- Página inicial
- /
- Artigo
Obrigado pelos seus comentários.
Cisco IP Phone segurança em 9800/8875 (Multiplataforma)
Neste artigo
Comentários?Este artigo de ajuda é para o telefone de mesa Cisco série 9800 e o telefone de vídeo Cisco 8875 registrados no Cisco BroadWorks ou Webex Calling.
Configurar opções DHCP
Você pode definir a ordem na qual o seu telefone usa as opções de DHCP. Para obter ajuda com as opções DHCP, consulte Suporte à opção DHCP.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
No Perfil de configuração seção, defina o Opção DHCP a ser usada e Opção DHCPv6 a ser usada parâmetros conforme descrito abaixo:
|
| 4 |
Clique em Enviar todas as alterações. |
Suporte à opção DHCP
A tabela a seguir lista as opções DHCP que são suportadas nos telefones PhoneOS.
| Padrão de rede | Descrição |
|---|---|
| Opção DHCP 1 | Máscara de sub-rede |
| Opção DHCP 2 | Diferença de horário |
| Opção DHCP 3 | Roteador |
| Opção DHCP 6 | Domain Name Server |
| Opção DHCP 15 | Nome de domínio |
| Opção DHCP 17 | Informações de identificação específicas de um fornecedor |
| Opção DHCP 41 | Tempo de concessão do endereço IP |
| Opção DHCP 42 | Servidor NTP |
| Opção DHCP 43 | Informações específicas de um fornecedor Pode ser usado para fornecer a configuração SCEP. |
| Opção DHCP 56 | Servidor NTP Configuração do servidor NTP com IPv6 |
| Opção DHCP 60 | Identificador de classe do fornecedor |
| Opção DHCP 66 | Nome do servidor TFTP |
| Opção DHCP 125 | Informações de identificação específicas de um fornecedor |
| Opção DHCP 150 | Servidor TFTP |
| Opção DHCP 159 | Provisionamento de IP do servidor |
| Opção DHCP 160 | URL de provisionamento |
Defina a versão mínima do TLS para cliente e servidor
Por padrão, a versão mínima do TLS para cliente e servidor é 1.2. Isso significa que o cliente e o servidor aceitam estabelecer conexões com TLS 1.2 ou superior. A versão máxima suportada do TLS para cliente e servidor é 1.3. Quando configurada, a versão mínima do TLS será usada para negociação entre o cliente TLS e o servidor TLS.
Você pode definir a versão mínima do TLS para cliente e servidor, respectivamente, como 1.1, 1.2 ou 1.3.
Antes de começar
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Configurações de segurança, configure o parâmetro TLS Versão mínima do cliente.
Você também pode configurar este parâmetro no arquivo de configuração (cfg.XML): <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Valores permitidos: TLS 1.1, TLS1.2 e TLS 1.3. Padrão: TLS 1.2 |
| 4 |
Na seção Configurações de segurança, configure o parâmetro TLS Versão mínima do servidor. Webex Calling não suporta TLS 1.1.
Você também pode configurar este parâmetro no arquivo de configuração (cfg.XML): <Versão_Min_do_Servidor_TLS ua="na">TLS 1.2</Versão_Min_do_Servidor_TLS>
Valores permitidos: TLS 1.1, TLS1.2 e TLS 1.3. Padrão: TLS 1.2 |
| 5 |
Clique em Enviar todas as alterações. |
Ativar modo FIPS
Você pode tornar um telefone compatível com os Padrões Federais de Processamento de Informações (FIPS).
