- 홈
- /
- 문서
Cisco IP 전화기 보안
이 도움말 문서는 Cisco BroadWorks에 등록된 Cisco 데스크 폰 9800 시리즈 및 Cisco 비디오 전화기 8875에 대한 것입니다.
사용자 정의 장치 인증서를 수동으로 설치
전화기 관리 웹 페이지에서 인증서를 업로드하여 전화기에 CDC(사용자 지정 장치 인증서)를 수동으로 설치할 수 있습니다.
시작하기 전에
전화기에 대해 사용자 정의 장치 인증서를 설치하기 전에 다음 항목이 있어야 합니다.
- PC에 인증서 파일(.p12 또는 .pfx)이 저장되었습니다. 파일에 인증서 및 비공개 키가 포함되어 있습니다.
- 인증서의 추출 암호입니다. 암호는 인증서 파일을 해독하는 데 사용됩니다.
1 |
전화기 관리 웹 페이지에 액세스합니다. |
2 |
인증서를 선택합니다. |
3 |
인증서 추가 섹션에서 찾아보기...를 클릭합니다. |
4 |
PC에서 인증서를 찾습니다. |
5 |
비밀번호 추출 필드에 인증서 추출 비밀번호를 입력합니다. |
6 |
업로드를 클릭합니다. 인증서 파일 및 비밀번호가 올바른 경우, "인증서 추가됨" 메시지를 수신하게 됩니다. 그렇지 않으면 업로드에 실패하고 인증서를 업로드할 수 없음을 나타내는 오류 메시지가 표시됩니다.
|
7 |
설치된 인증서의 세부 사항을 확인하려면 기존의 인증서 섹션에서 보기를 클릭합니다. |
8 |
전화기에서 설치된 인증서를 제거하려면 기존의 인증서 섹션에서 삭제를 클릭합니다. 버튼을 클릭하면 확인 없이 제거 작업이 즉시 시작됩니다.
인증서가 성공적으로 제거되면 "인증서 삭제됨" 메시지를 수신하게 됩니다. |
SCEP로 사용자 정의 장치 인증서를 자동으로 설치
인증서 파일을 수동으로 업로드하지 않거나 인증서 파일이 없는 경우 SCEP(Simple Certificate Enrollment Protocol) 매개 변수를 설정하여 CDC(사용자 지정 장치 인증서)를 자동으로 설치할 수 있습니다.
SCEP 매개 변수가 올바르게 구성되면 전화기는 SCEP 서버로 요청을 전송하고, 정의된 지문을 사용하여 장치에서 CA 인증서의 유효성을 검증합니다.
시작하기 전에
전화기에 대한 사용자 정의 장치 인증서의 자동 설치를 수행하기 전에 다음을 수행해야 합니다.
- SCEP 서버 주소
- SCEP 서버용 루트 CA 인증서의 SHA-1 또는 SHA-256 지문
1 |
전화기 관리 웹 페이지에 액세스합니다. |
2 |
인증서를 선택합니다. |
3 |
SCEP 구성 1 섹션에서 다음 표 SCEP 구성에 대한 파라미터에 설명된 대로 파라미터를 설정합니다. |
4 |
모든 변경 사항 제출을 클릭합니다. |
SCEP 구성을 위한 매개 변수
다음 표는 전화기 웹 인터페이스의 인증서 탭에 있는 SCEP 구성 1 섹션에서 SCEP 구성 파라미터의 기능과 사용법을 정의합니다. 또한 전화기 구성 파일(cfg.xml)에 추가된 문자열의 구문을 정의하여 매개 변수를 구성합니다.
파라미터 | 설명 |
---|---|
서버 |
SCEP 서버 주소. 이 매개 변수는 필수입니다. 다음 중 하나를 수행합니다.
유효한 값: URL 또는 IP 주소입니다. HTTPS 구성표는 지원되지 않습니다. 기본값 비어 있음 |
루트 CA 지문 |
SCEP 프로세스 중 검증을 위한 루트 CA의 SHA256 또는 SHA1 지문입니다. 이 매개 변수는 필수입니다. 다음 중 하나를 수행합니다.
기본값 비어 있음 |
비밀번호 변경 |
SCEP를 통해 인증서 등록 중에 전화기에 대한 CA(인증 기관) 인증에 대한 챌린지 암호입니다. 이 인수는 선택 사항입니다. 실제 SCEP 환경에 따라, 챌린지 비밀번호의 동작은 다양합니다.
다음 중 하나를 수행합니다.
