- ホーム
- /
- 投稿記事
コメントありがとうございます。
Cisco IP 電話のセキュリティ
この記事の内容
フィードバックがある場合このヘルプ記事は、Cisco BroadWorks に登録されている Cisco Desk Phone 9800 シリーズおよび Cisco Video Phone 8875 に関するものです。
カスタム デバイス証明書を手動でインストール
電話機の管理 Web ページから証明書をアップロードすることで、電話機にカスタム デバイス証明書(CDC)を手動でインストールできます。
始める前に
電話機のカスタム デバイス証明書をインストールする前に、次のものが必要です。
- PC に保存されている証明書ファイル (.p12 または .pfx)。 ファイルには証明書とプライベート キーが含まれています。
- 証明書の抽出パスワード。 パスワードは証明書ファイルの復号に使用されます。
| 1 |
電話機の管理 Web ページにアクセスします。 |
| 2 |
証明書を選択 |
| 3 |
[証明書の追加] セクションで、[参照...] をクリックします。 |
| 4 |
PC の証明書を参照します。 |
| 5 |
[パスワードの抽出] フィールドに、証明書抽出パスワードを入力します。 |
| 6 |
[アップロード] をクリックします。 証明書ファイルとパスワードが正しい場合、「証明書が追加されました。」というメッセージを受け取ります。 それ以外の場合、アップロードは失敗し、証明書をアップロードできないことを示すエラー メッセージが表示されます。
|
| 7 |
インストールされている証明書の詳細を確認するには、[既存の証明書] セクションの [表示] をクリックします。 |
| 8 |
インストールされている証明書を電話機から削除するには、[既存の証明書] セクションで [削除] をクリックします。 ボタンをクリックすると、確認なしですぐに削除操作が開始されます。
証明書が正常に削除されると、「証明書が削除されました。」というメッセージが表示されます。 |
SCEP によるカスタム デバイス証明書を自動的にインストール
証明書ファイルを手動でアップロードしない場合、または証明書ファイルが設定されていない場合は、Simple Certificate Enrollment Protocol(SCEP)パラメータを設定して、カスタム デバイス証明書(CDC)を自動的にインストールすることができます。
SCEP パラメータが正しく設定されている場合、電話機は SCEP サーバに要求を送信し、定義された指紋を使用してデバイスによって CA 証明書が検証されます。
始める前に
電話機のカスタム デバイス証明書の自動インストールを実行する前に、次のことを実行する必要があります。
- TFTP サーバーアドレス
- SCEP サーバのルート CA 証明書の SHA-1 または SHA-256 フィンガープリント
| 1 |
電話機の管理 Web ページにアクセスします。 |
| 2 |
証明書を選択 |
| 3 |
[SCEP 設定 1] セクションで、次の表の [SCEP 設定のパラメータ] の説明に従ってパラメータを設定します。 |
| 4 |
[すべての変更を提出] をクリックします。 |
SCEP 設定のパラメータ
次の表は、電話機のウェブインターフェイスの [証明書] タブの下にある [SCEP 設定 1] セクションにおける SCEP 設定パラメータの機能と使用方法を定義しています。 また、パラメータを設定するために電話機設定ファイル(cfg.xml)に追加される文字列のシンタックスを定義します。
| パラメータ | 説明 |
|---|---|
| サーバー |
TFTP サーバーアドレス このパラメータは必須です。 次のいずれかを実行します。
有効な値: URL または IP アドレス。 HTTPS スキームはサポートされていません。 既定: 空です |
| ルート CA の指紋認証 |
SCEP プロセス中の検証のためのルート CA の SHA256 または SHA1 フィンガープリント。 このパラメータは必須です。 次のいずれかを実行します。
既定: 空です |
| パスワードの変更 |
SCEP 経由で証明書登録中の電話機に対する認証局(CA)認証のチャレンジパスワード。 この引数は任意です。 実際の SCEP 環境に応じて、チャレンジパスワードの動作は異なります。
次のいずれかを実行します。
既定: 空です |
DHCP オプション 43 経由の SCEP パラメータ設定
電話機の Web ページの手動設定による SCEP 証明書の登録に加えて、DHCP オプション 43 を使用して DHCP サーバからパラメータを入力することもできます。 DHCP オプション 43 は SCEP パラメータで事前に設定されており、後で電話機は DHCP サーバからパラメータを取得して SCEP 証明書の登録を実行できます。
