- Home
- /
- Articolo
Questo articolo della Guida è per Cisco Wireless Phone 9821 registrato su Cisco Unified Communications Manager (Unified CM).
È possibile abilitare Cisco Unified Communications Manager (Unified CM) per operare in un ambiente di sicurezza avanzata. Grazie a tali miglioramenti, la rete telefonica funziona rispettando una serie di severi controlli per la gestione della protezione e dei rischi al fine di proteggere i singoli utenti.
L'ambiente con protezione avanzata include le seguenti funzionalità:
-
Autenticazione della ricerca contatti
-
TCP come protocollo predefinito per la registrazione di controllo remoto
-
Criteri delle credenziali migliorati
-
Supporto per la famiglia SHA-2 di hash per le firme digitali
-
Supporto per una dimensione della chiave RSA fino a 4096 bit
Con Cisco Unified CM Release 14.0 o successiva, i telefoni supportano l'autenticazione OAuth SIP.
OAuth è supportato per il protocollo TFTP (Proxy Trivial File Transfer Protocol) con Cisco Unified CM Release 14.0 (1) SU1 o versione successiva.
Per ulteriori informazioni sulla sicurezza, vedere le guide seguenti:
-
Guida alla configurazione del sistema per Cisco Unified Communications Manager, Release 15 e SU
-
Guida alla sicurezza per Cisco Unified Communications Manager, Release 15 e SU
Il telefono può memorizzare solo un numero limitato di file ITL (Identity Trust List). I file ITL non possono superare i 64K sul telefono, quindi limita il numero di file che Cisco Unified CM invia al telefono.
Funzioni di sicurezza supportate
Le funzioni di sicurezza consentono di proteggere dalle minacce, comprese quelle all'identità del telefono e ai dati. Queste funzioni stabiliscono e mantengono flussi di comunicazioni autenticati tra il telefono e il server Cisco Unified Communications Manager e garantiscono che il telefono utilizzi solo file con firma digitale.
Cisco Unified Communications Manager Release 8.5(1) e versioni successive comprende Protezione per valore predefinito, che fornisce le seguenti funzioni di sicurezza ai telefoni IP Cisco senza dover eseguire il client CTL:
-
Firma dei file di configurazione del telefono
-
Crittografia del file di configurazione del telefono
-
HTTPS con Tomcat e altri servizi Web
Le funzioni dei supporti e di segnalazione protette richiedono ancora l'esecuzione del client CTL e l'utilizzo di eToken hardware.
Tramite l'implementazione della protezione nel sistema di Cisco Unified Communications Manager è possibile impedire il furto di identità del telefono e del server Cisco Unified Communications Manager, l'alterazione dei dati e della segnalazione delle chiamate e del flusso multimediale.
Per ridurre queste minacce, la rete di telefonia IP Cisco stabilisce e mantiene dei flussi di comunicazione protetti (crittografati) tra i telefoni e il server, aggiunge una firma digitale ai file prima del trasferimento sui telefoni e crittografa i flussi multimediali e la segnalazione delle chiamate tra i telefoni IP Cisco.
Dopo aver eseguito le attività necessarie associate a CAPF (Certificate Authority Proxy Function), sui telefoni viene installato un LSC (Locally Significant Certificate). È possibile utilizzare Cisco Unified Communications Manager Administration per configurare un LSC, come descritto nella Guida alla sicurezza #Cisco Unified Communications Manager. In alternativa, è possibile avviare l'installazione di un LSC dal menu Sicurezza sul telefono. Questo menu consente inoltre di aggiornare o rimuovere un LSC.
I telefoni utilizzano il profilo di protezione che ne definisce lo stato di protezione. Per informazioni sull'applicazione del profilo di protezione al telefono, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.
Se vengono configurate le impostazioni relative alla protezione in Cisco Unified Communications Manager Administration, il file di configurazione del telefono conterrà delle informazioni riservate. Per garantire la privacy del file di configurazione, è necessario configurarlo per la crittografia. Per informazioni dettagliate, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.
Nella tabella seguente viene presentata una panoramica delle funzioni di protezione supportate dai telefoni. Per ulteriori informazioni, consultare la documentazione relativa alla versione di Cisco Unified Communications Manager in uso.