기본값 비어 있음 |
DHCP 옵션 43을 통한 SCEP 매개 변수 구성
전화기 웹 페이지의 수동 구성에 의한 SCEP 인증서 등록 외에도 DHCP 옵션 43을 사용하여 DHCP 서버에서 매개 변수를 채울 수도 있습니다. DHCP 옵션 43은 SCEP 매개 변수로 미리 구성되며, 나중에 전화기는 DHCP 서버에서 매개 변수를 가져와서 SCEP 인증서 등록을 수행할 수 있습니다.
- DHCP 옵션 43을 통한 SCEP 매개 변수 구성은 팩토리 설정이 수행되는 전화기에만 사용할 수 있습니다.
- 전화기는 옵션 43 및 원격 프로비저닝(예: 옵션 66,160,159,150 또는 클라우드 프로비저닝)을 모두 지원하는 네트워크에 배치되지 않습니다. 그렇지 않으면 전화기에서 옵션 43 구성이 제공되지 않을 수 있습니다.
DHCP 옵션 43에서 SCEP 매개 변수를 구성하여 SCEP 인증서를 등록하려면 다음을 수행합니다.
- SCEP 환경을 준비합니다.
SCEP 환경 설정에 대한 자세한 내용은 SCEP 서버 설명서를 참조하십시오.
- DHCP 옵션 43을 설정합니다(8.4 공급업체 특정 정보, RFC 2132에 정의됨).
하위 옵션(10–15)은 다음 방법으로 예약됩니다.
전화기 웹 페이지의 매개 변수 하위 옵션 유형 길이(바이트) 필수 FIPS 모드 10 부울 1 아니요* 서버 11 string 208 - 길이 (챌린지 비밀번호) 예 루트 CA 지문 12 이진 20 또는 32 예 비밀번호 변경 13 string 208 - 길이 (서버) 아니요* 802.1X 인증 활성화 14 부울 1 아니요 인증서 선택 15 서명되지 않은 8비트 1 아니요 DHCP 옵션 43을 사용할 때 해당 메서드의 다음 특성을 주의하십시오.
- 하위 옵션(10–15)은 CDC(Custom Device Certificate)용으로 예약되어 있습니다.
- DHCP 옵션 43의 최대 길이는 255바이트입니다.
- 서버 + 챌린지 비밀번호의 최대 길이는 208바이트 미만이어야 합니다.
- FIPS 모드의 값은 온보딩 프로비저닝 구성과 일치해야 합니다. 그렇지 않으면 전화기는 온보딩 후에 이전에 설치된 인증서를 검색하지 못합니다. 구체적으로:
- FIPS 모드가 비활성화된 환경에 전화기가 등록된 경우, DHCP 옵션 43에서 파라미터 FIPS 모드를 구성하지 않아도 됩니다. 기본적으로 FIPS 모드는 비활성화됩니다.
- FIPS 모드가 활성화된 환경에 전화기를 등록하는 경우 DHCP 옵션 43에서 FIPS 모드를 활성화해야 합니다. 자세한 내용은 FIPS 모드 활성화를 참조하십시오.
- 옵션 43의 암호는 일반 텍스트로 표시됩니다.
챌린지 비밀번호가 비어 있는 경우 전화기는 초기 등록 및 인증서 갱신을 위해 MIC/SUDI를 사용합니다. 챌린지 비밀번호가 구성된 경우, 이는 초기 등록에만 사용되며, 설치된 인증서는 인증서 갱신에 사용됩니다.
- 802.1X 인증 활성화 및 인증서 선택은 유선 네트워크의 전화에만 사용됩니다.
- DHCP 옵션 60(공급업체 클래스 식별자)은 장치 모델을 식별하는 데 사용됩니다.
다음 표에서는 DHCP 옵션 43(하위 옵션 10–15)의 예를 제공합니다.
하위 옵션 십진/16진수 값 길이(바이트) 십진수/16진수 값 16진수 값 10/0a는 1101 1 (0: 같음) 비활성화됨; 1: 활성화됨 01 11/0b는 18월 12일 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 2012년 12월 12일 20월 14일 12040870625c5b755d73f5925285f8f5ff5d55af 12040870625c5b755d73f5925285f8f5ff5d55af 13/0d는 16월 10일 모델 번호:d233ccf9b9952a15 44323333434346394239393532413135 14/0일 1101 1 (0: 같음) 아니요; 1: 예* 01 15/0f는 1101 1 (0: 같음) 제조업 설치; 1: 사용자 정의 설치됨) 01 파라미터 값의 요약:
-
FIPS 모드 = 활성화됨
-
서버 =
http://10.79.57.91
-
루트 CA 지문 =
12040870625c5b755d73f5925285f8f5ff5d55af
-
챌린지 비밀번호 = D233CCF9B9952A15
-
802.1X 인증 활성화 = 예
-
인증서 선택 = 사용자 정의 설치됨
16진수 값의 구문은 다음과 같습니다.