- DHCP オプション 43 経由の SCEP パラメータ設定は、工場出荷時の状態にリセットされる電話機でのみ使用できます。
- 電話機は、オプション 43 とリモート プロビジョニング(オプション 66、160、159、150、またはクラウド プロビジョニング)の両方をサポートするネットワークに配置しないでください。 それ以外の場合、電話機はオプション 43 の設定を取得できない場合があります。
DHCP オプション 43 で SCEP パラメータを設定して SCEP 証明書を登録するには、次の手順を実行します。
- SCEP 環境を準備します。
SCEP 環境のセットアップの詳細については、SCEP サーバのマニュアルを参照してください。
- DHCP オプション 43 をセットアップします (8.4 Vendor Specific Information、RFC 2132 で定義)。
サブオプション (10–15) は、次のメソッドに予約されています。
電話機の Web ページのパラメータ サブオプション タイプ 長さ (バイト) 必須 FIPS モード 10 ブール値 1 いいえ* サーバー 11 文字列 208 - 長さ (チャレンジパスワード) はい ルート CA の指紋認証 12 バイナリ 20 または 32 はい パスワードの変更 13 文字列 208 - 長さ (サーバー) いいえ* LDAP 認証を有効にする 14 ブール値 1 いいえ 選択した証明書: 15 符号なし 8 ビット 1 いいえ DHCP オプション 43 を使用する場合は、次の方法に注意してください。
- サブオプション(10 ~ 15)は、カスタム デバイス証明書(CDC)用に予約されています。
- DHCP オプション 43 の最大長は 255 バイトです。
- サーバー + チャレンジパスワードの最大長は 208 バイト未満です。
- FIPS モードの値は、オンボーディング プロビジョニング設定と一致する必要があります。 それ以外の場合、電話機はオンボーディング後に以前にインストールされた証明書を取得できません。 具体的には、次の操作を行います。
- 電話機が FIPS モードが無効になっている環境に登録されている場合、DHCP オプション 43 でパラメータ FIPS モード を設定する必要はありません。 デフォルトでは、FIPS モードは無効になっています。
- 電話機が FIPS モードが有効になっている環境に登録される場合は、DHCP オプション 43 で FIPS モードを有効にする必要があります。 詳細については、「FIPS モードを有効にする」を参照してください。
- オプション 43 のパスワードはクリアテキストです。
チャレンジパスワードが空の場合、電話機は最初の登録と証明書の更新に MIC/SUDI を使用します。 チャレンジパスワードが設定されている場合、初期登録にのみ使用され、インストールされた証明書が証明書の更新に使用されます。
- 802.1X 認証を有効にすると証明書の選択は、有線ネットワーク内の電話機にのみ使用されます。
- DHCP オプション 60(ベンダークラスの識別子)は、デバイス モデルを識別するために使用されます。
次の表に、DHCP オプション 43(サブオプション 10 ~ 15)の例を示します。
小数/16 進数サブオプション 値の長さ (バイト) 10 進数/16 進数 値 新しい値 10/0a 1101 1 (0: 無効; 1: 有効 01 11/0b 2018 年 12 月 18 日 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625c5b755d73f5925285f8f5ff5d55af 12040870625c5b755d73f5925285f8f5ff5d55af 13/0d 10 月 16 日 d233ccf9b9952a15 44323333434346394239393532413135 14/0日 1101 1 (0: いいえ; 1: Yes* 01 15/0f 1101 1 (0: 製造のインストール; 1: カスタムインストール済み) 01 パラメータ値の概要:
-
FIPS モード = 有効
-
サーバー =
http://10.79.57.91 -
ルート CA フィンガープリント = 12040870625C5B755D73F5925285F8F5FF5D55AF
-
チャレンジパスワード = D233CCF9B9952A15
-
802.1X 認証の有効化 = はい
-
証明書の選択 = カスタムインストール
