- Home
- /
- Articolo
Grazie per il feedback.
Sicurezza del telefono IP Cisco
In questo articolo
Feedback?Questo articolo della Guida è per Cisco Desk Phone serie 9800 e Cisco Video Phone 8875 registrati in Cisco BroadWorks.
Installa manualmente il certificato del dispositivo personalizzato
È possibile installare manualmente un certificato di dispositivo personalizzato (CDC) sul telefono caricando il certificato dalla pagina Web di amministrazione del telefono.
Operazioni preliminari
Prima di installare un certificato di dispositivo personalizzato per un telefono, è necessario disporre di:
- Un file di certificato (.p12 o .pfx) salvato sul PC. Il file contiene il certificato e la chiave privata.
- La password di estrazione del certificato. La password viene utilizzata per decrittografare il file del certificato.
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare Certificato. |
| 3 |
Nella sezione Aggiungi certificato, fare clic su Sfoglia.... |
| 4 |
Selezionare il certificato sul PC. |
| 5 |
Nel campo Estrai password, inserire la password di estrazione del certificato. |
| 6 |
Fai clic su Carica. Se il file del certificato e la password sono corretti, si riceverà il messaggio "Certificato aggiunto.". Altrimenti, il caricamento non riesce e viene visualizzato un messaggio di errore che indica che non è possibile caricare il certificato.
|
| 7 |
Per controllare i dettagli del certificato installato, fare clic su Visualizza nella sezione Certificati esistenti. |
| 8 |
Per rimuovere il certificato installato dal telefono, fare clic su Elimina nella sezione Certificati esistenti. Una volta fatto clic sul pulsante, l'operazione di rimozione inizia immediatamente senza una conferma.
Se il certificato viene rimosso correttamente, si riceverà il messaggio "Certificato eliminato". |
Installa automaticamente il certificato del dispositivo personalizzato da SCEP
È possibile impostare i parametri SCEP (Simple Certificate Enrollment Protocol) per installare automaticamente il certificato dispositivo personalizzato (CDC), se non si desidera caricare manualmente il file del certificato o se non si dispone del file del certificato.
Se i parametri SCEP sono configurati correttamente, il telefono invia le richieste al server SCEP e il certificato CA viene convalidato dal dispositivo utilizzando l'impronta digitale definita.
Operazioni preliminari
Prima di eseguire un'installazione automatica di un certificato di dispositivo personalizzato per un telefono, è necessario disporre di:
- Indirizzo server SCEP
- Impronta digitale SHA-1 o SHA-256 del certificato CA principale per il server SCEP
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare Certificato. |
| 3 |
Nella sezione Configurazione SCEP 1, impostare i parametri come descritto nella tabella seguente Parametri per la configurazione SCEP. |
| 4 |
Fare clic su Invia tutte le modifiche. |
Parametri per la configurazione SCEP
La seguente tabella definisce la funzione e l'utilizzo dei parametri di configurazione SCEP nella sezione Configurazione SCEP 1 della scheda Certificato nell'interfaccia Web del telefono. Definisce inoltre la sintassi della stringa aggiunta nel file di configurazione del telefono (cfg.xml) per la configurazione di un parametro.
| Parametri | Descrizione |
|---|---|
| Server |
Indirizzo del server SCEP. Questo parametro è obbligatorio. Effettua una delle seguenti operazioni:
Valori validi: URL o indirizzo IP. Lo schema HTTPS non è supportato. Predefinito Vuoto |
| Impronta digitale CA principale |
Impronta digitale SHA256 o SHA1 dell'autorità di certificazione principale per la convalida durante il processo SCEP. Questo parametro è obbligatorio. Effettua una delle seguenti operazioni:
Predefinito Vuoto |
| Modifica della password |
Password di verifica per l'autorizzazione dell'autorità certificativa (CA) sul telefono durante l'iscrizione del certificato tramite SCEP. Questo parametro è opzionale. In base all'ambiente SCEP effettivo, il comportamento della password di verifica varia.
Effettua una delle seguenti operazioni:
Predefinito Vuoto |
Configurazione dei parametri SCEP tramite l'opzione DHCP 43
Oltre alla registrazione del certificato SCEP mediante le configurazioni manuali nella pagina Web del telefono, è possibile utilizzare anche l'opzione DHCP 43 per inserire i parametri da un server DHCP. L'opzione DHCP 43 viene preconfigurata con i parametri SCEP; in seguito il telefono può recuperare i parametri dal server DHCP per eseguire la registrazione del certificato SCEP.
