- Start
- /
- Artikel
Dit Help-artikel is voor Cisco Wireless Phone 9821 geregistreerd bij Cisco Unified Communications Manager (Unified CM).
U kunt Cisco Unified Communications Manager (Unified CM) inschakelen onder een verbeterde beveiligingsomgeving. Met deze verbeteringen kan uw telefoonnetwerk werken met een set strikte beveiligings- en risicobeheerinstellingen om u en uw gebruikers te beschermen.
De verbeterde beveiligingsomgeving bevat de volgende functies:
-
Verificatie bij zoeken naar contacten
-
TCP als het standaardprotocol voor externe auditlogbestanden
-
Een verbeterd beleid voor aanmeldingsgegevens
-
Ondersteuning voor SHA-2-familie hashes voor digitale signatures
-
Ondersteuning voor RSA sleutelformaat tot 4096 bits
Met Cisco Unified CM versie 14.0 of hoger ondersteunen de telefoons SIP OAuth-verificatie.
OAuth wordt ondersteund voor Proxy Trivial File Transfer Protocol (TFTP) met Cisco Unified CM Release 14.0 (1) SU1 of hoger.
Raadpleeg de volgende richtlijnen voor meer informatie over beveiliging:
-
Handleiding voor systeemconfiguratie voor Cisco Unified Communications Manager, versie 15 en SUS
-
Beveiligingshandleiding voor Cisco Unified Communications Manager, versie 15 en SUs
Uw telefoon kan slechts een beperkt aantal ITL-bestanden (Identity Trust List) opslaan. ITL-bestanden kunnen niet hoger zijn dan 64 KK op de telefoon, dus beperk het aantal bestanden dat Cisco Unified CM naar de telefoon verzendt.
Ondersteunde beveiligingsfuncties
Beveiligingsfuncties beschermen tegen bedreigingen, waaronder bedreigingen van de identiteit van de telefoon en gegevens. Deze functies vormen en onderhouden geverifieerde communicatiestromen tussen de telefoon en de Cisco Unified Communications Manager-server en zorgen dat de telefoon alleen digitaal ondertekende bestanden gebruikt.
Cisco Unified Communications Manager Release 8.5(1) en hoger omvat standaardbeveiliging met de volgende functies voor Cisco IP-telefoons waarop geen CTL-client wordt uitgevoerd:
-
Ondertekenen van telefoonconfiguratiebestanden
-
Codering telefoonconfiguratiebestand
-
HTTPS met Tomcat en andere webservices
Veilige signalering en mediafuncties vereisen nog steeds dat u de CTL-client uitvoert en hardware-eTokens gebruikt.
Door beveiliging te implementeren in het Cisco Unified Communications Manager-systeem voorkomt u identiteitsdiefstal van de telefoon en de Cisco Unified Communications Manager-server, en ongewenste bewerking van gegevens, gespreksignalen en mediastreams.
Als bescherming tegen deze bedreigingen brengt het Cisco IP-telefonienetwerk beveiligde (gecodeerde) communicatiestromen tot stand tussen een telefoon en de server, worden bestanden digitaal ondertekend voordat ze worden overgebracht naar een telefoon en worden mediastromen en gespreksignalen tussen Cisco IP-telefoons gecodeerd.
Er wordt een LSC-certificaat (Locally Significant Certificate) op de telefoons geïnstalleerd nadat u de vereiste taken hebt uitgevoerd die samenhangen met de Certificate Authority Proxy Function (CAPF). U kunt Cisco Unified Communications Manager Administration gebruiken om een LSC te configureren, zoals wordt beschreven in de beveiligingshandleiding vanCisco Unified Communications Manager. U kunt ook de installatie van een LSC starten vanuit het menu Beveiliging op de telefoon. Met dit menu kunt u een LSC bijwerken en verwijderen.
De telefoons gebruiken het beveiligingsprofiel van de telefoon, dat aangeeft of het apparaat niet-veilig of veilig is. Voor meer informatie over het toepassen van het beveiligingsprofiel op de telefoon, raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.
Als u de beveiligingsinstellingen in Cisco Unified Communications Manager Administration configureert, bevat het telefoon-configuratiebestand vertrouwelijke informatie. Om te zorgen voor de privacy van een configuratiebestand moet u dit configureren voor codering. Voor gedetailleerde informatie raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.
In de volgende tabel ziet u een overzicht van de beveiligingsfuncties die door de telefoons worden ondersteund. Voor meer informatie raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.