最終的な 16 進値の構文は次のとおりです。
{<suboption><length><value>}...上記のパラメータ値に従って、最後の 16 進値は次のとおりです。
0a01010b126874703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d104432333343434639423939353241350e01010f0101 - DHCP サーバで DHCP オプション 43 を設定します。この手順では、Cisco Network Register の DHCP オプション 43 設定の例を示します。
- DHCP オプション定義セットを追加します。
ベンダー オプション文字列は、IP 電話のモデル名です。 有効な値: DP-9841、DP-9851、DP-9861、DP-9871、または CP-8875。
- DHCP オプション 43 とサブオプションを DHCP オプション定義セットに追加します。
例:
- オプション 43 を DHCP ポリシーに追加し、次のように値を設定します。
例:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - 設定を確認します。 Wireshark を使用して、電話機とサービス間のネットワーク トラフィックのトレースをキャプチャできます。
- DHCP オプション定義セットを追加します。
- 電話機の工場出荷時の状態にリセットします。
電話機のリセット後、パラメータ [サーバー]、[ルート CA フィンガープリント]、および [チャレンジパスワード] が自動的に入力されます。 これらのパラメータは、電話管理 Web ページの [証明書] > [] セクションにあります。
インストールされている証明書の詳細を確認するには、[既存の証明書] セクションの [表示] をクリックします。
証明書のインストールステータスを確認するには、[] を選択します。 [ダウンロード ステータス 1] に最新の結果が表示されます。 証明書の登録中に問題が発生した場合、ダウンロード ステータスにトラブルシューティングの目的で問題の理由が表示されます。
チャレンジパスワード認証が失敗した場合、ユーザは電話画面でパスワードの入力が求められます。 - (オプション) インストールされている証明書を電話機から削除するには、[既存の証明書] セクションで [削除] をクリックします。ボタンをクリックすると、確認なしですぐに削除操作が開始されます。
SCEP による証明書の更新
デバイス証明書は、SCEP プロセスによって自動的に更新されます。
- 電話機は、証明書の有効期限が 4 時間ごとに 15 日以内に切れるかどうかを確認します。 その場合、電話機は証明書の更新プロセスを自動的に開始します。
- チャレンジパスワードが空の場合、電話機は初期登録と証明書の更新の両方に MIC/SUDI を使用します。 チャレンジパスワードが設定されている場合、初期登録のみに使用され、既存またはインストール済みの証明書が証明書の更新に使用されます。
- 電話機は、新しいデバイス証明書を取得するまで、古いデバイス証明書を削除しません。
- デバイスの証明書または CA の期限が切れているために証明書の更新に失敗した場合、電話機は最初の登録を自動的にトリガーします。 その間、チャレンジパスワード認証が失敗した場合、パスワード入力画面が電話画面にポップアップ表示され、ユーザは電話機でチャレンジパスワードの入力を求められます。
FIPS モードの有効化
電話機の Federal Information Processing Standards(FIPS)に準拠させることができます。
FIPSは、非軍事政府、および政府請負業者や代理店と連携するベンダーで使用するための文書処理、暗号化アルゴリズム、その他の情報技術基準を記述する一連の規格です。 CiscoSSL FOM (FIPS Object Module) は、慎重に定義されたソフトウェアコンポーネントであり、CiscoSSL ライブラリとの互換性のために設計されているため、CiscoSSL ライブラリと API を使用する製品は、最小限の労力で FIPS 140-2 検証済み暗号を使用するように変換できます。
| 1 |
電話機の管理 Web ページにアクセスします。 |
| 2 |
[音声 > システム] の順に選択します。 |
| 3 |
[セキュリティ設定] セクションで、[FIPS モード] パラメータから [はい] または [いいえ] を選択します。 |
| 4 |
[すべての変更を提出] をクリックします。 FIPS を有効にすると、次の機能が電話機でシームレスに機能します。
|
セキュリティ証明書を手動で削除