- La configurazione dei parametri SCEP tramite l'opzione DHCP 43 è disponibile solo per il telefono in cui viene eseguito il ripristino delle impostazioni di fabbrica.
- I telefoni non devono essere posizionati nella rete che supporta sia l'Opzione 43 che il provisioning remoto (ad esempio, Opzioni 66,160,159,150 o il provisioning su cloud). In caso contrario, i telefoni potrebbero non ottenere le configurazioni dell'opzione 43.
Per eseguire l'iscrizione di un certificato SCEP configurando i parametri SCEP nell'opzione DHCP 43, effettuare le seguenti operazioni:
- Preparare un ambiente SCEP.
Per informazioni sull'impostazione dell'ambiente SCEP, consultare la documentazione del server SCEP.
- Impostare l'opzione DHCP 43 (definita in 8.4 Informazioni specifiche del fornitore, RFC 2132).
Le opzioni secondarie (10-15) sono riservate per il metodo:
Parametro nella pagina Web del telefono Opzione secondaria Tipo Lunghezza (byte) Obbligatorio Modalità FIPS 10 Boolean 1 No* Server 11 stringa 208 - lunghezza (Challenge Password) Sì Impronta digitale CA principale 12 binario 20 o 32 Sì Modifica della password 13 stringa 208 - lunghezza (Server) No* Abilitazione dell'autenticazione 802.1X 14 Boolean 1 No Selezione certificato 15 8 bit non firmato 1 No Quando si utilizza l'opzione DHCP 43, notare le seguenti caratteristiche del metodo:
- Le opzioni secondarie (10-15) sono riservate per il certificato dispositivo personalizzato (CDC).
- La lunghezza massima dell'opzione DHCP 43 è 255 byte.
- La lunghezza massima di Server + Password di verifica deve essere inferiore a 208 byte.
- Il valore della Modalità FIPS deve essere coerente con la configurazione del provisioning di onboarding. In caso contrario, il telefono non riesce a recuperare il certificato installato in precedenza dopo l'onboarding. Nello specifico,
- Se il telefono viene registrato in un ambiente in cui la modalità FIPS è disabilitata, non è necessario configurare il parametro Modalità FIPS nell'opzione DHCP 43. Per impostazione predefinita, la modalità FIPS è disabilitata.
- Se il telefono viene registrato in un ambiente in cui è abilitata la modalità FIPS, è necessario abilitare la modalità FIPS nell'opzione DHCP 43. Per informazioni dettagliate, vedi Abilitazione della modalità FIPS.
- La password dell'opzione 43 è in chiaro.
Se la password di verifica è vuota, il telefono utilizza MIC/SUDI per l'iscrizione iniziale e il rinnovo del certificato. Se la password di verifica è configurata, viene utilizzata solo per la registrazione iniziale e il certificato installato verrà utilizzato per il rinnovo del certificato.
- Le funzioni Abilita autenticazione 802.1X e Selezione certificato vengono utilizzate solo per i telefoni nella rete cablata.
- L'opzione DHCP 60 (Vendor Class Identifier) viene utilizzata per identificare il modello di dispositivo.
Nella tabella riportata di seguito viene fornito un esempio dell'opzione DHCP 43 (sottoopzioni 10-15):
Virgola/esadecimale sottoopzione Lunghezza valore (byte) decimale/esadecimale Valore Valore esadecimale 10/0 bis 01/01 1 (0: Disabilitato; 1: Abilitato) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392 e35 e3931 12/0c 20/14 12040870 c5b755d73f5925285f8f5ff5d55af 12040870 c5b755d73f5925285f8f5ff5d55af 13/0d 16/10 d ccf9b9952a15 44323333434346394239393532413135 14/0 e 01/01 1 (0: N. 1: Sì* 01 15/0f 01/01 1 (0: produzione installata; 1: Installato personalizzato) 01 Riepilogo dei valori dei parametri:
-
Modalità FIPS = Abilitata
-
Server =
http://10.79.57.91 -
Impronta digitale CA radice =
12040870 C5B755D73F5925285F8F5FF5D55AF -
Password sfida = D <UNK> CCF9B9952A15
-
Abilitare l'autenticazione 802.1X = Sì
-
Selezione certificato = Personalizzato installato
La sintassi del valore esadecimale finale è:
{<suboption><length><value>}...In base ai valori dei parametri precedenti, il valore esadecimale finale è il seguente:
0a01010b12687474703a2f2f31302e37392 e35 e39310c1412040870 C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Configurare l'opzione DHCP 43 su un server DHCP.Questo passaggio fornisce un esempio delle configurazioni dell'opzione DHCP 43 nel registro di rete Cisco.
