- Hjem
- /
- Artikkel
Denne hjelpeartikkelen gjelder Cisco trådløs telefon 9821 registrert på Cisco Unified Communications Manager (Unified CM).
Du kan aktivere Cisco Unified Communications Manager (Unified CM) til å operere i et forbedret sikkerhetsmiljø. Ved hjelp av disse forbedringene fungerer telefonnettverket basert på et sett med strenge sikkerhets- og risikostyringskontroller for å beskytte deg og brukerne.
Det utvidede sikkerhetsmiljøet inkluderer følgende funksjoner:
-
Godkjenning av søk etter kontakter
-
TCP som standardprotokoll for ekstern overvåkingslogging
-
En forbedret legitimasjonspolicy
-
Støtte for SHA-2-serien med hash-koder for digitale signaturer
-
Støtte for en RSA nøkkelstørrelse opp til 4096 bits
Med Cisco Unified CM versjon 14.0 eller nyere støtter telefonene SIP OAuth-godkjenning.
OAuth støttes for Proxy Trivial File Transfer Protocol (TFTP) med Cisco Unified CM versjon 14.0 (1) SU1 eller nyere.
Hvis du vil ha mer informasjon om sikkerhet, kan du se følgende veiledninger:
-
Systemkonfigurasjonsveiledning for Cisco Unified Communications Manager, versjon 15 og SU-er
-
Sikkerhetsveiledning for Cisco Unified Communications Manager, versjon 15 og SU-er
Telefonen kan bare lagre et begrenset antall ITL-filer (Identity Trust List). ITL-filer kan ikke overstige 64K på telefonen, så begrens antall filer som Cisco Unified CM sender til telefonen.
Støttede sikkerhetsfunksjoner
Sikkerhetsfunksjonene beskytter mot alvorlige trusler, inkludert trusler mot identiteten til telefonen og dataene. Disse funksjonene etablerer og opprettholder godkjente kommunikasjonsstrømmer mellom telefonen og Cisco Unified Communications Manager-serveren, og sørger for at telefonen bruker bare digitalt signerte filer.
Cisco Unified Communications Manager Release 8.5(1) og nyere inkluderer Sikkerhet som standard, som inneholder følgende sikkerhetsfunksjoner for Cisco IP-telefon uten å kjøre CTL-klienten:
-
Signering av telefonkonfigurasjonsfiler
-
Kryptering av telefonkonfigurasjonsfil
-
HTTPS med Tomcat og andre webtjenester
Sikker signalisering og mediefunksjoner krever likevel at du kjører CTL-klienten og bruker eToken-enheter.
Implementering av sikkerhet i Cisco Unified Communications Manager-systemet hindrer identitetstyveri av telefonen og Cisco Unified Communications Manager-serveren, hindrer datamanipulering og hindrer manipulering av samtalesignalisering og mediestrømmer.
For unngå disse truslene etablerer og opprettholder Cisco IP-telefoninettverket sikrede (krypterte) kommunikasjonsstrømmer mellom en telefon og serveren, signerer filer digitalt før de overføres til en telefon og krypterer mediestrømmer og samtalesignalisering mellom Cisco IP-telefoner.
Et viktig lokalt sertifikat (LSC-sertifikat) installeres på telefoner etter at du utfører de nødvendige oppgavene som er forbundet med CAPF (Certificate Authority Proxy Function). Du kan bruke Cisco Unified Communications Manager Administration til å konfigurere en LSC, som beskrevet i sikkerhetsveiledningen #Cisco Unified Communications Manager. Alternativt kan du starte installasjonen av en LSC fra Sikkerhet-menyen på telefonen. På denne menyen kan du også oppdatere eller fjerne et LSC-sertifikat.
Telefonene bruker telefonens sikkerhetsprofil, som angir om enheten er usikret eller sikret. Hvis du vil ha informasjon om hvordan du bruker sikkerhetsprofilen på telefonen, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.
Når du konfigurerer sikkerhetsrelaterte innstillinger i Cisco Unified Communications Manager Administration, inneholder telefonkonfigurasjonsfilen sensitive opplysninger. Du kan beskytte opplysningene i en konfigurasjonsfil ved å konfigurere den for kryptering. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.
Tabellen nedenfor viser en oversikt over sikkerhetsfunksjoner som telefonen støtter. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.
