- Home
- /
- Articolo
Grazie per il feedback.
Cisco IP Phone sicurezza su 9800/8875 (multipiattaforma)
In questo articolo
Feedback?Questo articolo della Guida è per il telefono da scrivania Cisco serie 9800 e il videotelefono Cisco 8875 registrati su Cisco BroadWorks o Webex Calling.
Configura le opzioni DHCP
È possibile impostare l'ordine in cui il telefono utilizza le opzioni DHCP. Per assistenza con le opzioni DHCP, vedere Supporto dell'opzione DHCP.
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare . |
| 3 |
Nel Profilo di configurazione sezione, imposta il DHCP Opzione da utilizzare E Opzione DHCPv6 da utilizzare parametri come descritto di seguito:
|
| 4 |
Fare clic su Submit All Changes. |
Supporto dell'opzione DHCP
Nella tabella seguente sono elencate le opzioni DHCP supportate sui telefoni PhoneOS.
| Standard di rete | Descrizione |
|---|---|
| Opzione DHCP 1 | Subnet mask |
| Opzione DHCP 2 | Differenza orario |
| Opzione DHCP 3 | Router |
| Opzione DHCP 6 | Server dei nomi di dominio |
| Opzione DHCP 15 | Nome dominio |
| Opzione DHCP 17 | Informazioni specifiche per l'identificazione del fornitore |
| Opzione DHCP 41 | Durata del lease dell'indirizzo IP |
| Opzione DHCP 42 | Server NTP |
| Opzione DHCP 43 | Informazioni specifiche del fornitore Può essere utilizzato per fornire la configurazione SCEP. |
| Opzione DHCP 56 | Server NTP Configurazione del server NTP con IPv6 |
| Opzione DHCP 60 | Identificatore della classe del fornitore |
| Opzione DHCP 66 | Nome del server TFTP |
| Opzione DHCP 125 | Informazioni specifiche per l'identificazione del fornitore |
| Opzione DHCP 150 | Server TFTP |
| Opzione DHCP 159 | IP del server di provisioning |
| Opzione DHCP 160 | URL di provisioning |
Imposta la versione minima di TLS per client e server
Per impostazione predefinita, la versione minima di TLS per client e server è 1.2. Ciò significa che il client e il server accettano di stabilire connessioni con TLS 1.2 o versioni successive. La versione massima supportata di TLS per client e server è 1.3. Una volta configurata, la versione minima di TLS verrà utilizzata per la negoziazione tra il client TLS e il server TLS.
È possibile impostare la versione minima di TLS rispettivamente per client e server, ad esempio 1.1, 1.2 o 1.3.
Operazioni preliminari
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare . |
| 3 |
Nella sezione Impostazioni di sicurezza, configura il parametro TLS Versione minima del client.
È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml): <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Valori consentiti: TLS 1.1, TLS1.2 e TLS 1.3. Impostazione predefinita: TLS 1.2 |
| 4 |
Nella sezione Impostazioni di sicurezza, configura il parametro TLS Versione minima del server. Webex Calling non supporta TLS 1.1.
È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml): <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
Valori consentiti: TLS 1.1, TLS1.2 e TLS 1.3. Impostazione predefinita: TLS 1.2 |
| 5 |
Fare clic su Submit All Changes. |
Abilitazione della modalità FIPS
È possibile rendere un telefono conforme agli standard FIPS (Federal Information Processing Standard).
L'insieme di standard FIPS definisce l'elaborazione dei documenti e gli algoritmi di crittografia e include altri standard IT destinati all'uso in governi non militari e di appaltatori e fornitori governativi che collaborano con le agenzie. CiscoSSL FOM (FIPS Object Module) è un componente software attentamente definito e progettato per la compatibilità con la libreria CiscoSSL, pertanto i prodotti che utilizzano la libreria CiscoSSL e API possono essere convertiti per utilizzare la crittografia convalidata FIPS 140-2 con il minimo sforzo.