- Aggiungere il set di definizione dell'opzione DHCP.
Stringa opzione fornitore è il nome del modello dei telefoni IP. Il valore valido è: DP-9841, DP-9851, DP-9861, DP-9871 o CP-8875.
- Aggiungere l'opzione DHCP 43 e le opzioni secondarie al set di definizione dell'opzione DHCP.
Esempio:
- Aggiungere l'opzione 43 alla policy DHCP e impostare il valore come segue:
Esempio:
(10 1)(11 http://10.79.57.91)(12 12040870 C5B755D73F5925285F8F5FF5D55AF)(13 D <UNK> CCF9B9952A15)(14 1)(15 1) - Verificare le impostazioni È possibile utilizzare Wireshark per acquisire una traccia del traffico di rete tra il telefono e il servizio.
- Aggiungere il set di definizione dell'opzione DHCP.
- Eseguire un ripristino delle impostazioni di fabbrica del telefono.
Una volta resettato il telefono, i parametri Server, Impronta digitale CA radice e Password di verifica verranno compilati automaticamente. Questi parametri si trovano nella sezione Configurazione SCEP 1 di nella pagina Web di amministrazione del telefono.
Per controllare i dettagli del certificato installato, fare clic su Visualizza nella sezione Certificati esistenti.
Per controllare lo stato di installazione del certificato, selezionare . Stato download 1 mostra l'ultimo risultato. Se si verifica un problema durante l'iscrizione del certificato, lo stato di download può mostrare il motivo del problema per la risoluzione dei problemi.
Se l'autenticazione della password di verifica non riesce, agli utenti viene richiesto di immettere la password sullo schermo del telefono. - (Opzionale): Per rimuovere il certificato installato dal telefono, fare clic su Elimina nella sezione Certificati esistenti.Una volta fatto clic sul pulsante, l'operazione di rimozione inizia immediatamente senza una conferma.
Rinnovo del certificato tramite SCEP
Il certificato del dispositivo può essere aggiornato automaticamente tramite il processo SCEP.
- Il telefono verifica se il certificato scadrà entro 15 giorni ogni 4 ore. In tal caso, il telefono avvia automaticamente la procedura di rinnovo del certificato.
- Se la password di verifica è vuota, il telefono utilizza MIC/SUDI sia per l'iscrizione iniziale che per il rinnovo del certificato. Se la password di verifica è configurata, viene utilizzata solo per l'iscrizione iniziale, il certificato esistente/installato viene utilizzato per il rinnovo del certificato.
- Il telefono non rimuove il certificato del dispositivo precedente fino a quando non recupera quello nuovo.
- Se il rinnovo del certificato non riesce a causa della scadenza del certificato del dispositivo o dell'autorità certificativa, il telefono attiva automaticamente l'iscrizione iniziale. Nel frattempo, se l'autenticazione della password di verifica non riesce, viene visualizzata una schermata di input della password sullo schermo del telefono e agli utenti viene richiesto di immettere la password di verifica sul telefono.
Abilita modalità FIPS
È possibile garantire la conformità agli standard FIPS (Federal Information Processing Standards) del telefono.
Le FIPS sono un insieme di standard che descrivono l'elaborazione dei documenti, gli algoritmi di crittografia e altri standard di tecnologia dell'informazione per l'uso all'interno del governo non militare e da parte di appaltatori e fornitori governativi che lavorano con le agenzie. CiscoSSL FOM (FIPS Object Module) è un componente software attentamente definito e progettato per la compatibilità con la libreria CiscoSSL, pertanto i prodotti che utilizzano la libreria CiscoSSL e l'API possono essere convertiti in crittografia convalidata FIPS 140-2 con il minimo sforzo.