Os FIPS são um conjunto de padrões que descrevem o processamento de documentos, algoritmos de criptografia e outros padrões de tecnologia da informação para uso em governos não militares e por contratados e fornecedores governamentais que trabalham com as agências. O CiscoSSL FOM (FIPS Object Module) é um componente de software cuidadosamente definido e projetado para compatibilidade com a biblioteca CiscoSSL, de modo que produtos que usam a biblioteca CiscoSSL e API podem ser convertidos para usar criptografia validada pelo FIPS 140-2 com o mínimo de esforço.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
No Configurações de segurança seção, escolha Sim ou Não do Modo FIPS parâmetro. |
| 4 |
Clique em Enviar todas as alterações. Quando você ativa o FIPS, os seguintes recursos funcionam perfeitamente no telefone:
|
Defina as senhas do usuário e do administrador
Depois que o telefone for registrado em um sistema de controle de chamadas pela primeira vez ou você realizar uma redefinição de fábrica no telefone, será necessário definir as senhas de usuário e administrador para aumentar a segurança do telefone. Depois que as senhas forem definidas, você poderá acessar a interface web do telefone.
Por padrão, as senhas de usuário e administrador estão vazias. Portanto, você pode encontrar o problema "Nenhuma senha fornecida" no tela do telefone.
| 1 |
Acessar a página da Web de administração do telefone |
| 2 |
Selecione . |
| 3 |
(Opcional) No Configuração do sistema seção, defina o Exibir avisos de senha parâmetro para Sim, e então clique Enviar todas as alterações. Você também pode habilitar os parâmetros no arquivo de configuração do telefone (cfg.XML).
Padrão: Sim Opções: Sim|Não Se o parâmetro estiver definido como Não, o aviso de senha não aparecerá na tela do telefone. |
| 4 |
Localize o parâmetro Senha do usuário ou Senha do administrador e clique em Alterar senha ao lado do parâmetro. |
| 5 |
Digite a senha do usuário atual no campo Senha antiga . Se você não tiver uma senha, deixe o campo em branco. O valor padrão é vazio.
|
| 6 |
Digite uma nova senha no campo Nova senha . Regras de senha válidas:
Se a nova senha não atender aos requisitos, a configuração será negada. |
| 7 |
Clique em Enviar. A mensagem Depois de definir a senha do usuário, este parâmetro exibe o seguinte no arquivo de configuração do telefone XML (cfg.XML):
|
Autenticação 802.1X
Os Telefones IP Cisco são compatíveis com a Autenticação 802.1X.
Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de potência embutida. O CDP não identifica estações de trabalho conectadas localmente. Os Telefones IP Cisco fornecem um mecanismo de passagem EAPOL. Esse mecanismo permite que uma estação de trabalho conectada ao Telefone IP Cisco passe mensagens EAPOL ao autenticador 802.1X no switch da LAN. O mecanismo de passagem garante que o telefone IP não atue como o switch da LAN para autenticar um dispositivo de dados antes de acessar a rede.
Os Telefones IP Cisco também fornecem um mecanismo de encerramento do EAPOL por proxy. Se o PC conectado localmente for desconectado do telefone IP, o switch da LAN não verá a falha do link físico, porque o link entre o switch da LAN e o telefone IP será mantido. Para evitar o comprometimento da integridade da rede, o telefone IP envia uma mensagem de encerramento do EAPOL para o switch em nome do PC de downstream, que dispara o switch da LAN para limpar a entrada de autenticação do PC de downstream.
O suporte à autenticação 802.1X exige vários componentes:
-
Telefone IP Cisco: o telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite aos administradores de rede controlar a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.
-
Servidor de autenticação: o servidor de autenticação e o switch devem ser configurados com um segredo compartilhado que autentica o telefone.
-
Switch: o switch precisa suportar 802.1X para atuar como autenticador e passar as mensagens entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.
Você deve executar as ações a seguir para configurar a 802.1X.
-
Configure os outros componentes antes de ativar a Autenticação 802.1X no telefone.
-
Configure a porta do PC: o padrão 802.1X não considera VLANs e, assim, recomenda que apenas um único dispositivo seja autenticado para uma porta de switch específica. No entanto, alguns switches aceitam a autenticação de vários domínios. A configuração do switch determina se você pode conectar um PC à porta do PC do telefone.
