- ホーム
- /
- 投稿記事
コメントありがとうございます。
Cisco IP Phone 9800/8875 上のセキュリティ (マルチプラットフォーム)
この記事の内容
フィードバックがある場合このヘルプ記事は、Cisco BroadWorks または Webex Calling に登録された Cisco デスクフォン 9800 シリーズおよび Cisco ビデオフォン 8875 を対象としています。
DHCP オプションを設定する
電話機が DHCP オプションを使用する順序を設定することができます。 DHCP オプションのヘルプについては、 DHCP オプションのサポート。
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
を選択します。 |
| 3 |
の中で 構成プロファイル セクションで、 DHCP 使用するオプション そして 使用する DHCPv6 オプション 以下に説明するパラメータ:
|
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
DHCP オプションのサポート
次の表は、PhoneOS 電話でサポートされている DHCP オプションを示しています。
| ネットワーク標準規格 | 説明 |
|---|---|
| DHCP オプション 1 | サブネット マスク(Subnet mask) |
| DHCP オプション 2 | タイム オフセット |
| DHCP オプション 3 | ルータ |
| DHCP オプション 6 | ドメイン ネーム サーバ |
| DHCP オプション 15 | ドメイン名(Domain Name) |
| DHCP オプション 17 | ベンダー識別ベンダー固有の情報 |
| DHCP オプション 41 | IP アドレスのリース期間 |
| DHCP オプション 42 | NTP サーバ |
| DHCP オプション 43 | ベンダー固有の情報 SCEP 構成を提供するために使用できます。 |
| DHCP オプション 56 | NTP サーバ IPv6 を使用した NTP サーバの構成 |
| DHCP オプション 60 | ベンダー クラス ID |
| DHCP オプション 66 | TFTP サーバ名 |
| DHCP オプション 125 | ベンダー識別ベンダー固有の情報 |
| DHCP オプション 150 | TFTP サーバ(TFTP server) |
| DHCP オプション 159 | プロビジョニング サーバ IP |
| DHCP オプション 160 | プロビジョニング URL |
クライアントとサーバの最小 TLS バージョンを設定します
デフォルトでは、クライアントとサーバの最小 TLS バージョンは 1.2 です。 これは、クライアントとサーバが TLS 1.2 以上で接続を確立することを受け入れることを意味します。 クライアントとサーバの TLS のサポートされる最大バージョンは 1.3 です。 設定すると、TLS クライアントと TLS サーバ間のネゴシエーションに最小 TLS バージョンが使用されます。
TLS の最小バージョンをクライアントとサーバそれぞれに 1.1、1.2、1.3 などに設定できます。
はじめる前に
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
を選択します。 |
| 3 |
このセクションでは セキュリティ設定パラメータを設定する TLS クライアントの最小バージョン。
このパラメータは、設定ファイル(cfg.xml)でも設定できます。 <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
許可される値: TLS 1.1、TLS1.2、および TLS 1.3。 デフォルト:[TLS 1.2] |
| 4 |
このセクションでは セキュリティ設定パラメータを設定する TLS サーバの最小バージョン。 Webex Calling は TLS 1.1 をサポートしていません。
このパラメータは、設定ファイル(cfg.xml)でも設定できます。 <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
許可される値: TLS 1.1、TLS1.2、および TLS 1.3。 デフォルト:[TLS 1.2] |
| 5 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
FIPS モードの有効化
電話機を連邦情報処理標準規格(FIPS)に準拠させることができます。
FIPS は、非軍事政府内、およびそれらの機関と連携する政府請負業者やベンダーが使用するドキュメント処理、暗号化アルゴリズム、および他の情報技術標準を説明する一連の規格です。 CiscoSSL FOM (FIPS オブジェクト モジュール) は、慎重に定義されたソフトウェア コンポーネントであり、CiscoSSL ライブラリとの互換性を考慮して設計されているため、CiscoSSL ライブラリと API を使用する製品は、最小限の労力で FIPS 140-2 検証済み暗号化を使用するように変換できます。