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare . |
| 3 |
Nel Impostazioni di sicurezza sezione, scegli SÌ O NO dal Modalità FIPS parametro. |
| 4 |
Fare clic su Submit All Changes. Quando si Abilita FIPS, le funzioni riportate di seguito funzionano perfettamente sul telefono:
|
Imposta le password utente e amministratore
Dopo aver registrato il telefono per la prima volta su un sistema di controllo delle chiamate o aver eseguito un ripristino delle impostazioni di fabbrica, è necessario impostare le password utente e amministratore per aumentare la sicurezza del telefono. Dopo aver impostato le password, è possibile accedere all'interfaccia web del telefono.
Per impostazione predefinita, le password utente e amministratore sono vuote. Pertanto, è possibile trovare il problema "Nessuna password fornita" su schermo del telefono.
| 1 |
Accedere alla pagina Web di amministrazione del telefono |
| 2 |
Selezionare . |
| 3 |
(Facoltativo) Nel Configurazione del sistema sezione, imposta il Visualizza avvisi password parametro a SÌ, quindi fare clic Invia tutte le modifiche. È inoltre possibile abilitare i parametri nel file di configurazione del telefono (cfg.xml).
Impostazione predefinita: Yes Opzioni: Sì|No Se il parametro è impostato su NO, l'avviso di password non viene visualizzato sullo schermo del telefono. |
| 4 |
Individuare il parametro Password utente O Password amministratore e clicca Cambiare la password accanto al parametro. |
| 5 |
Immettere la password utente corrente nel campo Vecchia password. Se non si dispone di una password, lasciare il campo vuoto. Il valore predefinito è vuoto.
|
| 6 |
Immettere una nuova password nel campo Nuova password. Regole valide per le password:
Se la nuova password non soddisfa i requisiti, l'impostazione verrà rifiutata. |
| 7 |
Fare clic su Submit. Nella pagina Web viene visualizzato il messaggio Dopo avere impostato la password utente in questo campo, nel file XML di configurazione del telefono (cfg.xml) viene visualizzato il seguente parametro:
|
Autenticazione 802.1X
Il telefono IP Cisco supporta l'autenticazione 802.1X.
I telefoni IP Cisco e gli switch Cisco Catalyst generalmente utilizzano il protocollo CDP (Cisco Discovery Protocol) per l'identificazione reciproca e per l'individuazione di parametri come l'allocazione VLAN e i requisiti di alimentazione in linea. Il protocollo CDP non identifica le workstation collegate in locale. I telefoni IP Cisco sono dotati di un meccanismo EAPOL pass-through. Questo meccanismo consente alla postazione di lavoro collegata al telefono IP Cisco di trasmettere i messaggi EAPOL all'autenticatore 802.1X sullo switch LAN. Il meccanismo pass-through garantisce che il telefono IP non agisca come switch LAN per l'autenticazione dell'endpoint dei dati prima di accedere alla rete.
I telefoni IP Cisco sono dotati inoltre di un meccanismo di disconnessione EAPOL proxy. Se il PC collegato in locale viene disconnesso dal telefono IP, lo switch LAN non rileva l'errore del collegamento fisico perché il collegamento tra lo switch LAN e il telefono IP viene mantenuto. Per evitare di compromettere l'integrità della rete, il telefono IP invia un messaggio di disconnessione EAPOL allo switch per conto del PC downstream, che attiva lo switch LAN allo scopo di cancellare la voce di autenticazione relativa al PC downstream.
Il supporto dell'autenticazione 802.1X richiede diversi componenti:
-
Telefono IP Cisco: il telefono avvia la richiesta di accesso alla rete. I telefoni IP Cisco sono dotati di un richiedente 802.1X. Tale richiedente consente agli amministratori di rete di controllare la connettività dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella versione corrente del richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST e EAP-TLS.
-
Server di autenticazione: il server di autenticazione e lo switch devono essere entrambi configurati con un segreto condiviso che autentica il telefono.
-
Switch: lo switch deve supportare 802.1X per poter agire come autenticatore e trasmettere i messaggi tra il telefono e il server di autenticazione. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.
Per configurare l'autenticazione 802.1X, è necessario effettuare i passaggi seguenti.
-
Configurare gli altri componenti prima di abilitare l'autenticazione 802.1X sul telefono.
