- Página inicial
- /
- Artigo
Obrigado pelos seus comentários.
Segurança do Cisco IP Phone
Neste artigo
Comentários?Este artigo de ajuda é para o Telefone fixo Cisco série 9800 e o Telefone de vídeo Cisco 8875 registrado no Cisco BroadWorks.
Instalar manualmente o certificado de dispositivo personalizado
Você pode instalar manualmente um Certificado de dispositivo personalizado (CDC) no telefone carregando o certificado na página da Web de administração do telefone.
Antes de você começar
Antes de instalar um certificado de dispositivo personalizado para um telefone, você deve ter:
- Um arquivo de certificado (.p12 ou .pfx) salvo no seu PC. O arquivo contém o certificado e a chave privada.
- A senha de extração do certificado. A senha é usada para descriptografar o arquivo de certificado.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione Certificado . |
| 3 |
Na seção Adicionar certificado , clique em Procurar.... |
| 4 |
Navegue até o certificado no seu PC. |
| 5 |
No campo Extrair senha , insira a senha de extração do certificado. |
| 6 |
Clique em Carregar. Se o arquivo de certificado e a senha estiverem corretos, você receberá a mensagem " Certificado adicionado.". Caso contrário, o carregamento falhará com uma mensagem de erro indicando que o certificado não pode ser carregado.
|
| 7 |
Para verificar os detalhes do certificado instalado, clique em View na Certificados existentes seção. |
| 8 |
Para remover o certificado instalado do telefone, clique em Excluir na seção Certificados existentes. Depois de clicar no botão, a operação de remoção começa imediatamente sem uma confirmação.
Se o certificado for removido com êxito, você receberá a mensagem " Certificado excluído.". |
Instalar automaticamente o certificado de dispositivo personalizado pelo SCEP
Você pode configurar os parâmetros do protocolo SCEP (Simple Certificate Enrollment Protocol) para instalar automaticamente o certificado de dispositivo personalizado (CDC), se você não quiser carregar manualmente o arquivo de certificado ou não tiver o arquivo de certificado no lugar.
Quando os parâmetros SCEP estão configurados corretamente, o telefone envia solicitações para o servidor SCEP e o certificado CA é validado pelo dispositivo usando a impressão digital definida.
Antes de você começar
Antes de executar uma instalação automática de um certificado de dispositivo personalizado para um telefone, você deve ter:
- endereço do servidor SCEP
- Impressão digital SHA-1 ou SHA-256 do certificado raiz da CA para o servidor SCEP
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione Certificado . |
| 3 |
Na seção Configuração SCEP 1 , defina os parâmetros conforme descrito na tabela a seguir Parâmetros para configuração SCEP . |
| 4 |
Clique em Enviar todas as alterações . |
Parâmetros da configuração SCEP
A tabela a seguir define a função e o uso dos parâmetros de configuração do SCEP na seção Configuração do SCEP 1 na guia Certificate na interface da Web do telefone. Ele também define a sintaxe da string que é adicionada no arquivo de configuração do telefone (cfg.xml) para configurar um parâmetro.
| Parâmetros | Descrição |
|---|---|
| Servidor |
Endereço do servidor SCEP. Esse parâmetro é obrigatório. Execute um dos seguintes procedimentos:
Valores válidos: Uma URL ou endereço IP. O esquema HTTPS não é suportado. Padrão Vazio |
| Impressão digital CA raiz |
Impressão digital SHA256 ou SHA1 da CA raiz para validação durante o processo SCEP. Esse parâmetro é obrigatório. Execute um dos seguintes procedimentos:
Padrão Vazio |
| Alterar senha |
A senha de desafio para a autorização da autoridade de certificação (CA) em relação ao telefone durante um registro de certificado via SCEP. Esse parâmetro é opcional. De acordo com o ambiente SCEP real, o comportamento da senha de desafio varia.
Execute um dos seguintes procedimentos:
Padrão Vazio |
Configuração de parâmetros SCEP por meio da opção DHCP 43
Além do registro do certificado SCEP pelas configurações manuais na página da Web do telefone, você também pode usar a opção DHCP 43 para preencher os parâmetros de um servidor DHCP. A opção DHCP 43 é pré-configurada com os parâmetros SCEP; mais tarde, o telefone pode buscar os parâmetros do servidor DHCP para executar o registro do certificado SCEP.