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare . |
| 3 |
Nella sezione Impostazioni di sicurezza, scegliere Sì o No dal parametro Modalità FIPS. |
| 4 |
Fare clic su Invia tutte le modifiche. Se si abilita FIPS, le seguenti funzioni funzionano perfettamente sul telefono:
|
Rimuovere manualmente un certificato di sicurezza
Se SCEP (Simple Certificate Enrollment Protocol) non è disponibile, è possibile rimuovere manualmente un certificato di sicurezza dal telefono.
| 1 |
Dalla pagina Web di amministrazione del telefono, selezionare Certificati. |
| 2 |
Individuare il certificato nella pagina Certificati. |
| 3 |
Fare clic su Elimina |
| 4 |
Una volta completata la procedura di eliminazione, riavviare il telefono. |
Imposta la password utente e amministratore
Dopo la prima registrazione del telefono su un sistema di controllo delle chiamate o dopo aver eseguito un ripristino delle impostazioni di fabbrica sul telefono, è necessario impostare la password di utente e amministratore per migliorare la sicurezza del telefono. Solo se è impostata la password, è possibile inviare le modifiche dalla pagina Web del telefono.
Per impostazione predefinita, sul telefono è abilitato nessun avviso di password. Se il telefono non dispone di una password utente o amministratore, vengono visualizzati i seguenti avvisi:
- Nella pagina Web del telefono viene visualizzato "Nessuna password amministratore fornita. Il Web è in modalità di sola lettura e non è possibile inviare le modifiche. Modificare la password." nell'angolo superiore sinistro.
Nei campi Password utente e Password amministratore viene visualizzato rispettivamente l'avviso "Nessuna password fornita", se vuota.
- Sullo schermo del telefono Problemi e diagnostica viene visualizzato il problema "Nessuna password fornita".
| 1 |
Accedere alla pagina Web di amministrazione del telefono |
| 2 |
Selezionare . |
| 3 |
(Opzionale) Nella sezione Configurazione di sistema, impostare il parametro Visualizza avvisi password su Sì, quindi fare clic su Invia tutte le modifiche. È inoltre possibile abilitare i parametri nel file di configurazione del telefono (cfg.xml).
Predefinito Sì Opzioni: Sì|No Se il parametro è impostato su No, l'avviso della password non viene visualizzato né sulla pagina Web né sullo schermo del telefono. Inoltre, la modalità Solo Pronto per la pagina Web non viene attivata anche se la password è vuota. |
| 4 |
Individuare il parametro Password utente o Password amministratore e fare clic su Modifica password accanto al parametro. |
| 5 |
Immettere la password dell'utente corrente nel campo Password precedente. Se non si dispone di una password, lasciare vuoto il campo. Il valore predefinito è abilitato.
|
| 6 |
Inserire una nuova password nel campo Password. |
| 7 |
Fai clic su Invia. Il messaggio Password modificata correttamente. verrà visualizzato nella pagina Web. La pagina Web verrà aggiornata tra diversi secondi. L'avviso accanto al parametro scompare. Dopo aver impostato la password dell'utente, nel file XML di configurazione del telefono (cfg.xml) viene visualizzato questo parametro:
Se si riceve il codice di errore 403 quando si tenta di accedere alla pagina Web del telefono, è necessario impostare la password utente o amministratore eseguendo il provisioning nel file di configurazione del telefono (cfg.xml). Ad esempio, immettere una stringa in questo formato:
|
Autenticazione 802.1X
I telefoni IP Cisco supportano l'autenticazione 802.1X.
I telefoni IP Cisco e gli switch Cisco Catalyst utilizzano tradizionalmente il protocollo CDP (Cisco Discovery Protocol) per identificarsi reciprocamente e determinare parametri come l'allocazione VLAN e i requisiti di alimentazione in linea. Il protocollo CDP non identifica le postazioni di lavoro collegate in locale. I telefoni IP Cisco forniscono un meccanismo pass-through EAPOL. Questo meccanismo consente a una postazione di lavoro collegata al telefono IP Cisco di trasmettere i messaggi EAPOL all'autenticatore 802.1X sullo switch LAN. Il meccanismo pass-through garantisce che il telefono IP non agisca come switch LAN per autenticare un endpoint dati prima di accedere alla rete.
I telefoni IP Cisco forniscono anche un meccanismo di disconnessione EAPOL proxy. Se il PC collegato in locale si disconnette dal telefono IP, lo switch LAN non prevede un errore fisico poiché il collegamento tra lo switch LAN e il telefono IP viene mantenuto. Per evitare di compromettere l'integrità della rete, il telefono IP invia un messaggio di disconnessione EAPOL allo switch per conto del PC downstream, che attiva lo switch LAN per cancellare la voce di autenticazione per il PC downstream.
