- Página inicial
- /
- Artigo
Este artigo da Ajuda é para o Cisco Wireless Phone 9821 registrado em Cisco Unified Communications Manager (Unified CM).
Você pode permitir que Cisco Unified Communications Manager (Unified CM) opere em um ambiente de segurança aprimorado. Com esses aprimoramentos, sua rede de telefonia opera sob um conjunto de controles rígidos de gerenciamento de segurança e riscos para proteger você e seus usuários.
O ambiente de segurança optimizada inclui os seguintes recursos:
-
Autenticação da pesquisa de contato
-
TCP como o protocolo padrão para registro de auditoria remota
-
Uma política de credenciais aprimorada
-
Apoio à família SHA-2 de hashes para assinaturas digitais
-
Suporte para um tamanho de chave RSA até 4096 bits
Com o Cisco Unified CM Versão 14.0 ou posterior, os telefones oferecem suporte à autenticação SIP OAuth.
OAuth é compatível com o Proxy Trivial File Transfer Protocol (TFTP) com Cisco Unified CM Release 14.0 (1) SU1 ou posterior.
Para obter mais informações sobre segurança, consulte os seguintes guias:
-
Guia de configuração do sistema para Cisco Unified Communications Manager, Versão 15 e SUs
-
Guia de segurança para Cisco Unified Communications Manager, Versão 15 e SUs
Seu telefone só pode armazenar um número limitado de arquivos da Lista de confiança de identidade (ITL). Os arquivos ITL não podem exceder 64 K no telefone, assim limitam o número de arquivos que o Cisco Unified CM envia para o telefone.
Recursos de segurança suportados
Os recursos de segurança protegem contra ameaças, incluindo ameaças à identidade do telefone e aos dados. Os recursos estabelecem e mantêm fluxos de comunicação autenticados entre o telefone e o servidor Cisco Unified Communications Manager, além de garantir que o telefone use apenas arquivos assinados digitalmente.
O Cisco Unified Communications Manager versão 8.5(1) e posterior inclui a opção Segurança por padrão, que fornece os seguintes recursos de segurança para Telefones IP Cisco sem executar o cliente CTL:
-
Assinatura dos arquivos de configuração do telefone
-
Criptografia dos arquivos de configuração do telefone
-
HTTPS com Tomcat e outros serviços Web
Os recursos de mídia e sinalização segura ainda exigem que você execute o cliente CTL e use eTokens físicos.
Implementar a segurança no sistema Cisco Unified Communications Manager impede o roubo de identidade do telefone e do servidor Cisco Unified Communications Manager, impede a violação de dados e impede a adulteração da sinalização de chamadas do fluxo de mídia.
Para minimizar essas ameaças, a rede de telefonia IP da Cisco estabelece e mantém fluxos de comunicação seguros (criptografados) entre um telefone e o servidor, assina digitalmente os arquivos antes de serem transferidos para um telefone e criptografa fluxos de mídia e a sinalização de chamadas entre Telefones IP Cisco.
Um LSC (Locally Significant Certificate) é instalado nos telefones depois que você executa as tarefas necessárias associadas à função de proxy de autoridade de certificação (CAPF). Você pode usar Cisco Unified Communications Manager Administration para configurar um LSC, conforme descrito no Cisco Unified Communications Manager Security Guide. Como alternativa, você pode iniciar a instalação de um LSC no menu Segurança do telefone. Este menu também permite atualizar ou remover um LSC.
Os telefones usam o perfil de segurança do telefone, que define se o dispositivo está seguro ou não. Para obter informações sobre como aplicar o perfil de segurança ao telefone, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.
Se você definir configurações de segurança na Administração do Cisco Unified Communications Manager, o arquivo de configuração do telefone conterá informações confidenciais. Para garantir a privacidade de um arquivo de configuração, você deve configurá-lo para criptografia. Para obter informações detalhadas, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.
A tabela a seguir fornece uma visão geral dos recursos de segurança suportados pelos telefones. Para obter mais informações, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.