-
Configurare la porta del PC: lo standard 802.1X non prende in considerazione le reti VLAN e pertanto è consigliabile autenticare un solo dispositivo su una porta dello switch specifica. Tuttavia, alcuni switch supportano l'autenticazione multidominio. In base alla configurazione dello switch, è possibile o meno collegare un PC alla porta PC del telefono.
-
Abilitato: se si sta utilizzando uno switch in grado di supportare l'autenticazione multidominio, è possibile abilitare la porta del PC e connettervi il PC. In questo caso, i telefoni IP Cisco supportano la disconnessione EAPOL del proxy per monitorare gli scambi di autenticazione tra lo switch e il PC collegato.
Per ulteriori informazioni sul supporto di IEEE 802.1X sugli switch Cisco Catalyst, consultare le guide di configurazione dello switch Cisco Catalyst all'indirizzo:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html.
-
Disabilitato: se lo switch non supporta più dispositivi conformi allo standard 802.1X sulla stessa porta, è consigliabile disabilitare la porta del PC quando l'autenticazione 802.1X è abilitata. Se questa porta non viene disabilitata e successivamente si tenta di collegarvi un PC, lo switch nega l'accesso alla rete sia al telefono sia al PC.
-
- Configura rete VLAN vocale: dal momento che lo standard 802.1X non prende in considerazione le reti VLAN, è consigliabile configurare questa impostazione in base al tipo di supporto dello switch in uso.
- Abilitato: se si sta utilizzando uno switch in grado di supportare l'autenticazione multidominio, è possibile continuare a utilizzare la VLAN vocale.
- Disabilitato: se lo switch non supporta l'autenticazione multidominio, disabilitare la VLAN vocale e valutare di assegnare la porta alla rete VLAN nativa.
- (Solo per Cisco Desk Phone serie 9800)
Cisco telefono fisso serie 9800 ha un prefisso diverso nel PID da quello per gli altri telefoni Cisco. Per consentire al telefono di superare l'autenticazione 802.1X, impostare il raggio· Nome utente per includere il telefono fisso Cisco serie 9800.
Ad esempio, il PID del telefono 9841 è DP-9841; è possibile impostare Radius· Nome utente per
iniziare con DPoContiene DP.È possibile impostarlo in entrambe le sezioni seguenti: -
Abilita autenticazione 802.1X sulla pagina Web del telefono
Quando l'autenticazione 802.1X è abilitata, il telefono utilizza l'autenticazione 802.1X per richiedere l'accesso alla rete. Quando l'autenticazione 802.1X è disabilitata, il telefono utilizza Cisco Discovery Protocol (CDP) per acquisire VLAN e l'accesso alla rete.
È possibile selezionare un certificato (MIC/SUDI o CDC) utilizzato per l'autenticazione 802.1X. Per ulteriori informazioni su CDC, vedere Custom Device Certificate on 9800/8875.
È possibile visualizzare lo stato della transazione e le impostazioni di sicurezza nel menu dello schermo del telefono. Per ulteriori informazioni, vedere Menu Impostazioni di sicurezza sul telefono.
| 1 |
Abilitare l'autenticazione 802.1X. Selezionare Voice>System e impostare il . È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):
Valori validi: Yes|No Impostazione predefinita: No |
| 2 |
Selezionare uno dei seguenti certificati installati utilizzati per l'autenticazione 802.1X. Opzioni di valore:
La configurazione varia in base alla rete:
|
| 3 |
Configurare il parametro ID utente che verrà utilizzato come identità per l'autenticazione 802.1X nella rete cablata. La configurazione dei parametri ha effetto solo quando CDC viene utilizzato per l'autenticazione 802.1X cablata (la selezione del certificato è impostata su Custom installata). Per impostazione predefinita, questo parametro è vuoto. L'identità per 802.1X cablato varia in base al certificato selezionato:
Se l'ID utente è vuoto e il nome comune in CDC è configurato, 802.1X cablato utilizzerà il nome comune CDC come identità. È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):
Valori validi: massimo 127 caratteri Impostazione predefinita: vuoto Questo parametro supporta anche variabili di espansione macro, vedere Variabili di espansione macro per informazioni dettagliate. Se si desidera utilizzare le opzioni DHCP per eseguire il provisioning dell'ID utente, vedere Provisioning del nome comune o dell'ID utente tramite l'opzione DHCP 15. |
| 4 |
Fare clic su Submit All Changes. |
Menu delle impostazioni di sicurezza sul telefono
È possibile visualizzare le informazioni sulle impostazioni di sicurezza nel menu del telefono. Il percorso di navigazione è: di sicurezza. La disponibilità delle informazioni dipende dalle impostazioni di rete dell'organizzazione.
