIndirizzo IP o nome host del server host proxy a cui il telefono deve accedere. Ad esempio:

proxy.example.com

Lo schema (http:// o https://) non è obbligatorio.

Se si imposta Modalità proxy su Manuale, è necessario configurare questo parametro.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • Nell'interfaccia Web del telefono immettere un indirizzo IP o il nome host del server proxy.

Impostazione predefinita: vuoto

Porta proxyNumero della porta del server host proxy.

Se si imposta Modalità proxy su Manuale, è necessario configurare questo parametro.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • Nell'interfaccia Web del telefono immettere una porta del server.

Impostazione predefinita: 3128

Autenticazione proxyDetermina se l'utente deve fornire le credenziali di autenticazione (nome utente e password) richieste dal server proxy. Questo parametro è configurato in base al comportamento effettivo del server proxy.

Se si imposta il parametro su , è necessario configurare Nome utente e Password.

Per informazioni dettagliate sui parametri, vedere i parametri "Nome utente" e "Password" in questa tabella.

La configurazione dei parametri avviene quando Modalità proxy è impostato su Manuale.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Proxy_Authentication ua="rw">No</Proxy_Authentication>

  • Nell'interfaccia Web del telefono, impostare questo campo o No in base alle esigenze.

Valori consentiti: Yes e No

Impostazione predefinita: No

Nome utenteNome utente per un utente con credenziali sul server proxy.

Se la modalità proxy è impostata su Manuale e l'autenticazione proxy è impostata su , è necessario configurare il parametro.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Proxy_Username ua="rw">esempio</Proxy_Username>

  • Nell'interfaccia Web del telefono, immettere il nome utente.

Impostazione predefinita: vuoto

PasswordPassword del nome utente specificato per l'autenticazione proxy.

Se la modalità proxy è impostata su Manuale e l'autenticazione proxy è impostata su , è necessario configurare il parametro.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Proxy_Password ua="rw">Esempio</Proxy_Password>

  • Nell'interfaccia Web del telefono immettere una password valida per l'autenticazione proxy dell'utente.

Impostazione predefinita: vuoto

Tabella 3. Parametri obbligatori per ogni modalità proxy
Modalità proxyParametri obbligatoriDescrizione
SpentoN/DIl proxy HTTP è disabilitato sul telefono.
ManualHost proxy

Porta proxy

Autenticazione proxy: Sì

Nome utente

Password

Specificare manualmente un server proxy (un nome host o un indirizzo IP) e una porta proxy. Se il server proxy richiede l'autenticazione, è necessario immettere ulteriormente il nome utente e la password.
Host proxy

Porta proxy

Autenticazione proxy: No

Specificare manualmente un server proxy. Il server proxy non richiede credenziali di autenticazione.
AutoRilevamento automatico proxy Web: No

URL PAC

Immettere un URL PAC valido per recuperare il file PAC.
Rilevamento automatico del proxy Web: Sì

Utilizza il protocollo WPAD per recuperare automaticamente un file PAC.

Abilita modalità avviata dal client per le negoziazioni di sicurezza del piano multimediale

Per proteggere le sessioni multimediali, è possibile configurare il telefono per avviare le negoziazioni della sicurezza del piano multimediale con il server. Il meccanismo di sicurezza segue gli standard indicati in RFC 3329 e la sua bozza di estensione Security Mechanism Names for Media (vedere https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Il trasporto delle negoziazioni tra il telefono e il server può utilizzare il protocollo SIP su UDP, TCP e TLS. È possibile limitare la negoziazione della sicurezza del piano multimediale solo quando il protocollo di trasporto di segnalazione è TLS.

Tabella 4. Parametri per la negoziazione della sicurezza del piano multimediale
ParametroDescrizione

MediaSec Request

Specifica se il telefono avvia le negoziazioni della sicurezza del piano multimediale con il server.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <MediaSec_Request_1_ ua="na">Sì</MediaSec_Request_1_>
  • Nell'interfaccia Web del telefono, impostare questo campo su Yes o No in base alle esigenze.

Valori consentiti: Yes|No

  • Yes: modalità avviata dal client. Il telefono avvia le negoziazioni della sicurezza del piano multimediale.
  • No: modalità avviata dal server. Il server avvia le negoziazioni della sicurezza del piano multimediale. Il telefono non avvia le negoziazioni, ma può gestire le richieste di negoziazione dal server per stabilire chiamate protette.

Impostazione predefinita: No

MediaSec Over TLS Only

Specifica il protocollo di trasporto di segnalazione su cui viene applicata la negoziazione della sicurezza del piano multimediale.