|
Recurso |
Descrição |
|---|---|
|
Autenticação de imagem |
Arquivos binários assinados impedem a adulteração da imagem do firmware antes que ela seja carregada em um telefone. A falsificação com a imagem causa falha no processo de autenticação do telefone e rejeita a nova imagem. |
|
Instalação de certificado no site do cliente |
Cada Telefone IP Cisco exige um certificado exclusivo para autenticação de dispositivo. Os telefones incluem um Certificado instalado pelo fabricante (MIC), mas, para ter mais segurança, você pode especificar a instalação do certificado na Administração do Cisco Unified Communications Manager usando a CAPF (Função de proxy de autoridade de certificação). Como alternativa, você pode instalar um Locally Significant Certificate (LSC) no menu Segurança no telefone. |
|
Autenticação do dispositivo |
Ocorre entre o servidor Cisco Unified Communications Manager e o telefone quando cada entidade aceita o certificado da outra entidade. Determina se uma conexão segura entre o telefone e um Cisco Unified Communications Manager deve ocorrer; e, se necessário, cria um caminho de sinalização seguro entre as entidades usando o protocolo TLS. O Cisco Unified Communications Manager não registra os telefones a menos que possa autenticá-los. |
|
Autenticação de arquivo |
Valida arquivos assinados digitalmente baixados pelo telefone. O telefone valida a assinatura para garantir que não tenha havido adulteração do arquivo após sua criação. Os arquivos que falham na autenticação não são gravados na memória Flash do telefone. O telefone rejeita tais arquivos sem outro processamento. |
|
Criptografia de arquivos |
A criptografia impede que informações confidenciais sejam reveladas enquanto o arquivo estiver em trânsito para o telefone. Além disso, o telefone valida a assinatura para garantir que não tenha havido adulteração do arquivo após sua criação. Os arquivos que falham na autenticação não são gravados na memória Flash do telefone. O telefone rejeita tais arquivos sem outro processamento. |
|
Autenticação de sinalização |
Usa o protocolo TLS para confirmar que não tenha havido adulteração dos pacotes de sinalização durante a transmissão. |
|
Certificado instalado pelo fabricante |
Cada Telefone IP Cisco contém um MIC (certificado instalado pelo fabricante), que é usado para autenticação do dispositivo. O MIC fornece uma prova de identidade exclusiva e permanente para o telefone e permite que o Cisco Unified Communications Manager autentique o telefone. |
|
Criptografia de mídia |
Usa o SRTP para garantir que os fluxos de mídia entre dispositivos suportados comprovem segurança e que apenas o dispositivo programado receba e leia os dados. Inclui criação de um par de chaves primárias de mídia para os dispositivos, fornecendo as chaves aos dispositivos e protegendo a entrega das chaves enquanto são transportadas. |
|
CAPF (Função de proxy de autoridade de certificação) |
Implementa partes do procedimento de geração do certificado que consome muito processamento do telefone e interage com o telefone para geração de chave e instalação do certificado. A CAPF pode ser configurada para solicitar certificados das autoridades de certificação especificadas pelo cliente em nome do telefone ou pode ser configurada para gerar certificados localmente. São suportados os tipos EC (Curva Elíptica) e RSA. Para usar a chave EC, assegure-se de que o parâmetro "Suporte de algoritmos de criptografia avançada de ponto final" (do Enterprise) esteja ativado. Para obter mais informações sobre CAPF e configurações relacionadas, consulte os seguintes documentos: |
|
Perfil de segurança |
Define se o telefone não é seguro e se está autenticado, criptografado ou protegido. Outras entradas nesta tabela descrevem os recursos de segurança. |
|
Arquivos de configuração criptografados |
Permite que você assegure a privacidade dos arquivos de configuração do telefone. |
|
Desativação do servidor Web opcional para um telefone |
Para fins de segurança, você pode impedir o acesso às páginas da Web para um telefone (que exibem várias estatísticas operacionais para o telefone) e ao Portal de Ajuda. |
|
Proteção do telefone |
Opções de segurança adicionais, que você controla na Administração do Cisco Unified Communications Manager:
|
|
Failover de SIP seguro para SRST |
Depois de configurar uma referência SRST (Survivable Remote Site Telephony) para segurança e redefinir os dispositivos dependentes na Administração do Cisco Unified Communications Manager, o servidor TFTP adiciona o certificado SRST ao arquivo cnf.xml do telefone e envia o arquivo ao telefone. Um telefone seguro usa uma conexão TLS para interagir com o roteador habilitado para SRST. |
|
Criptografia de sinalização |
Garante que todas as mensagens de sinalização SIP que são enviadas entre o dispositivo e o servidor Cisco Unified Communications Manager sejam criptografadas. |
|
Alarme de atualização da lista de confiança |
Quando a lista de confiança é atualizada no telefone, o Cisco Unified Communications Manager recebe um alarme para indicar o sucesso ou a falha da atualização. Consulte a tabela a seguir para obter mais informações. |
|
Criptografia AES 256 |
Quando conectados ao Cisco Unified Communications Manager versão 10.5(2) e posteriores, os telefones aceitam a criptografia AES 256 para TLS e SIP para sinalização e criptografia de mídia. Isso permite que os telefones iniciem e permitam conexões TLS 1.2 usando cifras baseadas em AES-256 em conformidade com os padrões SHA-2 (Secure Hash Algorithm) e compatíveis com o padrão FIPS (Federal Information Processing Standards). As codificações incluem:
Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager. |
|
Certificados Elliptic Curve Digital Signature Algorithm (ECDSA) |
Como parte da certificação critérios comuns (CC), o Cisco Unified Communications Manager adicionou certificados ECDSA na versão 11.0. Isso afeta todos os produtos de sistema operacional de voz (VOS) executando versões CUCM 11.5 e posteriores. |
|
Certificado Tomcat de vários servidores (SAN) com Cisco UCM | O telefone é compatível com Cisco UCM com certificados Tomcat de vários servidores (SAN) configurados. O endereço correto do servidor TFTP pode ser encontrado no arquivo ITL do telefone para registro do telefone. Para obter mais informações sobre o recurso, consulte o seguinte: |
A tabela a seguir contém as mensagens de alarme de atualização da lista de confiança e seus significados. Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager.