{<suboption><length><value>}...
위의 매개 변수 값에 따라 최종 16진수 값은 다음과 같습니다.
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101
- DHCP 서버에서 DHCP 옵션 43을 구성합니다.이 단계는 Cisco Network Register에서 DHCP 옵션 43 구성의 예를 제공합니다.
- DHCP 옵션 정의 집합을 추가합니다.
벤더 옵션 문자열은 IP 전화기의 모델 이름입니다. 유효한 값은 다음과 같습니다. DP-9841, DP-9851, DP-9861, DP-9871 또는 CP-8875.
- DHCP 옵션 43 및 하위 옵션을 DHCP 옵션 정의 집합에 추가합니다.
예:
- DHCP 정책에 옵션 43을 추가하고 다음과 같이 값을 설정합니다.
예:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
- 설정 확인 Wireshark를 사용하여 전화기와 서비스 간의 네트워크 트래픽의 추적을 캡처할 수 있습니다.
- DHCP 옵션 정의 집합을 추가합니다.
- 전화기에 대한 팩토리 설정을 수행합니다.
전화기가 재설정되면 파라미터 서버, 루트 CA 지문 및 챌린지 비밀번호가 자동으로 채워집니다. 해당 파라미터는 전화기 관리 웹 페이지의 인증서 > 섹션에 위치합니다.
설치된 인증서의 세부 사항을 확인하려면 기존의 인증서 섹션에서 보기를 클릭합니다.
인증서 설치 상태를 확인하려면
를 선택합니다. 다운로드 상태 1은 최신 결과를 표시합니다. 인증서 등록 중에 문제가 발생하는 경우 다운로드 상태는 문제 해결을 위해 문제 원인을 표시할 수 있습니다.챌린지 비밀번호 인증에 실패하는 경우 전화기 화면에 암호를 입력하라는 메시지가 표시됩니다. - (선택 사항) 전화기에서 설치된 인증서를 제거하려면 기존의 인증서 섹션에서 삭제를 클릭합니다.버튼을 클릭하면 확인 없이 제거 작업이 즉시 시작됩니다.
SCEP별 인증서 갱신
장치 인증서는 SCEP 프로세스를 통해 자동으로 새로 고칠 수 있습니다.
- 전화기는 인증서가 4시간마다 15일 내에 만료되는지 확인합니다. 이러한 경우 전화기는 인증서 갱신 프로세스를 자동으로 시작합니다.
- 챌린지 비밀번호가 비어 있는 경우 전화기는 초기 등록 및 인증서 갱신 모두에 MIC/SUDI를 사용합니다. 챌린지 비밀번호가 구성된 경우, 이는 초기 등록에만 사용되고, 기존/설치된 인증서는 인증서 갱신에 사용됩니다.
- 전화기는 새 장치 인증서를 검색할 때까지 이전 장치 인증서를 제거하지 않습니다.
- 장치 인증서 또는 CA가 만료되었기 때문에 인증서 갱신이 실패하는 경우 전화기는 초기 등록을 자동으로 트리거합니다. 한편, 챌린지 비밀번호 인증에 실패하는 경우 전화기 화면에 비밀번호 입력 화면이 나타나고 사용자에게 전화기에 챌린지 비밀번호를 입력하라는 메시지가 표시됩니다.
FIPS 모드 활성화
전화기 FIPS(Federal Information Processing Standards)를 준수하도록 할 수 있습니다.
FIPS는 문서 처리, 암호화 알고리즘 및 기타 정보 기술 표준을 설명하는 일련의 표준입니다. CiscoSSL FOM(FIPS 개체 모듈)은 신중하게 정의된 소프트웨어 구성 요소이며 CiscoSSL 라이브러리와 호환되도록 설계되었습니다. 따라서 CiscoSSL 라이브러리와 API를 사용하는 제품은 최소한의 노력으로 FIPS 140-2 검증된 암호화를 사용하도록 변환할 수 있습니다.
1 |
전화기 관리 웹 페이지에 액세스합니다. |
2 |
을 선택합니다. |
3 |
보안 설정 섹션의 FIPS 모드 파라미터에서 예 또는 아니요를 선택합니다. |
4 |
모든 변경 사항 제출을 클릭합니다. FIPS를 활성화하면 다음 기능은 전화기에서 원활하게 작동합니다.
|
보안 인증서를 수동으로 제거
SCEP(Simple Certificate Enrollment Protocol)를 사용할 수 없는 경우 전화기에서 보안 인증서를 수동으로 제거할 수 있습니다.