Simple Certificate Enrollment Protocol(SCEP)が利用できない場合、電話機からセキュリティ証明書を手動で削除できます。
| 1 |
電話機の管理 Web ページで、[証明書] を選択します。 |
| 2 |
[証明書] ページで証明書を見つけます。 |
| 3 |
[削除] をクリックします。 |
| 4 |
削除プロセスが完了すると、電話機を再起動します。 |
ユーザーおよび管理者のパスワードを設定
電話機をコール制御システムに初めて登録した後、または電話機で工場出荷時の状態にリセットした後、電話機のセキュリティを強化するために、ユーザと管理者のパスワードを設定する必要があります。 パスワードが設定されている場合のみ、電話機の Web ページから変更を送信できます。
デフォルトでは、パスワードなしの警告は電話機で有効になっています。 電話機にユーザまたは管理者パスワードがない場合、次の警告が表示されます。
- 電話機のウェブページには、「管理者のパスワードが指定されていません。 ウェブは読み取り専用モードであるため、変更を送信できません。 パスワードを変更してください」と左上隅にあります。
[ユーザーパスワード] フィールドと [管理者パスワード] フィールドは、空の場合、[パスワードが指定されていません] という警告をそれぞれ表示します。
- 電話画面の [問題と診断] に、「パスワードが指定されていません」という問題が表示されます。
| 1 |
電話機の管理 Web ページへのアクセス |
| 2 |
[音声 > システム] の順に選択します。 |
| 3 |
(オプション) [システム構成] セクションで、[パスワード警告の表示] パラメータを [はい] に設定し、[すべての変更を提出] をクリックします。 また、電話機設定ファイル(cfg.xml)でパラメータを有効にすることもできます。
既定: はい オプション: はい|いいえ パラメータが [いいえ] に設定されている場合、Web ページまたは電話画面にパスワードの警告が表示されません。 また、パスワードが空であっても、Web ページの準備専用モードはアクティブになりません。 |
| 4 |
パラメータ [ユーザー パスワード] または [管理者パスワード] を見つけ、パラメータの隣にある [パスワードの変更] をクリックします。 |
| 5 |
[古いパスワード] フィールドに現在のユーザーパスワードを入力します。 パスワードがない場合は、フィールドを空のままにしてください。 デフォルト値は 0 です。
|
| 6 |
[パスワード] フィールドに新しいパスワードを入力します。 |
| 7 |
[送信] をクリックします。 [パスワードが正常に変更されました] というメッセージが Web ページに表示されます。 Web ページは数秒後に更新されます。 パラメータの横にある警告が消えます。 ユーザ パスワードを設定した後、このパラメータは、電話機の設定の XML ファイル(cfg.xml)に以下を表示します。
電話機の Web ページにアクセスしようとしたときに 403 エラー コードを受信した場合は、電話機設定ファイル(cfg.xml)でプロビジョニングしてユーザまたは管理者のパスワードを設定する必要があります。 たとえば、次の形式で文字列を入力します。
|
802.1X 認証
Cisco IP 電話は 802.1X 認証をサポートしています。
Cisco IP 電話と Cisco Catalyst スイッチは、伝統的に Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン電源要件などのパラメータを決定します。 CDP は、ローカルに接続されているワークステーションを特定しません。 Cisco IP 電話は、EAPOL パススルー メカニズムを提供します。 このメカニズムにより、Cisco IP 電話に接続されたワークステーションは、LAN スイッチの 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。 パススルー メカニズムにより、IP 電話がネットワークにアクセスする前にデータ エンドポイントを認証するための LAN スイッチとして機能しません。
Cisco IP 電話は、プロキシ EAPOL ログオフ メカニズムも提供します。 ローカルに接続された PC が IP フォンから切断された場合、LAN スイッチと IP フォン間のリンクが維持されているため、LAN スイッチは物理的なリンクが失敗しません。 ネットワークの整合性が損なわれないようにするため、IP 電話はダウンストリーム PC の代わりに EAPOL ログオフ メッセージをスイッチに送信します。これにより、LAN スイッチがダウンストリーム PC の認証エントリを消去します。