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
を選択します。 |
| 3 |
の中で セキュリティ設定 セクションで選択 はい または いいえ から FIPS モード パラメータ。 |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 FIPS を有効にすると、電話機で次の機能がシームレスに機能します。
|
ユーザと管理者のパスワードを設定する
電話機を初めて通話制御システムに登録した後、または電話機を工場出荷時の状態にリセットした後は、電話機のセキュリティを強化するために、ユーザ パスワードと管理者パスワードを設定する必要があります。 パスワードを設定すると、電話の Web インターフェイスにアクセスできるようになります。
デフォルトでは、ユーザパスワードと管理者パスワードは空です。 したがって、「パスワードが指定されていません」という問題は、 電話の画面。
| 1 |
電話管理の Web ページにアクセスします。 |
| 2 |
を選択します。 |
| 3 |
(オプション) システム構成 セクションで、 パスワード警告を表示する パラメータを はいをクリックし、 すべての変更を送信。 このパラメータは、電話機の設定ファイル(cfg.xml)のパラメータでも有効にできます。
デフォルト:はい(Yes) オプション:はい|いいえ パラメータが いいえ、パスワードの警告は携帯電話の画面に表示されません。 |
| 4 |
パラメータを見つける ユーザパスワード または 管理者パスワードをクリックし、 パスワードを変更する パラメータの横にあります。 |
| 5 |
[古いパスワード(Old Password)] フィールドに、現在のユーザーパスワードを入力します。 パスワードがない場合は、このフィールドを空のままにします。 デフォルト値は空です。
|
| 6 |
[新しいパスワード(New Password)] フィールドに、新しいパスワードを入力します。 有効なパスワード規則:
新しいパスワードが要件を満たしていない場合、設定は拒否されます。 |
| 7 |
[送信(Submit)] をクリックします。 「 ユーザーパスワードを設定した後、このパラメータは、電話機の設定 XML ファイル(cfg.xml)で次のように表示されます。
|
802.1X 認証
Cisco IP Phones は 802.1X 認証をサポートします。
Cisco IP 電話 と Cisco Catalyst スイッチは、従来 Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン所要電力などのパラメータを決定します。 CDP では、ローカルに接続されたワークステーションは識別されません。 Cisco IP 電話は、EAPOL パススルー メカニズムを提供します。 このメカニズムを使用すると、Cisco IP 電話に接続されたワークステーションは、LAN スイッチにある 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。 パススルー メカニズムにより、IP フォンはネットワークにアクセスする前にデータ エンドポイントを認証する際 LAN スイッチとして動作しません。
Cisco IP 電話はまた、プロキシ EAPOL ログオフ メカニズムも提供します。 ローカルに接続された PC が IP フォンから切断された場合でも、LAN スイッチと IP フォン間のリンクは維持されるので、LAN スイッチは物理リンクの障害を認識しません。 ネットワークの完全性が脅かされるのを避けるため、IP フォンはダウンストリーム PC の代わりに EAPOL ログオフ メッセージをスイッチに送ります。これは、LAN スイッチにダウンストリーム PC の認証エントリをクリアさせます。
802.1X 認証のサポートには、次のようなコンポーネントが必要です。
-
Cisco IP 電話: 電話機は、ネットワークへのアクセス要求を開始します。 Cisco IP Phones には、802.1x サプリカントが含まれています。 このサプリカントを使用して、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。 電話機に含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。
-
認証サーバ: 認証サーバとスイッチの両方に、電話機を認証する共有秘密を設定する必要があります。
-