1 |
전화 관리 웹 페이지에서 인증서를 선택합니다. |
2 |
인증서 페이지에서 인증서를 찾습니다. |
3 |
삭제를 클릭합니다. |
4 |
삭제 프로세스가 완료된 후 전화기를 다시 시작합니다. |
사용자 및 관리자 비밀번호 설정
전화기가 처음으로 통화 제어 시스템에 등록되거나 전화기에서 팩토리 설정을 수행한 후에는 전화기의 보안을 강화하기 위해 사용자 및 관리자 암호를 설정해야 합니다. 암호가 설정된 경우에만 전화기 웹 페이지에서 변경 사항을 제출할 수 있습니다.
기본적으로 전화기에 암호 경고가 활성화되지 않습니다. 전화기에 사용자 또는 관리자 비밀번호가 없는 경우 다음 경고가 표시됩니다.
- 전화기 웹 페이지에 "제공된 관리자 암호가 없습니다. 웹은 읽기 전용 모드이며, 변경 사항을 제출할 수 없습니다. 비밀번호를 변경하십시오." 상단 왼쪽 모서리에 위치합니다.
사용자 비밀번호 및 관리 비밀번호 필드는 비어 있는 경우, "제공된 비밀번호 없음" 경고를 각각 표시합니다.
- 전화 화면 문제 및 진단은 "제공된 비밀번호 없음" 문제를 표시합니다.
1 |
전화기 관리 웹 페이지에 액세스 |
2 |
을 선택합니다. |
3 |
(선택 사항) 시스템 구성 섹션에서 비밀번호 경고 표시 파라미터를 예로 설정한 후 모든 변경 사항 제출을 클릭합니다. 전화기 구성 파일(cfg.xml)에서 매개 변수를 활성화할 수도 있습니다.
기본값 예 옵션: 예|아니요 파라미터가 아니요로 설정되면 비밀번호 경고가 웹 페이지 또는 전화 화면에 나타나지 않습니다. 또한, 비밀번호가 비어 있는 경우에도 페이지 웹에 대한 준비 전용 모드는 활성화되지 않습니다. |
4 |
파라미터 사용자 비밀번호 또는 관리 비밀번호를 찾고 파라미터 옆에 있는 비밀번호 변경을 클릭합니다. |
5 |
이전 비밀번호 필드에 현재 사용자 비밀번호를 입력합니다. 비밀번호가 없는 경우, 필드를 비워 두십시오. 기본값은 0입니다.
|
6 |
비밀번호 필드에 새로운 비밀번호를 입력합니다. |
7 |
제출을 클릭합니다. 비밀번호가 성공적으로 변경되었습니다. 메시지가 웹 페이지에 표시됩니다. 웹 페이지가 몇 초 내에 새로 고쳐집니다. 파라미터 옆에 있는 경고가 사라집니다. 사용자 암호를 설정한 후 이 매개 변수는 전화기 구성 XML 파일(cfg.xml)에 다음을 표시합니다.
전화기 웹 페이지에 액세스하려고 할 때 403 오류 코드를 수신하는 경우 전화기 구성 파일(cfg.xml)에서 프로비저닝하여 사용자 또는 관리자 암호를 설정해야 합니다. 예를 들어, 다음 형식으로 문자열을 입력합니다.
|
802.1X 인증
Cisco IP 전화기는 802.1X 인증을 지원합니다.
Cisco IP 전화기와 Cisco Catalyst 스위치는 전통적으로 CDP(Cisco Discovery Protocol)를 사용하여 서로를 식별하고 VLAN 할당 및 인라인 전원 요구 사항과 같은 매개 변수를 결정합니다. CDP는 로컬로 연결된 워크스테이션을 식별하지 않습니다. Cisco IP 전화기는 EAPOL 통과 메커니즘을 제공합니다. 이 메커니즘을 사용하면 Cisco IP 전화기에 연결된 워크스테이션이 LAN 스위치의 802.1X 인증자에게 EAPOL 메시지를 전달할 수 있습니다. 통과 메커니즘은 네트워크에 액세스하기 전에 데이터 엔드포인트를 인증하기 위해 IP 전화기가 LAN 스위치로 작동하지 않도록 합니다.
Cisco IP 전화기는 프록시 EAPOL 로그오프 메커니즘도 제공합니다. 로컬로 연결된 PC가 IP 전화기에서 연결을 끊으면 LAN 스위치와 IP 전화기 간의 링크가 유지되므로 LAN 스위치에 물리적 링크가 표시되지 않습니다. 네트워크 무결성이 손상되지 않게 하기 위해 IP 전화기는 다운스트림 PC를 대신하여 스위치에 EAPOL 로그오프 메시지를 전송하며, 이는 LAN 스위치를 트리거하여 다운스트림 PC에 대한 인증 항목을 지웁니다.