|
Funksjon |
Beskrivelse |
|---|---|
|
Bildegodkjenning |
Signerte binære filer hindrer manipulering av fastvareavbildningen før den lastes på en telefon. Redigering av avbildningen fører til at en telefon ikke kan fullføre godkjenningsprosessen og vil avvise den nye avbildningen. |
|
Installasjon av sertifikat på kundeområde |
Hver Cisco IP-telefon krever et unikt sertifikat for enhetsgodkjenning. Telefoner har et produsentinstallert sertifikat (MIC), men for ytterligere sikkerhet kan du angi en sertifikatinstallasjon i Cisco Unified Communications Manager Administration ved hjelp av CAPF-funksjonen (Certificate Authority Proxy Function). Alternativt kan du installere en Locally Significant Certificate (LSC) fra sikkerhetsmenyen på telefonen. |
|
Enhetsgodkjenning |
Foregår mellom Cisco Unified Communications Manager-serveren og telefonen når en enhet godkjenner sertifikatet for den andre enheten. Fastslår om en sikker tilkobling mellom telefonen og Cisco Unified Communications Manager skal opprettes, og om det skal opprettes en bane for sikker signalisering mellom enhetene ved hjelp av TLS-protokollen. Cisco Unified Communications Manager registrerer ikke telefoner med mindre de kan godkjennes. |
|
Filgodkjenning |
Validerer digitalt signerte filer som telefonen laster ned. Telefonen validerer signaturen for å kontrollere at filen ikke er blitt redigert etter at den ble opprettet. Filer som ikke blir godkjent, blir ikke skrevet til flashminnet på telefonen. Telefonen avviser slike filer uten videre behandling. |
|
Kryptering av filer |
Kryptering hindrer visning av sensitive opplysninger mens filen overføres til telefonen. I tillegg validerer telefonen signaturen for å kontrollere at filen ikke har blitt redigert etter den ble opprettet. Filer som ikke blir godkjent, blir ikke skrevet til flashminnet på telefonen. Telefonen avviser slike filer uten videre behandling. |
|
Signaliseringsgodkjenning |
Bruker TLS-protokollen til å validere at signaliseringspakker ikke har blitt manipulert under overføring. |
|
Produsentinstallert sertifikat |
Hver Cisco IP-telefon inneholder et unikt MIC-sertifikat (Manufacturing Installed Certificate), som brukes for enhetsgodkjenning. MIC-sertifikatet gir et permanent og unikt bevis på telefonens identitet og gjør det mulig for Cisco Unified Communications Manager å godkjenne telefonen. |
|
Mediekryptering |
Bruker SRTP til å sørge for at mediestrømmene mellom støttede enheter er sikre, og at bare den tiltenkte enheten mottar og leser dataene. Inkluderer oppretting av et mediehovednøkkelpar for enhetene, levering av nøklene til enhetene, og sikring av leveringen av nøklene mens nøklene blir transportert. |
|
CAPF-funksjon (Certificate Authority Proxy Function) |
Implementerer deler av sertifikatgenereringsprosedyren som er for behandlingsintensiv for telefonen, og samhandler med telefonen for nøkkelgenerering og sertifikatinstallasjon. CAPF-funksjonen kan konfigureres til å be om sertifikater fra kundeangitte sertifikatinstanser på vegne av telefonen, eller den kan konfigureres til å generere sertifikater lokalt. Både EC (elliptisk kurve) og RSA nøkkeltyper støttes. Hvis du vil bruke EC-tasten, må du kontrollere at parameteren "Endpoint Advanced Encryption Algorithms Support" (fra ) er aktivert. Hvis du vil ha mer informasjon om CAPF og relaterte konfigurasjoner, kan du se følgende dokumenter: |
|
Sikkerhetsprofil |
Angir om telefonen er usikret, godkjent, kryptert eller beskyttet. Andre poster i denne tabellen beskriver sikkerhetsfunksjoner. |
|
Krypterte konfigurasjonsfiler |
Lar deg sikre personvernet til konfigurasjonsfilene på telefonen. |
|
Valgfri deaktivering av nettserver for en telefon |
Av sikkerhetsgrunner kan du hindre tilgang til nettsidene for en telefon (som viser ulike driftsstatistikk for telefonen) og selvhjelpsportalen. |
|
Telefonforsterking |
Ekstra sikkerhetsalternativer som du kontrollerer fra Cisco Unified Communications Manager Administration:
|
|
Sikker SIP-Failover for SRST |
Etter at du har konfigurert en SRST-referanse (Survivable Remote Site Telephony) for sikkerhet og deretter tilbakestilt de avhengige enhetene i Cisco Unified Communications Manager Administration, legger TFTP-serveren til SRST-sertifikatet i filen cnf.xml og sender filen til telefonen. En sikker telefon bruker deretter en TLS-tilkobling til samhandle med den SRST-aktiverte ruteren. |
|
Signaliseringskryptering |
Sørger for at alle SIP-signaliseringsmeldinger som sendes mellom enheten og Cisco Unified Communications Manager-serveren er kryptert. |
|
Alarm for oppdatering av klareringsliste |
Når klareringslisten oppdateres på telefonen, mottar Cisco Unified Communications Manager en alarm som indikerer om oppdateringen var vellykket eller mislykket. Du finner mer informasjon i tabellen nedenfor. |
|
AES 256-kryptering |
Når telefonene er koblet til Cisco Unified Communications Manager versjon 10.5(2) og nyere, støtter de AES 256-kryptering for TLS og SIP for signaliserings- og mediekryptering. Dermed kan telefonene starte og støtte TLS 1.2-tilkoblinger ved hjelp av AES-256-baserte chiffreringer som samsvarer med SHA-2-standardene (Secure Hash Algorithm) og er kompatible med FIPS (Federal Information Processing Standards). Chifrene inkluderer:
Hvis du vil ha mer informasjon, kan du se dokumentasjonen for Cisco Unified Communications Manager. |
|
ECDSA-sertifikater (Elliptic Curve Digital Signature Algorithm) |
Som del av en common criteria-sertifisering (CC) har Cisco Unified Communications Manager lagt til ECDSA-sertifikater i versjon 11.0. Dette påvirker alle VOS-produkter (Voice Operating System) som kjører CUCM 11.5 og senere versjoner. |
|
Multi-server (SAN) Tomcat-sertifikat med Cisco UCM | Telefonen støtter Cisco UCM med Multi-server (SAN) Tomcat-sertifikater konfigurert. Den riktige TFTP-serveradressen finner du i telefonens ITL-fil for telefonens registrering. Hvis du vil ha mer informasjon om funksjonen, kan du se følgende: |
Tabellen nedenfor inneholder alarmmeldinger for oppdatering av klareringslister, og hva de betyr. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for Cisco Unified Communications Manager.