スイッチ:スイッチは 802.1X をサポートする必要があるため、オーセンティケーターとして機能し、電話と認証サーバー間でメッセージを送受信します。 この交換が完了した後、スイッチはネットワークへの電話機のアクセスを許可または拒否します。
802.1X を設定するには、次の手順を実行する必要があります。
-
電話機で 802.1X 認証をイネーブルにする前に、他のコンポーネントを設定します。
-
PC ポートの設定:802.1X 標準では VLAN が考慮されないため、特定のスイッチ ポートに対してデバイスを 1 つだけ認証することを推奨します。 ただし、一部のスイッチはマルチドメイン認証をサポートしています。 スイッチの設定により、PC を電話機の PC ポートに接続できるかどうかが決定されます。
-
有効:複数ドメインの認証をサポートするスイッチを使用している場合、PC ポートを有効化し、そのポートに PC を接続できます。 この場合、スイッチと接続先 PC 間の認証情報の交換をモニタするために、Cisco IP Phones はプロキシ EAPOL ログオフをサポートします。
Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の URL にある Cisco Catalyst スイッチのコンフィギュレーション ガイドを参照してください。
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
無効:スイッチが同一ポート上の複数の 802.1X 対応デバイスをサポートしていない場合、802.1X 認証を有効化するときに PC ポートを無効にする必要があります。 このポートを無効にしないで PC を接続しようとすると、スイッチは電話機と PC の両方に対してネットワーク アクセスを拒否します。
-
- ボイス VLAN の設定:802.1X 標準では VLAN が考慮されないため、この設定をスイッチのサポートに基づいて行うようにしてください。
- 有効:複数ドメインの認証をサポートするスイッチを使用している場合は、ボイス VLAN を引き続き使用できます。
- 無効:スイッチで複数ドメインの認証がサポートされていない場合は、ボイス VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
- (Cisco デスクフォン 9800 シリーズのみ)
Cisco デスクフォン 9800 シリーズの PID プレフィックスは、他の Cisco 電話機のプレフィックスとは異なります。 携帯電話が 802.1X 認証を通過できるようにするには、 Radius·ユーザ名 パラメータを追加して、Cisco デスクフォン 9800 シリーズを追加します。
たとえば、電話機 9841 の PID は DP-9841 です。 Radius·User-Name を
「DP で始まる」または「DP を含む」に設定できます。 次の両方のセクションで設定できます。 -
電話のウェブページで 802.1X 認証を有効にする
802.1X 認証が有効になっている場合、電話機は 802.1X 認証を使用してネットワーク アクセスを要求します。 802.1X 認証が無効になっている場合、電話機は Cisco Discovery Protocol (CDP) を使用して VLAN とネットワーク アクセスを取得します。
802.1X 認証に使用する証明書 (MIC/SUDI または CDC) を選択できます。 CDC の詳細については、「 9800/8875 のカスタム デバイス証明書」を参照してください。
電話画面のメニューで取引状況やセキュリティ設定を確認できます。 詳細については、 携帯電話のセキュリティ設定メニューを参照してください。
| 1 |
802.1X 認証を有効にします。 を選択し、 [802.1X 認証を有効にする] パラメータを [はい] に設定します。 このパラメータは、設定ファイル(cfg.xml)でも設定できます。
有効値: [はい(Yes)] | [いいえ(No)] デフォルト:[いいえ(No)] |
| 2 |
802.1X 認証に使用する次のインストール済み証明書のいずれかを選択します。 値のオプション:
構成はネットワークによって異なります。
|
| 3 |
有線ネットワークでの 802.1X 認証の ID として使用されるパラメータ ユーザ ID を設定します。 パラメータ設定は、CDC が有線 802.1X 認証に使用されている場合(証明書の選択 が カスタム インストール に設定されている)にのみ有効になります。 デフォルトでは、このパラメータは空です。 有線 802.1X の ID は、選択した証明書によって異なります。
ユーザ ID が空で、CDC の共通名が設定されている場合、有線 802.1X は CDC の共通名を ID として使用します。 このパラメータは、設定ファイル(cfg.xml)でも設定できます。