|
Funzione |
Descrizione |
|---|---|
|
Autenticazione immagine |
I file binari con firma impediscono l'alterazione tramite l'immagine del firmware prima che tale immagine venga caricata sul telefono. La manomissione con l'immagine impedisce al telefono di eseguire il processo di autenticazione e determina il rifiuto della nuova immagine. |
|
Installazione del certificato del sito del cliente |
Ogni telefono IP Cisco richiede un certificato univoco per l'autenticazione del dispositivo. Nei telefoni è incluso un certificato MIC (Manufacturing Installed Certificate), ma per maggiore sicurezza, è possibile specificare l'installazione di un certificato su Cisco Unified Communications Manager Administration tramite CAPF (Certificate Authority Proxy Function). In alternativa, è possibile installare un Locally Significant Certificate (LSC) dal menu Sicurezza sul telefono. |
|
Autenticazione dispositivo |
Si verifica tra il server Cisco Unified Communications Manager e il telefono quando ciascuna entità accetta il certificato dell'altra. Determina se deve essere stabilita una connessione protetta tra il telefono e un server Cisco Unified Communications Manager e, se necessario, crea un percorso di segnalazione protetto tra le due entità mediante il protocollo TLS. Cisco Unified Communications Manager non registra i telefoni a meno che non sia in grado di autenticarli. |
|
Autenticazione file |
Convalida i file con firma digitale scaricati dal telefono. Il telefono convalida le firme per garantire che i file non siano stati alterati dopo la creazione. I file che non vengono autenticati non vengono scritti nella memoria flash del telefono. Il telefono rifiuta tali file senza ulteriore elaborazione. |
|
Crittografia file |
La crittografia impedisce la divulgazione delle informazioni riservate durante il passaggio del file verso il telefono. Inoltre, il telefono convalida la firma per garantire che il file non sia stato alterato dopo la creazione. I file che non vengono autenticati non vengono scritti nella memoria flash del telefono. Il telefono rifiuta tali file senza ulteriore elaborazione. |
|
Autenticazione segnalazione |
Utilizza il protocollo TLS per confermare che i pacchetti di segnalazione non siano stati alterati durante la trasmissione. |
|
MIC (Manufacturing Installed Certificate) |
Ciascun telefono IP Cisco contiene un certificato MIC (manufacturing installed certificate) univoco, utilizzato per l'autenticazione del dispositivo. Il certificato MIC rappresenta una garanzia univoca e permanente di identità per il telefono e consente a Cisco Unified Communications Manager di autenticare il telefono. |
|
Crittografia supporti |
Utilizza il protocollo SRTP per garantire che i flussi multimediali tra i dispositivi supportati risultino protetti e che solo il dispositivo previsto riceva e legga i dati. Comprende la creazione di una coppia di chiavi primaria di supporti per i dispositivi, la consegna delle chiavi ai dispositivi e la protezione della consegna delle chiavi durante il loro trasporto. |
|
CAPF (Certificate Authority Proxy Function) |
Implementa parti della procedura di generazione del certificato che richiedono elevati sforzi di elaborazione da parte del telefono e interagisce con il telefono per la generazione di chiavi e l'installazione del certificato. È possibile configurare CAPF in modo che richieda certificati da autorità di certificazione specificate dal cliente per conto del telefono, oppure per generare certificati localmente. Sono supportati entrambi i tipi di chiave EC (curva ellittica) e RSA. Per utilizzare la chiave EC, assicurarsi che il parametro "Endpoint Advanced Encryption Algorithms Support" (dal Enterprise) sia abilitato. Per ulteriori informazioni su CAPF e le configurazioni correlate, vedere i seguenti documenti: |
|
Profilo di protezione |
Definisce se il telefono è in stato non protetto, autenticato, crittografato o protetto. Le altre voci di questa tabella descrivono le funzioni di protezione. |
|
File di configurazione crittografati |
Consente di garantire la privacy dei file di configurazione del telefono. |
|
Disabilitazione facoltativa del server Web per i telefoni |
Per motivi di sicurezza, è possibile impedire l'accesso alle pagine Web del telefono (in cui vengono visualizzate diverse statistiche di operatività del telefono) e del portale Self Care. |
|
Aumento della sicurezza del telefono |
Ulteriori opzioni di protezione, controllabili da Cisco Unified Communications Manager Administration:
|
|
Failover SIP protetto per SRST |
In seguito alla configurazione di un riferimento SRST (Survivable Remote Site Telephony) per la protezione e alla reimpostazione dei dispositivi dipendenti in Cisco Unified Communications Manager Administration, il server TFTP aggiunge il certificato SRST al file cnf.xml del telefono e invia tale file al telefono. Un telefono protetto utilizza quindi una connessione TLS per interagire con il router SRST compatibile. |
|
Crittografia segnalazione |
Garantisce che tutti i messaggi di segnalazione SIP inviati tra il dispositivo e il server Cisco Unified Communications Manager siano crittografati. |
|
Avviso aggiornamento Trust List |
In caso di aggiornamenti della Trust List sul telefono, Cisco Unified Communications Manager riceve un avviso che indica il completamento o la mancata riuscita dell'aggiornamento. Per ulteriori informazioni, consultare la tabella seguente. |
|
Crittografia AES 256 |
Quando sono collegati a Cisco Unified Communications Manager Release 10.5(2) e versioni successive, i telefoni supportano la crittografia AES 256 per TLS e SIP per la segnalazione e la crittografia dei supporti. Ciò consente ai telefoni di avviare e supportare le connessioni TLS 1.2 tramite codici basati su AES-256 conformi a standard SHA-2 (Secure Hash Algorithm) e compatibili con FIPS (Federal Information Processing Standards). Le crittografie includono:
Per ulteriori informazioni, consultare la documentazione di Cisco Unified Communications Manager. |
|
Certificati Elliptic Curve Digital Signature Algorithm (ECDSA) |
Come parte della certificazione dei criteri comuni (CC), Cisco Unified Communications Manager ha aggiunto i certificati ECDSA nella versione 11.0. Ciò ha effetto su tutti i prodotti VOS (Voice Operating System) su cui è in esecuzione CUCM 11.5 e versioni successive. |
|
Certificato Tomcat multiserver (SAN) con Cisco UCM | Il telefono supporta Cisco UCM con certificati Tomcat multiserver (SAN) configurati. L'indirizzo del server TFTP corretto può essere trovato nel file ITL del telefono per la registrazione del telefono. Per ulteriori informazioni sulla funzionalità, vedere quanto segue: |
Nella tabella seguente vengono elencati i messaggi di avviso sull'aggiornamento della Trust List e il relativo significato. Per ulteriori informazioni, consultare la documentazione di Cisco Unified Communications Manager.