| Código e mensagem | Descrição |
|---|---|
|
1 - TL_SUCCESS |
Nova CTL e/ou ITL recebida |
|
2 - CTL_INITIAL_SUCCESS |
Nova CTL recebida, nenhuma TL existente |
|
3 - ITL_INITIAL_SUCCESS |
Nova ITL recebida, nenhuma TL existente |
|
4 - TL_INITIAL_SUCCESS |
Nova CTL e ITL recebidas, nenhuma TL existente |
|
5 - TL_FAILED_OLD_CTL |
Falha na atualização da nova CTL, mas há uma TL anterior |
|
6 - TL_FAILED_NO_TL |
Falha na atualização da nova TL e nenhuma TL anterior |
|
7 - TL_FAILED |
Falha genérica |
|
8 - TL_FAILED_OLD_ITL |
Falha na atualização da nova ITL, mas há uma TL anterior |
|
9 - TL_FAILED_OLD_TL |
Falha na atualização da nova TL, mas há uma TL anterior |
Segurança da chamada telefônica
Quando a segurança é implementada para um telefone, você pode identificar chamadas telefônicas seguras por ícones na tela do telefone. Também será possível determinar se o telefone conectado está seguro e protegido se um tom de segurança for tocado no início da chamada.
Em uma chamada segura, todos os fluxos de mídia e sinalização de chamada são criptografados. Uma chamada segura oferece um alto nível de segurança, fornecendo integridade e privacidade à chamada. Quando uma chamada em andamento é criptografada, você pode ver o ícone seguro
Na linha.
-
Se a chamada for roteada por meio de segmentos de chamada não IP, por exemplo, o PSTN, ela poderá não ser segura, mesmo que esteja criptografada na rede IP e tenha um ícone de cadeado associado a ela.
-
A chamada segura é permitida em conexões apenas entre dois telefones. Alguns recursos, como chamada de conferência e linhas compartilhadas, não são disponibilizados quando a chamada segura é configurada.
Em Cisco Unified Communications Manager, os telefones configurados como seguros (criptografados e confiáveis) podem receber um status de proteção. Depois de protegidos, esses dispositivos podem ser configurados para reproduzir um sinal de segurança no início de cada chamada.
-
Dispositivo protegido:
Para alterar o status de um telefone seguro para protegido:
- Em Cisco Unified Communications Manager Administration, selecione .
- Localize o telefone que você irá configurar.
- Na janela Configuração do telefone, marque a caixa de seleção Dispositivo protegido.
- Clique em Save (Salvar).
-
Reproduzir sinal de indicação de segurança:
Para ativar o telefone protegido para reproduzir um sinal de indicação seguro ou não seguro:
- Em Cisco Unified Communications Manager Administration, selecione .
- Selecione o servidor e depois o serviçoCisco CallManager .
- Na área Parâmetros em todo o cluster (Recurso - Tom seguro), defina o tom de reprodução como Indicação de configuração de status de chamada segura/não segura como Verdadeiro.
- Clique em Save (Salvar).
Identificação de chamada de conferência segura
Você pode iniciar uma chamada de conferência segura e monitorar o nível de segurança dos participantes. Uma chamada de conferência segura é estabelecida por este processo:
-
Um usuário inicia a conferência de um telefone seguro.
-
O Cisco Unified Communications Manager atribui um recurso de conferência seguro à chamada.
-
Conforme os participantes são adicionados, o Cisco Unified Communications Manager verifica o modo de segurança de cada telefone e mantém o nível seguro para a conferência.
-
O telefone exibe o nível de segurança da chamada de conferência. Uma conferência segura exibe o ícone de segurança
.
A chamada segura é permitida entre dois telefones. Em telefones protegidos, alguns recursos, como a chamada de conferência, as linhas compartilhadas e o Extension Mobility, não estão disponíveis quando a chamada segura é configurada.