|
Functie |
Beschrijving |
|---|---|
|
Verificatie afbeelding |
Ondertekende binaire bestanden verhinderen dat de firmware wordt gewijzigd voordat deze op een telefoon wordt geladen. Als de afbeelding wordt gewijzigd, kan het verificatieproces op de telefoon mislukken en de nieuwe afbeelding worden geweigerd. |
|
Installatie certificaat op klantlocatie |
Elke Cisco IP-telefoon vereist een uniek certificaat voor apparaatverificatie. Telefoons bevatten een in de fabriek geïnstalleerd certificaat (MIC), maar voor extra beveiliging kunt u in Cisco Unified Communications Manager Administration opgeven dat een certificaat wordt geïnstalleerd met Certificate Authority Proxy Function (CAPF). U kunt ook Locally Significant Certificate (LSC) installeren via het menu Beveiliging op de telefoon. |
|
Apparaatverificatie |
Vindt plaats tussen de Cisco Unified Communications Manager-server en de telefoon wanneer elke entiteit het certificaat van de andere entiteit accepteert. Bepaalt of een veilige verbinding tussen de telefoon en Cisco Unified Communications Manager nodig is en maakt zo nodig een veilig signaleringspad tussen de entiteiten met TLS-protocol. In Cisco Unified Communications Manager worden telefoons pas geregistreerd, als ze kunnen worden geverifieerd. |
|
Bestandsverificatie |
Valideert digitaal ondertekende bestanden die de telefoon downloadt. De telefoon valideert de handtekening zodat het bestand na het maken niet wordt gewijzigd. Bestanden waarvan de verificatie mislukt, worden niet weggeschreven naar het flashgeheugen op de telefoon. De telefoon weigert zulke bestanden zonder verdere verwerking. |
|
Bestandscodering |
Codering voorkomt dat vertrouwelijke informatie wordt weergegeven, terwijl het bestand op weg naar de telefoon is. Bovendien valideert de telefoon de handtekening zodat het bestand na het maken niet wordt gewijzigd. Bestanden waarvan de verificatie mislukt, worden niet weggeschreven naar het flashgeheugen op de telefoon. De telefoon weigert zulke bestanden zonder verdere verwerking. |
|
Verificatie signalering |
Gebruikt het TLS-protocol om te valideren dat de signaleringspakketten niet zijn gewijzigd tijdens de verzending. |
|
Manufacturing Installed Certificate |
Elke Cisco IP-telefoon vereist een uniek tijdens de fabricage geïnstalleerd certificaat (Manufacturing Installed Certificate, MIC) voor apparaatverificatie. MIC levert een permanent uniek identiteitsbewijs voor de telefoon waarmee Cisco Unified Communications Manager de telefoon kan verifiëren. |
|
Mediacodering |
Gebruikt SRTP om te zorgen dat de mediastromen tussen ondersteunde apparaat veilig zijn dat alleen het bedoelde apparaat de gegevens ontvangt en leest. Dit omvat het maken van een mediahoofdsleutelpaar voor de apparaten, het leveren van de sleutels aan de apparaten en het beveiligen van de sleutels tijdens het transport. |
|
CAPF (Certificate Authority Proxy Function) |
Implementeert delen van de certificaatgeneratieprocedure met een te intensieve verwerking voor de telefoon en communiceert met de telefoon voor het genereren van sleutels en het installeren van het certificaat. De CAPF kan worden geconfigureerd voor het aanvragen van certificaten voor de telefoon bij door de klant opgegeven certificeringsinstanties of voor het lokaal genereren van certificaten. Zowel de toetstypen EC (elliptische curven) als RSA worden ondersteund. Als u de sleutel EC wilt gebruiken, moet de parameter 'Endpoint Advanced Encryption Algorithms Support' (van ) zijn ingeschakeld. Raadpleeg de volgende documenten voor meer informatie over CAPF en verwante configuraties: |
|
Beveiligingsprofiel |
Bepaalt of de telefoon onveilig, geverifieerd, gecodeerd of beveiligd is. Andere vermeldingen in deze tabel beschrijven beveiligingsfuncties. |
|
Gecodeerde configuratiebestanden |
Garandeert de privacy van de telefoonconfiguratiebestanden. |
|
Optionele webserver uitschakelen voor een telefoon |
Omwille van de beveiliging kunt u toegang tot de webpagina's voor een telefoon (met verschillende operationele statistische gegevens voor de telefoon) en de Self Care Portal verhinderen. |
|
Telefoon versterken |
Aanvullende beveiligingsopties die u beheert via Cisco Unified Communications Manager Administration:
|
|
SIP-Failover voor SRST beveiligen |
Nadat u een SRST-referentie (Survivable Remote Site Telephony) voor beveiliging hebt geconfigureerd en de afhankelijke apparaten in Cisco Unified Communications Manager Administration hebt gereset, voegt de TFTP-server het SRST-certificaat toe aan het cnf.xml-bestand en stuurt het bestand naar de telefoon. Een veilige telefoon gebruikt vervolgens een TLS-verbinding voor interactie met de SRST-router. |
|
Codering signalering |
Zorgt ervoor dat alle SIP-signaleringsberichten die worden verzonden tussen het apparaat en de Cisco Unified Communications Manager-server worden gecodeerd. |
|
Waarschuwing bijwerken vertrouwde lijst |
Wanneer de vertrouwde lijst op de telefoon wordt gewijzigd, ontvangt de Cisco Unified Communications Manager een waarschuwing om aan te geven of het bijwerken al dan niet is gelukt. Raadpleeg de volgende tabel voor meer informatie. |
|
AES 256-codering |
Bij verbinding met Cisco Unified Communications Manager Release 10.5(2) en hoger ondersteunen de telefoons AES 256-codering voor TLS en SIP voor signalering en mediacodering. Zo kunnen telefoons TLS 1.2-verbinding initiëren en ondersteunen met op AES-256 gebaseerde cijfers conform SHA-2-standaarden (Secure Hash Algorithm) en compatibel met Federal Information Processing Standards (FIPS). De cijfers omvatten:
Voor meer informatie raadpleegt u de documentatie bij Cisco Unified Communications Manager. |
|
Elliptic Curve Digital Signature Algorithm (ECDSA)-certificaten |
Als onderdeel van het CC-certificaat (Common Criteria), zijn er in Cisco Unified Communications Manager-versie 11.0 ECDSA-certificaten toegevoegd. Dit geldt voor alle VOS-producten (spraakbesturingssysteem) waarop versie CUCM 11.5 en hoger wordt uitgevoerd. |
|
Tomcat-certificaat multi-server (SAN) met Cisco UCM | De telefoon ondersteunt Cisco UCM met Tomcat-certificaten (multi-server) geconfigureerd. Het juiste serveradres TFTP vindt u in het ITL-bestand van de telefoonregistratie. Raadpleeg de volgende onderwerpen voor meer informatie over de functie: |
De volgende tabel bevat de waarschuwingsberichten voor het bijwerken van de vertrouwde lijst en de betekenis daarvan. Voor meer informatie raadpleegt u de documentatie bij Cisco Unified Communications Manager.