| Codice e messaggio | Descrizione |
|---|---|
|
1 - TL_SUCCESS |
Nuovo CTL e/o ITL ricevuto |
|
2 - CTL_INITIAL_SUCCESS |
Nuovo CTL ricevuto, nessuna TL esistente |
|
3 - ITL_INITIAL_SUCCESS |
Nuovo ITL ricevuto, nessuna TL esistente |
|
4 - TL_INITIAL_SUCCESS |
Nuovi CTL e ITL ricevuti, nessuna TL esistente |
|
5 - TL_FAILED_OLD_CTL |
Aggiornamento alla nuova CTL non riuscito, ma TL precedente disponibile |
|
6 - TL_FAILED_NO_TL |
Aggiornamento alla nuova TL non riuscito e nessuna TL precedente presente |
|
7 - TL_FAILED |
Errore generico |
|
8 - TL_FAILED_OLD_ITL |
Aggiornamento alla nuova ITL non riuscito, ma TL precedente disponibile |
|
9 - TL_FAILED_OLD_TL |
Aggiornamento alla nuova TL non riuscito, ma TL precedente disponibile |
Sicurezza delle telefonate
Se su un telefono sono state implementate delle funzioni di protezione, è possibile identificare le chiamate protette tramite le icone visualizzate sullo schermo del telefono. È inoltre possibile determinare se il telefono connesso è sicuro e protetto se all'inizio della chiamata viene riprodotta una tonalità di sicurezza.
In una chiamata protetta, tutti i flussi multimediali e di segnalazione delle chiamate sono crittografati. Le chiamate protette offrono un livello elevato di sicurezza e aggiungono integrità e privacy alla chiamata. Quando una chiamata in corso è crittografata, puoi vedere l'icona di sicurezza
Sulla linea.
-
Se la chiamata viene indirizzata tramite fasi di chiamata non IP, ad esempio PSTN, la chiamata potrebbe non essere protetta anche se è crittografata all'interno della rete IP e dispone di un'icona a forma di lucchetto associata.
-
Le chiamate protette sono supportate soltanto per le connessioni tra due telefoni. Alcune funzioni, come le chiamate in conferenza e le linee condivise, non sono disponibili se sono configurate le chiamate protette.
In Cisco Unified Communications Manager, ai telefoni configurati come sicuri (crittografati e attendibili) può essere assegnato uno stato protetto. Una volta protetti, questi dispositivi possono essere configurati per riprodurre un segnale di sicurezza all'inizio di ogni chiamata.
-
Dispositivo protetto:
Per modificare lo stato di un telefono protetto in protetto:
- In Cisco Unified Communications Manager Administration, selezionare .
- Individuare il telefono che si desidera configurare.
- Nella finestra Configurazione telefono, selezionare la casella di controllo Dispositivo protetto.
- Fare clic su Salva.
-
Riproduci tono di indicazione sicuro:
Per consentire al telefono protetto di riprodurre un segnale acustico sicuro o non protetto:
- In Cisco Unified Communications Manager Administration, selezionare .
- Selezionare il server e quindi il servizio Cisco CallManager .
- Nell'area Parametri a livello di cluster (funzione - Tono protetto), impostare il Tono di riproduzione per indicare lo stato della chiamata sicura/non protetta su True.
- Fare clic su Salva.
Identificazione sicura della chiamata in conferenza
È possibile avviare una chiamata in conferenza protetta e monitorare il livello di protezione dei partecipanti. Le chiamate in conferenza protette vengono effettuate mediante la procedura seguente:
-
Un utente avvia la conferenza da un telefono protetto.
-
Cisco Unified Communications Manager assegna un ponte conferenza protetto alla chiamata.
-
Durante l'aggiunta dei partecipanti, Cisco Unified Communications Manager verifica la modalità di protezione di ciascun telefono e mantiene il livello di protezione per la conferenza.
-
Il livello di protezione della chiamata in conferenza viene visualizzato sul telefono. Una conferenza sicura visualizza l'icona sicura
.
Le chiamate protette sono supportate per le connessioni tra due telefoni. Alcune funzioni, come ad esempio Chiamata in conferenza, Linee condivise e Mobilità interni telefonici, non sono disponibili sui telefoni protetti se sono configurate le chiamate protette.
Nella tabella seguente vengono fornite delle informazioni sulle modifiche dei livelli di protezione delle conferenze in base al livello di protezione del telefono da cui è stata avviata la chiamata in conferenza, ai livelli di protezione dei partecipanti e alla disponibilità dei ponti conferenza protetti.
|
Livello di protezione del telefono dell'utente che ha avviato la conferenza |
Funzione utilizzata |
Livello di protezione dei partecipanti |
Risultati dell'azione |
|---|---|---|---|
|
Non protetto |
Conferenza |
Protetto |
Ponte conferenza non protetto Conferenza non protetta |
|
Protetto |
Conferenza |
Almeno un membro non è protetto. |
Ponte conferenza protetto Conferenza non protetta |
|
Protetto |
Conferenza |
Protetto |
Ponte conferenza protetto Conferenza con livello di protezione crittografato |
|
Non protetto |
Conferenza automatica |
Il livello minimo di protezione è crittografato. |
L'iniziatore riceve il tono di riordino. |
|
Protetto |
Conferenza automatica |
Il livello minimo di protezione non è protetto. |
Ponte conferenza protetto Nella conferenza vengono accettate tutte le chiamate. |
Identificazione delle telefonate sicure
È possibile effettuare una chiamata protetta se il telefono in uso e il telefono dell'altra parte sono configurati per le chiamate protette. L'altro telefono può trovarsi sulla stessa rete IP Cisco o su una rete al di fuori della rete IP. È possibile effettuare delle chiamate protette soltanto tra due telefoni. In seguito all'impostazione del ponte conferenza, per le chiamate in conferenza dovrebbero essere supportate le chiamate protette.