802.1X 인증을 지원하려면 다음과 같은 다양한 구성 요소가 필요합니다.
-
Cisco IP Phone 전화기가 네트워크에 액세스하기 위한 요청을 시작합니다. Cisco IP 전화기에는 802.1X 요청자가 포함되어 있습니다. 이 간청을 사용하면 네트워크 관리자가 LAN 스위치 포트에 대한 IP 전화기의 연결을 제어할 수 있습니다. 전화기 802.1X 인증 요청자의 현재 릴리스는 네트워크 인증에 EAP-FAST 및 EAP-TLS 옵션을 사용합니다.
-
인증 서비스 인증 서버와 스위치는 전화기를 인증하는 공유 비밀로 구성되어야 합니다.
-
전환: 스위치는 인증자 역할을 하고 전화기와 인증 서버 간에 메시지를 전달할 수 있도록 802.1X를 지원해야 합니다. 교환이 완료되면 스위치는 네트워크에 대한 전화기 액세스를 부여하거나 거부합니다.
802.1X를 구성하려면 다음 작업을 수행해야 합니다.
-
전화기에서 802.1X 인증을 활성화하기 전에 다른 구성 요소를 구성합니다.
-
PC 포트 구성: 802.1X 표준은 VLAN을 고려하지 않기 때문에 특정 스위치 포트에 대해 한 개의 장치만 인증하는 것이 좋습니다. 그러나 일부 스위치는 다중 도메인 인증을 지원합니다. 스위치 구성은 PC를 전화기의 PC 포트에 연결할 수 있는지 여부를 결정합니다.
-
활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용하고 있는 경우, PC 포트를 활성화하고 PC를 연결할 수 있습니다. 이 경우 Cisco IP 전화기는 스위치와 연결된 PC 간의 인증 교환을 모니터링하기 위해 프록시 EAPOL-로고를 지원합니다.
Cisco Catalyst 스위치의 IEEE 802.1X 지원에 대한 자세한 내용은 다음 위치에서 Cisco Catalyst 스위치 구성 안내서를 참조하십시오.
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
비활성화됨: 스위치가 동일한 포트에서 여러 개의 802.1X 준수 장치를 지원하지 않는 경우, 802.1X 인증이 활성화되면 PC 포트를 비활성화해야 합니다. 이 포트를 비활성화하지 않은 다음 PC를 연결하려고 하면 스위치는 전화기와 PC 모두에 대한 네트워크 액세스를 거부합니다.
-
- 음성 VLAN 구성: 802.1X 표준은 VLAN을 고려하지 않기 때문에 스위치 지원에 따라 이 설정을 구성해야 합니다.
- 활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용하고 있는 경우, 계속 음성 VLAN을 사용할 수 있습니다.
- 비활성화됨: 스위치에서 멀티도메인 인증을 지원하지 않는 경우, 음성 VLAN을 비활성화하고 포트를 네이티브 VLAN에 할당할 것을 고려하십시오.
- (Cisco Desk Phone 9800 시리즈 전용)
Cisco Desk Phone 9800 시리즈에는 다른 Cisco 전화기의 PID와 다른 접두사가 있습니다. 전화기에서 802.1X 인증을 통과하도록 활성화하려면 Radius·User-Name 파라미터를 설정하여 Cisco Desk Phone 9800 시리즈를 포함합니다.
예를 들어, 전화기 9841의 PID는 DP-9841입니다. Radius·User-Name을 DP로 시작 또는 DP 포함으로 설정할 수 있습니다. 다음 섹션 모두에서 설정할 수 있습니다.
-
802.1X 인증 활성화
802.1X 인증이 활성화되면 전화기는 802.1X 인증을 사용하여 네트워크 액세스를 요청합니다. 802.1X 인증이 비활성화되면 전화기는 CDP(Cisco Discovery Protocol)를 사용하여 VLAN 및 네트워크 액세스를 얻습니다. 전화기 화면 메뉴에서 트랜잭션 상태 및 변경 사항을 볼 수도 있습니다.
802.1X 인증이 활성화되면 초기 등록 및 인증서 갱신을 위해 장치 인증서(MIC/SUDI 또는 사용자 정의)를 선택할 수도 있습니다. 일반적으로 MIC는 Cisco Video Phone 8875용이며, SUDI는 Cisco Desk Phone 9800 시리즈용입니다. CDC는 802.1x에서만 인증에 사용할 수 있습니다.
1 |
802.1X 인증을 활성화하려면 다음 작업 중 하나를 수행합니다.
| ||||||||||||||||||||
2 |
전화기 웹 페이지에서 802.1X 인증에 대한 인증서(MIC 또는 사용자 정의)를 선택합니다.