| Kode og melding | Beskrivelse |
|---|---|
|
1 - TL_SUCCESS |
Mottatt ny CTL og/eller ITL |
|
2 - CTL_INITIAL_SUCCESS |
Mottatt ny CTL, ingen eksisterende TL |
|
3 - ITL_INITIAL_SUCCESS |
Mottatt ny ITL, ingen eksisterende TL |
|
4 - TL_INITIAL_SUCCESS |
Mottatt ny CTL og ITL, ingen eksisterende TL |
|
5 - TL_FAILED_OLD_CTL |
Oppdatering til ny CTL mislyktes, men har tidligere TL |
|
6 - TL_FAILED_NO_TL |
Oppdatering til ny TL mislyktes, har ingen gammel TL |
|
7 - TL_FAILED |
Generell feil |
|
8 - TL_FAILED_OLD_ITL |
Oppdatering til ny ITL mislyktes, men har tidligere TL |
|
9 - TL_FAILED_OLD_TL |
Oppdatering til ny TL mislyktes, men har tidligere TL |
Sikkerhet for telefonsamtaler
Når sikkerhet er implementert for en telefon, kan du identifisere sikre telefonsamtaler med ikoner på telefonskjermen. Du kan også fastslå om den tilkoblede telefonen er sikker og beskyttet dersom du hører en sikkerhetstone på begynnelsen av samtalen.
I en sikker samtale blir samtalesignalisering og mediestrømmer kryptert. En sikker samtale har et høyt nivå av sikkerhet, noe som gir samtalen både integritet og beskytter personvernet. Når en pågående samtale krypteres, kan du se sikkerhetsikonet
På linjen.
-
Hvis samtalen rutes via samtalefaser utenom IP, for eksempel PSTN, er samtalen ikke sikker selv om den krypteres innenfor IP-nettverket og har et tilknyttet låseikon.
-
Sikre samtaler støttes bare for tilkoblinger mellom to telefoner. Noen funksjoner, for eksempel telefonkonferanse og delte linjer, er ikke tilgjengelige når en sikker samtale konfigureres.
I Cisco Unified Communications Manager kan telefoner som er konfigurert som sikre (krypterte og klarerte), tilordnes en beskyttet status. Når disse enhetene er beskyttet, kan de konfigureres til å spille av en sikkerhetstone i begynnelsen av hver samtale.
-
Beskyttet enhet:
Slik endrer du statusen for en sikker telefon til Beskyttet:
- I Cisco Unified Communications Manager Administration velger du .
- Finn telefonen du vil konfigurere.
- I vinduet Telefonkonfigurasjon merker du av for Beskyttet enhet .
- Klikk på Lagre.
-
Spill av tone for sikker indikasjon:
Slik aktiverer du den beskyttede telefonen til å spille av en sikker eller usikker indikasjonstone:
- I Cisco Unified Communications Manager Administration velger du .
- Velg serveren og deretter Cisco CallManager tjenesten.
- I området Clusterwide Parameters (Feature - Secure Tone) setter du avspillingstonen for å angi innstillingen Secure/Non-Secure Call Status (Sikker/usikret samtale) til True .
- Klikk på Lagre.
Identifikasjon av sikker telefonkonferanse
Du kan starte en sikker telefonkonferanse og overvåke sikkerhetsnivået for deltakerne. En sikker telefonkonferanse etableres ved å gjøre følgende:
-
En bruker starter konferansen fra en sikker telefon.
-
Cisco Unified Communications Manager tilordner en sikker konferansebro til samtalen.
-
Etter hvert som deltakere legges til, bekrefter Cisco Unified Communications Manager sikkerhetsmodusen for hver telefon og opprettholder sikkerhetsnivået for konferansen.
-
Telefonen viser sikkerhetsnivået for telefonkonferansen En sikker konferanse viser sikkerhetsikonet
.
Sikre samtaler støttes mellom to telefoner. For beskyttede telefoner er noen funksjoner, for eksempel telefonkonferanser, delte linjer og mobilt internnummer, ikke tilgjengelige når en sikker samtale konfigureres.
Tabellen nedenfor inneholder informasjon om endringer i sikkerhetsnivåene for konferansen avhengig av sikkerhetsnivået for initiativtakertelefonen, sikkerhetsnivåene for deltakerne og tilgjengeligheten av sikre konferansebroer.
|
Sikkerhetsnivå for initiativtakertelefon |
Funksjon som brukes |
Sikkerhetsnivå for deltakere |
Resultater av handling |
|---|---|---|---|
|
Usikret |
Konferanse |
Sikre |
Usikret konferansebro Usikret konferanse |
|
Sikre |
Konferanse |
Minst ett medlem er usikret. |
Sikker konferansebro Usikret konferanse |
|
Sikre |
Konferanse |
Sikre |
Sikker konferansebro Sikker konferanse på krypteringsnivå |
|
Usikret |
Møterom |
Minste sikkerhetsnivå er kryptert. |
Initiativtakeren mottar en tone for ny bestilling. |
|
Sikre |
Møterom |
Minste sikkerhetsnivå er usikret. |
Sikker konferansebro Konferanse godtar alle anrop. |
Identifikasjon sv sikker samtale
En sikker samtale etableres når din telefon og telefonen i den andre enden konfigureres for sikker samtale. Den andre telefonen kan befinne seg i samme Cisco IP-nettverk eller i et nettverk utenfor IP-nettverket. Sikre samtaler kan bare gjennomføres mellom to telefoner. Telefonkonferanser må støtte sikker samtale etter at en sikker konferansebro er konfigurert.