Prima di impostare questo campo su Yes, verificare che il protocollo di trasporto di segnalazione sia TLS.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • Nell'interfaccia Web del telefono, impostare questo campo su Yes o No in base alle esigenze.

Valori consentiti: Yes|No

  • Yes: il telefono avvia o gestisce le negoziazioni della sicurezza del piano multimediale solo quando il protocollo di trasporto per la segnalazione è TLS.
  • No: il telefono avvia e gestisce le negoziazioni della sicurezza del piano multimediale indipendentemente dal protocollo di trasporto per la segnalazione.

Impostazione predefinita: No

1

Accedere alla pagina Web di amministrazione del telefono.

2

Selezionare Voce > Ext(n) (Int. n.).

3

Nella sezione Impostazioni SIP, impostare i campi MediaSec Request e MediaSec Over TLS Only come definito nella tabella precedente.

4

Fare clic su Submit All Changes.

Protezione WLAN

Dal momento che tutti i dispositivi WLAN all'interno della copertura possono ricevere tutto il traffico WLAN, la protezione delle comunicazioni vocali sulle reti WLAN assume un'importanza critica. Per garantire che gli intrusi non manipolino né intercettino il traffico vocale, l'architettura Cisco SAFE Security supporta il telefono. Per ulteriori informazioni sulla protezione sulle reti, consultare http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La soluzione di telefonia Cisco Wireless IP fornisce la sicurezza della rete wireless che impedisce accessi non autorizzati e comunicazioni compromesse utilizzando i seguenti metodi di autenticazione supportati dal telefono:

  • Autenticazione aperta: tutti i dispositivi wireless possono richiedere l'autenticazione in un sistema aperto. L'AP che riceve la richiesta può concedere l'autenticazione a tutti i richiedenti o soltanto ai richiedenti presenti sull'elenco degli utenti. La comunicazione tra il dispositivo wireless e il punto di accesso (AP) potrebbe non essere crittografata.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: questa architettura di sicurezza client-server crittografa EAP transazioni all'interno di un tunnel Transport Level Security (TLS) tra il punto di accesso e il server RADIUS, ad esempio Identity Services Engine (ISE).

    Il tunnel TLS utilizza le credenziali di accesso protetto (PAC, Protected Access Credential) per l'autenticazione tra il client (telefono) e il server RADIUS. Il server invia un ID di autorità (AID) al client (telefono) che a sua volta seleziona le credenziali PAC appropriate. Il client (telefono) restituisce una chiave PAC-Opaque al server RADIUS. Il server decrittografa la chiave PAC con la chiave primaria. In entrambi gli endpoint è adesso presente la chiave PAC ed è stato creato un tunnel TLS. EAP-FAST supporta il provisioning PAC automatico, ma occorre abilitarlo sul server RADIUS.

    In ISE, per impostazione predefinita, la PAC scade tra una settimana. Se sul telefono è presente una chiave PAC scaduta, l'autenticazione con il server RADIUS impiega più tempo perché il telefono deve ottenere una nuova chiave PAC. Per evitare ritardi nel provisioning della PAC, impostare il periodo di scadenza della PAC su 90 giorni o più sul server ISE o RADIUS.

  • Autenticazione EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): per EAP-TLS è necessario disporre di un certificato client per l'autenticazione e l'accesso alla rete. Per EAP-TLS wireless, il certificato client può essere MIC, LSC o certificato installato dall'utente.

  • Protected Extensible Authentication Protocol (PEAP): schema proprietario di Cisco di autenticazione reciproca basata su password tra il client (telefono) e il server RADIUS. Il telefono può utilizzare PEAP per l'autenticazione con la rete wireless. Sono supportati entrambi i metodi di autenticazione PEAP-MSCHAPV2 e PEAP-GTC.

  • Chiave precondivisa (PSK): il telefono supporta ASCII formato. È necessario utilizzare questo formato quando si imposta una chiave precondivisa WPA/WPA2/SAE:

    ASCII: stringa di caratteri ASCII con una lunghezza compresa tra 8 e 63 caratteri (0-9, lettere minuscole e maiuscole e caratteri speciali)

    Esempio: GREG123567@9ZX&W

Gli schemi di autenticazione riportati di seguito utilizzano il server RADIUS per la gestione delle chiavi di autenticazione:

  • WPA/WPA2/WPA3: utilizza le informazioni del server RADIUS per generare chiavi univoche per l'autenticazione. Dal momento che tali chiavi vengono generate sul server RADIUS centralizzato, il metodo WPA2/WPA3 fornisce più protezione rispetto alle chiavi WPA già condivise memorizzate sull'AP e sul telefono.