- A configuração dos parâmetros SCEP por meio da opção DHCP 43 está disponível apenas para o telefone onde uma redefinição de fábrica é executada.
- Os telefones não serão colocados na rede que ofereça suporte à Opção 43 e ao provisionamento remoto (por exemplo, Opções 66,160,159,150 ou provisionamento em nuvem). Caso contrário, os telefones podem não obter as configurações de Opção 43.
Para registrar um certificado SCEP configurando os parâmetros SCEP na opção DHCP 43, faça o seguinte:
- Prepare um ambiente SCEP.
Para obter informações sobre a configuração do ambiente SCEP, consulte a documentação do servidor SCEP.
- Configure a opção DHCP 43 (definida em 8.4 Informações específicas do fornecedor, RFC 2132 ).
Suboptions (10–15) são reservadas para o método:
Parâmetro na página da Web do telefone Subosão Tipo Comprimento (byte) Obrigatório Modo FIPS 10 Boolean 1 Não * Servidor 11 sequência 208 - comprimento (senha do desafio) Sim Impressão digital CA raiz 12 binário 20 ou 32 Sim Alterar senha 13 sequência 208 - comprimento (Servidor) Não * Ativar autenticação 802.1X 14 Boolean 1 Não Selecionar certificado 15 8 bits não assinados 1 Não Quando você usar a opção DHCP 43, observe as seguintes características do método:
- Subopções (10–15) são reservadas para o Certificado de dispositivo personalizado (CDC).
- O comprimento máximo da opção 43 DHCP é 255 bytes.
- O comprimento máximo do Server + Challenge Password deve ser inferior a 208 bytes.
- O valor do FIPS Mode deve ser consistente com a configuração de provisionamento de integração. Caso contrário, o telefone não recuperará o certificado instalado anteriormente após a integração. Especificamente,
- Se o telefone for registrado em um ambiente onde o modo FIPS está desativado, você não precisará configurar o parâmetro Modo FIPS na opção DHCP 43. Por padrão, o modo FIPS está desativado.
- Se o telefone for registrado em um ambiente em que o modo FIPS esteja ativado, você deverá ativar o modo FIPS na opção DHCP 43. Consulte Ativar modo FIPS para obter detalhes.
- A senha na Opção 43 está no cleartext.
Se a senha do desafio estiver vazia, o telefone usará MIC/SUDI para a inscrição inicial e a renovação do certificado. Se a senha do desafio estiver configurada, ela será usada apenas para a inscrição inicial e o certificado instalado será usado para a renovação do certificado.
- Ativar autenticação 802.1X e Selecionar certificado são usados apenas para telefones na rede com fio.
- A opção DHCP 60 (Identificador de classe do fornecedor) é usada para identificar o modelo do dispositivo.
A tabela a seguir fornece um exemplo da opção 43 de DHCP (suboptions 10–15):
Subopção decimal/hex Comprimento do valor (byte) decimal/hex Valor Valor hexadecimal 10/0a 01/01 1 (0: Desativado; 1: Habilitado) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 01/01 1 (0: Nº; 1: Sim* 01 15/0f 01/01 1 (0: Fabricação instalada; 1: Personalizado instalado) 01 Resumo dos valores do parâmetro:
-
Modo FIPS = Ativado
-
Servidor =
http://10.79.57.91 -
Impr. digital CA raiz =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Senha do desafio = D233CCF9B9952A15
-
Ativar autenticação 802.1X = Sim
-
Seleção de certificado = Personalizado instalado
A sintaxe do valor hexadecimal final é:
{<suboption><length><value>}...De acordo com os valores de parâmetros acima, o valor hexadecimal final é o seguinte:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Configure a opção DHCP 43 em um servidor DHCP.Esta etapa fornece um exemplo das configurações da opção 43 do DHCP no registro de rede da Cisco.
- Adicione o conjunto de definição de opção DHCP.
A String de opção de fornecedor é o nome do modelo dos telefones IP. O valor válido é: DP-9841, DP-9851, DP-9861, DP-9871 ou CP-8875.
- Adicione a opção DHCP 43 e as subopções ao conjunto de definição de opção DHCP.
Exemplo:
- Adicione as opções 43 à política DHCP e configure o valor da seguinte maneira:
Exemplo:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Verifique as suas configurações Você pode usar o Wireshark para capturar um rastreamento do tráfego de rede entre o telefone e o serviço.