En sikker samtale etableres ved å gjøre følgende:
-
En bruker starter samtalen fra en sikker telefon (sikret sikkerhetsmodus).
-
Telefonen viser sikkerhetsikonet
På telefonskjermen. Dette ikonet angir at telefonen er konfigurert for sikre samtaler, men det betyr ikke at den andre tilkoblede telefonen også er det samme. -
Brukeren hører en sikkerhetstone hvis samtalen kobles til en annen sikker telefon, noe som angir at begge ender av samtalen er kryptert og sikker. Hvis samtalen kobles til en usikret telefon, hører ikke brukeren sikkerhetstonen.
Sikre samtaler støttes mellom to telefoner. For beskyttede telefoner er noen funksjoner, for eksempel telefonkonferanser, delte linjer og mobilt internnummer, ikke tilgjengelige når en sikker samtale konfigureres.
Bare beskyttede telefoner spiller av disse tonene for sikre og usikrede samtaler. Ubeskyttede telefoner spiller aldri av toner. Hvis den totale samtalestatusen endres i løpet av samtalen, endres tonen, og den beskyttede telefonen spiller av den riktige tonen.
Når alternativet Avspillingstone for å angi sikker/usikret samtalestatus er satt til Sann :
-
Når sikre ende-til-ende-medier etableres og samtalestatusen er sikker, spiller telefonen av tonen for sikker samtale (tre lange pip med pause mellom hvert pip).
-
Når usikrede ende-til-ende-medier etableres og samtalestatusen er usikret, spiller telefonen av tonen for usikret samtale (seks lange pip med kort pause mellom hvert pip).
Hvis alternativet Avspillingstone for å angi sikker/usikker samtalestatus er satt til Usann , spilles ingen tone.
Gi kryptering for lekter
Cisco Unified Communications Manager kontrollerer telefonens sikkerhetsstatus ved oppretting av konferanser og endrer sikkerhetsindikasjonen for konferansen eller blokkerer anrop for å bevare og beskytte systemet.
En bruker kan ikke bryte inn i en kryptert samtale hvis telefonen som brukes til å bryte inn, ikke er konfigurert for kryptering. Når det i et slikt tilfelle ikke lykkes å bryte inn, spilles det av et opptattsignal (avbrutt, rask) på telefonen hvor det ble tatt initiativ til å bryte inn.
Hvis initiativtakertelefonen er konfigurert for kryptering, kan initiativtakeren til innbrytingen bryte inn i en usikret samtale fra den krypterte telefonen. Etter innbrytinger klassifiserer Cisco Unified Communications Manager samtalen som ikke-sikker.
Hvis initiativtakertelefonen er konfigurert for kryptering, kan initiativtakeren til innbrytingen bryte inn i en kryptert samtale, og telefonen angir at samtalen er kryptert.
Trådløs LAN-sikkerhet
Fordi alle WLAN-enheter som er innenfor rekkevidde, kan motta all annen WLAN-trafikk, er sikring av talekommunikasjon kritisk i WLAN-er. For å sikre at inntrengere ikke manipulerer eller fanger opp taletrafikk, støtter Cisco SAFE Security-arkitekturen telefonen. Hvis du vil ha mer informasjon om sikkerhet i nettverk, kan du se http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Telefoniløsningen Cisco Wireless IP gir trådløs nettverkssikkerhet som forhindrer uautoriserte pålogginger og kompromittert kommunikasjon ved å bruke følgende godkjenningsmetoder som telefonen støtter.
-
Åpen godkjenning: Alle trådløse enheter kan be om godkjenning i et åpent system. Tilgangspunktet som mottar forespørselen kan gi godkjenning til en hvilken som helst anmoder eller bare til anmodere som finnes på en liste over brukere. Kommunikasjon mellom den trådløse enheten og tilgangspunktet (AP) kan være ukryptert.
-
Utvidbar godkjenningsprotokoll-fleksibel godkjenning via sikker tunnelering (EAP-FAST) Godkjenning: Denne klient-server-sikkerhetsarkitekturen krypterer EAP-transaksjoner i en TLS)-tunnel (Transport Level Security) mellom AP- og RADIUS-serveren, for eksempel Identity Services Engine (ISE).
TLS-tunnelen bruker PAC-legitimasjon (Protected Access Credentials) til godkjenning mellom klienten (telefon) og RADIUS-serveren. Serveren sender en AID (Authority ID) til klienten (telefonen), som igjen velger den riktige PAC-koden. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC-koden med hovednøkkelen. Begge endepunktene inneholder nå PAC-nøkkelen, og det opprettes en TLS-tunnel. EAP-FAST støtter automatisk klargjøring av PAC-koder, men må du aktivere det på RADIUS-serveren.