| Code en bericht | Beschrijving |
|---|---|
|
1 - TL_SUCCESS |
Nieuwe CTL en/of ITL ontvangen |
|
2 - CTL_INITIAL_SUCCESS |
Nieuwe CTL ontvangen, geen bestaande TL |
|
3 - ITL_INITIAL_SUCCESS |
Nieuwe ITL ontvangen, geen bestaande TL |
|
4 - TL_INITIAL_SUCCESS |
Nieuwe CTL en ITL ontvangen, geen bestaande TL |
|
5 - TL_FAILED_OLD_CTL |
Bijwerken nieuwe CTL mislukt, maar vorige TL bestaat |
|
6 - TL_FAILED_NO_TL |
Bijwerken nieuwe TL mislukt en oude TL bestaat niet |
|
7 - TL_FAILED |
Algemene fout |
|
8 - TL_FAILED_OLD_ITL |
Bijwerken nieuwe ITL mislukt, maar vorige TL bestaat |
|
9 - TL_FAILED_OLD_TL |
Bijwerken nieuwe TL mislukt, maar vorige TL bestaat |
Beveiliging telefoongesprek
Wanneer beveiliging is geïmplementeerd voor een telefoon, kunt u veilige telefoongesprekken herkennen aan de pictogrammen op het telefoonscherm. U kunt ook bepalen of de verbonden telefoon veilig is en beschermd als een beveiligingstoon weerklinkt aan het begin van het gesprek.
In een beveiligd gesprek worden alle gespreksignalen en mediastreams gecodeerd. Een beveiligd gesprek biedt een hoog beveiligingsniveau, met integriteit en privacy voor het gesprek. Wanneer een actief gesprek is versleuteld, wordt het pictogram Beveiligd weergegeven
Op de lijn.
-
Als het gesprek wordt gerouteerd via niet-IP-gesprekspaden, zoals bijvoorbeeld PSTN, kan het gesprek onveilig worden ook al is het gecodeerd binnen het IP-netwerk en is er een vergrendelingspictogram aan gekoppeld.
-
Beveiligd bellen wordt alleen ondersteund voor verbindingen tussen twee telefoons. Bepaalde functies zoals conferentiegesprekken en gedeelde lijnen, zijn niet beschikbaar wanneer beveiligd bellen is geconfigureerd.
In Cisco Unified Communications Manager kan aan telefoons die zijn geconfigureerd als veilig (gecodeerd en vertrouwd), een beveiligde status krijgen. Nadat deze apparaten zijn beveiligd, kunnen ze zo worden geconfigureerd dat ze bij het begin van elk gesprek een beveiligingstoon afspelen.
-
Beveiligd apparaat:
Ga als volgt te werk om de status van een beveiligde telefoon te wijzigen in beveiligd:
- Selecteer in Cisco Unified Communications Manager Administration.
- Ga naar de telefoon die u wilt instellen.
- Schakel in het venster Telefoonconfiguratie het selectievakje Beveiligd apparaat in.
- Klik op Opslaan.
-
Play Secure Indication Tone (veilige indicatie):
Ga als volgt te werk om ervoor te zorgen dat de beveiligde telefoon een veilige of onbeveiligde indicatietoon afspeelt:
- Selecteer in Cisco Unified Communications Manager Administration de optie .
- Selecteer de server en vervolgens de Cisco CallManager-service .
- Stel in het gebied Parameters voor de gehele cluster (Functie - Veilige toon) de afspeeltoon voor de instelling Veilige/niet-beveiligde gespreksstatus in op Waar.
- Klik op Opslaan.
Identificatie voor conferentiegesprek
U kunt een veilig conferentiegesprek starten en het beveiligingsniveau van de deelnemers controleren. Een veilig conferentiegesprek wordt met dit proces tot stand gebracht:
-
Een gebruiker start het conferentiegesprek vanaf een veilige telefoon.
-
Cisco Unified Communications Manager wijst een veilige conferentiebrug toe aan het gesprek.
-
Als deelnemers worden toegevoegd, controleert Cisco Unified Communications Manager de beveiligde modus van elke telefoon en wordt het beveiligingsniveau voor de conferentie gehandhaafd.
-
Op het telefoonscherm wordt het beveiligingsniveau van het conferentiegesprek weergegeven. Het pictogram Beveiligd wordt weergegeven voor een beveiligde vergadering
.
Beveiligd bellen wordt ondersteund tussen twee telefoons. Voor beveiligde telefoons zijn bepaalde functies zoals conferentiegesprekken, gedeelde lijnen en Extension Mobility, niet beschikbaar wanneer beveiligd bellen is geconfigureerd.
De volgende tabel bevat informatie over wijzigingen in conferentiebeveiligingsniveaus afhankelijk van het beveiligingsniveau van de telefoon van de initiator, de beveiligingsniveaus van de deelnemers en de beschikbaarheid van veilige conferentiebruggen.
|
Initiator beveiligingsniveau telefoon |
Gebruikte functie |
Beveiligingsniveau van deelnemers |
Resultaten van actie |
|---|---|---|---|
|
Onveilig |
Conferentie |
Beveiligd |
Onveilige conferentiebrug Onveilige conferentie |
|
Beveiligd |
Conferentie |
Er is ten minste één lid niet veilig. |
Veilige conferentiebrug Onveilige conferentie |
|
Beveiligd |
Conferentie |
Beveiligd |
Veilige conferentiebrug Veilig gecodeerd niveau conferentie |
|
Onveilig |
Meet Me |
Minimum beveiligingsniveau is gecodeerd. |
De organisator ontvangt opnieuwvolgordetoon. |
|
Beveiligd |
Meet Me |
Minimum beveiligingsniveau is onveilig. |
Veilige conferentiebrug Conferentie accepteert alle gesprekken. |
Identificatie veilig telefoongesprek
Een veilig gesprek wordt tot stand gebracht als uw telefoon en de telefoon aan de andere kant zijn geconfigureerd voor veilig bellen. De andere telefoon kan zich in hetzelfde Cisco IP-netwerk bevinden of in een netwerk buiten het IP-netwerk. Beveiligde oproepen kunnen alleen plaatsvinden tussen twee telefoons. Conferentiegesprekken ondersteunen veilige gesprekken nadat een veilige conferentiebrug is ingesteld.