-
Ativado: se estiver usando um switch que suporta a autenticação de vários domínios, você poderá ativar a porta do PC e conectar um PC a ela. Nesse caso, os Telefones IP Cisco aceitam o encerramento do EAPOL por proxy para monitorar a troca de autenticação entre o switch e o PC conectado.
Para obter mais informações sobre o suporte do IEEE 802.1X em switches do Cisco Catalyst, consulte os guias de configuração de switch do Cisco Catalyst em:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Desativado: se o switch não oferecer suporte a vários dispositivos compatíveis com 802.1X na mesma porta, você deverá desativar a porta do PC quando a autenticação 802.1X for ativada. Se você não desativar essa porta e em seguida tentar conectar um PC a ela, o switch negará o acesso à rede tanto para o telefone quanto para o PC.
-
- Configure a VLAN de voz: como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.
- Ativado: se você estiver usando um switch que suporta a autenticação de vários domínios, você poderá continuar usando a VLAN de voz.
- Desativado: se o switch não suportar a autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.
- (Somente para telefone de mesa Cisco série 9800)
O telefone de mesa Cisco Série 9800 tem um prefixo diferente no PID daquele dos outros telefones Cisco. Para permitir que seu telefone passe pela autenticação 802.1X, defina o parâmetro Radius·User-Name para incluir seu Cisco Desk Phone Série 9800.
Por exemplo, o PID do telefone 9841 é DP-9841; você pode definir Radius·User-Name como
Iniciar com DPouContém DP. Você pode defini-lo em ambas as seções a seguir: -
Habilitar autenticação 802.1X na página da web do telefone
Quando a autenticação 802.1X está ativada, o telefone usa a autenticação 802.1X para solicitar acesso à rede. Quando a autenticação 802.1X está desabilitada, o telefone usa Cisco Discovery Protocol (CDP) para adquirir VLAN e acesso à rede.
Você pode selecionar um certificado (MIC/SUDI ou CDC) usado para a autenticação 802.1X. Para obter mais informações sobre o CDC, consulte Certificado de dispositivo personalizado em 9800/8875.
Você pode visualizar o status da transação e as configurações de segurança no menu da tela do telefone. Para obter mais informações, consulte Menu de configurações de segurança no telefone.
| 1 |
Habilite a autenticação 802.1X. Selecione e defina o parâmetro Ativar autenticação 802.1X como Sim. Você também pode configurar este parâmetro no arquivo de configuração (cfg.XML):
Valores válidos: Sim|Não Padrão: No |
| 2 |
Selecione um dos seguintes certificados instalados usados para a autenticação 802.1X. Opções de valor:
A configuração varia de acordo com a rede:
|
| 3 |
Configure o parâmetro ID do usuário que será usado como identidade para a autenticação 802.1X na rede com fio. A configuração do parâmetro entra em vigor somente quando o CDC é usado para autenticação 802.1X com fio (Certificate Select está definido como Custom installed). Por padrão, este parâmetro está vazio. A identidade do 802.1X com fio varia de acordo com o certificado selecionado:
Se ID do usuário estiver vazio e o Nome Comum no CDC estiver configurado, o 802.1X com fio usará o Nome Comum do CDC como identidade. Você também pode configurar este parâmetro no arquivo de configuração (cfg.XML):
Valores válidos: máximo de 127 caracteres Padrão: vazio Este parâmetro também suporta variáveis de expansão de macro, veja Variáveis de expansão macro para mais detalhes. Se você quiser utilizar as opções DHCP para provisionar o ID do usuário, consulte Provisionamento de nome comum ou ID de usuário via opção DHCP 15. |
| 4 |
Clique em Enviar todas as alterações. |
Menu de configurações de segurança no telefone
Você pode visualizar as informações sobre as configurações de segurança no menu do telefone. O caminho de navegação é: . A disponibilidade das informações depende das configurações de rede de sua organização.