I ISE, som standard, utløper PAC om en uke. Hvis telefonen har en utløpt PAC-kode, tar godkjenning med RADIUS-serveren lengre tid mens telefonen får en ny PAC-kode. For å unngå forsinkelser ved klargjøring av PAC-koder kan du angi utløpsperioden for PAC-koder til 90 dager eller lenger på ISE- eller RADIUS-serveren.
-
EAP-TLS-godkjenning (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS krever et klientsertifikat for godkjenning og nettverkstilgang. For trådløs EAP-TLS kan klientsertifikatet være MIC, LSC, eller brukerinstallert sertifikat.
-
PEAP (Protected Extensible Authentication Protocol): Ciscos egenutviklede passordbaserte ordning for gjensidig godkjenning mellom klienten (telefonen) og en RADIUS-server. Telefonen kan bruke PEAP for autentisering med det trådløse nettverket. Både godkjenningsmetodene PEAP-MSCHAPV2 og PEAP-GTC støttes.
-
Pre-Shared Key (PSK): Telefonen støtter ASCII og heksadesimale (HEX) formater. Du må bruke disse formatene når du konfigurerer en forhåndsdelt WPA2/SAE-nøkkel.
ASCII: En ASCII-tegnstreng med en lengde på 8 til 63 tegn (0-9, små bokstaver a-z, store A-Z og spesialtegn). For eksempel,GREG123567@9ZX
&W.HEX: En HEX-tegnstreng med 64 sekskantsifre i lengde (0-9, a-f eller A-F).
De følgende godkjenningsordningene bruker RADIUS-serveren til å håndtere godkjenningsnøkler:
-
WPA2/WPA3: bruker RADIUS-serverinformasjon til å generere unike godkjenningsnøkler. Fordi disse nøklene genereres på den sentraliserte RADIUS-serveren, gir WPA2/WPA3 bedre sikkerhet enn forhåndsdelte WPA-nøkler som er lagret på tilgangspunktet og telefonen.
-
Rask og sikker roaming: bruker RADIUS-serveren og informasjon fra en trådløst domene-server (WDS) til å håndtere og godkjenne nøkler. WDS oppretter en hurtigbuffer med sikkerhetslegitimasjon for FT-aktiverte klientenheter for rask og sikker reautentisering.
Med WPA2/WPA3 angis ikke krypteringsnøkler på telefonen, men avledes automatisk mellom tilgangspunktet og telefonen. Men EAP-brukernavnet og -passordet som brukes til godkjenning, må angis på hver telefon.
For å beskytte taletrafikk over den trådløse koblingen støtter telefonen AES-basert kryptering for WPA2/WPA3-godkjenning. AES er et symmetrisk blokkchiffer standardisert av NIST. AES bruker en fast 128-biters blokkstørrelse og støtter nøkkelstørrelser på 128 bits, 192 bits og 256 bits. I Wi-Fi-nettverk brukes AES av chiffreringssamlinger som CCMP eller GCMP, mens godkjenning leveres separat av PSK, SAE eller 802.1X/EAP, avhengig av den konfigurerte WLAN-sikkerhetsmodusen. Den støttede chiffreringspakken og nøkkelstørrelsen avhenger av telefonmodellen og WLAN konfigurasjonen.
Når telefonen bruker AES-kryptering, krypteres både SIP-pakkene og RTP-pakkene (Real-Time Transport Protocol) mellom tilgangspunktet og telefonen.
Godkjennings- og krypteringsordninger konfigureres innenfor det trådløse LAN-et. VLAN-er konfigureres i nettverket og på tilgangspunktene og angir forskjellige kombinasjoner av godkjenning og kryptering. En SSID knyttes til et VLAN og til den bestemte godkjennings og krypteringsordningen. For at trådløse klientenheter skal godkjennes, må du konfigurere de samme SSID-ene med godkjennings- og krypteringsskjemaene på tilgangspunktene og på telefonen.
Noen godkjenningsordninger krever bestemte typer kryptering.
Når du bruker WPA2 forhåndsdelt nøkkel eller SAE, må den forhåndsdelte nøkkelen være statisk angitt på telefonen. Disse nøklene må samsvare med tastene på tilgangspunktet.
Godkjennings- og krypteringsskjemaene i tabellen nedenfor viser nettverkskonfigurasjonsalternativene for Cisco trådløs telefon 9821 som tilsvarer tilgangspunktkonfigurasjon.
| FSR Type | Godkjenning | Nøkkeladministrasjon | Kryptering | Beskyttet styringsramme (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nei |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Ja |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nei |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nei |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nei |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| ikke-FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Ja |
| ikke-FT | Suite-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Ja |
Konfigurere en Wi-Fi-profil
Du kan konfigurere en Wi-Fi-profil og tilordne den til Cisco trådløs telefon 9821. Denne profilen inneholder de nødvendige parametrene for at telefonen skal kunne opprette en Wi-Fi-tilkobling og deretter registrere seg med Cisco Unified CM. Når du oppretter og bruker en Wi-Fi-profil, trenger ikke du eller brukerne å konfigurere det trådløse nettverket for individuelle telefoner.
Vi anbefaler at du bruker en sikker profil med TFTP-kryptering aktivert for å beskytte nøkler og passord når du bruker en Wi-Fi-profil.