Il supporto dell'autenticazione 802.1X richiede diversi componenti:
-
Cisco IP Phone Il telefono avvia la richiesta di accesso alla rete. I telefoni IP Cisco contengono un richiedente 802.1X. Questo richiedente consente agli amministratori di rete di controllare la connettività dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella versione corrente del richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST ed EAP-TLS.
-
servizio di autenticazione Il server di autenticazione e lo switch devono essere entrambi configurati con un segreto condiviso per autenticare il telefono.
-
Interruttore: Lo switch deve supportare 802.1X per poter agire come autenticatore e trasmettere i messaggi tra il telefono e il server di autenticazione. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.
Per configurare l'autenticazione 802.1X, è necessario eseguire le seguenti operazioni.
-
Configurare gli altri componenti prima di abilitare l'autenticazione 802.1X sul telefono.
-
Configura porta PC: Lo standard 802.1X non prende in considerazione le VLAN e pertanto consiglia di autenticare un solo dispositivo su una porta dello switch specifica. Tuttavia, alcuni switch supportano l'autenticazione multidominio. La configurazione dello switch determina se è possibile connettere un PC alla porta PC del telefono.
-
Abilitato: Se si utilizza uno switch in grado di supportare l'autenticazione multidominio, è possibile abilitare la porta PC e connettervi un PC. In questo caso, i telefoni IP Cisco supportano la disconnessione EAPOL del proxy per monitorare gli scambi di autenticazione tra lo switch e il PC collegato.
Per ulteriori informazioni sul supporto di IEEE 802.1X sugli switch Cisco Catalyst, consultare le guide di configurazione dello switch Cisco Catalyst all'indirizzo:
http://www.cisco.com/it/IT/products/hw/switches/ps708/tsd_products_support_series_home.html
-
disabilitato Se lo switch non supporta più dispositivi conformi allo standard 802.1X sulla stessa porta, è necessario disabilitare la porta PC quando l'autenticazione 802.1X è abilitata. Se non si disabilita questa porta e si tenta di collegarvi un PC, lo switch nega l'accesso alla rete sia al telefono che al PC.
-
- Configura VLAN vocale: Poiché lo standard 802.1X non tiene conto delle VLAN, è necessario configurare questa impostazione in base al supporto dello switch.
- Abilitato: Se stai utilizzando uno switch in grado di supportare l'autenticazione multidominio, puoi continuare a utilizzare la VLAN vocale.
- disabilitato Se lo switch non supporta l'autenticazione multidominio, disabilitare la VLAN vocale e valutare di assegnare la porta alla VLAN nativa.
- (Solo per Cisco Desk Phone serie 9800)
Il telefono fisso Cisco serie 9800 presenta un prefisso diverso nel PID da quello degli altri telefoni Cisco. Per consentire al telefono di passare l'autenticazione 802.1X, impostare il parametro Radius·User-Name per includere il telefono fisso Cisco serie 9800.
Ad esempio, il PID del telefono 9841 è DP-9841; è possibile impostare Radius·User-Name su Start with DP o Contains DP. È possibile impostarlo in entrambe le sezioni seguenti:
-
Abilitazione dell'autenticazione 802.1X
Se l'autenticazione 802.1X è abilitata, il telefono utilizza l'autenticazione 802.1X per richiedere l'accesso alla rete. Se l'autenticazione 802.1X è disabilitata, il telefono utilizza il protocollo CDP (Cisco Discovery Protocol) per acquisire l'accesso alla VLAN e alla rete. È inoltre possibile visualizzare lo stato della transazione e la modifica nel menu sullo schermo del telefono.
Se l'autenticazione 802.1X è abilitata, è anche possibile selezionare il certificato del dispositivo (MIC/SUDI o personalizzato) per l'iscrizione iniziale e il rinnovo del certificato. In genere, il microfono è per Cisco Video Phone 8875, il SUDI è per Cisco Desk Phone serie 9800. È possibile utilizzare CDC per l'autenticazione solo in 802.1x.
| 1 |
Per abilitare l'autenticazione 802.1X, eseguire una delle azioni riportate di seguito.
| ||||||||||||||||||||
| 2 |
Selezionare un certificato (MIC o personalizzato) per l'autenticazione 802.1X nella pagina Web del telefono.