Le chiamate protette vengono effettuate mediante la procedura seguente:
-
Un utente avvia la chiamata da un telefono protetto (modalità di protezione attivata).
-
Il telefono visualizza l'icona di sicurezza
Sullo schermo del telefono. Questa icona indica che il telefono è configurato per le chiamate protette, anche se ciò non garantisce che anche l'altro telefono connesso sia protetto. -
Se la chiamata viene connessa a un altro telefono protetto, viene riprodotta una tonalità di sicurezza per indicare che la conversazione è crittografata e protetta su entrambi i lati. Se la chiamata viene connessa a un telefono non protetto, non viene riprodotta nessuna tonalità di sicurezza.
Le chiamate protette sono supportate per le connessioni tra due telefoni. Alcune funzioni, come ad esempio Chiamata in conferenza, Linee condivise e Mobilità interni telefonici, non sono disponibili sui telefoni protetti se sono configurate le chiamate protette.
Solo i telefoni protetti possono riprodurre i toni indicativi protetti o non protetti. I telefoni non protetti non possono riprodurre alcun tono. Se lo stato complessivo della chiamata cambia mentre la chiamata è in corso, cambia anche il tono indicativo e il telefono protetto riproduce il tono appropriato.
Quando l'opzione Riproduci tono per indicare lo stato della chiamata sicura/non protetta è impostata su True:
-
Quando viene stabilita una connessione end-to-end protetta e lo stato della chiamata è protetto, sul telefono viene riprodotto il tono che indica che si tratta di una chiamata protetta (tre segnali acustici prolungati, interrotti da pause).
-
Quando viene stabilita una connessione end-to-end non protetta e lo stato della chiamata è non protetto, sul telefono viene riprodotto il tono che indica che si tratta di una chiamata non protetta (sei brevi segnali acustici, interrotti da pause brevi).
Se l'opzione Riproduci tono per indicare lo stato della chiamata sicura/non protetta è impostata su False, non viene riprodotto alcun segnale acustico.
Fornire la crittografia per la chiatta
Quando vengono effettuate delle conferenze, Cisco Unified Communications Manager verifica lo stato di protezione del telefono e modifica l'indicazione di protezione della conferenza o blocca il completamento della chiamata per mantenere integrità e protezione nel sistema.
Gli utenti non possono aggiungersi a una chiamata crittografata se il telefono in uso per l'inclusione non è configurato per la crittografia. Se in questo caso il processo di inclusione non riesce, sul telefono in cui è stato avviato tale processo viene riprodotto un tono di riordino (occupato rapido).
Se il telefono dell'utente che ha avviato la conferenza è configurato per la crittografia, l'utente che ha avviato il processo di inclusione può unirsi a una chiamata non protetta dal telefono crittografato. In seguito all'inclusione, Cisco Unified Communications Manager classifica la chiamata come non protetta.
Se il telefono dell'utente che ha avviato la conferenza è configurato per la crittografia, l'utente che ha avviato il processo di inclusione può unirsi a una chiamata crittografata e sul telefono viene indicato che la chiamata è crittografata.
Sicurezza LAN wireless
Dal momento che tutti i dispositivi WLAN all'interno della copertura possono ricevere tutto il traffico WLAN, la protezione delle comunicazioni vocali sulle reti WLAN assume un'importanza critica. Per garantire che gli intrusi non manipolino né intercettino il traffico vocale, l'architettura Cisco SAFE Security supporta il telefono. Per ulteriori informazioni sulla sicurezza nelle reti, vedere http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
La soluzione di telefonia Cisco Wireless IP fornisce la protezione della rete wireless che impedisce accessi non autorizzati e comunicazioni compromesse utilizzando i seguenti metodi di autenticazione supportati dal telefono.
-
Autenticazione aperta: tutti i dispositivi wireless possono richiedere l'autenticazione in un sistema aperto. L'AP che riceve la richiesta può concedere l'autenticazione a tutti i richiedenti o soltanto ai richiedenti presenti sull'elenco degli utenti. La comunicazione tra il dispositivo wireless e il punto di accesso (AP) potrebbe non essere crittografata.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autenticazione: questa architettura di sicurezza client-server crittografa le transazioni EAP all'interno di un tunnel Transport Level Security (TLS) tra il punto di accesso e il server RADIUS, ad esempio Identity Services Engine (ISE).
Il tunnel TLS utilizza le credenziali di accesso protetto (PAC, Protected Access Credential) per l'autenticazione tra il client (telefono) e il server RADIUS. Il server invia un ID di autorità (AID) al client (telefono) che a sua volta seleziona le credenziali PAC appropriate. Il client (telefono) restituisce una chiave PAC-Opaque al server RADIUS. Il server decrittografa la chiave PAC con la chiave primaria. In entrambi gli endpoint è adesso presente la chiave PAC ed è stato creato un tunnel TLS. EAP-FAST supporta il provisioning PAC automatico, ma occorre abilitarlo sul server RADIUS.