- Adicione o conjunto de definição de opção DHCP.
- Execute uma redefinição das configurações de fábrica para o telefone.
Depois que o telefone for redefinido, os parâmetros Server , Root CA Fingerprint , e Challenge Password serão preenchidos automaticamente. Esses parâmetros estão localizados na seção Configuração do SCEP 1 de na página da Web de administração do telefone.
Para verificar os detalhes do certificado instalado, clique em View na Certificados existentes seção.
Para verificar o status de instalação do certificado, selecione . O Status de download 1 mostra o resultado mais recente. Se algum problema ocorrer durante o registro do certificado, o status do download poderá mostrar o motivo do problema para fins de solução de problemas.
Se a autenticação de senha de desafio falhar, os usuários serão solicitados a inserir a senha na tela do telefone. - (Opcional): Para remover o certificado instalado do telefone, clique em Excluir na seção Certificados existentes.Depois de clicar no botão, a operação de remoção começa imediatamente sem uma confirmação.
Renovação de certificado pelo SCEP
O certificado do dispositivo pode ser atualizado automaticamente pelo processo SCEP.
- O telefone verifica se o certificado expirará em 15 dias a cada 4 horas. Se sim, o telefone inicia o processo de renovação do certificado automaticamente.
- Se a senha do desafio estiver vazia, o telefone usará MIC/SUDI para registro inicial e renovação do certificado. Se a senha do desafio estiver configurada, ela será usada apenas para inscrição inicial. O certificado existente/instalado será usado para renovação do certificado.
- O telefone não remove o certificado de dispositivo antigo até recuperar o novo.
- Se a renovação do certificado falhar porque o certificado do dispositivo ou CA expirar, o telefone acionará a inscrição inicial automaticamente. Enquanto isso, se a autenticação de senha de desafio falhar, uma tela de entrada de senha aparecerá na tela do telefone e os usuários serão solicitados a inserir a senha de desafio no telefone.
Ativar modo FIPS
Você pode tornar um telefone compatível com os Padrões de Processamento de Informações Federais (FIPS).
FIPS são um conjunto de padrões que descrevem o processamento de documentos, algoritmos de criptografia e outros padrões de tecnologia da informação para uso dentro do governo não militar e por contratados governamentais e fornecedores que trabalham com as agências. O CiscoSSL FOM (Módulo de objeto FIPS) é um componente de software cuidadosamente definido e projetado para compatibilidade com a biblioteca CiscoSSL, para que os produtos que usam a biblioteca CiscoSSL e a API possam ser convertidos para usar criptografia validada FIPS 140-2 com o mínimo de esforço.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Configurações de segurança , escolha Sim ou Não do parâmetro Modo FIPS . |
| 4 |
Clique em Enviar todas as alterações . Quando você ativa o FIPS, os seguintes recursos funcionam perfeitamente no telefone:
|
Remover manualmente um certificado de segurança
Você pode remover manualmente um certificado de segurança de um telefone se o protocolo SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.
| 1 |
Na página da Web de administração do telefone, selecione Certificados . |
| 2 |
Localize o certificado na página Certificados . |
| 3 |
Clique em Excluir. |
| 4 |
Reinicie o telefone depois que o processo de exclusão for concluído. |
Definir a senha do usuário e do administrador
Depois que o telefone é registrado em um sistema de controle de chamadas na primeira vez ou você executa uma redefinição de fábrica no telefone, você deve definir a senha do usuário e do administrador para aumentar a segurança do telefone. Somente quando a senha for definida, você poderá enviar as alterações na página da Web do telefone.
Por padrão, o aviso de senha não está ativado no telefone. Quando o telefone não tem nenhuma senha de usuário ou administrador, os seguintes avisos são exibidos:
- A página da Web do telefone exibe a "Nenhuma senha de administrador fornecida. A web está no modo de somente leitura e você não pode enviar alterações. Altere a senha." no canto superior esquerdo.
Os campos Senha do Usuário e Senha do Administrador exibem o aviso "Nenhuma senha fornecida", respectivamente, se estiver vazia.
- A tela do telefone Problemas e diagnósticos exibe o problema "Nenhuma senha fornecida".
| 1 |
Acessar a página da Web de administração do telefone |
| 2 |
Selecione . |
| 3 |
(Opcional) Na seção Configuração do sistema , defina o parâmetro Exibir avisos de senha como Sim e clique em Enviar todas as alterações . Você também pode ativar os parâmetros no arquivo de configuração do telefone (cfg.xml).