|
Parametri |
Opzioni |
Impostazione predefinita |
Descrizione |
|---|---|---|---|
|
Autenticazione dispositivo |
Attivato Spento |
Spento |
Abilita o disabilita l'autenticazione 802.1X sul telefono. L'impostazione dei parametri può essere mantenuta dopo la registrazione Out-Of-Box (OOB) del telefono. |
|
Stato transazione | Disabilitato |
Visualizza lo stato dell'autenticazione 802.1X. Lo stato può essere (non limitato a):
| |
|
Protocollo | Nessuno |
Visualizza il metodo EAP utilizzato per l'autenticazione 802.1X. Il protocollo può essere EAP-FAST o EAP-TLS. | |
|
Tipo di certificato utente |
Installato dal produttore Installazione personalizzata |
Installato dal produttore |
Seleziona il certificato per l'autenticazione 802.1X durante la registrazione iniziale e il rinnovo del certificato.
Questo parametro viene visualizzato sul telefono solo quando l'opzione Autenticazione dispositivo è abilitata. |
| Retrocompatibilità con WPA |
Attivato Spento | Spento |
Determina se la versione meno recente di Wi-Fi Protected Access (WPA) è compatibile sul telefono per la connessione a una rete wireless o a un punto di accesso (AP).
Questa funzione è disponibile solo sui telefoni 9861/9871/8875. |
Configurare un server proxy
È possibile configurare il telefono per l'utilizzo di un server proxy per migliorare la sicurezza. In genere, un server proxy HTTP può fornire i seguenti servizi:
- Instradamento del traffico tra reti interne ed esterne
- Filtraggio, monitoraggio o registrazione del traffico
- Memorizzazione delle risposte nella cache per migliorare le prestazioni
Inoltre, il server proxy HTTP può fungere da firewall tra il telefono e Internet. Dopo una corretta configurazione, il telefono si connette a Internet attraverso il server proxy che protegge il telefono da attacchi informatici.
Se configurata, la funzionalità proxy HTTP si applica a tutte le applicazioni che utilizzano il protocollo HTTP. Ad esempio:
- GDS (onboarding tramite codice di attivazione)
- Attivazione del dispositivo EDOS
- Onboarding su Webex Cloud (tramite EDOS o GDS)
- CA personalizzata
- Provisioning
- Aggiornamento del firmware
- Report sullo stato del telefono
- Caricamento PRT
- Servizi XSI
- Servizi Webex
- Attualmente, la funzione supporta solo IPv4.
- Le impostazioni proxy HTTP possono essere conservate dopo la registrazione Out-Of-Box (OOB) del telefono.
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare . |
| 3 |
Nella sezione Impostazioni proxy HTTP, selezionare una modalità proxy dall'elenco a discesa Modalità proxy e configurare i parametri correlati. Per ulteriori informazioni sui parametri e sui parametri obbligatori per ogni modalità proxy, vedere Parametri per le impostazioni proxy HTTP . |
| 4 |
Fare clic su Submit All Changes. |
Parametri per le impostazioni proxy HTTP
La tabella seguente definisce la funzione e l'utilizzo dei parametri proxy HTTP nella sezione Impostazioni proxy HTTP in Tab nell'interfaccia Web del telefono. Definisce inoltre la sintassi della stringa aggiunta nel file di configurazione del telefono con codice XML (cfg.xml) per la configurazione di un parametro.
| Parametro | Descrizione |
|---|---|
| Modalità proxy | Specifica la modalità proxy HTTP utilizzata dal telefono o disabilita la funzione proxy HTTP.
Eseguire una delle seguenti operazioni:
Valori consentiti: Auto, Manuale e No Impostazione predefinita: Off |
| Rilevamento automatico del proxy Web | Determina se il telefono utilizza il protocollo WPAD (Web Proxy Auto Discovery) per recuperare un file PAC. Il protocollo WPAD utilizza DHCP o DNS o entrambi i protocolli di rete per individuare automaticamente un file PAC (Proxy Auto Configuration). Il file PAC viene utilizzato per selezionare un server proxy per un determinato URL. Questo file può essere memorizzato in locale o in rete.