In ISE, per impostazione predefinita, la PAC scade tra una settimana. Se sul telefono è presente una chiave PAC scaduta, l'autenticazione con il server RADIUS impiega più tempo perché il telefono deve ottenere una nuova chiave PAC. Per evitare ritardi nel provisioning della PAC, impostare il periodo di scadenza della PAC su 90 giorni o più sul server ISE o RADIUS.
-
Autenticazione EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): per EAP-TLS è necessario disporre di un certificato client per l'autenticazione e l'accesso alla rete. Per il wireless EAP-TLS, il certificato client può essere MIC, LSC, o certificato installato dall'utente.
-
Protected Extensible Authentication Protocol (PEAP): schema proprietario di Cisco di autenticazione reciproca basata su password tra il client (telefono) e il server RADIUS. Il telefono può utilizzare PEAP per l'autenticazione con la rete wireless. Sono supportati entrambi i metodi di autenticazione PEAP-MSCHAPV2 e PEAP-GTC.
-
Chiave precondivisa (PSK): il telefono supporta i formati ASCII ed esadecimale (HEX). È necessario utilizzare questi formati quando si imposta una chiave precondivisa WPA2/SAE.
ASCII: una stringa di caratteri ASCII con lunghezza da 8 a 63 caratteri (0-9, a-z minuscola, maiuscola A-Z e caratteri speciali). Ad esempio,
GREG123567@9ZX&W.HEX: una stringa di caratteri esadecimali con 64 cifre esadecimali di lunghezza (0-9, a-f o A-F).
Gli schemi di autenticazione riportati di seguito utilizzano il server RADIUS per la gestione delle chiavi di autenticazione:
-
WPA2/WPA3: utilizza le informazioni sul server RADIUS per generare delle chiavi univoche per l'autenticazione. Dal momento che tali chiavi vengono generate sul server RADIUS centralizzato, il metodo WPA2/WPA3 fornisce più protezione rispetto alle chiavi WPA già condivise memorizzate sull'AP e sul telefono.
-
Roaming veloce protetto: utilizza le informazioni sul server RADIUS e sul server di dominio wireless (WDS) per la gestione e l'autenticazione delle chiavi. WDS crea una cache di credenziali di sicurezza per i dispositivi client abilitati FT per una riautenticazione rapida e sicura.
Con WPA2/WPA3, le chiavi di crittografia non vengono inserite sul telefono, ma vengono derivate automaticamente tra l'AP e il telefono. Tuttavia, è necessario immettere su ciascun telefono il nome utente e la password EAP utilizzati per l'autenticazione.
Per proteggere il traffico vocale sul collegamento wireless, il telefono supporta la crittografia basata su AES per l'autenticazione WPA2/WPA3. AES è un cifrario a blocchi simmetrico standardizzato dal NIST. AES utilizza una dimensione fissa del blocco di 128 bit e supporta chiavi di 128 bit, 192 bit e 256 bit. Nelle reti Wi-Fi, AES viene utilizzato da suite di crittografia come CCMP o GCMP, mentre l'autenticazione viene fornita separatamente da PSK, SAE o 802.1X/EAP, a seconda della modalità di sicurezza WLAN configurata. La suite di crittografia supportata e la dimensione della chiave dipendono dal modello del telefono e dalla configurazione WLAN.
Quando il telefono utilizza la crittografia AES, sia i pacchetti SIP di segnalazione che i pacchetti RTP (Real-Time Transport Protocol) vocali vengono crittografati tra l'AP e il telefono.
Gli schemi di autenticazione e crittografia vengono impostati all'interno della LAN wireless. Le VLAN vengono configurate nella rete e sull'AP e specificano diverse combinazioni di autenticazione e crittografia. Un SSID effettua l'associazione con una VLAN e lo schema di autenticazione e crittografia specifico. Affinché i dispositivi client wireless vengano autenticati correttamente, è necessario configurare gli stessi SSID con i relativi schemi di autenticazione e crittografia sugli AP e sul telefono.
Alcuni schemi di autenticazione richiedono tipi specifici di crittografia.
Quando si utilizza la chiave precondivisa WPA2 o SAE, la chiave già condivisa deve essere impostata staticamente sul telefono. Queste chiavi devono corrispondere a quelle presenti sull'AP.
Gli schemi di autenticazione e crittografia nella tabella seguente mostrano le opzioni di configurazione di rete per Cisco Wireless Phone 9821 corrispondente alla configurazione del punto di accesso.
| Tipo FSR | Autenticazione | Gestione delle chiavi | Crittografia | Frame di gestione protetto (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | No |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Sì |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | No |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sì |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | No |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sì |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | No |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sì |
| non-FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Sì |
| non-FT | Suite-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Sì |
Imposta un profilo Wi-Fi
È possibile configurare un profilo Wi-Fi e assegnarlo al telefono wireless Cisco 9821. Questo profilo contiene i parametri necessari affinché il telefono stabilisca una connessione Wi-Fi e successivamente si registri con Cisco Unified CM. Quando si crea e si utilizza un profilo Wi-Fi, non è necessario configurare la rete wireless per i singoli telefoni.