A tabela a seguir fornece informações sobre alterações nos níveis de segurança da conferência, de acordo com o nível de segurança do telefone do iniciador, os níveis de segurança dos participantes e a disponibilidade dos recursos de conferência seguros.
|
Nível de segurança do telefone do iniciador |
Recurso usado |
Nível de segurança dos participantes |
Resultados da ação |
|---|---|---|---|
|
Não seguro |
Conferência |
Seguro |
Recurso de conferência não seguro Conferência não segura |
|
Seguro |
Conferência |
Pelo menos um membro não seguro. |
Recurso de conferência seguro Conferência não segura |
|
Seguro |
Conferência |
Seguro |
Recurso de conferência seguro Conferência de nível criptografado seguro |
|
Não seguro |
Meet Me |
Nível mínimo de segurança é criptografado. |
O iniciador recebe sinal de reorganização. |
|
Seguro |
Meet Me |
Nível mínimo de segurança é não seguro. |
Recurso de conferência seguro A conferência aceita todas as chamadas. |
Identificação de chamada telefônica segura
Uma chamada segura é estabelecida quando seu telefone, assim como o telefone na outra ponta, é configurado para chamada segura. O outro telefone pode estar na mesma rede IP Cisco ou em uma rede fora da rede IP. As chamadas seguras podem ser feitas apenas entre dois telefones. As chamadas de conferência devem dar suporte à chamada segura após a configuração do recurso de conferência protegida.
Uma chamada segura é estabelecida usando este processo:
-
Um usuário inicia a chamada de um telefone seguro (modo de segurança protegido).
-
O telefone exibe o ícone de segurança
Na tela do telefone. Esse ícone indica que o telefone está configurado para chamadas seguras, mas isso não significa que o outro telefone conectado também está protegido. -
O usuário ouve um tom de segurança se a chamada se conectar a outro telefone protegido, indicando que ambas as extremidades da conversa estão criptografadas e protegidas. Se a chamada se conectar a um telefone não seguro, o usuário não ouvirá o tom de segurança.
A chamada segura é permitida entre dois telefones. Em telefones protegidos, alguns recursos, como a chamada de conferência, as linhas compartilhadas e o Extension Mobility, não estão disponíveis quando a chamada segura é configurada.
Somente os telefones protegidos tocam esses tons indicativos de telefones seguros ou não seguros. Os telefones não protegidos nunca tocam tons. Se o status geral da chamada mudar durante a chamada, o tom indicativo também mudará e o telefone protegido tocará o tom apropriado.
Quando a opção Reproduzir sinal para indicar o status de chamada segura/não segura está configurada como Verdadeiro:
-
Quando uma mídia segura de ponta a ponta for estabelecida e o status da chamada for seguro, o telefone tocará o tom indicativo seguro (três bipes longos com pausas).
-
Quando uma mídia não segura de ponta a ponta for estabelecida e o status da chamada for não seguro, o telefone tocará o tom indicativo não seguro (seis bipes curtos com pausas rápidas).
Se a opção Reproduzir sinal para indicar status de chamada segura/não segura estiver configurada como Falso, nenhum sinal será reproduzido.
Fornecer criptografia para intercalação
O Cisco Unified Communications Manager verifica o status de segurança do telefone quando são estabelecidas conferências e muda a indicação de segurança da conferência ou bloqueia a conclusão da chamada para manter a segurança e a integridade do sistema.
Um usuário não pode entrar em uma chamada criptografada se o telefone usado para isso não está configurado para criptografia. Quando a intercalação falha nesse caso, é reproduzido um tom de reordenação (sinal de ocupado) no telefone em que a intercalação foi iniciada.
Se o telefone do iniciador estiver configurado para criptografia, o iniciador da intercalação poderá entrar em uma chamada não segura do telefone criptografado. Depois que acontece a intercalação, o Cisco Unified Communications Manager classifica a chamada como não segura.
Se o telefone do iniciador estiver configurado para criptografia, o iniciador da intercalação poderá entrar em uma chamada criptografada e o telefone indicará que a chamada está criptografada.
Segurança de LAN sem fio
Como todos os dispositivos de WLAN que estão no intervalo podem receber todo o tráfego da WLAN, proteger a comunicação por voz é algo essencial nessas redes. Para garantir que os intrusos não manipulem nem interceptam o tráfego de voz, a arquitetura Cisco SEGURANÇA SEGURA suporta o telefone. Para obter mais informações sobre segurança nas redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
A solução de telefonia Cisco sem fio IP fornece segurança de rede sem fio que impede entradas não autorizadas e comunicações comprometidas usando os métodos de autenticação a seguir que o telefone suporta.
-
Autenticação aberta: qualquer dispositivo sem fio pode solicitar autenticação em um sistema aberto. O AP que recebe a solicitação pode conceder autenticação para qualquer solicitante ou apenas para solicitantes encontrados em uma lista de usuários. A comunicação entre o dispositivo sem fio e o Ponto de Acesso (AP) não pôde ser criptografada.
-
Protocolo de Autenticação Extensível – Autenticação Flexível via Túnel Seguro (EAP-FAST) Autenticação: Esta arquitetura de segurança cliente-servidor criptografa EAP transações dentro de um túnel de Segurança de Nível de Transporte (TLS) entre o AP e o servidor RADIUS, como o Identity Services Engine (ISE).