  • Roaming veloce protetto: utilizza le informazioni sul server RADIUS e sul server di dominio wireless (WDS) per la gestione e l'autenticazione delle chiavi. WDS crea una cache di credenziali di sicurezza per i dispositivi client abilitati FT per una riautenticazione rapida e sicura. Cisco Desk Phone 9861 e 9871 e Cisco Video Phone 8875 supportano 802.11r (FT). Sono supportati sia over the air che over the DS per consentire un roaming rapido e sicuro. Tuttavia, Cisco consiglia di utilizzare il metodo 802.11 r (FT).

Con WPA/WPA2/WPA3, le chiavi di crittografia non vengono inserite sul telefono, ma vengono derivate automaticamente tra l'access point e il telefono. Tuttavia, è necessario immettere su ciascun telefono il nome utente e la password EAP utilizzati per l'autenticazione.

Per garantire la sicurezza del traffico vocale, il telefono supporta TKIP e AES per la crittografia. Quando questi meccanismi vengono utilizzati per la crittografia, sia i pacchetti SIP di segnalazione che i pacchetti RTP (Real-Time Transport Protocol) vocali vengono crittografati tra l'access point e il telefono.

TKIP

WPA utilizza la crittografia TKIP che presenta diversi miglioramenti rispetto a WEP. La crittografia TKIP fornisce cifratura di chiave per ogni pacchetto e vettori di inizializzazione (IV) più lunghi che aumentano la protezione della crittografia. Inoltre, il controllo dell'integrità dei messaggi (MIC, Message Integrity Check) garantisce che i pacchetti crittografati non vengano alterati. La crittografia TKIP rimuove la prevedibilità delle chiavi WEP di cui si servono gli utenti non autorizzati per decifrare tali chiavi.

AES

Un metodo di crittografia utilizzato per l'autenticazione WPA2/WPA3. Questo National Standard di crittografia utilizza un algoritmo simmetrico con la stessa chiave per la crittografia e la decrittografia. Il metodo AES utilizza la crittografia CBC (Cipher Blocking Chain) a 128 bit, che supporta le dimensioni di chiave di minimo 128 bit, 192 bit e 256 bit. Il telefono supporta una dimensione della chiave di 256 bit.

Cisco Desk Phone 9861 e 9871 e Cisco Video Phone 8875 non supportano Cisco Key Integrity Protocol (CKIP) con CMIC.

Gli schemi di autenticazione e crittografia vengono impostati all'interno della LAN wireless. Le VLAN vengono configurate nella rete e sull'AP e specificano diverse combinazioni di autenticazione e crittografia. Un SSID effettua l'associazione con una VLAN e lo schema di autenticazione e crittografia specifico. Affinché i dispositivi client wireless vengano autenticati correttamente, è necessario configurare gli stessi SSID con i relativi schemi di autenticazione e crittografia sui punti di accesso e sul telefono.

Alcuni schemi di autenticazione richiedono tipi specifici di crittografia.

  • Quando si utilizza la chiave precondivisa WPA, la chiave precondivisa WPA2 o SAE, la chiave precondivisa deve essere impostata in modo statico sul telefono. Queste chiavi devono corrispondere a quelle presenti sull'AP.

  • Il telefono supporta la negoziazione EAP automatica per FAST o PEAP, ma non per TLS. Per la modalità EAP-TLS, è necessario specificarla.

Gli schemi di autenticazione e crittografia nella tabella seguente mostrano le opzioni di configurazione di rete per il telefono che corrispondono alla configurazione AP.

Tabella 5. Schemi di autenticazione e crittografia
Tipo FSRAutenticazioneGestione delle chiaviCrittografiaFrame di gestione protetto (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNo
802.11r (FT)WPA3

SAE

FT-SAE

AES
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AES

Configurare il profilo Wi-Fi

È possibile configurare un profilo Wi-Fi dalla pagina Web del telefono o dalle risincronizzazione del profilo del dispositivo remoto e quindi associare il profilo alle reti Wi-Fi disponibili. È possibile utilizzare questo profilo per connettersi a una rete Wi-Fi. Attualmente, è possibile configurare un solo profilo Wi-Fi.

Il profilo contiene i parametri necessari per connettere i telefoni al server tramite Wi-Fi. Quando si crea e si utilizza un profilo Wi-Fi, non è necessario configurare la rete wireless per i singoli telefoni.

Un profilo Wi-Fi consente di impedire o limitare le modifiche alla configurazione Wi-Fi del telefono da parte dell'utente.

Si consiglia di utilizzare un profilo sicuro con protocolli abilitati per la crittografia per proteggere chiavi e password quando si utilizza un profilo Wi-Fi.