Quando si utilizza un profilo Wi-Fi, consiglia di utilizzare un profilo di protezione con crittografia TFTP abilitata per proteggere le chiavi e le password.
I telefoni supportano un unico certificato del server per ogni metodo di installazione (manuale, SCEP o TFTP).
Prima di configurare il profilo WLAN, tenere presenti le seguenti note:
-
Nome utente e password
-
Se sulla rete vengono utilizzati i metodi EAP-FAST e PEAP per l'autenticazione dell'utente, è necessario configurare il nome utente e la password se richiesti sul servizio RADIUS (Remote Authentication Dial-In User Service) e sul telefono.
- Le credenziali immesse nel profilo LAN wireless devono essere identiche a quelle configurate sul server RADIUS.
-
Se all'interno della rete vengono utilizzati dei domini, è necessario immettere il nome utente insieme al nome del dominio nel formato
dominio/nome utente.
-
-
Le seguenti azioni potrebbero cancellare la password Wi-Fi esistente:
- Immissione di un ID utente o di una password non validi
- Installazione di un certificato principale CA non valido o scaduto se il tipo EAP è impostato su PEAP-MSCHAPV2 o PEAP-GTC
- Disabilitazione del tipo EAP in uso sul server RADIUS di impostare il nuovo tipo di EAP sul telefono
- Per modificare il tipo di EAP, assicurarsi di abilitare prima il nuovo tipo di EAP sul server RADIUS, quindi impostarlo sul telefono. Una volta che tutti i telefoni sono stati modificati impostando il nuovo tipo EAP, se si desidera, è possibile disabilitare il tipo EAP precedente.
| 1 |
In Cisco Unified Communications Manager Administration, selezionare . |
| 2 |
Fare clic su Aggiungi nuovo. |
| 3 |
Nella sezione Informazioni sul profilo LAN wireless, impostare i parametri:
|
| 4 |
Nella sezione Informazioni wireless, impostare i parametri:
|
| 5 |
Nella sezione Impostazioni di autenticazione impostare il Metodo di autenticazione su uno dei seguenti metodi di autenticazione: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK e None. Cisco Il telefono wireless 9821 non supporta WEP. Una volta impostato questo campo, potrebbero essere visualizzati altri campi da impostare.
Cisco Il telefono wireless 9821 non supporta il campo Profilo di accesso alla rete. |
| 6 |
Fare clic su Salva. |
Come procedere
Associare il profilo LAN wireless a un gruppo di profili WLAN, quindi applicare il gruppo di profili WLAN a un pool di dispositivi () o direttamente al telefono ().
Installare un certificato utente dalla pagina Web di amministrazione telefono
È possibile installare manualmente un certificato utente sul telefono se il protocollo SCEP (Simple Certificate Enrollment Protocol) non è disponibile.
È possibile utilizzare il certificato MIC (Manufacturing Installed Certificate) preinstallato come certificato utente per EAP-TLS.
Dopo l'installazione del certificato utente, è necessario aggiungere la catena di CA che ha emesso il certificato utente all'elenco di attendibilità del server RADIUS.
Operazioni preliminari
Prima di installare un certificato utente per un telefono, è necessario disporre di quanto segue:
-
Un certificato utente salvato sul computer. Il certificato deve essere in formato PKCS #12.
-
La password di estrazione del certificato. La lunghezza della password non deve superare i 32 caratteri.
| 1 |
Dalla pagina Web di amministrazione del telefono, selezionare Certificati. |
| 2 |
Individuare il campo Installato dall'utente e fare clic su Installa. |
| 3 |
Selezionare il certificato sul PC. |
| 4 |
Nel campo Password di estrazione, immettere la password di estrazione del certificato. |
| 5 |
Fare clic su Carica. |
| 6 |
Al termine del caricamento, riavviare il telefono. |
Installare una CA del server di autenticazione dalla pagina Web di amministrazione telefono
È possibile installare manualmente una CA del server di autenticazione sul telefono se il protocollo SCEP (Simple Certificate Enrollment Protocol) non è disponibile.
È necessario installare il certificato CA radice che ha emesso il certificato del server RADIUS.
Operazioni preliminari
Prima di poter installare un certificato in un telefono, è necessario che nel PC sia stata salvata una CA del server di autenticazione. Il certificato deve essere codificato in PEM (in base 64) o DER.
| 1 |
Dalla pagina Web di amministrazione del telefono, selezionare Certificati. |
| 2 |
Individuare il campo CA server di autenticazione e fare clic su Installa. |
| 3 |
Selezionare il certificato sul PC. |
| 4 |
Fare clic su Carica. |
| 5 |
Al termine del caricamento, riavviare il telefono. |
Rimuovere manualmente un certificato di sicurezza dalla pagina Web di amministrazione telefono
Se il protocollo SCEP (Simple Certificate Enrollment Protocol) non è disponibile, è possibile rimuovere manualmente un certificato utente dal telefono.
| 1 |
Dalla pagina Web di amministrazione del telefono, selezionare Certificati. |
| 2 |
Individuare il certificato nella pagina Certificati. |
| 3 |
Fare clic su Elimina. |
| 4 |
Una volta completata la procedura di eliminazione, riavviare il telefono. |
Configurare SCEP
Il Simple Certificate Enrollment Protocol (SCEP) rappresenta lo standard per la fornitura e il rinnovo automatici di certificati. Evita l'installazione manuale dei certificati sui telefoni.