802.1X 認証のサポートには、いくつかのコンポーネントが必要です。
-
Cisco IP Phone 電話機は、ネットワークへのアクセス要求を開始します。 Cisco IP 電話には、802.1X サプリカントが含まれています。 このサプリカントを使用すると、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。 電話機 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST および EAP-TLS オプションを使用します。
-
認証サービス 認証サーバとスイッチの両方が電話機を認証する共有秘密で設定されている必要があります。
-
切り替える。 スイッチは、オーセンティケータとして機能し、電話機と認証サーバの間でメッセージを渡すことができるように、802.1X をサポートしている必要があります。 交換が完了すると、スイッチは電話機のネットワークへのアクセスを許可または拒否します。
802.1X を設定するには、次のアクションを実行する必要があります。
-
電話機で 802.1X 認証を有効にする前に、他のコンポーネントを設定します。
-
PC ポートの設定: 802.1X 標準では VLAN は考慮しないため、特定のスイッチ ポートに対して 1 つのデバイスだけを認証することを推奨します。 ただし、一部のスイッチはマルチドメイン認証をサポートしています。 スイッチ設定は、PC を電話機の PC ポートに接続できるかどうかを決定します。
-
有効: マルチドメイン認証をサポートするスイッチを使用している場合、PC ポートを有効にして PC を接続できます。 この場合、Cisco IP 電話は、スイッチと接続された PC 間の認証交換を監視するプロキシ EAPOL-Logoff をサポートします。
Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の場所にある Cisco Catalyst スイッチ設定ガイドを参照してください。
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
無効: スイッチが同じポート上の複数の 802.1X 準拠デバイスをサポートしていない場合、802.1X 認証が有効になっているときに PC ポートを無効にする必要があります。 このポートを無効にしてから PC を接続しようとすると、スイッチは電話機と PC の両方へのネットワーク アクセスを拒否します。
-
- 音声 VLAN の設定: 802.1X 標準では VLAN が考慮されていないため、この設定はスイッチ サポートに基づいて設定する必要があります。
- 有効: マルチドメイン認証をサポートするスイッチを使用している場合は、音声の VLAN を引き続き使用できます。
- 無効: スイッチがマルチドメイン認証をサポートしていない場合は、音声 VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
- (Cisco Desk Phone 9800 シリーズのみ)
Cisco Desk Phone 9800 シリーズには、他の Cisco 電話の PID と異なるプレフィックスがあります。 電話機が 802.1X 認証をパスできるようにするには、Radius·User-Name パラメータを設定して、Cisco Desk Phone 9800 シリーズを含めます。
たとえば、電話 9841 の PID は DP-9841 です。Radius·User-Name を DP で開始する または DP を含む に設定できます。 次の両方のセクションで設定できます。
-
LDAP 認証を有効にする
802.1X 認証が有効になっている場合、電話機は 802.1X 認証を使用してネットワーク アクセスを要求します。 802.1X 認証が無効になっている場合、電話機は Cisco Discovery Protocol(CDP)を使用して VLAN とネットワーク アクセスを取得します。 また、電話画面メニューでトランザクションステータスを表示したり、変更したりすることもできます。
802.1X 認証が有効になっている場合は、初期登録と証明書の更新のデバイス証明書(MIC/SUDI またはカスタム)を選択することもできます。 通常、MIC は Cisco Video Phone 8875 用で、SUDI は Cisco Desk Phone 9800 シリーズ用です。 CDC は、802.1x でのみ認証に使用できます。
| 1 |
次のいずれかの操作を実行して、802.1X 認証を有効にします。
| ||||||||||||||||||||
| 2 |