有効な値: 最大 127 文字 デフォルト:空 このパラメータはマクロ拡張変数もサポートします。詳細については、 マクロ拡張変数 を参照してください。 DHCP オプションを使用してユーザ ID をプロビジョニングする場合は、「 DHCP オプション 15 による共通名またはユーザ ID のプロビジョニング」を参照してください。 |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
携帯電話のセキュリティ設定メニュー
セキュリティ設定に関する情報は、電話メニューで確認できます。 ナビゲーション パスは次のとおりです: 。 情報の可用性は、組織内のネットワーク設定によって異なります。
|
パラメータ |
オプション(Options) |
デフォルト |
説明 |
|---|---|---|---|
|
デバイス認証 |
オン オフ |
オフ |
電話機の 802.1X 認証を有効または無効にします。 パラメータ設定は、電話機の Out-Of-Box (OOB) 登録後も保持できます。 |
|
[トランザクション ステータス(Transaction status)] | Disabled |
802.1X 認証の状態を表示します。 状態は次のいずれかになります (これらに限定されません)。
| |
|
プロトコル | None |
802.1X 認証に使用される EAP メソッドを表示します。 このプロトコルは、EAP-FAST または EAP-TLS にすることができます。 | |
|
ユーザー証明書タイプ |
製造元でインストール カスタムインストール |
製造元でインストール |
初期登録および証明書の更新時に 802.1X 認証用の証明書を選択します。
このパラメータは [デバイス認証(Device authentication)] が有効な場合にのみ電話機に表示されます。 |
| WPA との下位互換性 |
オン オフ | オフ |
Wi-Fi Protected Access (WPA) の最も古いバージョンが、ワイヤレス ネットワークまたはアクセス ポイント (AP) に接続するために電話で互換性があるかどうかを判断します。
この機能は、9861/9871/8875 電話でのみ利用できます。 |
プロキシサーバを設定する
セキュリティを強化するために、プロキシ サーバを使用するように電話を設定できます。 通常、HTTP プロキシ サーバは次のサービスを提供できます。
- 内部ネットワークと外部ネットワーク間のトラフィックのルーティング
- トラフィックのフィルタリング、監視、またはログ記録
- パフォーマンスを向上させるためにレスポンスをキャッシュする
また、HTTP プロキシ サーバは、電話とインターネット間のファイアウォールとして機能することもできます。 設定が成功すると、電話はプロキシ サーバを介してインターネットに接続し、サイバー攻撃から電話を保護します。
設定すると、HTTP プロキシ機能は HTTP プロトコルを使用するすべてのアプリケーションに適用されます。 次に例を示します。
- GDS(アクティベーション コードによるオンボーディング)
- EDOS デバイスの有効化
- Webex Cloud へのオンボーディング (EDOS または GDS 経由)
- カスタム CA
- プロビジョニング
- ファームウェア アップグレード
- 電話ステータスレポート
- PRTアップロード
- XSI サービス
- Webex サービス
- 現在、この機能は IPv4 のみをサポートしています。
- HTTP プロキシ設定は、電話機の Out-Of-Box (OOB) 登録後も保持できます。
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
を選択します。 |
| 3 |
このセクションでは HTTP プロキシ設定ドロップダウンリストからプロキシモードを選択します プロキシモード 関連するパラメータを設定します。 各プロキシモードのパラメータと必須パラメータの詳細については、以下を参照してください。 HTTP プロキシ設定のパラメータ 。 |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
HTTP プロキシ設定のパラメータ
次の表は、電話機の Web インターフェイスの [音声] > セクションにある HTTP プロキシ パラメータの機能と使用法を定義します。 また、パラメータを設定するために、XML コードを含む電話設定ファイルに追加される文字列のシンタックスも定義します。
| パラメータ | 説明 |
|---|---|
| プロキシモード | 電話機が使用する HTTP プロキシモードを指定するか、HTTP プロキシ機能を無効にします。
次のいずれかを実行します。
有効値:Auto、Manual、および Off デフォルト: オフ |