O túnel TLS usa credenciais de acesso protegido (PACs) para autenticação entre o cliente (telefone) e o servidor RADIUS. O servidor envia um ID de autoridade (AID) para o cliente (telefone), que por sua vez seleciona a PAC apropriada. O cliente (telefone) retorna uma PAC-Opaque para o servidor RADIUS. O servidor descriptografa a PAC com a chave primária. Agora s dois pontos de extremidade contêm a chave PAC, e um túnel TLS é criado. O EAP-FAST oferece suporte para provisionamento automático de PAC, mas você precisa ativá-lo no servidor RADIUS.
No ISE, por padrão, o PAC expira em uma semana. Se a PAC do telefone tiver expirado, a autenticação no servidor RADIUS será mais demorada enquanto o telefone obtém uma nova PAC. Para evitar atrasos no provisionamento do PAC, defina o período de expiração do PAC como 90 dias ou mais no servidor ISE ou RADIUS.
-
Protocolo de autenticação ampliável - autenticação de segurança da camada de transporte (EAP-TLS): o EAP-TLS exige um certificado de cliente para autenticação e acesso à rede. Para EAP-TLS sem fio, o certificado do cliente pode ser o MIC, LSC, ou o certificado instalado pelo usuário.
-
Protocolo de autenticação extensível protegido (PEAP): esquema de autenticação mútua baseada em senha e proprietário da Cisco entre o cliente (telefone) e um servidor RADIUS. O telefone pode usar PEAP para autenticação com a rede sem fio. Os métodos de autenticação PEAP MSCHAPV2 e PEAP-GTC têm suporte.
-
Chave pré-compartilhada (PSK): o telefone oferece suporte aos formatos ASCII e hexadecimal (HEX). Você deve usar esses formatos ao configurar uma chave pré-compartilhada WPA2/SAE.
ASCII: uma cadeia de caracteres ASCII com 8 a 63 caracteres de comprimento (0 a 9, letras minúsculas a-z, A-Z maiúsculo e caracteres especiais). Por exemplo,GREG123567@9ZX
&W.HEX: uma cadeia de caracteres HEX com 64 dígitos hex de comprimento (0-9, a-f ou A-F).
Os seguintes esquemas de autenticação usam o servidor RADIUS para gerenciar chaves de autenticação:
-
WPA2/WPA3: usa informações do servidor RADIUS para gerar chaves exclusivas para autenticação. Como essas chaves são geradas no servidor RADIUS centralizado, o WPA2/WPA3 oferece que mais segurança do que as chaves pré-compartilhadas WPA que são armazenadas no AP e no telefone.
-
Roaming rápido e seguro: usa informações do servidor RADIUS e de um servidor de domínio sem fio (WDS) para gerenciar e autenticar as chaves. O WDS cria um cache de credenciais de segurança para dispositivos cliente ativados por FT para autenticação rápida e segura.
Com o WPA2/WPA3, as teclas de criptografia não são inseridas no telefone, mas são automaticamente derivadas entre o AP e o telefone. Porém, o nome do usuário EAP e a senha que são usados para autenticação devem ser inseridos em cada telefone.
Para ajudar a proteger o tráfego de voz através de um link sem fio, o telefone suporta criptografia baseada em AES para autenticação WPA2/WPA3. AES é uma cifere de bloco simétrico padronizada pelo NIST. O AES usa um tamanho de bloqueio fixo de 128 bits e suporta tamanhos de chave de 128 bits, 192 bits e 256 bits. Em redes Wi-Fi, AES é usado por conjuntos de cifradrias como CCMP ou GCMP, enquanto a autenticação é fornecida separadamente por PSK, SAE ou 802.1X/EAP, dependendo do modo de segurança WLAN configurado. O conjunto de cipher e o tamanho da chave suportados dependem do modelo do telefone e da configuração de WLAN.
Quando o telefone usa criptografia AES, os pacotes de sinalização SIP e de voz em tempo real (RTP) são criptografados entre o AP e o telefone.
Esquemas de autenticação e criptografia são configuradas na LAN sem fio. As VLANs configuradas na rede e nos APs e especificam diferentes combinações de autenticação e criptografia. Um SSID é associado a uma VLAN e ao esquema de autenticação e criptografia específico. Para que os dispositivos de cliente sem fio se autenticem com êxito, você deve configurar os mesmos SSIDs com seus esquemas de autenticação e criptografia nos APs e no telefone.
Alguns esquemas de autenticação exigem tipos específicos de criptografia.
Quando você usa a chave pré-compartilhada WPA2 ou SAE, a chave pré-compartilhada deve ser definida estáticamente no telefone. Essas chaves devem coincidir com as chaves que estão no AP.
Os esquemas de autenticação e criptografia na tabela a seguir mostram as opções de configuração de rede para o Cisco Telefone sem fio 9821 que correspondem à configuração AP.
| Tipo de FSR | Autenticação | Gerenciamento de tecla | Criptografia | Quadro de Gerenciamento Protegido (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
PSK WPA WPA-PSK-SHA256 FT-PSK | AES | Não |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Sim |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| Não FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Sim |
| Não FT | Suite-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Sim |
Configurar um perfil Wi-Fi
Você pode configurar um perfil Wi-Fi e atribuí-lo ao Cisco Telefone sem fio 9821. Esse perfil contém os parâmetros necessários para o telefone estabelecer uma conexão Wi-Fi e registrar posteriormente com Cisco Unified CM. Quando você cria e usa um perfil Wi-Fi, você ou seus usuários não precisam configurar a rede sem fio para telefones individuais.