電話機の Web ページで 802.1X 認証の証明書(MIC またはカスタム)を選択します。
電話画面で証明書タイプを選択する方法については、「電話機を Wi-Fi ネットワークに接続する」を参照してください。
|
メディア平面セキュリティネゴシエーションのクライアント初期モードの有効化
メディア セッションを保護するために、サーバとのメディア プレーン セキュリティ ネゴシエーションを開始するように電話機を設定できます。 セキュリティメカニズムは、RFC 3329 に記載されている標準および拡張ドラフト Security Mechanism Names for Media (https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2 を参照してください)。 電話機とサーバ間のネゴシエーションの転送は、UDP、TCP、および TLS を介した SIP プロトコルを使用できます。 メディア プレーン セキュリティ ネゴシエーションは、シグナリング トランスポート プロトコルが TLS の場合にのみ適用されるように制限できます。
| 1 |
電話機の管理 Web ページにアクセスします。 | ||||||
| 2 |
[音声 > 内線 (n)] を選択します。 | ||||||
| 3 |
[SIP 設定] セクションで、次の表で定義されている [MediaSec リクエスト] および [MediaSec Over TLS のみ] フィールドを設定します。
| ||||||
| 4 |
[すべての変更を提出] をクリックします。 |
WLAN セキュリティ
範囲内にあるすべての WLAN デバイスは、他の WLAN トラフィックをすべて受信できるため、WLAN では音声通信のセキュリティが重要です。 侵入者が音声トラフィックを操作または傍受しないようにするために、Cisco SAFE Security アーキテクチャは電話機をサポートします。 ネットワークのセキュリティの詳細については、http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html を参照してください。
Cisco ワイヤレス IP テレフォニー ソリューションは、電話機がサポートする次の認証方法を使用して、不正なサインインと通信を妨げるワイヤレス ネットワーク セキュリティを提供します。
-
認証なし 任意のワイヤレス デバイスは、オープン システムで認証を要求できます。 リクエストを受信する AP は、任意のリクエスト者に認証を付与するか、またはユーザのリストで見つかったリクエスト者にのみ付与できます。 ワイヤレス デバイスと Access Point (AP) 間の通信は暗号化されませんでした。
-
拡張認証プロトコル - セキュア トンネリング (EAP-FAST) 認証による柔軟な認証: このクライアント サーバ セキュリティ アーキテクチャは、AP と Identity Services Engine(ISE)などの RADIUS サーバ間のトランスポート レベル セキュリティ(TLS)トンネル内の EAP トランザクションを暗号化します。
TLS トンネルは、クライアント(電話機)と RADIUS サーバ間の認証に、保護されたアクセス クレデンシャル(PAC)を使用します。 サーバはクライアント(電話機)に Authority ID(AID)を送信し、その後適切な PAC を選択します。 クライアント(電話機)は、PAC-Opaque を RADIUS サーバに返します。 サーバはプライマリキーで PAC を復号します。 両方のエンドポイントに PAC キーが含まれるようになり、TLS トンネルが作成されます。 EAP-FAST は自動 PAC プロビジョニングをサポートしますが、RADIUS サーバで有効にする必要があります。
ISE では、デフォルトで PAC は 1 週間で期限切れになります。 電話機に期限切れの PAC がある場合、電話機が新しい PAC を取得する間、RADIUS サーバでの認証に時間がかかります。 PAC プロビジョニングの遅延を回避するには、ISE サーバまたは RADIUS サーバで PAC 有効期限を 90 日以上に設定します。
-
Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) 認証: EAP-TLS では、認証とネットワーク アクセスのためのクライアント証明書が必要です。 ワイヤレス EAP-TLS の場合、クライアント証明書は MIC、LSC、またはユーザがインストールされた証明書になります。
-