|
Parâmetros |
Opções |
Padrão |
Descrição |
|---|---|---|---|
|
Autenticação do dispositivo |
Ligada Desativado |
Desativado |
Ativa ou desativa a autenticação 802.1X no telefone. A configuração do parâmetro pode ser mantida após o registro de OOB (Out-Of-Box) do telefone. |
|
Status da transação | Desativado |
Exibe o estado de autenticação 802.1X. O estado pode ser (não limitado a):
| |
|
Protocolo | Nenhuma |
Exibe o método EAP usado para autenticação 802.1X. O protocolo pode ser EAP-FAST ou EAP-TLS. | |
|
Tipo de certificado do usuário |
Fabricação instalada Personalizado instalado |
Fabricação instalada |
Seleciona o certificado para a autenticação 802.1X durante a renovação inicial de registro e certificado.
Esse parâmetro aparece no telefone somente quando a autenticação do dispositivo está ativada. |
| Compatibilidade de volta com WPA |
Ligada Desativado | Desativado |
Determina se a versão mais antiga do Wi-Fi Acesso protegido (WPA) é compatível com o telefone para se conectar a uma rede sem fio ou ao ponto de acesso (AP).
Esse recurso está disponível somente nos telefones 9861/9871/8875. |
Configurar um servidor proxy
Você pode configurar o telefone para usar um servidor proxy para melhorar a segurança. Normalmente, um servidor proxy HTTP pode fornecer os seguintes serviços:
- Tráfego de roteamento entre redes internas e externas
- Filtragem, monitoramento ou registro de registro
- Respostas de armazenamento em armazenamento para melhorar o desempenho
Além disso, o servidor proxy HTTP pode atuar como um firewall entre o telefone e a Internet. Após uma configuração bem-sucedida, o telefone se conecta à Internet através do servidor proxy que protege o telefone de ataque cibernético.
Quando configurado, o recurso de proxy HTTP aplica-se a todos os aplicativos que utilizam o protocolo HTTP. Por exemplo:
- GDS (Código de ativação a bordo)
- Ativação do dispositivo EDOS
- A bordo de Webex Cloud (via EDOS ou GDS)
- CA personalizada
- Provisionamento
- Atualização do firmware
- Relatório Status do Telefone
- Carregamento do PRT
- Serviços XSI
- Serviços Webex
- Atualmente, o recurso suporta apenas IPv4.
- As configurações de proxy HTTP podem ser mantidas após o registro do OOB (Out-Of-Box) do telefone.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Configurações de proxy HTTP, selecione um modo proxy no modo proxy da lista suspensa e configure os parâmetros relacionados. Para obter mais informações sobre os parâmetros e parâmetros obrigatórios para cada modo proxy, consulte Parâmetros das configurações de proxy HTTP. |
| 4 |
Clique em Enviar todas as alterações. |
Parâmetros para configurações de proxy HTTP
A tabela a seguir define a função e o uso dos parâmetros de proxy HTTP na seção Configurações de proxy HTTP na seção Configurações Tab na interface da Web do telefone. Ela também define a sintaxe da string que é adicionada ao arquivo de configuração do telefone (cfg.xml) com o código XML para configurar um parâmetro.
| Parâmetro | Descrição |
|---|---|
| Modo proxy | Especifica o modo proxy HTTP que o telefone usa ou desativa o recurso proxy HTTP.
Execute um dos seguintes procedimentos:
Valores permitidos: Automático, Manual e Desativado Padrão: desativada. |
| Descoberta automática de proxy da Web | Determina se o telefone usa o protocolo Web Proxy Auto Discovery (WPAD) para recuperar um arquivo PAC. O protocolo WPAD usa DHCP ou DNS, ou ambos os protocolos de rede para localizar um arquivo Proxy Auto Configuration (PAC) automaticamente. O arquivo PAC é usado para selecionar um servidor proxy para uma determinada URL. Esse arquivo pode ser hospedado localmente ou em uma rede.