Per informazioni su come selezionare un tipo di certificato sullo schermo del telefono, vedere Connessione del telefono a una rete Wi-Fi.
|
Abilita la modalità Avviata dal client per le negoziazioni della sicurezza del piano multimediale
Per proteggere le sessioni multimediali, è possibile configurare il telefono per avviare le negoziazioni della sicurezza del piano multimediale con il server. Il meccanismo di sicurezza segue gli standard indicati in RFC 3329 e la relativa estensione Nomi dei meccanismi di sicurezza per il contenuto multimediale (vedere https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Il trasporto delle negoziazioni tra il telefono e il server può utilizzare il protocollo SIP su UDP, TCP e TLS. È possibile limitare la negoziazione della sicurezza del piano multimediale solo quando il protocollo di trasporto di segnalazione è TLS.
| 1 |
Accedere alla pagina Web di amministrazione del telefono. | ||||||
| 2 |
Selezionare . | ||||||
| 3 |
Nella sezione Impostazioni SIP, impostare i campi Richiesta MediaSec e MediaSec Solo su TLS come definito nella tabella seguente:
| ||||||
| 4 |
Fare clic su Invia tutte le modifiche. |
Sicurezza WLAN
Dal momento che tutti i dispositivi WLAN all'interno della copertura possono ricevere tutto il traffico WLAN, la protezione delle comunicazioni vocali sulle reti WLAN assume un'importanza critica. Per garantire che utenti non autorizzati non manipolino o intercettino il traffico vocale, l'architettura per la sicurezza SAFE di Cisco supporta il telefono. Per ulteriori informazioni sulla sicurezza nelle reti, vedere http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
La soluzione di telefonia IP Cisco Wireless offre protezione sulla rete wireless in grado di impedire accessi non autorizzati e comunicazioni compromesse tramite i seguenti metodi di autenticazione supportati dal telefono:
-
Apri autenticazione: Qualsiasi dispositivo wireless può richiedere l'autenticazione in un sistema aperto. L'AP che riceve la richiesta può concedere l'autenticazione a qualsiasi richiedente o solo ai richiedenti presenti in un elenco di utenti. La comunicazione tra il dispositivo wireless e il punto di accesso (AP) potrebbe non essere crittografata.
-
Autenticazione EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling): Questa architettura di sicurezza client-server crittografa le transazioni EAP all'interno di un tunnel TLS (Transport Level Security) tra l'AP e il server RADIUS, ad esempio il motore dei servizi di identità (ISE).
Il tunnel TLS utilizza le credenziali di accesso protetto (PAC, Protected Access Credentials) per l'autenticazione tra il client (telefono) e il server RADIUS. Il server invia un ID autorità (AID) al client (telefono), che a sua volta seleziona la PAC appropriata. Il client (telefono) restituisce un codice PAC-Opaque al server RADIUS. Il server decrittografa la chiave PAC con la chiave principale. Entrambi gli endpoint ora contengono la chiave PAC ed è stato creato un tunnel TLS. EAP-FAST supporta il provisioning PAC automatico, ma è necessario abilitarlo sul server RADIUS.
In ISE, per impostazione predefinita, la PAC scade tra una settimana. Se sul telefono è presente una chiave PAC scaduta, l'autenticazione con il server RADIUS richiede più tempo mentre il telefono riceve una nuova chiave PAC. Per evitare ritardi nel provisioning della chiave PAC, impostare il periodo di scadenza della chiave PAC su almeno 90 giorni sul server ISE o RADIUS.
-
Autenticazione EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS richiede un certificato client per l'autenticazione e l'accesso alla rete. Per EAP-TLS wireless, il certificato client può essere MIC, LSC o certificato installato dall'utente.
-
Protected Extensible Authentication Protocol (PEAP): Schema proprietario di Cisco di autenticazione reciproca basata su password tra il client (telefono) e un server RADIUS. Il telefono può utilizzare il protocollo PEAP per l'autenticazione con la rete wireless. Sono supportati entrambi i metodi di autenticazione PEAP-MSCHAPV2 e PEAP-GTC.