Een veilig gesprek wordt als volgt tot stand gebracht:
-
Een gebruiker start het gesprek vanaf een veilige telefoon (beveiligde modus).
-
Het pictogram Beveiligd wordt weergegeven op de telefoon
Te selecteren op het telefoonscherm. Dit pictogram geeft aan dat de telefoon is geconfigureerd voor veilige gesprekken, maar niet dat de andere verbonden telefoon ook beveiligd is. -
De gebruiker hoort een beveiligingstoon als het gesprek wordt verbonden met de andere beveiligde telefoon, wat aangeeft dat het gesprek aan beide einden wordt gecodeerd en beveiligd. Als het gesprek tot stand komt met een onbeveiligde telefoon, hoort de gebruiker geen beveiligingstoon.
Beveiligd bellen wordt ondersteund tussen twee telefoons. Voor beveiligde telefoons zijn bepaalde functies zoals conferentiegesprekken, gedeelde lijnen en Extension Mobility, niet beschikbaar wanneer beveiligd bellen is geconfigureerd.
Deze indicatietonen voor beveiligd of niet beveiligd bellen worden alleen afgespeeld op beveiligde telefoons. Onbeveiligde telefoons spelen nooit tonen af. Als de algemene gespreksstatus wijzigt tijdens een gesprek, verandert de indicatietoon en speelt de beveiligde telefoon de bijbehorende toon af.
Wanneer de optie Toon afspelen om de status van een beveiligd/niet-beveiligd gesprek aan te geven is ingesteld op Waar:
-
Als end-to-end beveiligde media wordt opgezet en de gespreksstatus beveiligd is, speelt de telefoon de beveiligde indicatietoon af (drie lange piepjes met pauzes).
-
Als end-to-end niet-beveiligde media wordt opgezet en de gespreksstatus niet-beveiligd is, speelt de telefoon de niet-beveiligde indicatietoon af (zes korte piepjes met korte pauzes).
Als de optie Afspeeltoon voor het aangeven van veilige/niet-beveiligde gespreksstatus is ingesteld op Onwaar, wordt er geen toon afgespeeld.
Codering voor inbreren inbrek
Cisco Unified Communications Manager controleert de telefoonbeveiligingstatus wanneer conferenties tot stand worden gebracht. De beveiligingsaanduiding voor de conferentie wordt gewijzigd of de voltooiing van het gesprek wordt geblokkeerd om de integriteit en beveiliging in het systeem te handhaven.
Een gebruiker kan niet inbreken in een gecodeerd gesprek als de telefoon die wordt gebruikt voor inbreken, niet is geconfigureerd voor codering. Wanneer het inbreken mislukt, wordt een herkiestoon (snelle bezettoon) afgespeeld op de telefoon waarop het inbreken is gestart.
Als de telefoon van de initiator is geconfigureerd voor versleuteling, kan de initiator inbreken in een onbeveiligd gesprek via de gecodeerde telefoon. Na het inbreken wordt het gesprek in Cisco Unified Communications Manager als niet-beveiligd geclassificeerd.
Als de telefoon van de initiator is geconfigureerd voor versleuteling, kan de initiator inbreken in een gecodeerd gesprek en op de telefoon wordt aangegeven dat het gesprek is gecodeerd.
Wireless LAN-beveiliging
Omdat alle WLAN-apparaten die binnen het bereik zijn al het andere WLAN-verkeer kunnen ontvangen, is veilige gesproken communicatie van cruciaal belang in WLAN's. Om te voorkomen dat indringers het spraakverkeer niet manipuleren of onderscheppen, ondersteunt de architectuur Cisco SAFE Security de telefoon. Ziehttp://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html voor meer informatie over de beveiliging van netwerken.
De oplossing Cisco Wireless IP telefonie biedt een draadloze netwerkbeveiliging die ongeoorloofde aanmeldingen en gevaar voorkomt dat communicatie wordt verhinderd door gebruik te maken van de volgende verificatiemethoden die de telefoon ondersteunt.
-
Open verificatie: een draadloos apparaat kan verificatie aanvragen in een open systeem. Het toegangspunt dat het verzoek ontvangt, verleent verificatie voor een aanvrager of alleen voor aanvragers in een lijst met gebruikers. De communicatie tussen het draadloze apparaat en het Toegangspunt (AP) kan niet zijn versleuteld.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: deze beveiligingsarchitectuur voor clientservers versleutelt EAP transacties binnen een tunnel voor Transport Level Security (TLS) tussen de AP en de RADIUS-server, zoals Ise (Identity Services Engine).
De TLS-tunnel gebruikt PAC (Protected Access Credentials) voor de verificatie tussen de client (telefoon) en de RADIUS-server. De server verstuurt een Authority ID (AID) naar de client (telefoon), die vervolgens de juiste PAC selecteert. De client (telefoon) retourneert een PAC-Opaque naar de RADIUS-server. De server decodeert de PAC met de hoofdsleutel. Beide eindpunten bevatten nu de PAC-sleutel en een TLS-tunnel wordt gemaakt. EAP-FAST ondersteunt automatische PAC-levering, maar u moet dit inschakelen op de RADIUS-server.