Quando si configurano i telefoni per l'utilizzo del metodo di autenticazione EAP-FAST in modalità di sicurezza, gli utenti necessitano di credenziali individuali per connettersi a un punto di accesso.

1

Accedere alla pagina Web del telefono.

2

Selezionare Voce > Sistema.

3

Nella sezione Profilo Wi-Fi (n), impostare i parametri come descritto nella tabella seguente Parametri per il profilo Wi-Fi.

La configurazione del profilo Wi-Fi è disponibile anche per l'accesso utente.
4

Fare clic su Submit All Changes.

Parametri per il profilo Wi-Fi

La seguente tabella definisce la funzione e l'utilizzo di ogni parametro nella sezione Wi-Fi Profile(n)(n) nella scheda System della pagina Web del telefono. Definisce inoltre la sintassi della stringa aggiunta nel file di configurazione del telefono (cfg.xml) per configurare un parametro.

ParametroDescrizione
Nome di reteConsente di immettere un nome per il SSID che verrà visualizzato sul telefono. Più profili possono avere lo stesso nome di rete con diverse modalità di sicurezza (SMS).

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Nella pagina Web del telefono, immettere un nome per l'SSID.

Impostazione predefinita: vuoto

Modalità ProtezioneConsente di selezionare il metodo di autenticazione utilizzato per proteggere l'accesso alla rete Wi-Fi. A seconda del metodo scelto, viene visualizzato un campo password in cui è possibile fornire le credenziali necessarie per accedere a questa rete Wi-Fi.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opzioni disponibili: Auto|EAP-FAST|||PSK||Nessuno|EAP-PEAP|EAP-TLS -->

  • Nella pagina Web del telefono, selezionare uno dei metodi:
    • Auto
    • EAP-FAST
    • PSK
    • Nessuno
    • EAP-PEAP
    • EAP-TLS

Impostazione predefinita: Auto

ID utente Wi-FiConsente di immettere un ID utente per il profilo di rete.

Questo campo è disponibile quando si imposta la modalità di protezione su Auto, EAP-FAST o EAP-PEAP. È un campo obbligatorio e può contenere al massimo 32 caratteri alfanumerici.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Nella pagina Web del telefono, immettere un ID utente per il profilo di rete.

Impostazione predefinita: vuoto

Password Wi-FiConsente di immettere la password per l'ID utente Wi-Fi specificato.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Nella pagina Web del telefono, immettere una password per l'ID utente aggiunto.

Impostazione predefinita: vuoto

Banda di frequenzaConsente di selezionare la banda di frequenza del segnale wireless utilizzato nella WLAN.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Nella pagina Web del telefono, selezionare una delle opzioni:
    • Auto
    • 2,4 GHz
    • 5 GHz

Impostazione predefinita: Auto

Selezione certificatoConsente di selezionare un tipo di certificato per la registrazione iniziale e il rinnovo del certificato nella rete wireless. Questo processo è disponibile solo per l'autenticazione 802.1X.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Certificate_Select_1_ ua="rw">Produzione installata</Certificate_Select_1_>

  • Nella pagina Web del telefono, selezionare una delle opzioni:
    • Installato dal produttore
    • Installato su misura

Impostazione predefinita: Produzione installata

Controlla lo stato di sicurezza del dispositivo sul telefono

Il telefono controlla automaticamente lo stato di sicurezza del dispositivo. Se rileva potenziali minacce alla sicurezza sul telefono, il menu Problemi e diagnostica può mostrare i dettagli dei problemi. In base ai problemi segnalati, l'amministratore può eseguire operazioni per proteggere e rafforzare il telefono.

Lo stato di sicurezza del dispositivo è disponibile prima che il telefono venga registrato nel sistema di controllo delle chiamate (Webex Calling o BroadWorks).

Per visualizzare i dettagli dei problemi di sicurezza sul telefono, eseguire le operazioni seguenti:

1

Premere Impostazioni.Settings button

2

Selezionare Problemi e diagnostica > Problemi.

Attualmente, il report sulla sicurezza del dispositivo contiene i problemi seguenti:

  • Attendibilità del dispositivo
    • Autenticazione del dispositivo non riuscita
    • Hardware manomesso
  • Configurazione vulnerabile
    • Nessuna password fornita
    • SSH abilitato
    • Telnet abilitato
  • Evento di anomalia di rete rilevato
    • Tentativi eccessivi di login
  • Emissione del certificato
    • Il certificato CDC scadrà a breve

3

Contatta l'amministratore per assistenza e risoluzione dei problemi di sicurezza.