É recomendável usar um perfil seguro com criptografia TFTP ativada para proteger chaves e senhas quando você usar um perfil de Wi-Fi.
Os telefones são compatíveis com um certificado de servidor por método de instalação (manual, SCEP ou TFTP).
Antes de configurar o perfil de WLAN, considere estes pontos:
-
Nome de usuário e senha
-
Quando a sua rede usa EAP-FAST e PEAP para autenticação dos usuários, você tem que configurar o nome de usuário e a senha, se necessário no Remote Authentication Dial-In User Service (RADIUS) e no telefone.
- As credenciais que você inseriu no perfil da LAN sem fio precisam ser idênticas às que você configurou no servidor RADIUS.
-
Se você usa domínios na rede, deve inserir o nome de usuário com o nome de domínio no formato:
domínio\nomedeusuário.
-
-
As seguintes ações podem fazer com que a senha de Wi-Fi seja apagada:
- Digitar um id de usuário ou uma senha inválidos
- Instalar uma CA de raiz inválida ou vencida quando o tipo de EAP está definido como PEAP MSCHAPV2 ou PEAP-GTC
- Desativar o tipo de EAP no servidor RADIUS antes de alternar um telefone para o novo tipo de EAP
- Para alterar o tipo de EAP, ative o novo tipo no servidor RADIUS antes e, em seguida, alterne o telefone para o tipo desejado. Quando todos os telefones tiverem sido alterados para o novo tipo de EAP, você poderá desativar o tipo anterior se quiser.
| 1 |
Na Administração do Cisco Unified Communications Manager, selecione . |
| 2 |
Clique em Adicionar novo. |
| 3 |
Na seção Informações do perfil de rede local sem fio, defina os parâmetros:
|
| 4 |
Na seção Configurações sem fio, defina os parâmetros:
|
| 5 |
Na seção Configurações de autenticação, defina o Método de autenticação como um destes métodos de autenticação: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK e None. O Cisco Wireless Phone 9821 não é compatível com o WEP. Depois de configurar esse campo, você poderá ver os campos adicionais que precisam ser configurados.
O Cisco Telefone sem fio 9821 não é compatível com o campo Perfil de acesso da rede. |
| 6 |
Clique em Save (Salvar). |
O que fazer a seguir
Vincule o Perfil da LAN sem fio a um WLAN Grupo de perfil e, em seguida, aplique o WLAN Grupo de perfis a um pool de dispositivos (System>Device PoolPhone
Instalar um certificado de usuário na página Web de administração do telefone
É possível instalar manualmente um Certificado de Usuário no telefone se o SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.
O Certificado instalado pelo fabricante (MIC) pré-instalado pode ser usado como o certificado do usuário para EAP-TLS.
Após a instalação do Certificado do usuário, você precisa adicionar a cadeia de CA que emitiu o certificado de usuário à lista de confiança do servidor RADIUS.
Antes de começar
Para poder instalar um certificado de usuário para um telefone, você precisa ter:
-
Um certificado de usuário salvo em seu PC. O certificado deve estar no formato PKCS #12.
-
A senha de extração do certificado. O comprimento da senha não deve exceder 32 caracteres.
| 1 |
Na página da Web de administração do telefone, selecione Certificados. |
| 2 |
Localize o campo Instalado pelo usuário e clique em Instalar. |
| 3 |
Navegue até o certificado em seu PC. |
| 4 |
No campo Extrair senha, insira a senha de extração do certificado. |
| 5 |
Clique em Carregar. |
| 6 |
Reinicie o telefone depois que o upload terminar. |
Instalar um CA do servidor de autenticação na página da Web de administração do telefone
É possível instalar manualmente um CA do Servidor de Autenticação no telefone se o SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.
O certificado ca raiz que emitiu o certificado do servidor RADIUS deve estar instalado.
Antes de começar
Para poder instalar um certificado em um telefone, você deve ter um CA do Servidor de Autenticação salvo em seu PC. O certificado deve ser codificado no PEM (Base 64) ou DER.
| 1 |
Na página da Web de administração do telefone, selecione Certificados. |
| 2 |
Localize o campo CA do servidor de autenticação e clique em Instalar. |
| 3 |
Navegue até o certificado em seu PC. |
| 4 |
Clique em Carregar. |
| 5 |
Reinicie o telefone depois que o upload terminar. |
Remover manualmente um certificado de segurança da página da Web de administração do telefone
Você pode remover manualmente um certificado de segurança de um telefone se o protocolo SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.
| 1 |
Na página da Web de administração do telefone, selecione Certificados. |
| 2 |
Localize o certificado na página Certificados. |
| 3 |
Clique em Excluir. |
| 4 |
Reinicie o telefone depois que o processo de exclusão for concluído. |
Configurar SCEP
O protocolo SCEP (Simple Certificate Enrollment Protocol) é o padrão para fornecimento e renovação automática de certificados. Evite a instalação manual de certificados em seus telefones.