In ISE verloopt de PAC standaard binnen één week. Als de telefoon een verlopen PAC heeft, duurt verificatie met de RADIUS-server langer terwijl de telefoon een nieuwe PAC krijgt. Om vertragingen in de PAC-levering te voorkomen stelt u de PAC-vervalperiode in op 90 dagen of meer op de ISE-of RADIUS-server.
-
EAP-TLS-verificatie (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vereist een clientcertificaat voor verificatie en netwerktoegang. Voor draadloze EAP-TLS kan het clientcertificaat MIC, LSC, of een door de gebruiker geïnstalleerd certificaat zijn.
-
Protected Extensible Authentication Protocol (PEAP): Cisco's eigen op wachtwoorden gebaseerde wederzijdse verificatieschema tussen de client (telefoon) en een RADIUS-server. De telefoon kan PEAP gebruiken voor verificatie met het draadloze netwerk. Zowel de PEAP-MSCHAPV2 als PEAP-GTC verificatiemethoden worden ondersteund.
-
Pre-Shared Key (PSK):de telefoon ondersteunt ASCII en hexadecimale (HEX) indelingen. U moet deze indelingen gebruiken bij het instellen van een PRE-shared sleutel (WPA2/SAE).
ASCII: een ASCII-tekenreeks met 8 tot 63 tekens (0-9, kleine letters a-z, hoofdletters A-Z en speciale tekens). Bijvoorbeeld
GREG123567@9ZX&W.HEX: een HEX-tekenreeks met een lengte van 64 hex cijfers (0-9, a-f of A-F).
De volgende verificatieschema's gebruiken de RADIUS-server om verificatiesleutels te beheren:
-
WPA2/WPA3: gebruikt RADIUS-serverinformatie voor het genereren van unieke sleutels voor de verificatie. Omdat deze sleutels zijn gegenereerd op de centrale RADIUS-server, biedt WPA2/WPA3 betere beveiliging dan de vooraf gedeelde WPA-sleutels die op de telefoon en het toegangspunt zijn opgeslagen.
-
Snelle beveiligde roaming: gebruikt de RADIUS-server en de gegevens van een draadloze domeinserver (WDS) voor het beheren en verifiëren van sleutels. De WDS maakt een cache met beveiligingsreferenties voor CLIENTapparaten met FT-ondersteuning voor snelle en veilige reauthenticatie.
Bij WPA2/WPA3 worden coderingssleutels niet ingevoerd op de telefoon, maar worden automatisch afgeleid tussen het AP en de telefoon. Maar de EAP-gebruikersnaam en het wachtwoord die worden gebruikt voor de verificatie, moeten worden ingevoerd op elke telefoon.
Om spraakverkeer via de draadloze koppeling te beveiligen, ondersteunt de telefoon op basis van AES-codering voor WPA2/WPA3-verificatie. AES is een door NIST standaard symmetrische blokversleuteling. AES werkt met een vaste 128-bits blokgrootte en ondersteunt sleutelgroottes van 128 bits, 192 bits en 256 bits. In Wi-Fi netwerken wordt AES gebruikt door versleutelingssuites zoals CCMP of DEZE, terwijl verificatie afzonderlijk wordt geleverd door PSK, SAE of 802.1X/EAP, afhankelijk van de geconfigureerde beveiligingsmodus van WLAN. De ondersteunde codeersuite en het sleutelformaat zijn afhankelijk van het telefoonmodel en de configuratie van WLAN.
Wanneer de telefoon gebruikmaakt van AES-codering, worden zowel de signaleringsgroep SIP- als de spraakpakketten Met het Real-Time Transport Protocol (RTP) gecodeerd tussen het AP en de telefoon.
Verificatie en coderingschema's worden ingesteld binnen het draadloze LAN-netwerk. VLAN's zijn geconfigureerd in het netwerk en op de toegangspunten en geven verschillende verificatie- en coderingscombinaties. Een SSID wordt gekoppeld aan een VLAN en het specifieke verificatie- en coderingsschema. Voor verificatie van draadloze clientapparaten moet u dezelfde SSID's configureren met hun verificatie- en coderingsprogramma's op de AP's en op de telefoon.
Sommige verificatieschema's vereisen specifieke coderingstypen.
Wanneer u WPA2 een vooraf gedeelde sleutel of SAE gebruikt, moet de vooraf gedeelde sleutel statisch op de telefoon worden ingesteld. Deze sleutels moeten overeenkomen met de sleutels op het toegangspunt.
De verificatie- en encryptieschema's in de volgende tabel tonen de netwerkconfiguratieopties voor Cisco Wireless Phone 9821 die overeenkomt met de AP-configuratie.
| FSR-type | Verificatie | Toetsbeheer | Codering | PMF (Protected Management Frame) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nee |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Ja |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nee |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nee |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | AP-PEAP |
WPA-EAP FT-EAP | AES | Nee |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| niet-FT | Suite-B | WPA-EAP-SUITE-B | DEMP | Ja |
| niet-FT | Suite B-192 | WPA-EAP-SUITE-B-192 | DEMP | Ja |
Een nummer Wi-Fi instellen
U kunt een profiel Wi-Fi configureren en toewijzen aan Cisco Wireless Phone 9821. Dit profiel bevat de noodzakelijke parameters om de telefoon een verbinding nr Wi-Fi tot stand te brengen en u vervolgens te registreren bij Cisco Unified CM. Wanneer u profiel Wi-Fi maakt en gebruikt, hoeven u of uw gebruikers het draadloze netwerk voor afzonderlijke telefoons niet te configureren.