Eseguire una delle seguenti operazioni:
Valori consentiti: Yes e No Impostazione predefinita: Yes |
| URL PAC | URL di un file PAC. Ad esempio, Sono supportati i protocolli TFTP, HTTP e HTTPS Se si imposta la modalità proxy su Auto e Individuazione automatica proxy Web su No, è necessario configurare questo parametro. Eseguire una delle seguenti operazioni:
Impostazione predefinita: vuoto |
| Host proxy | Indirizzo IP o nome host del server host proxy a cui il telefono deve accedere. Ad esempio:
Lo schema ( Se si imposta Modalità proxy su Manuale, è necessario configurare questo parametro. Eseguire una delle seguenti operazioni:
Impostazione predefinita: vuoto |
| Porta proxy | Numero della porta del server host proxy. Se si imposta Modalità proxy su Manuale, è necessario configurare questo parametro. Eseguire una delle seguenti operazioni:
Impostazione predefinita: 3128 |
| Autenticazione proxy | Determina se l'utente deve fornire le credenziali di autenticazione (nome utente e password) richieste dal server proxy. Questo parametro è configurato in base al comportamento effettivo del server proxy. Se si imposta il parametro su Sì, è necessario configurare Nome utente e Password. Per informazioni dettagliate sui parametri, vedere i parametri "Nome utente" e "Password" in questa tabella. La configurazione dei parametri avviene quando Modalità proxy è impostato su Manuale. Eseguire una delle seguenti operazioni:
Valori consentiti: Yes e No Impostazione predefinita: No |
| Nome utente | Nome utente per un utente con credenziali sul server proxy. Se la modalità proxy è impostata su Manuale e l'autenticazione proxy è impostata su Sì, è necessario configurare il parametro. Eseguire una delle seguenti operazioni:
Impostazione predefinita: vuoto |
| Password | Password del nome utente specificato per l'autenticazione proxy. Se la modalità proxy è impostata su Manuale e l'autenticazione proxy è impostata su Sì, è necessario configurare il parametro. Eseguire una delle seguenti operazioni:
Impostazione predefinita: vuoto |
| Modalità proxy | Parametri obbligatori | Descrizione |
|---|---|---|
| Spento | N/D | Il proxy HTTP è disabilitato sul telefono. |
| Manual | Host proxy Porta proxy Autenticazione proxy: Sì Nome utente Password | Specificare manualmente un server proxy (un nome host o un indirizzo IP) e una porta proxy. Se il server proxy richiede l'autenticazione, è necessario immettere ulteriormente il nome utente e la password. |
| Host proxy Porta proxy Autenticazione proxy: No | Specificare manualmente un server proxy. Il server proxy non richiede credenziali di autenticazione. | |
| Auto | Rilevamento automatico proxy Web: No URL PAC | Immettere un URL PAC valido per recuperare il file PAC. |
| Rilevamento automatico del proxy Web: Sì |
Utilizza il protocollo WPAD per recuperare automaticamente un file PAC. |
Abilita modalità avviata dal client per le negoziazioni di sicurezza del piano multimediale
Per proteggere le sessioni multimediali, è possibile configurare il telefono per avviare le negoziazioni della sicurezza del piano multimediale con il server. Il meccanismo di sicurezza segue gli standard indicati in RFC 3329 e la sua bozza di estensione Security Mechanism Names for Media (vedere https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Il trasporto delle negoziazioni tra il telefono e il server può utilizzare il protocollo SIP su UDP, TCP e TLS. È possibile limitare la negoziazione della sicurezza del piano multimediale solo quando il protocollo di trasporto di segnalazione è TLS.