전화 화면에서 인증서 유형을 선택하는 방법에 대한 자세한 정보는 전화를 Wi-Fi 네트워크에 연결을 참조하십시오.
|
미디어 평면 보안 협상에 대해 클라이언트 시작 모드 활성화
미디어 세션을 보호하기 위해 서버와 미디어 평면 보안 협상을 시작하도록 전화기를 구성할 수 있습니다. 보안 메커니즘은 RFC 3329에 명시된 표준 및 미디어에 대한 확장 초안 보안 메커니즘 이름을 따릅니다(참조: https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). 전화기와 서버 간의 협상 전송은 UDP, TCP 및 TLS를 통해 SIP 프로토콜을 사용할 수 있습니다. 신호 처리 전송 프로토콜이 TLS인 경우에만 미디어 평면 보안 협상이 적용되도록 제한할 수 있습니다.
1 |
전화기 관리 웹 페이지에 액세스합니다. | ||||||
2 |
를 선택합니다. | ||||||
3 |
SIP 설정 섹션에서 다음 표에 정의된 대로 MediaSec 요청 및 TLS를 통한 MediaSec 전용 필드를 설정합니다.
| ||||||
4 |
모든 변경 사항 제출을 클릭합니다. |
WLAN 보안
범위 내에 있는 모든 WLAN 장치는 다른 모든 WLAN 트래픽을 수신할 수 있으므로, WLAN에서 음성 통신을 보호하는 것이 중요합니다. 침입자가 음성 트래픽을 조작하거나 가로채지 않도록 Cisco SAFE Security 아키텍처는 전화기를 지원합니다. 네트워크의 보안에 대한 자세한 정보는 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html을 참조하십시오.
Cisco 무선 IP 텔레포니 솔루션은 전화기가 지원하는 다음 인증 방법을 사용하여 인증되지 않은 로그인 및 통신을 방지하는 무선 네트워크 보안을 제공합니다.
-
인증 없음 모든 무선 장치는 개방형 시스템에서 인증을 요청할 수 있습니다. 요청을 수신하는 AP는 모든 요청자에게 또는 사용자 목록에 있는 요청자에게만 인증을 부여할 수 있습니다. 무선 장치와 액세스 포인트(AP) 간의 통신은 암호화되지 않을 수 있습니다.
-
EAP-FAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) 인증: 이 클라이언트-서버 보안 아키텍처는 AP와 RADIUS 서버 간의 전송 수준 보안(TLS) 터널 내에서 EAP 트랜잭션을 암호화합니다(예: Identity Services Engine).
TLS 터널은 클라이언트(전화기)와 RADIUS 서버 간의 인증을 위해 PAC(Protected Access Credentials)를 사용합니다. 서버는 AID(인증 ID)를 클라이언트(전화기)로 전송하고, 차례로 적절한 PAC를 선택합니다. 클라이언트(전화기)는 PAC-Opaque를 RADIUS 서버로 반환합니다. 서버는 기본 키로 PAC를 해독합니다. 이제 두 엔드포인트 모두 PAC 키를 포함하며 TLS 터널이 생성됩니다. EAP-FAST는 자동 PAC 프로비저닝을 지원하지만 RADIUS 서버에서 활성화해야 합니다.
ISE에서는 기본적으로 PAC가 1주일 내에 만료됩니다. 전화기에 만료된 PAC가 있는 경우 전화기에 새 PAC를 가져오는 동안 RADIUS 서버와의 인증이 더 오래 걸립니다. PAC 프로비저닝 지연을 방지하려면 ISE 또는 RADIUS 서버에서 PAC 만료 기간을 90일 이상으로 설정합니다.
-
확장 가능한 인증 프로토콜-전송 계층 보안(EAP-TLS) 인증: EAP-TLS에는 인증 및 네트워크 액세스를 위한 클라이언트 인증서가 필요합니다. 무선 EAP-TLS의 경우 클라이언트 인증서는 MIC, LSC 또는 사용자가 설치한 인증서일 수 있습니다.
-
PEAP(Protected Extensible Authentication Protocol): 클라이언트(전화기)와 RADIUS 서버 간의 Cisco 독점 비밀번호 기반 상호 인증 체계. 전화기는 무선 네트워크를 인증하기 위해 PEAP를 사용할 수 있습니다. PEAP-MSCHAPV2 및 PEAP-GTC 인증 방법이 모두 지원됩니다.
-
사전 공유 키(PSK): 전화기는 ASCII 형식을 지원합니다. WPA/WPA2/SAE 사전 공유 키를 설정할 때 이 형식을 사용해야 합니다.