Padrão Sim Opções: Sim|Não Quando o parâmetro é definido como No , o aviso de senha não aparece na página da Web ou na tela do telefone. Além disso, o modo somente pronto para a página web não será ativado, mesmo que a senha esteja vazia. |
| 4 |
Localize o parâmetro Senha do usuário ou Senha do administrador , e clique em Alterar senha ao lado do parâmetro. |
| 5 |
Digite a senha do usuário atual no campo Senha antiga . Se você não tiver uma senha, mantenha o campo vazio. O valor padrão é ativado.
|
| 6 |
Insira uma nova senha no campo Senha. |
| 7 |
Clique em Enviar. A mensagem Senha foi alterada com êxito. será exibida na página da Web. A página da web será atualizada em alguns segundos. O aviso ao lado do parâmetro desaparecerá. Depois de definir a senha do usuário, esse parâmetro exibe o seguinte no arquivo XML de configuração do telefone (cfg.xml):
Se você receber o código de erro 403 ao tentar acessar a página da Web do telefone, deverá definir a senha do usuário ou do administrador provisionando no arquivo de configuração do telefone (cfg.xml). Por exemplo, insira uma string neste formato:
|
Autenticação 802.1X
Os Telefones IP Cisco são compatíveis com a Autenticação 802.1X.
Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de energia embutida. O CDP não identifica estações de trabalho conectadas localmente. Os Telefones IP Cisco fornecem um mecanismo de passagem EAPOL. Esse mecanismo permite que uma estação de trabalho conectada ao Telefone IP Cisco passe mensagens EAPOL ao autenticador 802.1X no switch da LAN. O mecanismo de passagem garante que o telefone IP não atue como o switch da LAN para autenticar um dispositivo de dados antes de acessar a rede.
Os Telefones IP Cisco também fornecem um mecanismo de encerramento EAPOL por proxy. Se o PC conectado localmente se desconectar do telefone IP, o switch da LAN não verá a falha do link físico, pois o link entre o switch da LAN e o telefone IP é mantido. Para evitar o comprometimento da integridade da rede, o telefone IP envia uma mensagem de encerramento do EAPOL para o switch em nome do PC downstream, o que aciona o switch da LAN para limpar a entrada de autenticação do PC downstream.
O suporte para autenticação 802.1X requer vários componentes:
-
Telefone IP Cisco O telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite que os administradores de rede controlem a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.
-
serviço de autenticação O servidor de autenticação e o switch devem ser ambos configurados com um segredo compartilhado que autentique o telefone.
-
Alternar: O switch deve ser compatível com 802.1X para que possa agir como o autenticador e passar as mensagens entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.
Você deve executar as seguintes ações para configurar a 802.1X.
-
Configure os outros componentes antes de ativar a Autenticação 802.1X no telefone.
-
Configurar porta do PC: O padrão 802.1X não considera VLANs e, assim, recomenda que apenas um único dispositivo seja autenticado para uma porta de switch específica. No entanto, alguns switches suportam a autenticação de vários domínios. A configuração do switch determina se você pode conectar um PC à porta do PC do telefone.
-
Habilitado: Se você estiver usando um switch que aceita a autenticação de vários domínios, poderá ativar a porta do PC e conectar um PC a ela. Nesse caso, os Telefones IP Cisco suportam o encerramento do EAPOL por proxy para monitorar a troca de autenticação entre o switch e o PC conectado.
Para obter mais informações sobre o suporte do IEEE 802.1X em switches do Cisco Catalyst, consulte os guias de configuração de switch do Cisco Catalyst em:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
desativado Se o switch não oferecer suporte a vários dispositivos compatíveis com 802.1X na mesma porta, você deverá desativar a porta do PC quando a autenticação 802.1X for ativada. Se você não desativar essa porta e tentar conectar um PC a ela, o switch negará o acesso à rede tanto para o telefone quanto para o PC.
-
- Configure a VLAN de voz: Como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.
- Habilitado: Se você estiver usando um switch que ofereça suporte à autenticação de vários domínios, poderá continuar usando a VLAN de voz.
- desativado Se o switch não oferecer suporte à autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.