Execute um dos seguintes procedimentos:
Valores permitidos: Sim e Não Padrão: Sim |
| PAC URL | A URL de um arquivo PAC. Por exemplo, São suportados TFTP, HTTP e HTTPS. Se você definiu o Modo proxy como Detecção automática de proxy da Web como Não, deverá configurar esse parâmetro. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Proxy Host | IP endereço ou nome de host do servidor de host proxy para o telefone acessar. Por exemplo:
O esquema ( Se você definir o Modo proxy como manual, deverá configurar esse parâmetro. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Porta do proxy | O número da porta do servidor de host proxy. Se você definir o Modo proxy como manual, deverá configurar esse parâmetro. Execute um dos seguintes procedimentos:
Padrão: 3128 |
| Autenticação de proxy | Determina se o usuário precisa fornecer as credenciais de autenticação (nome de usuário e senha) que o servidor proxy exige. Este parâmetro é configurado de acordo com o comportamento real do servidor proxy. Se você definir o parâmetro como Sim, deverá configurar o Nome de usuário e a Senha. Para obter detalhes sobre os parâmetros, consulte os parâmetros "Nome de usuário" e "Senha" nessa tabela. A configuração do parâmetro entra em vigor quando o Modo proxy estiver definido como Manual . Execute um dos seguintes procedimentos:
Valores permitidos: Sim e Não Padrão: No |
| Nome de usuário | Nome de usuário de uma credencial de usuário no servidor proxy. Se o Modo Proxy estiver definido como Manual e a Autenticação Proxy estiver definida como Sim, você deverá configurar o parâmetro. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Senha | Senha do nome de usuário especificado para fins de autenticação de proxy. Se o Modo Proxy estiver definido como Manual e a Autenticação Proxy estiver definida como Sim, você deverá configurar o parâmetro. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Modo Proxy | Parâmetros obrigatórios | Descrição |
|---|---|---|
| Desativado | ND | O proxy HTTP está desabilitado no telefone. |
| Manual | Host Proxy Porta Proxy Autenticação de proxy: Sim Nome de usuário Senha | Especifique manualmente um servidor proxy (um nome de host ou endereço IP) e uma porta proxy. Se o servidor proxy exigir autenticação, você deverá inserir o nome de usuário e a senha. |
| Host Proxy Porta Proxy Autenticação de proxy: Não | Especifique manualmente um servidor proxy. O servidor proxy não requer credenciais de autenticação. | |
| Auto | Descoberta automática de proxy da Web: Não URL do PAC | Insira um URL PAC válido para recuperar o arquivo PAC. |
| Descoberta automática de proxy da Web: Sim |
Usa o protocolo WPAD para recuperar automaticamente um arquivo PAC. |
Habilitar o modo iniciado pelo cliente para negociações de segurança do plano de mídia
Para proteger as sessões de mídia, você pode configurar o telefone para iniciar as negociações de segurança do plano de mídia com o servidor. O mecanismo de segurança segue os padrões estabelecidos no RFC 3329 e seu projeto de extensão Nomes de Mecanismos de Segurança para Mídia (consulte https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). O transporte de negociações entre o telefone e o servidor pode usar o protocolo SIP sobre UDP, TCP e TLS. Você pode limitar que a negociação de segurança do plano de mídia é aplicada apenas quando o protocolo de transporte de sinalização é TLS.