Attivare i parametri di configurazione specifici del prodotto SCEP
È necessario configurare i seguenti parametri SCEP su Cisco Unified Communications Manager (Unified CM).
-
RA IP indirizzo o nome host
-
Firma digitale SHA-1 o SHA-256 oppure certificato CA principale per il server SCEP
L'autorità di registrazione Cisco IOS viene utilizzata come proxy per il server SCEP. Il client SCEP sul telefono utilizza i parametri scaricati da Cisco Unified CM. Dopo aver configurato i parametri, il telefono invia una richiesta getcs SCEP alla RA e il certificato CA radice viene convalidato utilizzando l'impronta digitale definita.
| 1 |
Da Cisco Unified Communications Manager Administration, seleziona . |
| 2 |
Individuare il telefono. |
| 3 |
Scorrere fino all'area Layout configurazione specifica del prodotto. |
| 4 |
Selezionare la casella di controllo WLAN SCEP Server per attivare il parametro SCEP. |
| 5 |
Selezionare la casella di controllo WLAN Root CA Fingerprint (SHA256 or SHA1) per attivare il parametro SCEP QED. |
Supporto server SCEP
Se si utilizza un server SCEP (Simple Certificate Enrollment Protocol), il server è in grado di gestire automaticamente i certificati del server e degli utenti. Sul server SCEP, configurare l'agente di registrazione (RA) di SCEP in modo per:
-
Fungere da trust point per l'infrastruttura a chiave pubblica (PKI)
-
Fungere da agente di registrazione (RA) per l'infrastruttura a chiave pubblica (PKI)
-
Eseguire l'autenticazione del dispositivo utilizzando un server RADIUS
Per ulteriori informazioni, consulta la documentazione del server SCEP.
Impostazione di un certificato importante in locale (LSC, Locally Significant Certificate)
Esistono alcuni metodi per installare un LSC. Questa attività di esempio si applica all'impostazione di un LSC con il metodo della stringa di autenticazione su Cisco Wireless Phone 9821.
Operazioni preliminari
Assicurarsi che le configurazioni di sicurezza Cisco Unified CM e certificate authority proxy function (CAPF) appropriate siano complete.
-
Il file CTL o ITL dispone di un certificato CAPF.
-
In Cisco Unified Communications Operating System Administration, verificare che il certificato CAPF sia installato.
-
Il certificato CAPF è in esecuzione e configurato.
Per ulteriori informazioni su queste impostazioni, vedere la documentazione per la release Cisco Unified CM specifica.
| 1 |
Ottenere la stringa di autenticazione CAPF impostata al momento della configurazione di CAPF. |
| 2 |
Sul telefono, accedi alle Impostazioni |
| 3 |
Selezionare . |
| 4 |
Immettere la stringa di autenticazione. |
| 5 |
Premi Altro A seconda della configurazione del certificato CAPF, il telefono avvia l'installazione, l'aggiornamento o la rimozione del certificato LSC. Al termine della procedura, sul telefono viene visualizzato il messaggio Installato o Non installato. Il completamento del processo di installazione, aggiornamento o rimozione del certificato LSC potrebbe richiedere diversi istanti. Se la procedura di installazione del telefono riesce correttamente, viene visualizzato il messaggio |
Autenticazione 802.1X per reti cablate
Cisco Wireless Phone 9821 supporta l'autenticazione 802.1X per le reti cablate. Viene in genere utilizzato durante il provisioning automatico quando il telefono è collegato al caricabatterie da tavolo tramite un adattatore USB-Ethernet supportato.
Il supporto per l'autenticazione 802.1X su reti cablate richiede diversi componenti, come indicato di seguito:
-
Telefono IP Cisco: il telefono avvia la richiesta di accesso alla rete. I telefoni IP Cisco sono dotati di un richiedente 802.1X. Tale richiedente consente agli amministratori di rete di controllare la connettività dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella versione corrente del richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST e EAP-TLS.
-
Server di autenticazione: il server di autenticazione e lo switch devono essere entrambi configurati con un segreto condiviso RADIUS.
-
Switch: lo switch deve supportare 802.1X, in modo che possa fungere da autenticatore e inoltrare i messaggi EAP tra il telefono e il server di autenticazione. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.
I telefoni IP Cisco e gli switch Cisco Catalyst generalmente utilizzano il protocollo CDP (Cisco Discovery Protocol) per l'identificazione reciproca e per l'individuazione di parametri come l'allocazione VLAN e i requisiti di alimentazione in linea.
Per configurare l'autenticazione 802.1X, è necessario effettuare i passaggi seguenti.
-
Configurare CDP/LLDP voce VLAN bypass.
-
Configurare il server di autenticazione e lo switch prima di abilitare l'autenticazione 802.1X per le reti cablate sul telefono.
-
Configura rete VLAN vocale: dal momento che lo standard 802.1X non prende in considerazione le reti VLAN, è consigliabile configurare questa impostazione in base al tipo di supporto dello switch in uso.
- Abilitato: se si utilizza un interruttore che supporta l'autenticazione multidominio, è possibile configurarlo per l'utilizzo della voce VLAN.
- Disabilitato: se lo switch non supporta l'autenticazione multidominio, disabilitare la VLAN vocale e valutare di assegnare la porta alla rete VLAN nativa.