ASCII: 8~63자 길이의 ASCII 문자 문자열(0-9, 소문자 및 대문자 A-Z 및 특수 문자)
예: GREG123567@9ZX&W
다음 인증 체계는 RADIUS 서버를 사용하여 인증 키를 관리합니다.
-
wpa/wpa2/wpa3: RADIUS 서버 정보를 사용하여 인증을 위한 고유한 키를 생성합니다. 이러한 키는 중앙 집중식 RADIUS 서버에서 생성되므로 WPA2/WPA3는 AP 및 전화기에 저장된 WPA 사전 공유 키보다 더 많은 보안을 제공합니다.
-
빠른 보안 로밍: RADIUS 서버 및 무선 도메인 서버(WDS) 정보를 사용하여 키를 관리하고 인증합니다. WDS는 빠르고 안전한 재인증을 위해 FT 사용 클라이언트 장치에 대한 보안 자격 증명 캐시를 만듭니다. Cisco Desk Phone 9861 및 9871 및 Cisco Video Phone 8875는 802.11r(FT)을 지원합니다. 공기와 DS를 통해 모두 빠른 보안 로밍을 허용하도록 지원됩니다. 그러나 802.11r(FT) over air 방법을 사용하는 것이 좋습니다.
WPA/WPA2/WPA3를 사용하면 암호화 키가 전화기에 입력되지 않지만 AP와 전화기 간에 자동으로 파생됩니다. 그러나 인증에 사용되는 EAP 사용자 이름과 암호는 각 전화기에 입력해야 합니다.
음성 트래픽이 안전한지 확인하기 위해 전화기는 암호화를 위해 TKIP 및 AES를 지원합니다. 이러한 메커니즘이 암호화에 사용되는 경우 신호 처리 SIP 패킷과 음성 RTP(실시간 전송 프로토콜) 패킷이 모두 AP와 전화기 간에 암호화됩니다.
- 틀: TKIP
-
WPA는 WEP에 비해 여러 가지 향상점이 있는 TKIP 암호화를 사용합니다. TKIP는 암호화를 강화하는 패킷 당 키 암호화 및 더 긴 초기화 벡터(IV)를 제공합니다. 또한 MIC(메시지 무결성 확인)는 암호화된 패킷이 수정되지 않도록 합니다. TKIP는 침입자가 WEP 키를 해독하는 데 도움이 되는 WEP의 예측 가능성을 제거합니다.
- AE는
-
WPA2/WPA3 인증에 사용되는 암호화 방법입니다. 이 국가 암호화 표준은 암호화 및 암호 해독에 대해 동일한 키를 갖는 대칭 알고리즘을 사용합니다. AES는 128비트, 192비트 및 256비트의 키 크기를 최소값으로 지원하는 CBC(Cipher Blocking Chain) 암호화를 사용합니다. 전화기는 256비트의 키 크기를 지원합니다.
Cisco 데스크 폰 9861 및 9871 및 Cisco 비디오 전화기 8875는 CMIC에서 CKIP(Cisco Key Integrity Protocol)를 지원하지 않습니다.
인증 및 암호화 체계는 무선 LAN 내에서 설정됩니다. VLAN은 네트워크와 AP에서 구성되고 다른 인증 및 암호화의 조합을 지정합니다. SSID는 VLAN 및 특정 인증 및 암호화 체계와 연결됩니다. 무선 클라이언트 장치가 성공적으로 인증하려면 AP 및 전화기에서 인증 및 암호화 체계를 사용하여 동일한 SSID를 구성해야 합니다.
일부 인증 체계에는 특정 유형의 암호화가 필요합니다.
- WPA 사전 공유 키, WPA2 사전 공유 키 또는 SAE를 사용하는 경우 사전 공유 키는 전화기에 고정적으로 설정되어야 합니다. 이러한 키는 AP에 있는 키와 일치해야 합니다.
-
전화기는 FAST 또는 PEAP에 대해 자동 EAP 협상을 지원하지만 TLS에는 지원하지 않습니다. EAP-TLS 모드의 경우 이 모드를 지정해야 합니다.
다음 표의 인증 및 암호화 체계는 AP 구성에 해당하는 전화기에 대한 네트워크 구성 옵션을 보여줍니다.