| ウェブプロキシ自動検出 | 電話機が PAC ファイルを取得するために Web Proxy Auto Discovery (WPAD) プロトコルを使用するかどうかを決定します。 WPAD プロトコルは、DHCP または DNS、またはその両方のネットワーク プロトコルを使用して、プロキシ自動構成 (PAC) ファイルを自動的に検索します。 PAC ファイルは、特定の URL のプロキシサーバーを選択するために使用されます。 このファイルは、ローカルまたはネットワーク上でホストできます。
次のいずれかを実行します。
有効値: はい(Yes)といいえ(No) デフォルト:はい(Yes) |
| PAC URL | PAC ファイルの URL。 たとえば、 TFTP、HTTP、および HTTPS がサポートされています。 プロキシ モード を 自動 に設定し、 Web プロキシ自動検出 を いいえに設定する場合は、このパラメータを設定する必要があります。 次のいずれかを実行します。
デフォルト:空 |
| プロキシホスト | アクセスする電話機のプロキシホストサーバーの IP アドレスまたはホスト名です。 次に例を示します。
スキーム( [プロキシモード(Proxy Mode)] を [手動(Manual)] に設定した場合は、このパラメータを設定する必要があります。 次のいずれかを実行します。
デフォルト:空 |
| プロキシポート | プロキシホストサーバーのポート番号。 [プロキシモード(Proxy Mode)] を [手動(Manual)] に設定した場合は、このパラメータを設定する必要があります。 次のいずれかを実行します。
デフォルト:3128 |
| プロキシ認証 | ユーザーが、プロキシサーバーに必要な認証資格情報(ユーザー名とパスワード)を入力する必要かどうかを決定します。 このパラメータは、プロキシサーバの実際の動作に応じて設定されます。 このパラメータを [はい(Yes)] に設定した場合は、[ユーザー名(Username)] と [パスワード(Password)] を設定する必要があります。 パラメータの詳細については、この表の「ユーザ名」および「パスワード」パラメータを参照してください。 パラメータの設定は、[プロキシモード(Proxy Mode)] が [手動(Manual)] に設定されている場合に有効になります。 次のいずれかを実行します。
有効値: はい(Yes)といいえ(No) デフォルト:[いいえ(No)] |
| ユーザ名 | プロキシサーバーの資格情報を持つユーザーのユーザー名。 プロキシ モード が 手動 に設定され、 プロキシ認証 が はいに設定されている場合は、パラメータを設定する必要があります。 次のいずれかを実行します。
デフォルト:空 |
| [パスワード(Password)] | プロキシ認証用に指定されたユーザー名のパスワード。 プロキシ モード が 手動 に設定され、 プロキシ認証 が はいに設定されている場合は、パラメータを設定する必要があります。 次のいずれかを実行します。
デフォルト:空 |
| プロキシモード | 必須パラメータ | 説明 |
|---|---|---|
| オフ | 該当なし | 電話で HTTP プロキシが無効になっています。 |
| 手動 | プロキシホスト プロキシポート プロキシ認証: はい ユーザ名 [パスワード(Password)] | プロキシ サーバ (ホスト名または IP アドレス) とプロキシ ポートを手動で指定します。 プロキシ サーバで認証が必要な場合は、ユーザ名とパスワードをさらに入力する必要があります。 |
| プロキシホスト プロキシポート プロキシ認証: いいえ | プロキシ サーバを手動で指定します。 プロキシ サーバは認証資格情報を必要としません。 | |
| 自動 | Web プロキシ自動検出: いいえ PAC URL | PAC ファイルを取得するには、有効な PAC URL を入力します。 |
| Web プロキシ自動検出: はい |
WPAD プロトコルを使用して PAC ファイルを自動的に取得します。 |
メディアプレーンのセキュリティネゴシエーションにクライアント開始モードを有効にする
メディアセッションを保護するには、サーバーとのメディアプレーンセキュリティネゴシエーションを開始するように電話機を設定できます。 セキュリティ メカニズムは、RFC 3329 およびその拡張ドラフト「Security Mechanism Names for Media」に記載されている標準に準拠しています ( https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2 を参照)。 電話機とサーバ間でのネゴシエーションの転送では、UDP、TCP、および TLS を介した SIP プロトコルを使用できます。 シグナリングトランスポートプロトコルが TLS の場合にのみ メディアプレーンセキュリティネゴシエーションが適用されるように制限することができます。
| パラメータ | 説明 |
|---|---|
|
MediaSec リクエスト |