Ativar os parâmetros de configuração específicos do produto SCEP
Você deve configurar os seguintes parâmetros SCEP no Cisco Unified Communications Manager (Unified CM).
-
RA IP endereço ou nome do host
-
Impressão digital SHA-1 ou SHA-256 do certificado raiz da CA para o servidor SCEP
A Autoridade de registro (RA) do Cisco IOS atua como um proxy para o servidor SCEP. O cliente SCEP do telefone usa os parâmetros baixados de Cisco Unified CM. Depois de configurar os parâmetros, o telefone envia uma solicitação de getcs SCEP para a RA e o certificado ca raiz é validado usando a impressão digital definida.
| 1 |
Em Cisco Unified Communications Manager Administration, selecione . |
| 2 |
Localize o telefone. |
| 3 |
Role até a área Layout da configuração específica do produto. |
| 4 |
Marque a caixa de seleçãoWLAN SCEP Server para ativar o parâmetro SCEP. |
| 5 |
Marque a caixa de seleçãoWLAN Raiz CA Fingerprint (SHA256 ou SHA1) para ativar o parâmetro SCEP QED. |
Suporte do servidor SCEP
Se você estiver usando um servidor SCEP (Simple Certificate Enrollment Protocol), o servidor poderá manter automaticamente seus certificados de usuário e de servidor. No servidor SCEP, configure o agente de registro (RA) SCEP para:
-
Agir como um ponto de confiança PKI
-
Agir como um RA PKI
-
Executar a autenticação de dispositivos usando um servidor RADIUS
Para obter mais informações, consulte a documentação do servidor SCEP.
Configurar um certificado localmente significativo (LSC)
Há alguns métodos para instalar um LSC. Esta tarefa de exemplo se aplica à configuração de um LSC com o método de cadeia de caracteres de autenticação no Cisco Wireless Phone 9821.
Antes de começar
Assegure-se de que a Cisco Unified CM apropriada e as configurações de segurança do certificate authority proxy function (CAPF) estejam concluídas.
-
O arquivo CTL ou ITL tem um certificado CAPF.
-
Na Administração do sistema operacional do Cisco Unified Communications, verifique se o certificado CAPF está instalado.
-
A CAPF está em execução e foi configurada.
Para obter mais informações sobre essas configurações, consulte a documentação da sua versão Cisco Unified CM específica.
| 1 |
Obtenha a cadeia de caracteres de autenticação CAPF que foi definida quando o CAPF foi configurado. |
| 2 |
No telefone, acesse as Definições |
| 3 |
Selecione . |
| 4 |
Digite a cadeia de caracteres de autenticação. |
| 5 |
Pressione Mais O telefone começa a instalar, atualizar ou remover o LSC, dependendo de como a CAPF foi configurada. Quando o procedimento estiver concluído, será exibida a mensagem Instalado ou Não instalado no telefone. O processo de instalação, atualização ou remoção do LSC pode demorar bastante para ser concluído. Quando o procedimento de instalação do telefone for bem-sucedido, a mensagem |
Autenticação 802.1X para redes com fio
O Cisco Wireless Phone 9821 suporta autenticação 802.1X para redes com fio. Isso é geralmente usado durante o provisionamento automático quando o telefone está conectado ao carregador de mesa por meio de um adaptador USB-to-Ethernet suportado.
O suporte para autenticação 802.1X em redes com fio requer diversos componentes como se segue:
-
Telefone IP Cisco: o telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite aos administradores de rede controlar a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.
-
Servidor de autenticação: O servidor de autenticação e o comutador devem ser configurados com um segredo compartilhado RADIUS.
-
Switch: o comutador deve suportar 802.1X, de forma que possa funcionar como um autenticador e retransmitir as mensagens EAP entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.
Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de potência embutida.
Você deve executar as ações a seguir para configurar a 802.1X.
-
Configure CDP/LLDP de voz VLAN ignorar.
-
Configure o servidor de autenticação e o comutador antes de ativar a autenticação 802.1X para redes com fio no telefone.
-
Configure a VLAN de voz: como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.
- Ativado: se estiver usando um comutador que suporte autenticação multidomain, você pode configurá-lo para usar a voz VLAN.
- Desativado: se o switch não suportar a autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.
-
Cisco Telefone sem fio 9821 tem um prefixo diferente no PID daquele para os outros telefones Cisco. Para ativar seu telefone para passar pela autenticação 802.1X, defina o Radius· O parâmetro Nome de usuário para incluir o Cisco Telefone sem fio 9821.