| Parametro | Descrizione |
|---|---|
|
MediaSec Request |
Specifica se il telefono avvia le negoziazioni della sicurezza del piano multimediale con il server. Eseguire una delle seguenti operazioni:
Valori consentiti: Yes|No
Impostazione predefinita: No |
|
MediaSec Over TLS Only |
Specifica il protocollo di trasporto di segnalazione su cui viene applicata la negoziazione della sicurezza del piano multimediale. Prima di impostare questo campo su Yes, verificare che il protocollo di trasporto di segnalazione sia TLS. Eseguire una delle seguenti operazioni:
Valori consentiti: Yes|No
Impostazione predefinita: No |
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare (Int. n.). |
| 3 |
Nella sezione Impostazioni SIP , impostare i campi MediaSec Request e MediaSec Over TLS Only come definito nella tabella precedente. |
| 4 |
Fare clic su Submit All Changes. |
Protezione WLAN
Dal momento che tutti i dispositivi WLAN all'interno della copertura possono ricevere tutto il traffico WLAN, la protezione delle comunicazioni vocali sulle reti WLAN assume un'importanza critica. Per garantire che gli intrusi non manipolino né intercettino il traffico vocale, l'architettura Cisco SAFE Security supporta il telefono. Per ulteriori informazioni sulla protezione sulle reti, consultare http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
La soluzione di telefonia IP wireless Cisco fornisce la protezione della rete wireless che impedisce accessi non autorizzati e comunicazioni compromesse utilizzando i seguenti metodi di autenticazione supportati dal telefono:
-
Autenticazione aperta: tutti i dispositivi wireless possono richiedere l'autenticazione in un sistema aperto. L'AP che riceve la richiesta può concedere l'autenticazione a tutti i richiedenti o soltanto ai richiedenti presenti sull'elenco degli utenti. La comunicazione tra il dispositivo wireless e il punto di accesso (AP) potrebbe non essere crittografata.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autenticazione: questa architettura di sicurezza client-server crittografa le transazioni EAP all'interno di un tunnel Transport Level Security (TLS) tra il punto di accesso e il server RADIUS, ad esempio Identity Services Engine (ISE).
Il tunnel TLS utilizza le credenziali di accesso protetto (PAC, Protected Access Credential) per l'autenticazione tra il client (telefono) e il server RADIUS. Il server invia un ID di autorità (AID) al client (telefono) che a sua volta seleziona le credenziali PAC appropriate. Il client (telefono) restituisce una chiave PAC-Opaque al server RADIUS. Il server decrittografa la chiave PAC con la chiave primaria. In entrambi gli endpoint è adesso presente la chiave PAC ed è stato creato un tunnel TLS. EAP-FAST supporta il provisioning PAC automatico, ma occorre abilitarlo sul server RADIUS.
In ISE, per impostazione predefinita, la PAC scade tra una settimana. Se sul telefono è presente una chiave PAC scaduta, l'autenticazione con il server RADIUS impiega più tempo perché il telefono deve ottenere una nuova chiave PAC. Per evitare ritardi nel provisioning della PAC, impostare il periodo di scadenza della PAC su 90 giorni o più sul server ISE o RADIUS.
-
Autenticazione EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): per EAP-TLS è necessario disporre di un certificato client per l'autenticazione e l'accesso alla rete. Per il wireless EAP-TLS, il certificato client può essere MIC, LSC, o certificato installato dall'utente.
-
Protected Extensible Authentication Protocol (PEAP): schema proprietario di Cisco di autenticazione reciproca basata su password tra il client (telefono) e il server RADIUS. Il telefono può utilizzare PEAP per l'autenticazione con la rete wireless. Sono supportati entrambi i metodi di autenticazione PEAP-MSCHAPV2 e PEAP-GTC.
-
Chiave precondivisa (PSK): il telefono supporta il formato ASCII. È necessario utilizzare questo formato quando si imposta una chiave precondivisa WPA/WPA2/SAE:
ASCII: stringa di caratteri ASCII con una lunghezza compresa tra 8 e 63 caratteri (0-9, lettere minuscole e maiuscole e caratteri speciali)
Esempio: GREG123567@9ZX&W
Gli schemi di autenticazione riportati di seguito utilizzano il server RADIUS per la gestione delle chiavi di autenticazione:
-
WPA/WPA2/WPA3: utilizza le informazioni del server RADIUS per generare chiavi univoche per l'autenticazione. Dal momento che tali chiavi vengono generate sul server RADIUS centralizzato, il metodo WPA2/WPA3 fornisce più protezione rispetto alle chiavi WPA già condivise memorizzate sull'AP e sul telefono.