-
Chiave già condivisa (PSK): Il telefono supporta il formato ASCII. È necessario utilizzare questo formato durante l'impostazione di una chiave WPA/WPA2/SAE già condivisa:
ASCII: una stringa di caratteri ASCII di lunghezza da 8 a 63 caratteri (da 0 a 9, lettere minuscole e maiuscole da A A Z e caratteri speciali)
Esempio: GREG123567@9ZX&W
Gli schemi di autenticazione seguenti utilizzano il server RADIUS per gestire le chiavi di autenticazione:
-
wpa/wpa2/wpa3: Utilizza le informazioni sul server RADIUS per generare chiavi univoche per l'autenticazione. Poiché queste chiavi vengono generate sul server RADIUS centralizzato, le chiavi WPA2/WPA3 forniscono più protezione rispetto alle chiavi WPA già condivise memorizzate sull'AP e sul telefono.
-
Roaming veloce e protetto: Utilizza le informazioni sul server RADIUS e sul server di dominio wireless (WDS) per la gestione e l'autenticazione delle chiavi. Il server WDS crea una cache delle credenziali di sicurezza per i dispositivi client abilitati FT per una nuova autenticazione rapida e sicura. I telefoni da tavolo Cisco 9861 e 9871 e i telefoni video Cisco 8875 supportano 802.11r (FT). Per consentire il roaming veloce e protetto, sono supportati sia over the air che over the DS. Tuttavia, si consiglia vivamente di utilizzare il metodo 802.11 r (FT) sull'aria.
Con i metodi WPA/WPA2/WPA3, le chiavi di crittografia non vengono immesse sul telefono, ma vengono derivate automaticamente tra l'AP e il telefono. Tuttavia, è necessario immettere su ciascun telefono il nome utente e la password EAP utilizzati per l'autenticazione.
Per garantire la protezione del traffico vocale, il telefono supporta TKIP e AES per la crittografia. Se questi meccanismi vengono utilizzati per la crittografia, i pacchetti SIP di segnalazione e i pacchetti RTP (Real-Time Transport Protocol) vengono crittografati tra l'AP e il telefono.
- tkip
-
Il protocollo WPA utilizza la crittografia TKIP con diversi miglioramenti rispetto al protocollo WEP. Il TKIP fornisce cifratura di chiave per ogni pacchetto e vettori di inizializzazione (IV) più lunghi che rafforzano la crittografia. Inoltre, un controllo dell'integrità dei messaggi (MIC) garantisce che i pacchetti crittografati non vengano alterati. La crittografia TKIP rimuove la prevedibilità della crittografia WEP che consente agli utenti non autorizzati di decifrare la chiave WEP.
- aes
-
Un metodo di crittografia utilizzato per l'autenticazione WPA2/WPA3. Questo standard nazionale per la crittografia utilizza un algoritmo simmetrico che ha la stessa chiave per la crittografia e la decrittografia. AES utilizza la crittografia CBC (Cipher Blocking Chain) a 128 bit, che supporta le dimensioni di chiave di almeno 128 bit, 192 bit e 256 bit. Il telefono supporta una dimensione di chiave di 256 bit.
I telefoni da tavolo Cisco 9861 e 9871 e i telefoni video Cisco 8875 non supportano il protocollo CKIP (Cisco Key Integrity Protocol) con CMIC.
Gli schemi di autenticazione e crittografia vengono impostati all'interno della LAN wireless. Le VLAN vengono configurate nella rete e sugli AP e specificano diverse combinazioni di autenticazione e crittografia. Un SSID esegue l'associazione con una VLAN e lo schema di autenticazione e crittografia specifico. Per un'autenticazione corretta dei dispositivi client wireless, è necessario configurare gli stessi SSID con i relativi schemi di autenticazione e crittografia sugli AP e sul telefono.
Alcuni schemi di autenticazione richiedono tipi specifici di crittografia.
- Se si utilizza la chiave WPA già condivisa, WPA2 già condivisa o SAE, la chiave già condivisa deve essere impostata staticamente sul telefono. Queste chiavi devono corrispondere a quelle presenti sull'AP.
-
Il telefono supporta la negoziazione EAP automatica per FAST o PEAP, ma non per TLS. Per la modalità EAP-TLS, è necessario specificarla.