- (Apenas para o Telefone fixo Cisco série 9800)
O Telefone fixo Cisco série 9800 tem um prefixo diferente no PID para outros telefones Cisco. Para permitir que o telefone passe a autenticação 802.1X, defina o parâmetro Radius·User-Name para incluir o Cisco Desk Phone 9800 Series.
Por exemplo, o PID do telefone 9841 é DP-9841; você pode definir Radius·Nome do usuário para Iniciar com DP ou Contém DP . Você pode configurá-lo em ambas as seções a seguir:
-
Ativar autenticação 802.1X
Quando a autenticação 802.1X é ativada, o telefone usa a autenticação 802.1X para solicitar acesso à rede. Quando a autenticação 802.1X é desativada, o telefone usa o CDP (Cisco Discovery Protocol) para adquirir acesso à VLAN e à rede. Você também pode visualizar o status da transação e alterar no menu da tela do telefone.
Quando a autenticação 802.1X é ativada, você também pode selecionar o certificado do dispositivo (MIC/SUDI ou personalizado) para a inscrição inicial e renovação do certificado. Normalmente, o MIC é para Cisco Video Phone 8875, o SUDI é para Cisco Desk Phone série 9800. O CDC pode ser usado apenas para autenticação em 802.1x.
| 1 |
Execute uma das seguintes ações para ativar a autenticação 802.1X:
| ||||||||||||||||||||
| 2 |
Selecione um certificado (MIC ou personalizado) para a autenticação 802.1X na página da Web do telefone.
Para obter informações sobre como selecionar um tipo de certificado na tela do telefone, consulte Conectar o telefone a uma rede Wi-Fi .
|
Habilitar o modo Iniciado pelo cliente nas negociações de segurança do plano de mídia
Para proteger as sessões de mídia, você pode configurar o telefone para iniciar as negociações de segurança do plano de mídia com o servidor. O mecanismo de segurança segue os padrões definidos no RFC 3329 e seus nomes de mecanismos de segurança de rascunho de ramal para mídia (Veja https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2 ). O transporte de negociações entre o telefone e o servidor pode usar o protocolo SIP sobre UDP, TCP e TLS. Você pode limitar que a negociação de segurança do plano de mídia é aplicada apenas quando o protocolo de transporte de sinalização é TLS.
| 1 |
Acesse a página da Web de administração do telefone. | ||||||
| 2 |
Selecione . | ||||||
| 3 |
Na seção Configurações SIP , defina os campos Solicitação MediaSec e MediaSec Sobre Somente TLS conforme definido na tabela a seguir:
| ||||||
| 4 |
Clique em Enviar todas as alterações . |
Segurança da WLAN
Como todos os dispositivos de WLAN que estão no intervalo podem receber todo o tráfego da WLAN, proteger a comunicação por voz é algo essencial nas WLANs. Para garantir que intrusos não manipulem nem interceptem o tráfego de voz, a arquitetura do Cisco SAFE Security oferece suporte ao telefone. Para obter mais informações sobre segurança em redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
A solução de telefonia IP sem fio Cisco fornece segurança de rede sem fio que impede inícios de sessão não autorizados e comunicações comprometidas usando os seguintes métodos de autenticação aceitos pelo telefone:
-
Autenticação aberta : Qualquer dispositivo sem fio pode solicitar autenticação em um sistema aberto. O AP que recebe a solicitação pode conceder autenticação a qualquer solicitante ou apenas a solicitantes encontrados em uma lista de usuários. A comunicação entre o dispositivo sem fio e o ponto de acesso (AP) pode não ser criptografada.
-
Autenticação Extensible Protocol-Flexible via autenticação de túnel seguro (EAP-FAST) : Essa arquitetura de segurança cliente-servidor criptografa transações EAP dentro de um túnel TLS (Transport Level Security) entre o AP e o servidor RADIUS, como o Identity Services Engine (ISE).
O túnel TLS usa credenciais de acesso protegido (PACs) para autenticação entre o cliente (telefone) e o servidor RADIUS. O servidor envia um ID de autoridade (AID) para o cliente (telefone), que por sua vez seleciona o PAC apropriado. O cliente (telefone) retorna um PAC-Opaque para o servidor RADIUS. O servidor descriptografa a PAC com a chave primária. Agora, ambos os terminais contêm a chave PAC e um túnel TLS é criado. O EAP-FAST suporta provisionamento automático de PAC, mas você deve ativá-lo no servidor RADIUS.