電話機がサーバとのメディア平面セキュリティネゴシエーションを開始するかどうかを指定します。 次のいずれかを実行します。
有効値: はい(Yes)| いいえ(No)
デフォルト:[いいえ(No)] |
|
MediaSec Over TLS のみ |
メディア平面セキュリティネゴシエーションが適用されるシグナリングトランスポートプロトコルを指定します。 このフィールドで [はい(Yes)] に設定する前に、シグナリングプロトコルが TLS であることを確認してください。 次のいずれかを実行します。
有効値: はい(Yes)| いいえ(No)
デフォルト:[いいえ(No)] |
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
を選択します。 |
| 3 |
SIP 設定 セクションで、 MediaSec 要求 および MediaSec Over TLS のみ フィールドを上記の表の定義に従って設定します。 |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
WLAN セキュリティ
通信圏内にあるすべての WLAN デバイスは他の WLAN トラフィックをすべて受信できるため、WLAN 内の音声通信の保護は重要です。 侵入者が音声トラフィックを操作したり傍受したりできないようにするために、Cisco SAFE セキュリティ アーキテクチャが電話機をサポートしています。 ネットワーク内のセキュリティの詳細については、http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html を参照してください。
Cisco ワイヤレス IP テレフォニー ソリューションは、電話がサポートする次の認証方法を使用して、不正なサインインや通信の侵害を防ぐワイヤレス ネットワーク セキュリティを提供します。
-
オープン認証:オープン システムでは、任意のワイヤレス デバイスが認証を要求できます。 要求を受けた AP は、任意のリクエスタまたはユーザのリスト上にあるリクエスタだけに認証を与える場合があります。 ワイヤレス デバイスとアクセス ポイント (AP) 間の通信は暗号化されていない可能性があります。
-
拡張認証プロトコル - セキュア トンネリングによる柔軟な認証 (EAP-FAST) 認証: このクライアント/サーバ セキュリティ アーキテクチャは、AP と Identity Services Engine (ISE) などの RADIUS サーバ間のトランスポート レベル セキュリティ (TLS) トンネル内で EAP トランザクションを暗号化します。
TLS トンネルでは、クライアント(電話機)と RADIUS サーバの間の認証に Protected Access Credential(PAC)が使用されます。 サーバは Authority ID(AID)をクライアント(電話機)に送信します。それを受けてクライアントは適切な PAC を選択します。 クライアント(電話機)は PAC-Opaque を RADIUS サーバに返します。 サーバは、プライマリキーで PAC を復号します。 これで両方のエンドポイントに同じ PAC キーが含まれ、TLS トンネルが構築されます。 EAP-FAST では、自動 PAC プロビジョニングがサポートされていますが、RADIUS サーバ上で有効にする必要があります。
ISE では、デフォルトでは PAC は 1 週間で期限切れになります。 電話機に期限切れの PAC が存在する場合、電話機が新しい PAC を取得するまでの間は、RADIUS サーバでの認証に比較的長い時間がかかります。 PAC プロビジョニングの遅延を回避するには、ISE または RADIUS サーバで PAC の有効期限を 90 日以上に設定します。
-
拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)認証:EAP-TLS では、認証とネットワークアクセスにクライアント証明書が必要です。 ワイヤレス EAP-TLS の場合、クライアント証明書は MIC, LSC, またはユーザがインストールした証明書にすることができます。
-
Protected Extensible Authentication Protocol(PEAP):クライアント(電話機)と RADIUS サーバ間の、シスコ独自のパスワードベースの相互認証方式です。 電話機は、ワイヤレス ネットワークでの認証に PEAP を使用できます。 PEAP-MSCHAPV2 と PEAP-GTC の両方の認証メカニズムがサポートされます。
-
事前共有キー (PSK): 電話機は ASCII 形式をサポートしています。 WPA/WPA2/SAE 事前共有キーを設定するときは、次の形式を使用する必要があります。
ASCII:長さが 8~63 文字の ASCII 文字文字列(0~9、小文字および大文字の A~Z、および特殊文字)