Gli schemi di autenticazione e crittografia riportati nella tabella seguente mostrano le opzioni di configurazione della rete del telefono corrispondenti alla configurazione dell'AP.
| Tipo FSR | Autenticazione | Gestione chiavi | Crittografia | PMF (Protected Management Frame) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
wpa-psk wpa-psk-sha256 ft-psk | aes | No |
| 802.11r (FT) | WPAD |
sae ft-sae | aes | Sì |
| 802.11r (FT) | eap-tls |
wpa-eap ft-eap | aes | No |
| 802.11r (FT) | eap-tls (wpa3) |
wpa-eap-sha256 ft-eap | aes | Sì |
| 802.11r (FT) | EAP-FAST |
wpa-eap ft-eap | aes | No |
| 802.11r (FT) | veloce (wpa3) |
wpa-eap-sha256 ft-eap | aes | Sì |
| 802.11r (FT) | peap-peap |
wpa-eap ft-eap | aes | No |
| 802.11r (FT) | eap-peap (wpa3) |
wpa-eap-sha256 ft-eap | aes | Sì |
Imposta profilo Wi-Fi
È possibile configurare un profilo Wi-Fi dalla pagina Web del telefono o dalla risincronizzazione del profilo del dispositivo remoto e quindi associare il profilo alle reti Wi-Fi disponibili. È possibile utilizzare questo profilo Wi-Fi per connettersi a una rete Wi-Fi. Attualmente, è possibile configurare un solo profilo Wi-Fi.
Il profilo contiene i parametri necessari per connettere i telefoni al server telefonico con il Wi-Fi. Quando si crea e si utilizza un profilo Wi-Fi, non è necessario configurare la rete wireless per i singoli telefoni.
Un profilo Wi-Fi consente di impedire o limitare le modifiche alla configurazione Wi-Fi del telefono da parte dell'utente.
Quando si utilizza un profilo Wi-Fi, si consiglia di utilizzare un profilo di protezione con protocolli abilitati per la crittografia per proteggere le chiavi e le password.
Se i telefoni sono configurati in modo da utilizzare il metodo di autenticazione EAP-FAST in modalità di protezione, gli utenti devono disporre di singole credenziali per connettersi a un punto di accesso.
| 1 |
Accedere alla pagina Web del telefono. |
| 2 |
Selezionare . |
| 3 |
Nella sezione Profilo Wi-Fi (n), impostare i parametri come descritto nella tabella seguente Parametri per profilo Wi-Fi. La configurazione del profilo Wi-Fi è disponibile anche per l'accesso dell'utente.
|
| 4 |
Fare clic su Invia tutte le modifiche. |
Parametri per il profilo Wi-Fi
La seguente tabella definisce la funzione e l'utilizzo di ogni parametro nella sezione Profilo Wi-Fi(n) della scheda Sistema nella pagina Web del telefono. Definisce inoltre la sintassi della stringa aggiunta nel file di configurazione del telefono (cfg.xml) per la configurazione di un parametro.
| Parametri | Descrizione |
|---|---|
| Nome rete | Consente di immettere un nome per l'SSID che verrà visualizzato sul telefono. Più profili possono avere lo stesso nome di rete con diverse modalità di sicurezza. Effettua una delle seguenti operazioni:
Predefinito Vuoto |
| Modalità sicurezza | Consente di selezionare il metodo di autenticazione utilizzato per proteggere l'accesso alla rete Wi-Fi. A seconda del metodo scelto, viene visualizzato un campo Password che consente di fornire le credenziali necessarie per accedere alla rete Wi-Fi. Effettua una delle seguenti operazioni:
Predefinito Auto |
| ID utente Wi-Fi | Consente di inserire un ID utente per il profilo di rete. Questo campo è disponibile quando si imposta la modalità di protezione su Automatica, EAP-FAST o EAP-PEAP. È un campo obbligatorio e può contenere al massimo 32 caratteri alfanumerici. Effettua una delle seguenti operazioni:
Predefinito Vuoto |
| Password Wi-Fi | Consente di immettere la password per l'ID utente Wi-Fi specificato. Effettua una delle seguenti operazioni:
Predefinito Vuoto |
| Banda di frequenza | Consente di selezionare la banda di frequenza del segnale wireless utilizzata dalla WLAN. Effettua una delle seguenti operazioni:
Predefinito Auto |
| Selezione certificato | Consente di selezionare un tipo di certificato per l'iscrizione iniziale del certificato e il rinnovo del certificato nella rete wireless. Questo processo è disponibile solo per l'autenticazione 802.1X. Effettua una delle seguenti operazioni:
Predefinito Produzione installata |