Telefonene støtter ett serversertifikat per installasjonsmetode (manuell, SCEP eller TFTP).
Husk på følgende merknader før du konfigurerer WLAN-profilen:
-
brukernavn og passord
-
Når nettverket bruker EAP-FAST og PEAP til brukergodkjenning, må du om nødvendig konfigurere både brukernavnet og passordet på Radius (Remote Authentication Dial-In User Service) og på telefonen.
- Legitimasjonen du angir i profilen for trådløs LAN-profil, må være identisk med legitimasjonen du konfigurerte på RADIUS-serveren.
-
Hvis du bruker domener i nettverket, må du angi brukernavnet med domenenavn, i formatet:
domene\brukernavn.
-
-
Følgende handlinger kan føre til at det eksisterende Wi-Fi-passordet slettes:
- inntasting av en ugyldig bruker-id eller passord
- installasjon av et ugyldig eller utløpt rot-CA-sertifikat når EAP-typen er satt til PEAP-MSCHAPV2 eller PEAP-GTC
- Deaktivering av EAP-typen i bruk på RADIUS-serveren som brukes av telefonen, før du endrer en telefon til den nye EAP-typen
- Hvis du vil endre EAP typen, pass på at du aktiverer den nye EAP-typen på RADIUS-serveren først, og deretter bytter telefonen til EAP-typen. Når alle telefonene er endret til den nye EAP-typen, kan du deaktivere den forrige EAP-typen hvis du ønsker det.
| 1 |
I Cisco Unified Communications Manager Administration, velger du . |
| 2 |
Klikk på Legg til ny. |
| 3 |
I delen Informasjon om trådløs LAN-profil angir du parameterne:
|
| 4 |
I delen Innstillinger for trådløst angir du parameterne:
|
| 5 |
I delen Godkjenningsinnstillinger setter du godkjenningsmetoden til en av disse godkjenningsmetodene: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK og Ingen. Cisco Trådløs telefon 9821 støtter ikke WEP. Etter at du har angitt dette feltet, kan du se flere felt som du må angi.
Cisco Trådløs telefon 9821 støtter ikke feltet Nettverkstilgangsprofil . |
| 6 |
Klikk på Lagre. |
Hva du skal gjøre nå
Bind den trådløse LAN-profilen til en WLAN-profilgruppe, og bruk deretter profilgruppen WLAN på et enhetsutvalg (system>enhetsutvalgtelefon
Installere et brukersertifikat fra websiden for telefonadministrasjon
Du kan installere et brukersertifikat manuelt på telefonen hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgjengelig.
Det forhåndsinstallerte MIC-sertifikatet kan brukes som brukersertifikatet for EAP-TLS.
Når brukersertifikatet er installert, må du legge til CA-kjeden som utstedte brukersertifikatet, i RADIUS-serverens klareringsliste.
Før du begynner
Før du kan installere et brukersertifikat for en telefon, må du ha:
-
Et brukersertifikat som er lagret på datamaskinen. Sertifikatet må være i PKCS #12-format.
-
Sertifikatets utpakkingspassord. Passordlengden må ikke overskride 32 tegn.
| 1 |
Fra telefonens administrasjonsnettside velger du Sertifikater. |
| 2 |
Finn feltet Brukerinstallert, og klikk på Installer. |
| 3 |
Bla til sertifikatet på PC-en. |
| 4 |
I feltet Pakk ut passord taster du inn sertifikatets utpakkingspassord. |
| 5 |
Klikk på Last opp. |
| 6 |
Start telefonen på nytt etter at opplastingen er fullført. |
Installere en sertifiseringsinstans for godkjenningsserver fra websiden for telefonadministrasjon
Du kan installere en godkjenningsserver-CA manuelt på telefonen hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgjengelig.
Rotsertifiseringsinstanssertifikatet som utstedte RADIUS-serversertifikatet, må være installert.
Før du begynner
Før du kan installere et sertifikat på en telefon, må du ha en godkjenningsserversertifiseringsinstans lagret på PCen. Sertifikatet må kodes i PEM (Base-64) eller DER.
| 1 |
Fra telefonens administrasjonsnettside velger du Sertifikater. |
| 2 |
Finn Godkjenningsserver CA-feltet, og klikk på Installer. |
| 3 |
Bla til sertifikatet på PC-en. |
| 4 |
Klikk på Last opp. |
| 5 |
Start telefonen på nytt etter at opplastingen er fullført. |
Fjerne et sikkerhetssertifikat manuelt fra websiden for telefonadministrasjon
Du kan fjerne et sikkerhetssertifikat manuelt fra en telefon hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgjengelig.
| 1 |
Fra telefonens administrasjonsnettside velger du Sertifikater. |
| 2 |
Finn sertifikatet på siden Sertifikater. |
| 3 |
Klikk på Slett. |
| 4 |
Start telefonen på nytt etter at sletteprosessen er fullført. |
Konfigurere SCEP
SCEP (Simple Certificate Enrollment Protocol) er standarden for automatisk levering og fornyelse av sertifikater. Det unngår manuell installasjon av sertifikater på telefonene.
Aktivere SCEPs produktspesifikke konfigurasjonsparametere
Du må konfigurere følgende SCEP-parametere på Cisco Unified Communications Manager (Unified CM).