-
Cisco Wireless Phone 9821 ha un prefisso diverso nel PID da quello per gli altri telefoni Cisco. Per consentire al telefono di superare l'autenticazione 802.1X, impostare il raggio· Nome utente per includere il telefono wireless Cisco 9821.
Ad esempio, il PID di Cisco Wireless Phone 9821 è WP-9821. È possibile impostare Radius· Nome utente per
iniziare con WPoContiene WPin entrambe le seguenti sezioni: -
Abilitare l'autenticazione 802.1X per le reti cablate sul telefono
Attenersi alla seguente procedura per abilitare l'autenticazione 802.1X per le reti cablate sul telefono. Si noti che l'autenticazione 802.1X per Wi-Fi è abilitata per impostazione predefinita e non richiede alcuna configurazione manuale.
| 1 |
Accedi alle Impostazioni |
| 2 |
Se richiesto, immettere la password per accedere al menu Impostazioni . È possibile ottenere la password dall'amministratore. |
| 3 |
Selezionare 802.1X. |
| 4 |
Evidenziare Autenticazione dispositivo e premere On. |
Abilitare l'autenticazione 802.1X per le reti cablate in Cisco Unified Communications Manager Administration
Attenersi alla seguente procedura per abilitare l'autenticazione 802.1X per le reti cablate su Cisco Unified CM. Si noti che l'autenticazione 802.1X per Wi-Fi è abilitata per impostazione predefinita e non richiede alcuna configurazione manuale.
È possibile visualizzare lo stato della transazione e le impostazioni di sicurezza nel menu dello schermo del telefono. Per ulteriori informazioni, vedere Menu Impostazioni di sicurezza sul telefono.
| 1 |
In Cisco Unified Communications Manager Administration, selezionare Dispositivo > Telefono. |
| 2 |
Individuare il telefono che si desidera configurare. |
| 3 |
Passare all'area Layout di configurazione specifico del prodotto. |
| 4 |
Selezionare Abilitato dal menu a discesa Autenticazione 802.1x. Se configurata su Abilitato o Disabilitato, l'opzione Autenticazione dispositivo su Cisco Wireless Phone 9821 diventa di sola lettura, impedendo agli utenti di modificare le impostazioni di autenticazione 802.1X. |
| 5 |
Selezionare Salva. |
| 6 |
Selezionare Applica configurazione. |
Menu delle impostazioni di sicurezza sul telefono
Per visualizzare le informazioni sulle impostazioni di sicurezza dal menu del telefono, accedere a Impostazioni
e selezionare 802.1X. La disponibilità delle informazioni dipende dalle impostazioni di rete dell'organizzazione.
|
Parametri |
Opzioni |
Impostazione predefinita |
Descrizione |
|---|---|---|---|
|
Autenticazione dispositivo |
Attivato Spento |
Spento |
Abilita o disabilita l'autenticazione 802.1X sul telefono. L'impostazione dei parametri può essere mantenuta dopo la registrazione Out-Of-Box (OOB) del telefono. |
|
Stato transazione | Disabilitato |
Visualizza lo stato dell'autenticazione 802.1X. Lo stato può essere (non limitato a):
| |
|
Protocollo | Nessuno |
Visualizza il metodo EAP utilizzato per l'autenticazione 802.1X. Il protocollo può essere EAP-FAST o EAP-TLS. |
Configurare le versioni supportate di TLS
È possibile impostare la versione minima di TLS richiesta rispettivamente per client e server.
Per impostazione predefinita, la versione TLS minima di server e client è 1.2. L'impostazione ha un impatto sulle seguenti funzioni:
- Connessione di accesso Web HTTPS
- Onboarding per telefono locale
- Servizi HTTPS, ad esempio i servizi directory
- Sicurezza DTLS (Transport Layer Security) del datagramma
- Entità di accesso alle porte (PAE)
- Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
Per ulteriori informazioni sulla compatibilità TLS 1.3 per Cisco IP Phones, vedere TLS Matrice di compatibilità 1.3 per i prodotti di collaborazione Cisco.
| 1 |
In Cisco Unified Communications Manager Administration, esegui una delle seguenti azioni in base alle esigenze:
La configurazione segue una struttura gerarchica:
|
| 2 |
Impostare il campo TLS Client Min Version : L'opzione TLS 1.3 è disponibile su Cisco Unified CM 15SU2 o versioni successive.
|
| 3 |
Impostare il campo TLS Server Min Version :
|
| 4 |
Fare clic su Salva. |
| 5 |
Fare clic su Applica configurazione. |
| 6 |
Riavviare i telefoni. |
TURN spento il vivavoce e l'auricolare su Cisco Wireless Phone 9821
È possibile TURN in modo permanente disattivare il vivavoce e l'auricolare su un telefono wireless Cisco 9821 per l'utente. La disattivazione di queste uscite audio garantisce che le conversazioni non vengano ascoltate da altre persone vicine, il che è importante in ambienti di ufficio condivisi o aperti.
| 1 |
In Cisco Unified Communications Manager Administration, selezionare . |
| 2 |
Individuare il telefono che si desidera configurare. |
| 3 |
Passare all'area Layout di configurazione specifico del prodotto. |
| 4 |
Selezionare una o più delle seguenti caselle di controllo per TURN disattivare le funzionalità del telefono:
Per impostazione predefinita, queste caselle di controllo sono deselezionate. |
| 5 |
Selezionare Salva. |
| 6 |
Selezionare Applica configurazione. |