-
Roaming veloce protetto: utilizza le informazioni sul server RADIUS e sul server di dominio wireless (WDS) per la gestione e l'autenticazione delle chiavi. WDS crea una cache di credenziali di sicurezza per i dispositivi client abilitati FT per una riautenticazione rapida e sicura. Cisco Desk Phone 9861 e 9871 e Cisco Video Phone 8875 supportano 802.11r (FT). Sono supportati sia over the air che over the DS per consentire un roaming rapido e sicuro. Tuttavia, Cisco consiglia di utilizzare il metodo 802.11 r (FT).
Con WPA/WPA2/WPA3, le chiavi di crittografia non vengono inserite sul telefono, ma vengono automaticamente derivate tra l'AP e il telefono. Tuttavia, è necessario immettere su ciascun telefono il nome utente e la password EAP utilizzati per l'autenticazione.
Per garantire che il traffico vocale sia sicuro, il telefono supporta TKIP e AES per la crittografia. Quando questi meccanismi vengono utilizzati per la crittografia, sia i pacchetti SIP di segnalazione che i pacchetti RTP (Real-Time Transport Protocol) vocali vengono crittografati tra l'AP e il telefono.
- TKIP
-
WPA utilizza la crittografia TKIP che presenta diversi miglioramenti rispetto a WEP. La crittografia TKIP fornisce cifratura di chiave per ogni pacchetto e vettori di inizializzazione (IV) più lunghi che aumentano la protezione della crittografia. Inoltre, il controllo dell'integrità dei messaggi (MIC, Message Integrity Check) garantisce che i pacchetti crittografati non vengano alterati. La crittografia TKIP rimuove la prevedibilità delle chiavi WEP di cui si servono gli utenti non autorizzati per decifrare tali chiavi.
- AES
-
Metodo di crittografia utilizzato per l'autenticazione WPA2/WPA3. Questo National Standard di crittografia utilizza un algoritmo simmetrico con la stessa chiave per la crittografia e la decrittografia. Il metodo AES utilizza la crittografia CBC (Cipher Blocking Chain) a 128 bit, che supporta le dimensioni di chiave di minimo 128 bit, 192 bit e 256 bit. Il telefono supporta una dimensione della chiave di 256 bit.
Cisco Desk Phone 9861 e 9871 e Cisco Video Phone 8875 non supportano Cisco Key Integrity Protocol (CKIP) con CMIC.
Gli schemi di autenticazione e crittografia vengono impostati all'interno della LAN wireless. Le VLAN vengono configurate nella rete e sull'AP e specificano diverse combinazioni di autenticazione e crittografia. Un SSID effettua l'associazione con una VLAN e lo schema di autenticazione e crittografia specifico. Affinché i dispositivi client wireless vengano autenticati correttamente, è necessario configurare gli stessi SSID con i relativi schemi di autenticazione e crittografia sugli AP e sul telefono.
Alcuni schemi di autenticazione richiedono tipi specifici di crittografia.
- Quando si utilizza la chiave precondivisa WPA, la chiave già condivisa WPA2 o SAE, la chiave già condivisa deve essere impostata staticamente sul telefono. Queste chiavi devono corrispondere a quelle presenti sull'AP.
-
Il telefono supporta la negoziazione automatica EAP per FAST o PEAP, ma non per TLS. Per la modalità EAP-TLS, è necessario specificarla.
Gli schemi di autenticazione e crittografia nella tabella seguente mostrano le opzioni di configurazione di rete per il telefono che corrispondono alla configurazione AP.
| Tipo FSR | Autenticazione | Gestione delle chiavi | Crittografia | Struttura di gestione protetta (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | No |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Sì |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | No |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sì |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | No |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sì |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | No |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sì |
Imposta il profilo Wi-Fi
È possibile configurare un profilo Wi-Fi dalla pagina Web del telefono o dalle risincronizzazione del profilo del dispositivo remoto e quindi associare il profilo alle reti Wi-Fi disponibili. È possibile utilizzare questo profilo per connettersi a una rete Wi-Fi. Attualmente è possibile configurare un solo profilo Wi-Fi.