例: GREG123567@9ZX&W
次の認証方式では、RADIUS サーバを使用して認証キーを管理します。
-
WPA/WPA2/WPA3: RADIUS サーバ情報を使用して、認証用の一意のキーを生成します。 これらのキーは集中型の RADIUS サーバで生成されるため、WPA2/WPA3 は、AP と電話に保存される WPA 事前共有キーよりも高いセキュリティを提供します。
-
高速安全ローミング: RADIUS サーバとワイヤレス ドメイン サーバ(WDS)上の情報を使用してキーを管理および認証します。 WDS は、高速かつ安全な再認証のために、FT 対応クライアント デバイスのセキュリティ資格情報のキャッシュを作成します。 Cisco デスクフォン 9861 および 9871、および Cisco ビデオフォン 8875 は 802.11r (FT) をサポートしています。 高速で安全なローミングを可能にするために、無線と DS の両方がサポートされています。 しかしシスコでは 802.11r(FT)無線方式を利用することを強く推奨します。
WPA/WPA2/WPA3 では、暗号化キーは電話機に入力されず、AP と電話機の間で自動的に導出されます。 ただし認証で使用する EAP ユーザ名とパスワードは、各電話機に入力する必要があります。
音声トラフィックの安全を確保するために、電話機は暗号化に TKIP と AES をサポートしています。 これらのメカニズムを暗号化に使用すると、シグナリング SIP パケットと音声リアルタイム トランスポート プロトコル (RTP) パケットの両方が AP と電話の間で暗号化されます。
- TKIP
-
WPA は、WEP よりもいくつかの点で改善された TKIP 暗号化を使用します。 TKIP は、パケットごとのキーの暗号化、および暗号化が強化されたより長い初期ベクトル(IV)を提供します。 さらに、メッセージ完全性チェック(MIC)は、暗号化されたパケットが変更されていないことを確認します。 TKIP は、侵入者が WEP を使用して WEP キーを解読する可能性を排除します。
- AES
-
WPA2/WPA3 認証に使用される暗号化方式。 この暗号化の国内規格は、暗号化と復号化に同じキーを持つ対称型アルゴリズムを使用します。 AES は、128 ビットサイズの暗号ブロック連鎖(CBC)暗号化を使用し、最小のキー サイズとして 128 ビット、192 ビット、および 256 ビットのキーをサポートします。 この電話機は 256 ビットのキー サイズをサポートしています。
Cisco デスクフォン 9861 および 9871、および Cisco ビデオフォン 8875 は、CMIC による Cisco キー整合性プロトコル (CKIP) をサポートしていません。
認証方式と暗号化方式は、ワイヤレス LAN 内で設定されます。 VLAN は、ネットワーク内および AP 上で設定され、認証と暗号化の異なる組み合わせを指定します。 SSID は、VLAN と VLAN の特定の認証および暗号化方式に関連付けられます。 ワイヤレス クライアント デバイスを正常に認証するには、AP と電話機で同じ SSID を認証および暗号化スキームで設定する必要があります。
一部の認証方式では、特定のタイプの暗号化が必要です。
- WPA 事前共有キー、WPA2 事前共有キー、または SAE を使用する場合、事前共有キーを電話機に静的に設定する必要があります。 これらのキーは、AP に存在するキーと一致している必要があります。
-
電話機は、FAST または EAP の自動 PEAP ネゴシエーションをサポートしていますが、TLS についてはサポートしていません。 EAP-TLS モードの場合は、これを指定する必要があります。
次の表の認証および暗号化スキームは、AP 構成に対応する電話機のネットワーク構成オプションを示しています。
| FSR の種類 | 認証(Authentication) | Key Management | 暗号化(Encryption) | 保護管理フレーム (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | 未対応 |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | 対応 |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | 未対応 |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 対応 |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | 未対応 |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 対応 |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | 未対応 |