Protected Extensible Authentication Protocol (PEAP): クライアント(電話)と RADIUS サーバ間のシスコ独自のパスワードベースの相互認証スキーム。 電話機は、ワイヤレス ネットワークでの認証に PEAP を使用できます。 PEAP-MSCHAPV2 と PEAP-GTC の両方の認証方式がサポートされています。
-
事前共有キー (PSK): 電話機は ASCII 形式をサポートします。 WPA/WPA2/SAE 事前共有キーを設定する場合は、次の形式を使用する必要があります。
ASCII: 長さ 8 ~ 63 文字の ASCII 文字列 (0 ~ 9、小文字 A ~ Z、特殊文字)
例: GREG123567@9ZX&W
次の認証スキームは、RADIUS サーバを使用して認証キーを管理します。
-
wpa/wpa2/wpa3: RADIUS サーバ情報を使用して、認証に一意のキーを生成します。 これらのキーは集中型の RADIUS サーバで生成されるため、WPA2/WPA3 は AP と電話機に保存されている WPA 事前共有キーよりも高いセキュリティを提供します。
-
高速セキュアローミング: RADIUS サーバとワイヤレス ドメイン サーバ(WDS)情報を使用して、キーを管理および認証します。 WDS は、高速でセキュアな再認証のために、FT 対応クライアント デバイスのセキュリティ資格情報のキャッシュを作成します。 Cisco Desk Phone 9861 および 9871 および Cisco Video Phone 8875 は、802.11r(FT)をサポートしています。 高速セキュアローミングを可能にするために、空気と DS 上の両方がサポートされています。 ただし、空気を介して 802.11r(FT)を使用することを強くお勧めします。
WPA/WPA2/WPA3 では、暗号化キーは電話機に入力されませんが、AP と電話機の間で自動的に生成されます。 ただし、認証に使用される EAP ユーザ名とパスワードは、各電話機に入力する必要があります。
音声トラフィックがセキュアであることを保証するために、電話機は暗号化に対して TKIP および AES をサポートします。 これらのメカニズムを暗号化に使用する場合、シグナリング SIP パケットと音声リアルタイム トランスポート プロトコル(RTP)パケットの両方が AP と電話機の間で暗号化されます。
- ツキップ
-
WPA は、WEP 上でいくつかの改善がある TKIP 暗号化を使用します。 TKIP は、パケットごとのキーの暗号化と、暗号化を強化するより長い初期化ベクトル(IV)を提供します。 さらに、メッセージ整合性チェック(MIC)によって、暗号化されたパケットが変更されないことが保証されます。 TKIP は、侵入者が WEP キーを解読するのに役立つ WEP の予測可能性を除去します。
- エース
-
WPA2/WPA3 認証に使用される暗号化方式。 この暗号化の国内標準では、暗号化と復号化に同じキーを持つ対称アルゴリズムを使用します。 AES は 128 ビットサイズの暗号ブロックチェーン(CBC)暗号化を使用し、少なくとも 128 ビット、192 ビット、256 ビットのキーサイズをサポートします。 電話機は 256 ビットのキー サイズをサポートします。
Cisco Desk Phone 9861 および 9871 および Cisco Video Phone 8875 は、CMIC を使用した Cisco Key Integrity Protocol(CKIP)をサポートしていません。
認証および暗号化方式は、ワイヤレス LAN 内でセットアップされます。 VLAN はネットワークと AP で構成され、認証と暗号化の異なる組み合わせを指定します。 SSID は VLAN と特定の認証および暗号化スキームに関連付けます。 ワイヤレス クライアント デバイスを正常に認証するには、認証および暗号化方式で同じ SSID を AP と電話機で設定する必要があります。
一部の認証スキームには、特定の種類の暗号化が必要です。
- WPA 事前共有キー、WPA2 事前共有キー、または SAE を使用する場合は、事前共有キーを電話機で静的に設定する必要があります。 これらのキーは、AP にあるキーと一致する必要があります。
-
電話機は、FAST または PEAP の自動 EAP ネゴシエーションをサポートしますが、TLS ではサポートしません。 EAP-TLS モードの場合は、それを指定する必要があります。
次の表の認証スキームと暗号化スキームは、AP 設定に対応する電話機のネットワーク設定オプションを示しています。
| FSR タイプ | 認証 | ユーザー管理 | 暗号化 | 保護された管理フレーム(PMF) |
|---|---|---|---|---|
| 802.11r(FT) | PSK |