Il profilo contiene i parametri necessari per connettere i telefoni al server tramite Wi-Fi. Quando crei e utilizzi un profilo Wi-Fi, né tu né i tuoi utenti dovrete configurare la rete wireless per i singoli telefoni.
Un profilo Wi-Fi consente di impedire o limitare le modifiche alla configurazione Wi-Fi del telefono da parte dell'utente.
Ti consigliamo di utilizzare un profilo sicuro con protocolli di crittografia abilitati per proteggere chiavi e password quando utilizzi un profilo Wi-Fi.
Quando si configurano i telefoni per utilizzare il metodo di autenticazione EAP-FAST in modalità di sicurezza, gli utenti necessitano di credenziali individuali per connettersi a un punto di accesso.
| 1 |
Accedere alla pagina Web del telefono. |
| 2 |
Selezionare . |
| 3 |
Nella sezione Profilo Wi-Fi (n), impostare i parametri come descritto nella seguente tabella Parametri per il profilo Wi-Fi. La configurazione del profilo Wi-Fi è disponibile anche per l'accesso utente.
|
| 4 |
Fare clic su Submit All Changes. |
Parametri per il profilo Wi-Fi
La seguente tabella definisce la funzione e l'utilizzo di ogni parametro nella sezione Wi-Fi Profile(n)(n) nella scheda System della pagina Web del telefono. Definisce inoltre la sintassi della stringa aggiunta nel file di configurazione del telefono (cfg.xml) per configurare un parametro.
| Parametro | Descrizione |
|---|---|
| Nome di rete | Consente di immettere un nome per il SSID che verrà visualizzato sul telefono. Più profili possono avere lo stesso nome di rete con diverse modalità di sicurezza (SMS). Eseguire una delle seguenti operazioni:
Impostazione predefinita: vuoto |
| Modalità Protezione | Consente di selezionare il metodo di autenticazione utilizzato per proteggere l'accesso alla rete Wi-Fi. A seconda del metodo scelto, verrà visualizzato un campo password in cui potrai immettere le credenziali necessarie per unirti alla rete Wi-Fi. Eseguire una delle seguenti operazioni:
Impostazione predefinita: Auto |
| ID utente Wi-Fi | Consente di immettere un ID utente per il profilo di rete. Questo campo è disponibile quando si imposta la modalità di sicurezza su Auto, EAP-FAST o EAP-PEAP. È un campo obbligatorio e può contenere al massimo 32 caratteri alfanumerici. Eseguire una delle seguenti operazioni:
Impostazione predefinita: vuoto |
| Password Wi-Fi | Consente di immettere la password per l'ID utente Wi-Fi specificato. Eseguire una delle seguenti operazioni:
Impostazione predefinita: vuoto |
| Banda di frequenza | Consente di selezionare la banda di frequenza del segnale wireless utilizzato nella WLAN. Eseguire una delle seguenti operazioni:
Impostazione predefinita: Auto |
| Selezione certificato | Consente di selezionare un tipo di certificato per la registrazione iniziale e il rinnovo del certificato nella rete wireless. Questo processo è disponibile solo per l'autenticazione 802.1X. Eseguire una delle seguenti operazioni:
Predefinito: Produzione installata |
Controllare lo stato di sicurezza del dispositivo sul telefono
Il telefono controlla automaticamente lo stato di sicurezza del dispositivo. Se vengono rilevate potenziali minacce alla sicurezza sul telefono, il menu Problemi e diagnostica può mostrare i dettagli dei problemi. In base ai problemi segnalati, l'amministratore può adottare misure per proteggere e rafforzare il telefono.
Lo stato di sicurezza del dispositivo è disponibile prima che il telefono venga registrato nel sistema di controllo delle chiamate (Webex Calling o BroadWorks).
Per visualizzare i dettagli dei problemi di sicurezza sullo schermo del telefono, procedere come segue:
| 1 |
Premere Impostazioni. |
| 2 |
Seleziona . Attualmente, il rapporto sulla sicurezza del dispositivo contiene i seguenti problemi:
|
| 3 |
Contatta l'amministratore per ricevere supporto e risolvere i problemi di sicurezza. |