| Parâmetro | Descrição |
|---|---|
|
Solicitação de MediaSec |
Especifica se o telefone inicia as negociações de segurança do plano de mídia com o servidor. Execute um dos seguintes procedimentos:
Valores permitidos: Sim|Não
Padrão: No |
|
MediaSec apenas sobre TLS |
Especifica o protocolo de transporte de sinalização através do qual a negociação de segurança do plano de mídia é aplicada. Antes de definir este campo como Sim, assegure-se de que o protocolo de transporte de sinalização seja TLS. Execute um dos seguintes procedimentos:
Valores permitidos: Sim|Não
Padrão: No |
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Configurações do SIP , defina os campos Solicitação do MediaSec e Somente MediaSec sobre TLS , conforme definido na tabela acima. |
| 4 |
Clique em Enviar todas as alterações. |
WLAN segurança
Como todos os dispositivos de WLAN que estão no intervalo podem receber todo o tráfego da WLAN, proteger a comunicação por voz é algo essencial nessas redes. Para garantir que intrusos não manipulem nem interceptem o tráfego de voz, a arquitetura de segurança SAFE Cisco dá suporte ao telefone. Para obter mais informações sobre a segurança em redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
A solução de telefonia sem fio Cisco IP fornece segurança de rede sem fio que impede logins não autorizados e comunicações comprometidas usando os seguintes métodos de autenticação suportados pelo telefone:
-
Autenticação aberta: qualquer dispositivo sem fio pode solicitar autenticação em um sistema aberto. O AP que recebe a solicitação pode conceder autenticação para qualquer solicitante ou apenas para solicitantes encontrados em uma lista de usuários. A comunicação entre o dispositivo sem fio e o ponto de acesso (AP) pode não ser criptografada.
-
Protocolo de autenticação extensível - autenticação flexível via tunelamento seguro (EAP-FAST) Autenticação: esta arquitetura de segurança cliente-servidor criptografa transações EAP dentro de um túnel de segurança de nível de transporte (TLS) entre o AP e o servidor RADIUS, como o Identity Services Engine (ISE).
O túnel TLS usa credenciais de acesso protegido (PACs) para autenticação entre o cliente (telefone) e o servidor RADIUS. O servidor envia um ID de autoridade (AID) para o cliente (telefone), que por sua vez seleciona a PAC apropriada. O cliente (telefone) retorna uma PAC-Opaque para o servidor RADIUS. O servidor descriptografa a PAC com a chave primária. Agora s dois pontos de extremidade contêm a chave PAC, e um túnel TLS é criado. O EAP-FAST oferece suporte para provisionamento automático de PAC, mas você precisa ativá-lo no servidor RADIUS.
No ISE, por padrão, o PAC expira em uma semana. Se a PAC do telefone tiver expirado, a autenticação no servidor RADIUS será mais demorada enquanto o telefone obtém uma nova PAC. Para evitar atrasos no provisionamento do PAC, defina o período de expiração do PAC para 90 dias ou mais no servidor ISE ou RADIUS.
-
Protocolo de autenticação ampliável - autenticação de segurança da camada de transporte (EAP-TLS): o EAP-TLS exige um certificado de cliente para autenticação e acesso à rede. Para a rede sem fio EAP-TLS, o certificado do cliente pode ser MIC, LSC, ou um certificado instalado pelo usuário.
-
Protocolo de autenticação extensível protegido (PEAP): esquema de autenticação mútua baseada em senha e proprietário da Cisco entre o cliente (telefone) e um servidor RADIUS. O telefone pode usar PEAP para autenticação com a rede sem fio. Os métodos de autenticação PEAP MSCHAPV2 e PEAP-GTC têm suporte.
-
Chave pré-compartilhada (PSK): O telefone suporta o formato ASCII. Você deve usar este formato ao configurar uma chave pré-compartilhada WPA/WPA2/SAE:
ASCII: uma cadeia de caracteres ASCII com 8 a 63 caracteres (0-9, letras minúsculas e a-Z e caracteres especiais)
Exemplo: GREG123567@9ZX&W
Os seguintes esquemas de autenticação usam o servidor RADIUS para gerenciar chaves de autenticação:
-
WPA/WPA2/WPA3: Usa informações do servidor RADIUS para gerar chaves exclusivas para autenticação. Como essas chaves são geradas no servidor RADIUS centralizado, o WPA2/WPA3 oferece que mais segurança do que as chaves pré-compartilhadas WPA que são armazenadas no AP e no telefone.