FSR 유형 | 인증 | 사용자 관리 | 암호화 | 보호된 관리 프레임(PMF) |
---|---|---|---|---|
802.11r(FT) | PSK |
WPA-PSK는 분류: WPA-PSK-sha256 ft-psk는 | AE는 | 아니요 |
802.11r(FT) | WPAD |
sae는 ft-sae는 | AE는 | 예 |
802.11r(FT) | EAP-TLS |
WPA-eap의 피트-eap | AE는 | 아니요 |
802.11r(FT) | eap-tls (wpa3) |
분류: wpa-eap-sha256 피트-eap | AE는 | 예 |
802.11r(FT) | EAP-FAST |
WPA-eap의 피트-eap | AE는 | 아니요 |
802.11r(FT) | 빠른 속도 (wpa3) |
분류: wpa-eap-sha256 피트-eap | AE는 | 예 |
802.11r(FT) | eap-peap는 |
WPA-eap의 피트-eap | AE는 | 아니요 |
802.11r(FT) | eap-peap (wpa3) 를 |
분류: wpa-eap-sha256 피트-eap | AE는 | 예 |
Wi-Fi 프로파일 설정
전화기 웹 페이지 또는 원격 장치 프로파일 재동기화에서 Wi-Fi 프로파일을 구성한 다음 해당 프로파일을 사용 가능한 Wi-Fi 네트워크에 연결할 수 있습니다. 이 Wi-Fi 프로파일을 사용하여 Wi-Fi에 연결할 수 있습니다. 현재 하나의 Wi-Fi 프로파일만 구성할 수 있습니다.
프로파일에는 전화기가 Wi-Fi를 사용하여 전화기 서버에 연결하는 데 필요한 매개 변수가 포함되어 있습니다. Wi-Fi 프로파일을 만들고 사용할 때 사용자 또는 사용자가 개별 전화기에 대해 무선 네트워크를 구성하지 않아도 됩니다.
Wi-Fi 프로파일을 사용하면 사용자가 전화기에서 Wi-Fi 구성을 변경하는 것을 방지하거나 제한할 수 있습니다.
Wi-Fi 프로파일을 사용할 때 키와 암호를 보호하기 위해 암호화가 활성화된 프로토콜이 포함된 보안 프로파일을 사용하는 것이 좋습니다.
보안 모드에서 EAP-FAST 인증 방법을 사용하도록 전화기를 설정할 때 액세스 포인트에 연결하려면 개별 자격 증명이 필요합니다.
1 |
전화기 웹 페이지에 액세스합니다. |
2 |
을 선택합니다. |
3 |
Wi-Fi 프로필 (n) 섹션에서 다음 표 Wi-Fi 프로필에 대한 파라미터에 설명된 대로 파라미터를 설정합니다. Wi-Fi 프로파일 구성은 사용자 로그인에도 사용할 수 있습니다.
|
4 |
모든 변경 사항 제출을 클릭합니다. |
Wi-Fi 프로파일에 대한 매개 변수
다음 표는 전화기 웹 페이지의 시스템 탭에 있는 Wi-Fi 프로필(n) 섹션에서 각 파라미터의 기능과 사용법을 정의합니다. 또한 전화기 구성 파일(cfg.xml)에 추가된 문자열의 구문을 정의하여 매개 변수를 구성합니다.
파라미터 | 설명 |
---|---|
네트워크 이름 | 전화기에 표시되는 SSID의 이름을 입력할 수 있습니다. 여러 프로파일이 다른 보안 모드로 동일한 네트워크 이름을 가질 수 있습니다. 다음 중 하나를 수행합니다.
기본값 비어 있음 |
보안 모드 | Wi-Fi 네트워크에 대한 보안 액세스에 사용되는 인증 방법을 선택할 수 있습니다. 선택하는 방법에 따라 암호 필드가 나타나며, 이 Wi-Fi 네트워크에 참여하는 데 필요한 자격 증명을 제공할 수 있습니다. 다음 중 하나를 수행합니다.
기본값 자동 |
Wi-Fi 사용자 Id | 네트워크 프로필에 대해 사용자 ID를 입력할 수 있게 합니다. 이 필드는 보안 모드를 자동, EAP-FAST 또는 EAP-PEAP로 설정할 때 사용할 수 있습니다. 필수 필드이며 최대 32자의 영숫자를 허용합니다. 다음 중 하나를 수행합니다.
기본값 비어 있음 |
Wi-Fi 비밀번호 | 지정된 Wi-Fi 사용자 ID의 암호를 입력할 수 있습니다. 다음 중 하나를 수행합니다.
기본값 비어 있음 |
주파수 대역 | WLAN에서 사용하는 무선 신호 주파수 대역을 선택할 수 있습니다. 다음 중 하나를 수행합니다.
기본값 자동 |
인증서 선택 | 무선 네트워크에서 인증서 초기 등록 및 인증서 갱신에 대한 인증서 유형을 선택할 수 있습니다. 이 프로세스는 802.1X 인증에만 사용할 수 있습니다. 다음 중 하나를 수행합니다.
기본값 제조업 설치 |