-
RA IP adresse eller vertsnavn
-
SHA-1- eller SHA-256-fingeravtrykk av rot-CA-sertifikatet for SCEP-serveren
Cisco IOS Registration Authority (RA) fungerer som en proxy for SCEP-serveren. SCEP-klienten på telefonen bruker parameterne som lastes ned fra Cisco Unified CM. Når du har konfigurert parametrene, sender telefonen en SCEP GETCS-forespørsel til RA, og rotsertifiseringsinstanssertifikatet valideres ved hjelp av det definerte fingeravtrykket.
| 1 |
Fra Cisco Unified Communications Manager Administration velger du . |
| 2 |
Finn telefonen. |
| 3 |
Bla til området Produktspesifikt konfigurasjonsoppsett. |
| 4 |
Merk av for WLAN SCEP-server for å aktivere SCEP-parameteren. |
| 5 |
Merk av for WLAN Root CA Fingerprint (SHA256 eller SHA1) for å aktivere parameteren SCEP QED. |
Støtte for SCEP-server
Hvis du bruker en SCEP-server (Simple Certificate Enrollment Protocol), kan serveren automatisk vedlikeholde bruker- og serversertifikatene dine. På SCEP-serveren konfigurerer du SCEP Registrering Agent (RA) til å:
-
fungere som et PKI-klareringspunkt
-
fungere som en PKI-RA
-
utføre enhetsgodkjenning ved hjelp av en RADIUS-server
Hvis du vil ha mer informasjon, kan du se dokumentasjonen for SCEP-serveren.
Konfigurere et lokalt signifikant sertifikat (LSC)
Det er noen metoder for å installere en LSC. Denne eksempeloppgaven gjelder konfigurasjon av LSC med godkjenningsstrengmetoden på Cisco trådløs telefon 9821.
Før du begynner
Kontroller at de riktige sikkerhetskonfigurasjonene Cisco Unified CM og certificate authority proxy function (CAPF) er fullført.
-
CTL- eller ITL-filen har et CAPF-sertifikat.
-
I Cisco Unified Communications Operating System Administration bekrefter du at CAPF-sertifikatet er installert.
-
CAPF-sertifikatet kjører og er konfigurert.
Hvis du vil ha mer informasjon om disse innstillingene, kan du se dokumentasjonen for din Cisco Unified CM utgave.
| 1 |
Hent godkjenningsstrengen CAPF som ble angitt da CAPF ble konfigurert. |
| 2 |
Gå til Innstillinger på telefonen |
| 3 |
Velg . |
| 4 |
Skriv inn autentiseringsstrengen. |
| 5 |
Trykk på Mer Telefonen begynner å installere, oppdatere eller fjerne LSC-sertifikatet, avhengig av hvordan CAPF-sertifikatet er konfigurert. Når prosedyren er fullført, vises Installert eller Ikke installert på telefonen. Installasjon, oppdatering eller fjerning av LSC-sertifikatet kan ta en stund. Når installasjonen av telefonen er fullført, vises meldingen |
802.1X-godkjenning for kablede nettverk
Cisco Trådløs telefon 9821 støtter 802.1X-godkjenning for kablede nettverk. Dette brukes vanligvis under automatisk klargjøring når telefonen er koblet til skrivebordsladeren via en støttet USB-til-Ethernet-adapter.
Støtte for 802.1X-godkjenning på kablede nettverk krever flere komponenter som følger:
-
Cisco IP-telefon: Telefonen sender forespørselen om tilgang til nettverket. Cisco IP-telefoner inneholder en 802.1X-anmoder. Denne anmoderen tillater at nettverksadministratorer kontrollerer tilkoblingen for IP-telefoner til LAN-svitsjeportene. Den gjeldende versjonen av telefonens 802.1X-anmoder bruker alternativene EAP-FAST og EAP-TLS for nettverksgodkjenning.
-
Godkjenningsserver: Både godkjenningsserveren og svitsjen må konfigureres med en delt RADIUS-hemmelighet.
-
Svitsj: Svitsjen må støtte 802.1X, slik at den kan fungere som autentisator og videresende EAP-meldingene mellom telefonen og godkjenningsserveren. Etter at utvekslingen er fullført, gir eller avslår svitsjen tilgang til nettverket for telefonen.
Cisco IP-telefon og Cisco Catalyst-svitsjer bruker tradisjonelt CDP-protokollen (Cisco Discovery Protocol) til å identifisere hverandre og definere parametere, for eksempel VLAN-tildeling og innebygde strømkrav.
Du må utføre følgende handlinger for å konfigurere 802.1X.
-
Konfigurer CDP/LLDP stemme VLAN bypass.
-
Konfigurer godkjenningsserveren og svitsjen før du aktiverer 802.1X-godkjenning for kablede nettverk på telefonen.
-
Konfigurer Tale-VLAN: 802.1X-standarden omfatter ikke VLAN-er, og derfor må du konfigurere denne innstillingen basert på svitsjstøtten.
- Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du konfigurere den til å bruke stemmen VLAN.
- Deaktivert: Hvis svitsjen ikke støtter godkjenning på flere domener, deaktiverer du Tale-VLAN og vurderer å tilordne porten til opprinnelig VLAN.