-
Roaming rápido e seguro: usa informações do servidor RADIUS e de um servidor de domínio sem fio (WDS) para gerenciar e autenticar as chaves. O WDS cria um cache de credenciais de segurança para dispositivos clientes habilitados para FT para uma reautenticação rápida e segura. Os telefones de mesa Cisco 9861 e 9871 e o videofone Cisco 8875 são compatíveis com 802.11r (FT). Tanto o sinal via rádio quanto o sinal via DS são suportados para permitir roaming rápido e seguro. Mas recomendamos muito o uso do método pelo ar 802.11r (FT).
Com WPA/WPA2/WPA3, as chaves de criptografia não são inseridas no telefone, mas são derivadas automaticamente entre o AP e o telefone. Porém, o nome do usuário EAP e a senha que são usados para autenticação devem ser inseridos em cada telefone.
Para garantir que o tráfego de voz seja seguro, o telefone suporta TKIP e AES para criptografia. Quando esses mecanismos são usados para criptografia, tanto os pacotes de sinalização SIP quanto os pacotes de voz do Protocolo de Transporte em Tempo Real (RTP) são criptografados entre o AP e o telefone.
- TKIP
-
WPA usa criptografia TKIP que tem várias melhorias em relação a WEP. TKIP fornece vetores de inicialização (IVs) mais longos e criptografia de chave por pacote que reforçam a criptografia. Além disso, uma verificação de integridade das mensagens (MIC) garante que os pacotes criptografados não estejam sendo alterados. O TKIP remove a capacidade de previsão do WEP que ajuda os invasores a decifrar a chave WEP.
- AES
-
Um método de criptografia usado para autenticação WPA2/WPA3. Esse padrão nacional de criptografia usa um algoritmo simétrico que tem a mesma chave para criptografia e descriptografia. O AES usa criptografia CBC de 128 bits, que suporta tamanhos de chave de pelo menos 128, 192 e 256 bits. O telefone suporta um tamanho de chave de 256 bits.
Cisco Os telefones de mesa 9861 e 9871 e Cisco Os telefones de vídeo 8875 não são compatíveis com Cisco Protocolo de integridade de chave (CKIP) com CMIC.
Esquemas de autenticação e criptografia são configuradas na LAN sem fio. As VLANs configuradas na rede e nos APs e especificam diferentes combinações de autenticação e criptografia. Um SSID é associado a uma VLAN e ao esquema de autenticação e criptografia específico. Para que os dispositivos clientes sem fio sejam autenticados com sucesso, você deve configurar os mesmos SSIDs com seus esquemas de autenticação e criptografia nos APs e no telefone.
Alguns esquemas de autenticação exigem tipos específicos de criptografia.
- Ao usar a chave pré-compartilhada WPA, a chave pré-compartilhada WPA2 ou SAE, a chave pré-compartilhada deve ser definida estaticamente no telefone. Essas chaves devem coincidir com as chaves que estão no AP.
-
O telefone suporta negociação automática EAP para FAST ou PEAP, mas não para TLS. Para o modo EAP-TLS, você deve especificá-lo.
Os esquemas de autenticação e criptografia na tabela a seguir mostram as opções de configuração de rede para o telefone que correspondem à configuração do AP.
| Tipo de FSR | Autenticação | Gerenciamento de tecla | Criptografia | Quadro de Gerenciamento Protegido (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Não |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Sim |
| 802.11r (FT) | EAP-TLS |
WPA EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| 802.11r (FT) | EAP-FAST |
WPA EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| 802.11r (FT) | EAP-PEAP |
WPA EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
Configurar perfil Wi-Fi
Você pode configurar um perfil Wi-Fi na página da web do telefone ou na ressincronização do perfil do dispositivo remoto e, em seguida, associar o perfil às redes Wi-Fi disponíveis. Você pode usar este perfil Wi-Fi para se conectar a um Wi-Fi. Atualmente, apenas um perfil Wi-Fi pode ser configurado.