Het is raadzaam dat u een beveiligd profiel met TFTP-codering gebruikt om sleutels en wachtwoorden te beveiligen wanneer u een Wi-Fi-profiel gebruikt.
De telefoons ondersteunen één servercertificaat per installatiemethode (handmatig, SCEP of TFTP).
Houd rekening met het volgende voordat u het WLAN-profiel configureert:
-
Gebruikersnaam en wachtwoord
-
Wanneer uw netwerk EAP-FAST en PEAP voor gebruikersverificatie gebruikt, moet u de gebruikersnaam en het wachtwoord configureren als dit verplicht is voor de RADIUS (Remote Authentication Dial-In User Service) en de telefoon.
- De referenties die u invoert in het draadloze LAN-profiel moeten identiek zijn aan de referenties die u hebt geconfigureerd op de RADIUS-server.
-
Als u domeinen binnen het netwerk gebruikt, moet u de gebruikersnaam en de domeinnaam invoeren in de indeling:
domein\gebruikersnaam.
-
-
De volgende acties kunnen tot gevolg hebben dat het bestaande Wi-Fi-wachtwoord wordt gewist:
- Een ongeldige gebruikers-id of een ongeldig wachtwoord invoeren
- Een ongeldige of verlopen Root CA installeren als het EAP-type is ingesteld op PEAP-MSCHAPV2 of PEAP-GTC
- Het gebruikte EAP-type uitschakelen op de RADIUS-server voordat de telefoon wordt overgeschakeld op het nieuwe EAP-type
- Als u het EAP-type wilt wijzigen, moet u eerst het nieuwe EAP type op de RADIUS-server inschakelen en vervolgens de telefoon naar het EAP-type overschakelen. Als alle telefoons zijn gewijzigd in het nieuwe EAP-type, kunt u desgewenst het vorige EAP-type uitschakelen.
| 1 |
Selecteer in Cisco Unified Communications Manager Administration . |
| 2 |
Klik op Nieuwe toevoegen. |
| 3 |
Stel in het gedeelte Informatie draadloos LAN-profiel de volgende parameters in:
|
| 4 |
Stel de volgende parameters in in de sectie Draadloze instellingen:
|
| 5 |
Stel in het gedeelte Verificatie-instellingen de verificatiemethode in op een van de volgende verificatiemethoden: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK en Geen. Cisco Wireless Phone 9821 ondersteunt WEP niet. Nadat u dit veld hebt ingesteld, ziet u mogelijk extra velden die u nodig hebt om in te stellen.
Cisco Wireless Phone 9821 ondersteunt het veld Netwerktoegangsprofiel niet. |
| 6 |
Klik op Opslaan. |
Volgende stappen
Bind het profiel voor het Wireless LAN aan een profielgroep van WLAN en pas vervolgens WLAN profielgroep toe op een apparatenpool (Systeem>ApparaatpoolTelefoon
Een gebruikerscertificaat installeren via de webpagina Telefoonbeheer
U kunt een gebruikerscertificaat handmatig op de telefoon installeren als SCEP (Simple Certificate Enrollment Protocol) niet beschikbaar is.
Het vooraf geïnstalleerde Manufacturing Installed Certificate (MIC) kan worden gebruikt als het gebruikerscertificaat voor EAP TLS.
Nadat het gebruikerscertificaat is geïnstalleerd, moet u de CA-ketting die het gebruikerscertificaat heeft uitgegeven toevoegen aan de vertrouwenslijst van de RADIUS-server.
Voordat u begint
Voordat u een gebruikercertificaat voor een telefoon kunt installeren, moet u:
-
Een gebruikerscertificaat op uw computer opslaan. Het certificaat moet de PKCS #12-indeling hebben.
-
Het wachtwoord van het certificaat ophalen. Het wachtwoord mag niet langer zijn dan 32 tekens.
| 1 |
Selecteer Certificaten op de webpagina voor telefoonbeheer. |
| 2 |
Ga naar het veld Gebruiker geïnstalleerd en klik op Installeren. |
| 3 |
Blader naar het certificaat op uw computer. |
| 4 |
In het veld Wachtwoord ophalen voert u het certificaatwachtwoord in. |
| 5 |
Klik op Uploaden. |
| 6 |
Start de telefoon opnieuw nadat het uploaden voltooid is. |
Een verificatieserver-CA installeren via de webpagina telefoonbeheer
U kunt een verificatieserver-CA handmatig op de telefoon installeren als SCEP (Simple Certificate Enrollment Protocol) niet beschikbaar is.
Het hoofd-CA-certificaat waarvoor het RADIUS-servercertificaat is uitgegeven, moet worden geïnstalleerd.
Voordat u begint
Voordat u een certificaat op een telefoon kunt installeren, moet een verificatieserver-CA op uw pc zijn opgeslagen. Het certificaat moet zijn gecodeerd in PEM (Base-64) of DER.
| 1 |
Selecteer Certificaten op de webpagina voor telefoonbeheer. |
| 2 |
Ga naar het veld Verificatieserver CA en klik op Installeren. |
| 3 |
Blader naar het certificaat op uw computer. |
| 4 |
Klik op Uploaden. |
| 5 |
Start de telefoon opnieuw nadat het uploaden voltooid is. |
Een beveiligingscertificaat handmatig verwijderen van de webpagina telefoonbeheer
U kunt een beveiligingscertificaat handmatig verwijderen van de telefoon als Simple Certificate Enrollment Protocol (SCEP) niet beschikbaar is.
| 1 |
Selecteer Certificaten op de webpagina voor telefoonbeheer. |
| 2 |
Zoek het certificaat op de pagina Certificaten. |
| 3 |
Klik op Verwijderen. |
| 4 |
Start de telefoon opnieuw nadat de verwijdering is voltooid. |
SCEP instellen
Simple Certificate Enrollment Protocol (SCEP) is de norm voor het automatisch afgeven en vernieuwen van certificaten. Hiermee wordt voorkomen dat u certificaten handmatig op uw telefoon moet installeren.