No ISE, por padrão, a PAC expira em uma semana. Se o telefone tiver uma PAC expirada, a autenticação no servidor RADIUS levará mais tempo enquanto o telefone obtém uma nova PAC. Para evitar atrasos no provisionamento da PAC, defina o período de expiração para 90 dias ou mais no servidor ISE ou RADIUS.
-
Autenticação Extensible Protocol-Transport Layer Security (EAP-TLS) : O EAP-TLS requer um certificado de cliente para autenticação e acesso à rede. Para EAP-TLS sem fio, o certificado do cliente pode ser MIC, LSC ou certificado instalado pelo usuário.
-
Protocolo de autenticação extensível protegido (PEAP): Esquema de autenticação mútua baseada em senha proprietária da Cisco entre o cliente (telefone) e um servidor RADIUS. O telefone pode usar PEAP para autenticação com a rede sem fio. Os métodos de autenticação PEAP-MSCHAPV2 e PEAP-GTC são suportados.
-
Chave pré-compartilhada (PSK): O telefone é compatível com o formato ASCII. Você deve usar este formato ao configurar uma chave pré-compartilhada WPA/WPA2/SAE:
<UNK> ASCII <UNK> : uma sequência de caracteres ASCII com 8 a 63 caracteres de comprimento (0-9, A-Z minúsculo e maiúsculo e caracteres especiais)
Exemplo: GREG123567@9ZX&W
Os seguintes esquemas de autenticação usam o servidor RADIUS para gerenciar chaves de autenticação:
-
WPA/WPA2/WPA3: Usa informações do servidor RADIUS para gerar chaves exclusivas para autenticação. Como essas chaves são geradas no servidor RADIUS centralizado, o WPA2/WPA3 fornece mais segurança do que as chaves pré-compartilhadas WPA que são armazenadas no AP e no telefone.
-
Roaming seguro rápido: Usa as informações do servidor RADIUS e de um servidor de domínio sem fio (WDS) para gerenciar e autenticar as chaves. O WDS cria um cache de credenciais de segurança para dispositivos cliente habilitados para FT para nova autenticação rápida e segura. Os Telefones de mesa Cisco 9861 e 9871 e os Telefones de vídeo Cisco 8875 são compatíveis com 802.11r (FT). Tanto no ar quanto no DS são suportados para permitir roaming rápido e seguro. Mas recomendamos fortemente a utilização do método 802.11r (FT) sobre o ar.
Com o WPA/WPA2/WPA3, as chaves de criptografia não são inseridas no telefone, mas derivadas automaticamente entre o AP e o telefone. Mas o nome de usuário e a senha EAP que são usados para autenticação devem ser inseridos em cada telefone.
Para garantir que o tráfego de voz esteja seguro, o telefone é compatível com TKIP e AES para criptografia. Quando esses mecanismos são usados para criptografia, os pacotes SIP de sinalização e os pacotes RTP (Real-Time Transport Protocol) de voz são criptografados entre o AP e o telefone.
- TKIP
-
O WPA usa criptografia TKIP que tem várias melhorias em relação ao WEP. O TKIP fornece vetores de inicialização (IVs) mais longos e cifragem de chave por pacote que fortalecem a criptografia. Além disso, uma verificação de integridade das mensagens (MIC) garante que os pacotes criptografados não estejam sendo alterados. O TKIP remove a previsibilidade do WEP que ajuda os invasores a decifrar a chave WEP.
- AES
-
Um método de criptografia usado para autenticação WPA2/WPA3. Esse padrão nacional de criptografia usa um algoritmo simétrico que tem a mesma chave para criptografia e descriptografia. O AES usa criptografia CBC de 128 bits, que suporta tamanhos de chave de 128 bits, 192 bits e 256 bits, no mínimo. O telefone suporta um tamanho de chave de 256 bits.
Os Telefones de mesa Cisco 9861 e 9871 e os Telefones de vídeo Cisco 8875 não são compatíveis com o CKIP (Cisco Key Integrity Protocol) com CMIC.
Esquemas de autenticação e criptografia são configurados na LAN sem fio. As VLANs são configuradas na rede e nos APs e especificam diferentes combinações de autenticação e criptografia. Um SSID se associa a uma VLAN e ao esquema de autenticação e criptografia específico. Para que os dispositivos cliente sem fio sejam autenticados corretamente, você deve configurar os mesmos SSIDs com os esquemas de autenticação e criptografia deles nos APs e no telefone.