O perfil contém os parâmetros necessários para que os telefones se conectem ao servidor de telefone com Wi-Fi. Ao criar e usar um perfil Wi-Fi, você ou seus usuários não precisam configurar a rede sem fio para telefones individuais.
Um perfil de Wi-Fi permite impedir ou limitar as alterações na configuração de Wi-Fi no telefone pelo usuário.
Recomendamos que você use um perfil seguro com protocolos de criptografia habilitados para proteger chaves e senhas ao usar um perfil Wi-Fi.
Ao configurar os telefones para usar o método de autenticação EAP-FAST no modo de segurança, seus usuários precisam de credenciais individuais para se conectar a um ponto de acesso.
| 1 |
Acesse a página da Web do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Perfil Wi-Fi (n), defina os parâmetros conforme descrito na tabela a seguir Parâmetros para o perfil Wi-Fi. A configuração do perfil Wi-Fi também está disponível para o login do usuário.
|
| 4 |
Clique em Enviar todas as alterações. |
Parâmetros para o perfil Wi-Fi
A tabela a seguir define a função e o uso de cada parâmetro no Perfil Wi-Fi seção sob o Sistema Tab na página da web do telefone. Ele também define a sintaxe da string que é adicionada no arquivo de configuração do telefone (cfg.XML) para configurar um parâmetro.
| Parâmetro | Descrição |
|---|---|
| Nome da rede | Permite que você insira um nome para o SSID que será exibido no telefone. Vários perfis podem ter o mesmo nome de rede com diferentes modos de segurança. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Modo de segurança | Permite selecionar o método de autenticação usado para proteger o acesso à rede Wi-Fi. Dependendo do método escolhido, um campo de senha será exibido para que você possa fornecer as credenciais necessárias para ingressar nesta rede Wi-Fi. Execute um dos seguintes procedimentos:
Padrão: Auto |
| Wi-Fi ID do usuário | Permite que você insira um ID de usuário para o perfil de rede. Este campo fica disponível quando você define o modo de segurança como Automático, EAP-FAST ou EAP-PEAP. Este é um campo obrigatório e permite comprimento máximo de 32 caracteres alfanuméricos. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Wi-Fi Senha | Permite que você insira a senha para o ID de usuário Wi-Fi especificado. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Banda de frequência | Permite que você selecione a banda de frequência do sinal sem fio que o WLAN usa. Execute um dos seguintes procedimentos:
Padrão: Auto |
| Seleção de Certificado | Permite que você selecione um tipo de certificado para registro inicial e renovação de certificado na rede sem fio. Este processo está disponível apenas para autenticação 802.1X. Execute um dos seguintes procedimentos:
Padrão: Fabricação instalada |
Verifique o status de segurança do dispositivo no telefone
Seu telefone verifica o status de segurança do dispositivo automaticamente. Se detectar potenciais ameaças de segurança no telefone, o menu Problemas e diagnósticos pode mostrar os detalhes dos problemas. Com base nos problemas relatados, seu administrador pode tomar medidas para proteger e fortalecer seu telefone.
O status de segurança do dispositivo fica disponível antes que o telefone seja registrado no sistema de controle de chamadas (Webex Calling ou BroadWorks).
Para visualizar detalhes de problemas de segurança na tela do telefone, faça o seguinte:
| 1 |
Pressione Configurações |
| 2 |
Selecione . Atualmente, o relatório de segurança do dispositivo contém os seguintes problemas:
|
| 3 |
Entre em contato com seu administrador para obter suporte para resolver os problemas de segurança. |