-
Cisco Trådløs telefon 9821 har et annet prefiks i PID enn for de andre Cisco-telefonene. Hvis du vil at telefonen skal bestå 802.1X-godkjenning, angir du Radius· Brukernavnparameter for å inkludere din Cisco trådløse telefon 9821.
For eksempel er PID for Cisco trådløs telefon 9821 WP-9821. Du kan angi radius · Brukernavn til å
begynne med WPellerinneholder WPi begge følgende seksjoner: -
Aktivere 802.1X-godkjenning for kablede nettverk på telefonen
Følg denne fremgangsmåten for å aktivere 802.1X-godkjenning for kablede nettverk på telefonen. Vær oppmerksom på at 802.1X-godkjenning for Wi-Fi er aktivert som standard og krever ingen manuell konfigurasjon.
| 1 |
Få tilgang til innstillingene |
| 2 |
Hvis du blir bedt om det, skriver du inn passordet for å få tilgang til Innstillinger-menyen . Du kan få passordet fra administratoren. |
| 3 |
Velg . |
| 4 |
Merk Enhetsautentisering og trykk på På. |
Aktiver 802.1X-godkjenning for kablede nettverk i Cisco Unified Communications Manager Administration
Følg disse trinnene for å aktivere 802.1X-godkjenning for kablede nettverk på Cisco Unified CM. Vær oppmerksom på at 802.1X-godkjenning for Wi-Fi er aktivert som standard og krever ingen manuell konfigurasjon.
Du kan vise transaksjonsstatus og sikkerhetsinnstillinger på telefonskjermmenyen. Hvis du vil ha mer informasjon, kan du se Meny for sikkerhetsinnstillinger på telefonen.
| 1 |
I Cisco Unified Communications Manager Administration velger du Enhet > telefon. |
| 2 |
Finn telefonen du vil konfigurere. |
| 3 |
Gå til området Produktspesifikt konfigurasjonsoppsett . |
| 4 |
Velg Aktivert fra rullegardinmenyen 802.1x-godkjenning . Når enheten er konfigurert til Aktivert eller Deaktivert , blir alternativet for enhetsgodkjenning på Cisco Wireless Phone 9821 skrivebeskyttet, noe som hindrer brukere i å endre 802.1X-godkjenningsinnstillinger . |
| 5 |
Velg Lagre. |
| 6 |
Velg Bruk konfigurasjon. |
Meny for sikkerhetsinnstillinger på telefonen
Hvis du vil vise informasjon om sikkerhetsinnstillingene fra telefonmenyen, går du til Innstillinger
app og velg . Tilgjengeligheten av informasjonen avhenger av nettverksinnstillingene i organisasjonen.
|
Parametre |
Alternativer |
Standard |
Beskrivelse |
|---|---|---|---|
|
Enhetsgodkjenning |
På Av |
Av |
Aktiverer eller deaktiverer 802.1X-godkjenning på telefonen. Parameterinnstillingen kan beholdes etter telefonens medfølgende registrering (OOB). |
|
Transaksjonsstatus | Deaktivert |
Viser tilstanden for 802.1X-godkjenning. Staten kan være (ikke begrenset til):
| |
|
Protokoll | Ingen |
Viser EAP metoden som brukes for 802.1X-godkjenning. Protokollen kan være EAP-FAST eller EAP-TLS. |
Konfigurer de støttede versjonene av TLS
Du kan konfigurere minimumsversjonen av TLS som kreves for henholdsvis klient og server.
Som standard er minimum TLS-versjonen av server og klient begge 1.2. Innstillingen påvirker følgende funksjoner:
- HTTPS-tilkobling for nettilgang
- Pålasting for lokal telefon
- HTTPS-tjenester, for eksempel katalogtjenestene
- Datagram Transport Layer Security (DTLS)
- Port Access Entity (PAE)
- Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
Hvis du vil ha mer informasjon om TLS 1.3-kompatibiliteten for Cisco IP Phones, kan du se TLS 1.3 kompatibilitetsmatrise for Cisco samarbeidsprodukter.
| 1 |
I Cisco Unified Communications Manager Administration gjør du ett av følgende etter behov:
Konfigurasjonen følger en hierarkisk struktur:
|
| 2 |
Konfigurer feltet TLS Min. klientversjon : Alternativet TLS 1.3 er tilgjengelig på Cisco Unified CM 15SU2 eller nyere.
|
| 3 |
Konfigurer feltet TLS Server Min versjon :
|
| 4 |
Klikk på Lagre. |
| 5 |
Klikk på Bruk konfigurasjon. |
| 6 |
Start telefonene på nytt. |
TURN av høyttalertelefon og hodesett på Cisco trådløs telefon 9821
Du har muligheten til å permanent TURN av høyttaleren og headsettet på en Cisco trådløs telefon 9821 for brukeren. Hvis du slår av disse lydutgangene, sikrer du at samtaler ikke blir hørt av andre i nærheten, noe som er viktig i delte eller åpne kontormiljøer.
| 1 |
I Cisco Unified Communications Manager Administration velger du . |
| 2 |
Finn telefonen du vil konfigurere. |
| 3 |
Gå til området Produktspesifikt konfigurasjonsoppsett . |
| 4 |
Merk av i én eller flere av følgende avmerkingsbokser for å TURN av telefonens funksjoner:
Som standard er det ikke merket av for disse alternativene. |
| 5 |
Velg Lagre. |
| 6 |
Velg Bruk konfigurasjon. |