Alguns esquemas de autenticação exigem tipos específicos de criptografia.
- Quando você usa chave pré-compartilhada WPA, chave pré-compartilhada WPA2 ou SAE, a chave pré-compartilhada deve ser definida estaticamente no telefone. Essas teclas devem corresponder às teclas que estão no AP.
-
O telefone suporta a negociação automática de EAP para PEAP ou RÁPIDO, mas não para TLS. Para o modo EAP-TLS, você deve especificá-lo.
Os esquemas de autenticação e criptografia na tabela a seguir mostram as opções de configuração de rede do telefone que correspondem à configuração do AP.
| Tipo FSR | Autenticação | Gerenciamento de chaves | Criptografia | Quadro de gerenciamento protegido (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Não |
| 802.11r (FT) | WPAD |
SAE FT-SAE | AES | Sim |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
Configurar perfil de Wi-Fi
Você pode configurar um perfil de Wi-Fi na página da Web do telefone ou de ressincronização de perfil de dispositivo remoto e, em seguida, associar o perfil às redes Wi-Fi disponíveis. Você pode usar este perfil de Wi-Fi para se conectar a um Wi-Fi. Atualmente, apenas um perfil de Wi-Fi pode ser configurado.
O perfil contém os parâmetros necessários para os telefones se conectarem ao servidor de telefone com Wi-Fi. Ao criar e usar um perfil de Wi-Fi, você ou seus usuários não precisam configurar a rede sem fio para telefones individuais.
Um perfil de Wi-Fi permite evitar ou limitar as alterações na configuração de Wi-Fi no telefone pelo usuário.
Recomendamos que você use um perfil seguro com protocolos habilitados para criptografia para proteger chaves e senhas ao usar um perfil de Wi-Fi.
Quando você configura os telefones para usar o método de autenticação EAP-FAST no modo de segurança, seus usuários precisam de credenciais individuais para se conectarem a um ponto de acesso.
| 1 |
Acesse a página da Web do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Perfil de Wi-Fi (n), defina os parâmetros conforme descrito na tabela a seguir Parâmetros para perfil de Wi-Fi . A configuração do perfil Wi-Fi também está disponível para o logon do usuário.
|
| 4 |
Clique em Enviar todas as alterações . |
Parâmetros do perfil Wi-Fi
A tabela a seguir define a função e o uso de cada parâmetro na seção Perfil de Wi-Fi (n) na guia Sistema na página da Web do telefone. Ele também define a sintaxe da string que é adicionada no arquivo de configuração do telefone (cfg.xml) para configurar um parâmetro.
| Parâmetros | Descrição |
|---|---|
| Nome da rede | Permite que você insira um nome para o SSID que será exibido no telefone. Vários perfis podem ter o mesmo nome de rede com modo de segurança diferente. Execute um dos seguintes procedimentos:
Padrão Vazio |
| Modo de segurança | Permite que você selecione o método de autenticação usado para proteger o acesso à rede Wi-Fi. Dependendo do método escolhido, um campo de senha é exibido para que você possa fornecer as credenciais que são necessárias para entrar nesta rede Wi-Fi. Execute um dos seguintes procedimentos:
Padrão Auto |
| ID de usuário Wi-Fi | Permite que você insira uma ID de usuário no perfil de rede. Esse campo está disponível quando você define o modo de segurança como Automático, EAP-FAST ou EAP-PEAP. Este é um campo obrigatório e permite comprimento máximo de 32 caracteres alfanuméricos. Execute um dos seguintes procedimentos:
Padrão Vazio |
| Senha Wi-Fi | Permite que você insira a senha da ID de usuário Wi-Fi especificada. Execute um dos seguintes procedimentos:
Padrão Vazio |
| Faixa De Frequência | Permite que você selecione a banda de frequência de sinal sem fio que é usada pela WLAN. Execute um dos seguintes procedimentos:
Padrão Auto |
| Selecionar certificado | Permite que você selecione um tipo de certificado para inscrição inicial do certificado e renovação do certificado na rede sem fio. Este processo está disponível apenas para autenticação 802.1X. Execute um dos seguintes procedimentos:
Padrão Fabricação instalada |