Por exemplo, a PID do Cisco Wireless Phone 9821 é O WP-9821. Você pode definir Radius· O Nome do usuário para
iniciar com WPouWP contém o WPnas duas seções a seguir: -
Ativar autenticação 802.1X para redes com fio no telefone
Siga estas etapas para ativar a autenticação 802.1X para redes com fio em seu telefone. Observe que a autenticação 802.1X para Wi-Fi está ativada por padrão e não exige configuração manual.
| 1 |
Acessar as Configurações |
| 2 |
Se solicitado, digite a senha para acessar o menu Configurações . Você pode obter a senha do administrador. |
| 3 |
Selecione . |
| 4 |
Realce a autenticação do dispositivo e pressione Ativar. |
Ativar autenticação 802.1X para redes com fio em Cisco Unified Communications Manager Administration
Siga estas etapas para ativar a autenticação 802.1X para redes com fio em Cisco Unified CM. Observe que a autenticação 802.1X para Wi-Fi está ativada por padrão e não exige configuração manual.
Você pode visualizar o status da transação e as configurações de segurança no menu da tela do telefone. Para obter mais informações, consulte o menu de configurações de segurança no telefone.
| 1 |
Em Cisco Unified Communications Manager Administration, selecione Dispositivo > Phone. |
| 2 |
Localize o telefone que você irá configurar. |
| 3 |
Navegue até a área Layout de configuração específica do produto. |
| 4 |
Selecione Ativado no menu suspenso Autenticação 802.1x. Quando configurado para Habilitado ou Desabilitado, a opção de autenticação do dispositivo no Cisco Telefone sem fio 9821 torna-se somente leitura, impedindo que os usuários modifiquem as configurações de autenticação 802.1X. |
| 5 |
Selecione Salvar. |
| 6 |
Selecione Aplicar config. |
Menu de configurações de segurança no telefone
Para visualizar as informações sobre as configurações de segurança no menu do telefone, acesse as Configurações
aplicativo e selecione . A disponibilidade das informações depende das configurações de rede de sua organização.
|
Parâmetros |
Opções |
Padrão |
Descrição |
|---|---|---|---|
|
Autenticação do dispositivo |
Ligada Desativado |
Desativado |
Ativa ou desativa a autenticação 802.1X no telefone. A configuração do parâmetro pode ser mantida após o registro de OOB (Out-Of-Box) do telefone. |
|
Status da transação | Desativado |
Exibe o estado de autenticação 802.1X. O estado pode ser (não limitado a):
| |
|
Protocolo | Nenhuma |
Exibe o método EAP usado para autenticação 802.1X. O protocolo pode ser EAP-FAST ou EAP-TLS. |
Configurar as versões suportadas de TLS
Você pode configurar a versão mínima de TLS exigidos para cliente e servidor, respectivamente.
Por padrão, a versão TLS mínima do servidor e do cliente é 1.2. A configuração tem impacto nas seguintes funções:
- Conexão de acesso à Web HTTPS
- Noboarding para o telefone no local
- Serviços HTTPS, como, os serviços de diretório
- DTLS (Datagram Transport Layer Security, segurança da camada de transporte de datagram)
- Entidade de acesso à porta (PAE)
- Segurança da camada de protocolo de autenticação extensível (EAP-TLS)
Para obter mais informações sobre a compatibilidade TLS 1.3 para Cisco IP Phones, consulte TLS 1.3 Compatibility Matrix for Cisco Collaboration Products.
| 1 |
Em Cisco Unified Communications Manager Administration, execute uma das seguintes ações conforme necessário:
A configuração segue uma estrutura hierárquica:
|
| 2 |
Defina o campo TLS Client Min Version : A opçãoTLS 1.3 está disponível em Cisco Unified CM 15SU2 ou posterior.
|
| 3 |
Defina o campo TLS Versão mín. do servidor:
|
| 4 |
Clique em Save (Salvar). |
| 5 |
Clique em Aplicar config. |
| 6 |
Reinicie os telefones. |
TURN fora do alto-falante e fone de ouvido no Cisco telefone sem fio 9821
Você tem as opções para TURN permanentemente fora do alto-falante e do fone de ouvido em um Cisco Telefone sem fio 9821 para o usuário. A desativação dessas saídas de áudio assegura que as conversas não sejam ouvidas por outras pessoas nas proximidades, o que é importante em ambientes de escritório compartilhados ou abertos.
| 1 |
Em Cisco Unified Communications Manager Administration, selecione . |
| 2 |
Localize o telefone que você irá configurar. |
| 3 |
Navegue até a área Layout de configuração específica do produto. |
| 4 |
Marque uma ou mais das seguintes caixas de seleção para TURN desligar as capacidades do telefone:
Por padrão, essas caixas de seleção estão desmarcadas. |
| 5 |
Selecione Salvar. |
| 6 |
Selecione Aplicar config. |