De scep-productspecifieke configuratieparameters activeren
U moet de volgende SCEP-parameters configureren op Cisco Unified Communications Manager (Unified CM).
-
RA IP adres of hostnaam
-
SHA-1 of SHA-256 vingerafdruk van het CA-basiscertificaat voor de SCEP-server
De Cisco IOS Registration Authority (RA) dient als proxy voor de SCEP-server. De SCEP-client op de telefoon gebruikt de parameters die zijn gedownload van Cisco Unified CM. Nadat u de parameters hebt geconfigureerd, verzendt de telefoon een SCEP getcs-verzoek naar de RA en wordt het certificaat van de hoofd-CA gevalideerd met de gedefinieerde vingerafdruk.
| 1 |
Selecteer . |
| 2 |
Zoek de telefoon. |
| 3 |
Navigeer naar het gedeelte Productspecifieke configuratie-indeling. |
| 4 |
Schakel het selectievakjeWLAN SCEP-server in om de SCEP-parameter te activeren. |
| 5 |
Schakel het selectievakjeWLAN Vingerafdruk root CA (SHA256 of SHA1) in om de parameter SCEP QED te activeren. |
ONDERSTEUNING voor SCEP-server
Als u een SCEP-server (Simple Certificate Enrollment Protocol) gebruikt, kan de server automatisch uw gebruikers- en servercertificaten onderhouden. Configureer op de SCEP-server de SCEP Registration Agent (RA) voor:
-
Fungeren als een vertrouwd PKI-punt
-
Fungeren als een PKI RA
-
Apparaatverificatie uitvoeren met een RADIUS-server
Zie de documentatie bij uw SCEP-server voor meer informatie.
Een lokaal significant certificaat (LSC) instellen
Er zijn enkele methoden om LSC te installeren. Deze voorbeeldtaak is van toepassing op het instellen van een LSC met de tekenreeksmethode voor verificatie op Cisco Wireless Phone 9821.
Voordat u begint
Zorg ervoor dat de beveiligingsconfiguraties Cisco Unified CM en certificate authority proxy function (CAPF) zijn voltooid.
-
Het CTL- of ITL-bestand heeft een CAPF-certificaat.
-
Controleer in Besturingssysteem van Cisco Unified Communications Administration of het CAPF-certificaat is geïnstalleerd.
-
CAPF wordt uitgevoerd en is geconfigureerd.
Meer informatie over deze instellingen vindt u in de documentatie bij versie Cisco Unified CM.
| 1 |
Haal de verificatiereeks CAPF op die is ingesteld toen CAPF werd geconfigureerd. |
| 2 |
Open op de telefoon de Instellingen |
| 3 |
Selecteer . |
| 4 |
Geef de verificatiereeks op. |
| 5 |
Druk op Meer De telefoon begint met het installeren, bijwerken of verwijderen van de LSC, afhankelijk van hoe CAPF is geconfigureerd. Wanneer de procedure is voltooid, verschijnt Geïnstalleerd of Niet geïnstalleerd op de telefoon. Het proces voor het installeren, bijwerken of verwijderen van LSC kan geruime tijd in beslag nemen. Wanneer de installatieprocedure voor de telefoon is voltooid, verschijnt het bericht |
802.1X-verificatie voor bekabelde netwerken
Cisco Wireless Phone 9821 ondersteunt 802.1X-verificatie voor bekabelde netwerken. Deze wordt gewoonlijk gebruikt tijdens automatische provisionering wanneer de telefoon via een ondersteunde USB-naar-Ethernet-adapter op het bureaulader is aangesloten.
Ondersteuning voor 802.1x-verificatie op bedrade netwerken vereist verschillende componenten:
-
Cisco IP-telefoon: de telefoon initieert het verzoek voor toegang tot het netwerk. Cisco IP-telefoon bevat een 802.1X-supplicant. Met deze supplicant kunnen netwerkbeheerders de verbinding regelen van IP-telefoons met de LAN-switchpoorten. De huidige versie van de 802.1X-supplicant voor de telefoon gebruikt de opties EAP-FAST en EAP-TLS voor netwerkverificatie.
-
Verificatieserver: de verificatieserver en de switch moeten beide zijn geconfigureerd met een RADIUS-gedeeld geheim.
-
Switch: de switch moet 802.1X ondersteunen, zodat deze kan fungeren als verificator en de EAP-berichten kan doorsturen tussen de telefoon en de verificatieserver. Nadat de uitwisseling is afgerond, kan de switch toegang tot het netwerk toestaan of weigeren.
Cisco IP-telefoons en Cisco Catalyst-switches gebruiken traditioneel Cisco Discovery Protocol (CDP) om elkaar te herkennen en om parameters te bepalen zoals VLAN-toewijzing en inline voedingsvereisten.
U moet de volgende acties uitvoeren om 802.1X te configureren.
-
Configureer CDP/LLDP spraak VLAN bypass.
-
Configureer de verificatieserver en de switch voordat u 802.1X-verificatie voor bekabelde netwerken op de telefoon inschakelt.
-
Spraak-VLAN configureren: omdat de 802.1X-standaard geen rekening houdt met VLAN's, moet u deze instelling configureren op basis van de switchondersteuning.
- Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u deze configureren voor het gebruik van spraaknummer VLAN.