wpa-psk (航空機) wpa-psk-sha256 FT-psk (航空機) | エース | いいえ |
| 802.11r(FT) | WPAD |
重大 FT-saeについて | エース | はい |
| 802.11r(FT) | EAP-TLS |
wpa-eap (航空機) FT-eapバー | エース | いいえ |
| 802.11r(FT) | eap-tls (wpa3) |
wpa-eap-sha256 FT-eapバー | エース | はい |
| 802.11r(FT) | EAP-FAST |
wpa-eap (航空機) FT-eapバー | エース | いいえ |
| 802.11r(FT) | eap-fast(wpa3) |
wpa-eap-sha256 FT-eapバー | エース | はい |
| 802.11r(FT) | EAP-PEAP |
wpa-eap (航空機) FT-eapバー | エース | いいえ |
| 802.11r(FT) | eap-peap (wpa3) |
wpa-eap-sha256 FT-eapバー | エース | はい |
Wi-Fi プロファイルのセットアップ
電話機の Web ページまたはリモート デバイス プロファイルの再同期から Wi-Fi プロファイルを設定し、そのプロファイルを利用可能な Wi-Fi ネットワークに関連付けることができます。 この Wi-Fi プロファイルを使用して Wi-Fi に接続できます。 現在、設定できるのは 1 つの Wi-Fi プロファイルのみです。
プロファイルには、電話機が Wi-Fi で電話サーバに接続するために必要なパラメータが含まれています。 Wi-Fi プロファイルを作成して使用する場合、ユーザまたはユーザが個々の電話機にワイヤレス ネットワークを設定する必要はありません。
Wi-Fi プロファイルを使用すると、ユーザが電話機の Wi-Fi 設定の変更を防止または制限できます。
Wi-Fi プロファイルを使用するときに、キーとパスワードを保護するために、暗号化対応プロトコルを持つセキュアプロファイルを使用することをお勧めします。
セキュリティ モードで EAP-FAST 認証方法を使用するように電話機を設定する場合、ユーザはアクセス ポイントに接続するために個々のクレデンシャルが必要です。
| 1 |
電話機の Web ページにアクセスします。 |
| 2 |
[音声 > システム] の順に選択します。 |
| 3 |
「Wi-Fi プロファイル (n)」セクションで、次の表の「Wi-Fi プロファイルのパラメータ」の説明に従ってパラメータを設定します。 Wi-Fi プロファイルの設定は、ユーザのログインでも使用できます。
|
| 4 |
[すべての変更を提出] をクリックします。 |
Wi-Fi プロファイルのパラメータ
次の表は、電話機のウェブページの [システム] タブの下にある [Wi-Fi プロファイル(n) セクションにおける、各パラメータの機能と使用方法を定義しています。 また、パラメータを設定するために電話機設定ファイル(cfg.xml)に追加される文字列のシンタックスを定義します。
| パラメータ | 説明 |
|---|---|
| ネットワーク名 | 電話機に表示される SSID の名前を入力できます。 複数のプロファイルには、異なるセキュリティ モードで同じネットワーク名を使用できます。 次のいずれかを実行します。
既定: 空です |
| セキュリティモード | Wi-Fi ネットワークへのアクセスを保護するために使用する認証方法を選択できます。 選択した方法に応じて、この Wi-Fi ネットワークに参加するために必要なクレデンシャルを提供するために、パスワード フィールドが表示されます。 次のいずれかを実行します。
既定: 自動 |
| Wi-Fi ユーザー ID | ネットワークプロファイルのユーザー ID を入力できます。 このフィールドは、セキュリティ モードを [自動(Auto)]、[EAP-FAST]、または [EAP-PEAP(EAP-PEAP)] に設定する場合に使用できます。 これは必須フィールドで、最大 32 文字の英数字を使用できます。 次のいずれかを実行します。
既定: 空です |
| Wi-Fi パスワード | 指定された Wi-Fi ユーザ ID のパスワードを入力できます。 次のいずれかを実行します。
既定: 空です |
| 周波数帯域 | WLAN が使用するワイヤレス信号周波数帯を選択できます。 次のいずれかを実行します。
既定: 自動 |
| 選択した証明書: | ワイヤレス ネットワークでの証明書の初期登録と証明書の更新の証明書タイプを選択できます。 このプロセスは 802.1X 認証でのみ利用できます。 次のいずれかを実行します。
既定: 製造設備 |