| 802.11r (FT) | EAP-PEAP(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 対応 |
Wi-Fi プロフィールを設定する
電話の Web ページまたはリモートデバイスプロファイルの再同期から Wi-Fi プロファイルを設定して、そのプロファイルを使用可能な Wi-Fi ネットワークに関連付けることができます。 この Wi-Fi プロファイルを使用して Wi-Fi に接続できます。 現在、設定できる Wi-Fi プロファイルは 1 つだけです。
プロファイルには、電話機が Wi-Fi で電話サーバーに接続するために必要なパラメータが含まれています。 Wi-Fi プロファイルを作成して使用する場合、管理者またはユーザは個々の電話機のワイヤレス ネットワークを構成する必要がありません。
Wi-Fi プロファイルによって、ユーザが電話機の Wi-Fi 設定を変更できないようにしたり、制限したりすることができます。
Wi-Fi プロファイルを使用する場合は、キーとパスワードを保護するために、暗号化対応プロトコルを備えた安全なプロファイルを使用することをお勧めします。
セキュリティ モードで EAP-FAST 認証方法を使用するように電話機を設定すると、ユーザはアクセス ポイントに接続するために個別の資格情報が必要になります。
| 1 |
電話機のウェブページにアクセス |
| 2 |
を選択します。 |
| 3 |
セクション Wi-Fi プロファイル (n)で、次の表 Wi-Fi プロファイルのパラメーター の説明に従ってパラメーターを設定します。 Wi-Fi プロファイル構成は、ユーザ ログインでも使用できます。
|
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
Wi-Fi プロファイルのパラメータ
次の表で、電話機のウェブページの [システム(System)] タブの下にある [Wi-Fi プロファイル(n)(Wi-Fi Profile(n))] セクションの各パラメータの機能と使用方法を定義します。 また、パラメータを設定するために電話設定ファイル (cfg.xml) に追加される文字列の構文も定義します。
| パラメータ | 説明 |
|---|---|
| ネットワーク名 | 電話機に表示される SSID の名前を入力できます。 複数のプロファイルが、異なるセキュリティモードで同じネットワーク名を持つことができます。 次のいずれかを実行します。
デフォルト:空 |
| セキュリティ モード | Wi-Fi ネットワークへのアクセスをセキュリティ保護するために使用する認証方法を選択できますす。 選択した方法に応じて、パスワード フィールドが表示され、この Wi-Fi ネットワークに参加するために必要な資格情報を入力できます。 次のいずれかを実行します。
デフォルト:[自動(Auto)] |
| Wi-Fi ユーザー ID | ネットワーク プロファイルのユーザー ID を入力できます。 このフィールドは、セキュリティ モードを自動、EAP-FAST、または EAP-PEAP に設定した場合に使用できます。 これは必須フィールドであり、最大 32 文字の英数字を使用できます。 次のいずれかを実行します。
デフォルト:空 |
| Wi-Fi パスワード | 指定された Wi-Fi ユーザー ID のパスワードを入力できます。 次のいずれかを実行します。
デフォルト:空 |
| 周波数帯域 | WLAN で使用されているワイヤレス信号周波帯を選択できます。 次のいずれかを実行します。
デフォルト:[自動(Auto)] |
| 証明書の選択 | ワイヤレス ネットワークでの証明書の初期登録および証明書の更新に使用する証明書の種類を選択できます。 このプロセスは 802.1X 認証でのみ使用できます。 次のいずれかを実行します。
デフォルト: 製造時にインストール |
携帯電話でデバイスのセキュリティステータスを確認する
携帯電話はデバイスのセキュリティ状態を自動的にチェックします。 携帯電話で潜在的なセキュリティ上の脅威が検出された場合は、[ 問題と診断 ] メニューに問題の詳細が表示されます。 報告された問題に基づいて、管理者は携帯電話のセキュリティを強化し、強化するための操作を実行できます。
デバイスのセキュリティ ステータスは、電話機が通話制御システム (EAP-FAST または BroadWorks) に登録される前に利用できます。
電話画面でセキュリティ問題の詳細を表示するには、次の手順を実行します。
| 1 |
[設定(Settings)]を押します。 |
| 2 |
を選択します。 現在、デバイス セキュリティ レポートには次の問題が含まれています。
|
| 3 |
セキュリティ問題を解決するには、管理者にサポートを依頼してください。 |