- Uitgeschakeld: als de switch geen ondersteuning biedt voor multidomeinverificatie, schakelt u het spraak-VLAN uit en probeert u de poort toe te wijzen aan het native VLAN.
-
Cisco Wireless Phone 9821 heeft een ander prefix in het PID dan voor de andere telefoons Cisco. Om ervoor te zorgen dat uw telefoon 802.1X-verificatie doorgeeft, stelt u de Radius· De parameter voor de gebruikersnaam omvat uw draadloze Cisco-telefoon 9821.
Bijvoorbeeld, de PID van Cisco Wireless Phone 9821 is WP-9821. U kunt Radius· Gebruikersnaam om te
beginnen met WPofBevat WPin de beide volgende secties: -
802.1X-verificatie inschakelen voor bekabelde netwerken op de telefoon
Voer de volgende stappen uit om 802.1X-verificatie voor bekabelde netwerken op uw telefoon in te schakelen. 802.1X-verificatie voor Wi-Fi is standaard ingeschakeld en hoeft niet handmatig te worden geconfigureerd.
| 1 |
Instellingen openen |
| 2 |
Voer het wachtwoord in als daarom wordt gevraagd om het menu Instellingen te openen. U kunt het wachtwoord opvragen bij uw beheerder. |
| 3 |
Selecteer . |
| 4 |
Markeer Apparaatverificatie en druk op Aan. |
802.1X-verificatie inschakelen voor bekabelde netwerken in Cisco Unified Communications Manager Administration
Voer de volgende stappen uit om 802.1X-verificatie voor bekabelde netwerken in te schakelen op Cisco Unified CM. 802.1X-verificatie voor Wi-Fi is standaard ingeschakeld en vereist geen handmatige configuratie.
U kunt de transactiestatus en beveiligingsinstellingen weergeven in het menu op het telefoonscherm. Zie het menu Beveiligingsinstellingen op de telefoon voor meer informatie.
| 1 |
Selecteer in Cisco Unified Communications Manager Administration Apparaat > telefoon. |
| 2 |
Ga naar de telefoon die u wilt instellen. |
| 3 |
Navigeer naar het gebied Indeling productspecifieke configuratie. |
| 4 |
Selecteer Ingeschakeld in het vervolgkeuzemenu 802.1x Verificatie . Indien geconfigureerd op Ingeschakeld of Uitgeschakeld wordt de optie Apparaatverificatie op Cisco Wireless Phone 9821 alleen-lezen, waardoor gebruikers de 802.1X-verificatie-instellingen niet kunnen wijzigen. |
| 5 |
Selecteer Opslaan. |
| 6 |
Selecteer Config toepassen. |
Menu Beveiligingsinstellingen op de telefoon
Als u de informatie over de beveiligingsinstellingen in het telefoonmenu wilt weergeven, gaat u naar de pagina Instellingen
en selecteer . Welke informatie beschikbaar is, hangt af van de netwerkinstellingen in uw organisatie.
|
Parameters |
Opties |
Standaard |
Beschrijving |
|---|---|---|---|
|
Apparaatverificatie |
Aan Uit |
Uit |
Hiermee schakelt u 802.1X-verificatie op de telefoon in of uit. De parameterinstelling kan worden bewaard na de OOB-registratie (Out-Of-Box) van de telefoon. |
|
Transactiestatus | Uitgeschakeld |
Geeft de status van 802.1X-verificatie weer. De status kan (niet beperkt tot):
| |
|
Protocol | Geen |
Geeft de methode EAP weer die voor 802.1X-verificatie wordt gebruikt. Het protocol kan EAP-FAST of EAP-TLS zijn. |
De ondersteunde versies van TLS instellen
U kunt de minimaal vereiste versie van TLS instellen voor respectievelijk client en server.
Standaard is het minimumnummer TLS van versie van server en client beide 1.2. De instelling heeft invloed op de volgende functies:
- HTTPS-webtoegangverbinding
- Aan boord voor de telefoon op kantoor
- HTTPS-services, zoals de Adreslijstservices
- Datagram Transport Layer Security (DTLS)
- Poorttoegangsentiteit (PAE)
- Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
ZieTLS TLS 1.3-compatibiliteit Cisco IP Phones smatrix voor TLS 1.3 voor meer informatie over de compatibiliteitsmatrix voor Cisco Collaboration Products.
| 1 |
Voer in Cisco Unified Communications Manager Administration zo nodig een van de volgende handelingen uit:
De configuratie volgt een hiërarchische structuur:
|
| 2 |
Stel het veldTLS Min-versie client in: De optieTLS 1.3 is beschikbaar op Cisco Unified CM 15SU2 of hoger.
|
| 3 |
Stel het veld TLS Min versie server in:
|
| 4 |
Klik op Opslaan. |
| 5 |
Klik op Config toepassen. |
| 6 |
Start de telefoons opnieuw. |
TURN luidspreker en headset uitgeschakeld Cisco draadloze telefoon 9821
U kunt de luidspreker en headset permanent op TURN op een Cisco draadloze telefoon 9821 voor uw gebruiker. Door deze audio-uitgangen uit te schakelen, wordt gezorgd dat gesprekken niet worden gehoord door anderen in de buurt. Dit is belangrijk in gedeelde of open kantooromgevingen.
| 1 |
Selecteer in Cisco Unified Communications Manager Administration. |
| 2 |
Ga naar de telefoon die u wilt instellen. |
| 3 |
Navigeer naar het gebied Indeling productspecifieke configuratie. |
| 4 |
Schakel een of meer van de volgende selectievakjes in om de mogelijkheden van de telefoon te TURN:
Standaard zijn deze selectievakjes niet ingeschakeld. |
| 5 |
Selecteer Opslaan. |
| 6 |
Selecteer Config toepassen. |
